使用L2TP VPN连接总部和分部 跨互联网的内网机器可以互相通信
L2TP,即二层遂道协议,用来在IP网络建立加密遂道。routeros可以做为L2TP的服务器,也可以做为L2TP的客户端。
公司总部路由器做L2TP服务器,公司分部接入路由器做L2TP客户端,两台路由器通过L2TP连接后,两公司的内部的机器可以互相直接通信。
下面有一个布置实例。先说一下网络拓扑结构。
总部路由器LAN侧网络使用私有地址10.1.1.254,WAN侧公网地址是201.1.1.1,总部路由器通过配置NAT使用LAN内部机器可以访问互联网。
分部中由器LAN侧网络使用私有地址192.168.1.254,WAN侧公网地址是202.1.1.4,分部路由器也通过配置NAT使用LAN内部机器可以访问互联网。
众所周知,此时,总部LAN内部机器是不可能直接和分部LAN内部机器直接通信。因为各LAN内部机器用的是私有地址。拓扑图如下:
ISP----201.1.1.1 总部路由器10.1.1.254-----LAN交换机------ PC 192.168.1.1
ISP----202.1.1.4 分部路由器182.168.1.254-----LAN交换机-------- PC 192.168.1.1
经过L2TP VPN的配置,最终的目标是在两路由器之间建立L2TP会话,再通过静态路由,使用的两台处于内网的PC可以直接通信。如下:
ISP----201.1.1.1 总部路由器10.1.1.254-----LAN交换机------ PC 192.168.1.1
|
L2TP会话(总部端IP是172.16.1.1,分部端IP是172.16.1.2)
|
ISP----202.1.1.4 分部路由器182.168.1.254-----LAN交换机-------- PC 192.168.1.1
最终的路由效果如下:
#总部内网机器到分部内网机器的路径,可以看到路径是走L2TP会话(172.16.1.1-172.16.1.2)
的。
C:\Documents and Settings\Administrator>ipconfig
Windows IP Configuration
Ethernet adapter 本地连接:
Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 10.1.1.1 (总部内网第一台机器)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 10.1.1.254
C:\Documents and Settings\Administrator>tracert 192.168.1.1
Tracing route to 192.168.1.1 over a maximum of 30 hops
1 15 ms <1 ms <1 ms 10.1.1.254
2 12 ms 2 ms 3 ms 172.16.1.2 (显示路由经过L2TP会话)
3 20 ms 2 ms 1 ms 192.168.1.1
Trace complete.
#分部内网机器到总部内网机器的路径,可以看到路径是走L2TP会话(172.16.1.1-172.16.1.2)的。
C:\Documents and Settings\Administrator>ipconfig
Windows IP Configuration
Ethernet adapter 本地连接:
Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 192.168.1.1 (分部内网第一台机器)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.1.254
C:\Documents and Settings\Administrator>tracert 10.1.1.1
Tracing route to 10.1.1.1 over a maximum of 30 hops
1 22 ms <1 ms <1 ms 192.168.1.254
2 5 ms 2 ms 2 ms 172.16.1.1 (显示路由经过L2TP会话)
3 4 ms 2 ms 4 ms 10.1.1.1
Trace complete.
下面即是总部和分部路由器的配置过程:
一、总部路由器(center.ai800)的配置:
注意:如果你内网机器已经可以访问互联网了,1至3步可跳过。
1、配置IP地址。一个是公网址,一个是LAN侧私有地址。
/ip address
add address=201.1.1.1/24 interface=r1_lan1
add address=10.1.1.254/24 interface=r1_lan5
2、配置路由。总部路由器是通过OSPF自动学习路由。不过一般情况是通过手动静态路由,后面讲到的分支路由器就是通过静态路由。
/routing ospf network
add area=backbone network=201.1.1.0/24
3、配置NAT。让拥有私有地址的LAN内部机器可以访问互联网。
/ip firewall nat
add action=masquerade chain=srcnat src-address=10.1.1.0/24
下面就是配置VPN服务端的部分了,我这里用的是L2TP协议。
4、配置L2TP服务端
(1).开启L2TP服务。当时按照官方提供的快速配置指南,始终没有连接上。最后到官方的WIKI在查到的配置的具体步骤。快速配置指南里没写这一步。
/interface l2tp-server server
set enabled=yes
(2).添加连接用到的帐户。并指明此连接帐户建立L2TP连接时,本端和远端的IP地址。这里也用私网地址,最好不要和总部和各分支子网重叠。
/ppp secret
add name=user1 password=password1 local-address=172.16.1.1 remote-address=172.16.1.2
(3).指定L2TP服务器提供L2TP连接时用哪个帐户。因为刚才建立帐户时,已经指定的本端和远端的IP地址。所以指定了帐户,也就指定了建立连接后的两端地址。
route add 添加路由/interface l2tp-server
add user=user1
5、添加辅助路由。这步是必须的,这个说来话长了,我简单说说。当L2TP连接建立好后,要想让总部路由器知道到达分部LAN侧网段的下一跳,就必段添加手动路由。
/ip route
add dst-address=192.168.1.0/24 gateway=172.16.1.2
6、其他可选配置。配置路由器名称。
/system identity
set name=center.ai800
二、分部路由器(branch.ai800)的配置:
注意:如果你内网机器已经可以访问互联网了,1至3步可跳过。
1、配置IP地址。因为是双线接入,所以有两个是公网地址,一个是LAN侧私有地址。
/ip address
add address=192.168.1.254/24 interface=r4_lan4
add address=202.1.1.4/24 interface=r4_lan2
add address=203.1.1.4/24 interface=r4_lan3
2、配置路由。手动配置的静态路由。
/ip route
add gateway=202.1.1.2 check-gateway=ping
add gateway=203.1.1.3 check-gateway=ping
3、配置NAT。让拥有私有地址的LAN内部机器可以访问互联网。
/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.1.0/24
下面就是配置VPN客户端的部分了,同样使用L2TP协议以和服务端对接。
4、配置L2TP客户端。其中连接到的IP地址是总部路由器的WAN侧地址,用户名和密码是上面服务端配置的帐户和密码。
/interface l2tp-client
add connect-to=201.1.1.1 user=user1 password=password1
5、添加辅助路由。这步也是必须的。要想让分部路由器知道到达总部LAN侧网段的下一跳,就必段添加手动路由。
/ip route
add dst-address=10.1.1.0/24 gateway=172.16.1.1
6、其他可选配置。配置路由器名称。
/
system identity
set name=branch.ai800
至此,两个LAN内部的机器跨越互联网,现在可以直接通信了。
为了方便理解,我把总部路由器和分部路由器的一些连接状态也贴在下面了。
#总部路由器的状态:
[******************] > ip address pr
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论