MER5200L2TPVPN使用
- 0关注
- 0收藏,85浏览
给你找下案例
4.1 组网需求
如图1所示,某企业要求通过创建L2TP隧道来实现出差员工和分部公司员工可以访问搭建在总部内网的服务器。
图1 L2TP VPN典型配置组网图
4.2 配置思路
(1) 配置总部路由器Router A连接Internet,启用L2TP服务器端。
(2) 配置分部路由器Router B连接Internet,启用L2TP客户端。
(3) 在出差员工PC上设置L2TP客户端。
4.3 配置步骤
4.3.1 配置Router A
1. 配置WAN1接口连接Internet
本例中Router A外网的接口模式为单WAN模式,WAN接口的连接模式为固定地址。
# 选择“网络设置 > 外网配置”,进入外网配置页面:
(1) 在“场景定义”页面中勾选“单WAN场景”,线路1选择“WAN1(GE1)”,单击“应用”按钮完成配置;
(2) 单击“WAN配置”页签,进入WAN配置页面;
(3) 单击WAN1接口对应操作列编辑图标,进入修改WAN配置页面,配置如下参数:
¡ 连接模式:固定地址
¡ IP地址:20.1.1.1
¡ 子网掩码:255.255.255.0
¡ 网关地址:20.1.1.254
¡ DNS1:114.114.114.114
¡ DNS2:223.5.5.5
¡ 链路探测:未启用
¡ 其它参数保持默认配置
在“链路探测”配置项处,根据实际情况选择是否启用该功能,如果选择启用:
· 在“探测地址”配置项处,输入链路探测的IP地址。
· 在“探测间隔”配置项处,输入链路探测的时间间隔。
启用链路探测功能后,可以对到达指定IP地址的链路状态进行判断,提高链路的可靠性。
(4) 单击“应用”按钮保存配置。
图2 配置WAN1接口连接Internet
2. 启用并配置L2TP服务器
本例需要创建两个L2TP组(隧道)分别供出差员工PC和分部路由器连接,名称分别为LNS1和LNS2。
# 选择“虚拟专网>L2TP服务器端”,进入L2TP配置页面,勾选L2TP服务器端的“开启”选项,完成L2TP服务器的启用。
(1) 配置LNS1(供出差员工PC连接)
# 在L2TP配置页面,单击“添加”按钮,进入“新建L2TP组”配置页面,完成如下参数配置:
· 对端隧道名称:不勾选复选框,无需配置(若勾选,需填写出差员工计算机名称)
· 本端隧道名称:LNS1
· 隧道验证:选择“禁用”(使用PC作为L2TP客户端,不建议启用隧道验证功能)
· PPP认证方式:选择“CHAP”
· 虚拟模板接口地址:172.16.10.1(根据实际情况输入,不要和内网IP地址相同)
· 子网掩码:255.255.255.0(根据实际情况输入)
· 用户地址池:172.16.10.2-172.16.10.5(根据实际情况输入)
· 其它参数保持默认配置
· 单击“应用”按钮,完成LNS1的添加
图3 配置LNS1
(2) 配置LNS2(供分部路由器连接)
# 在L2TP配置页面,单击“添加”按钮,进入“新建L2TP组”配置页面,完成如下参数配置:
· 对端隧道名称:LAC(根据情况自定义)
· 本端隧道名称:LNS2
· 隧道验证:选择“启用”,并输入隧道验证密码“abc123”
· PPP认证方式:选择“CHAP”
· 虚拟模板接口地址:172.16.20.1(根据实际情况输入,不要和内网IP地址在同一网段)
· 子网掩码:255.255.255.0(根据实际情况输入)
· 用户地址池:172.16.20.2-172.16.20.5(根据情况输入)
· 其它参数保持默认配置
· 单击“确认”按钮,完成LNS2的添加
图4 配置LNS2
图5 L2TP组配置
3. 添加L2TP用户
L2TP用户设置主要是为L2TP客户端拨号时提供账号名和密码。
(1) 为分部路由器做客户端添加账号名和密码
# 选择“认证管理>用户管理”,单击“用户设置”页签,进入用户设置页面,单击“添加”按钮,进入添加用户页面,配置下面参数:
· 账号名:vpdn1(根据实际情况自定义即可)
· 状态:选择“可用”
· 密码:user123(根据实际情况自定义即可)
· 可用服务:选择“PPP”
· MAC地址:选择“不绑定”
· 最大用户数:1(根据实际需要设置该账号同时可支持多少L2TP客户端连接)
· 有效日期:不配置(若选择“配置”,则需要在日期选择框中选则账号权限到期日期)
· 单击“确定”按钮,完成配置
图6 添加L2TP用户
(2) 为出差员工PC添加账号名和密码
按照同样的步骤为出差员工添加账号名为vpdnuser,密码为:user1234。
4.3.2 配置Router B
1. 配置WAN1接口连接Internet
本例中Router B外网的接口模式为单WAN模式,WAN接口的连接模式为固定地址。
# 选择“网络设置 > 外网配置”,进入外网配置页面:
(1) 在“场景定义”页面中勾选“单WAN场景”,线路1选择“WAN1(GE1)”,单击“应用”按钮完成配置;
(2) 单击“WAN配置”页签,进入WAN配置页面,单击WAN1接口对应操作列编辑图标,进入修改WAN配置页面,配置如下参数:
¡ 连接模式:固定地址
¡ IP地址:20.1.2.1
¡ 子网掩码:255.255.255.0
¡ 网关地址:20.1.2.254
¡ DNS1:114.114.114.114
¡ DNS2:223.5.5.5
¡ 链路探测:未启用
¡ 其它参数保持默认配置即可
在“链路探测”配置项处,根据实际情况选择是否启用该功能,如果选择启用:
· 在“探测地址”配置项处,输入链路探测的IP地址。
· 在“探测间隔”配置项处,输入链路探测的时间间隔。
启用链路探测功能后,可以对到达指定IP地址的链路状态进行判断,提高链路的可靠性。
(3) 单击“应用”按钮保存配置。
图7 配置WAN1接口连接Internet
2. 启用并配置L2TP客户端
配置L2TP客户端时相关信息需要和L2TP服务器端保持一致。
# 选择“虚拟专网>L2TP客户端”,单击“L2TP配置”页签,进入L2TP客户端配置页面,选择L2TP客户端“开启”选项,完成L2TP客户端的启用。单击“添加”按钮,进入“新建L2TP组”页面,配置下面参数:
· 本端隧道名称:LAC
· 地址获取方式:选择“动态”
· 隧道验证:选择“启用”,并输入LNS2中设置的密码abc123
· PPP认证方式:选择“CHAP”,用户名配置项处输入vpdn1,密码配置项处输入user123
· L2TP服务器端地址:20.1.1.1(总部WAN1接口IP地址)
· 其它参数保持默认配置即可
· 单击“确定”按钮,完成配置
图8 配置L2TP客户端
3. 配置静态路由
当使用路由器做L2TP客户端时,需要添加到L2TP服务器端子网(10.1.1.0/24)的静态路由。
当使用路由器做L2TP客户端时,如果需要访问L2TP服务器端,则需要添加(20.1.1.0/24)的静态路由。
# 选择“高级选项>静态路由”,进入静态路由配置页面,单击“添加”按钮,进入“添加IPv4静态路由”页面,配置下面参数:
· 目的IP地址:10.1.1.0
· 子网掩码:24
· 下一跳:GE1(对应的L2TP隧道接口)
· 其它选项保持默认即可,单击“确定”按钮,完成配置
图9 配置静态路由
(可选)# 选择“高级选项>静态路由”,进入静态路由配置页面,单击“添加”按钮,进入“添加IPv4静态路由”页面,配置下面参数:
· 目的IP地址:20.1.1.0
· 子网掩码:24
· 下一跳:GE1(对应的L2TP隧道接口)
· 其它选项保持默认即可,单击“确定”按钮,完成配置
图10 配置静态路由
4.3.3 配置出差员工PC
在出差员工PC上配置L2TP客户端,本例以装有Window 7系统的PC为例。
# 登录出差员工PC桌面,打开网络和共享中心,单击“设置新的连接或网络”选项,创建一个L2TP客户端。
图11 设置新的连接或网络
# 在弹出的设置连接或网络对话框中,选择“连接到工作区”选项,单击“下一步”按钮。
图12 连接到工作区
# 选择“使用我的Internet连接(VPN)(I)”选项,开始配置连接的Internet地址。
图13 使用我的Internet连接(VPN)(I)
# 在Internet连接(T)配置项中,输入要连接到的L2TP服务器段WAN1接口的IP地址,本例为20.1.1.1;在目的名称配置项中,输入该L2TP客户端的连接的名称,本例为l2tp,单击“下一步”按钮。
图14 键入要连接的Internet地址
# 在用户名和密码配置项中,分别输入L2TP服务器端设置的用户名和密码,本例用户名为vpdnuser,密码为user1234,单击“连接”按钮进行连接。
图15 键入您的用户名和密码
# 单击桌面右下角的网络图标
,右键单击L2TP客户端名称(如“l2tp”),选择“属性”选项。
图16 L2TP客户端属性
# 在弹出属性对话框中,选择“安全”页签,在“VPN类型(T)”中选择“使用IPsec的第2层隧道协议(L2TP/IPSec)”,在“数据加密(D)”中选择“可选加密(没有加密也可以连接)”,单击“确定”按钮使得配置生效。
图17 安全属性配置
# 打开L2TP协议的拨号终端窗口,在弹出连接对话框中输入用户名:vpdnuser,密码:uesr1234,单击“连接”按钮进行连接。
图18 L2TP连接
4.3.4 验证配置
出差员工PC和分部员工PC都可以访问总部服务器,配置验证成功。登录总部路由器RouterA Web管理界面,选择“虚拟专网>L2TP服务器端”,单击“隧道信息”页签,可以查看对应的L2TP隧道信息。
参考视频案例 H3C MER系列路由器 常用功能配置 演示视频-R6749-6W100
打开你的电脑,在浏览器输入知了社区,找到这个帖子,要么在别人下面评论,要么点我名字。
暂无评论
MER5200 完整 L2TP/IPSec VPN 配置手册(移动员工远程办公场景)
前置说明
MER5200 仅支持 L2TP over IPSec(加密标准,Windows/macOS 手机原生兼容),分为 4 大模块配置:外网端口放行、L2TP 服务端、拨号用户账号、内网路由互通,全程 Web 图形化操作,无需命令行。
环境示例参数(替换为你现场实际网段)
MER 外网 WAN 公网 IP:203.0.113.10(宽带固定公网 IP/DDNS 域名)
公司内网业务网段:192.168.1.0/24
VPN 客户端分配地址池:10.0.0.2 ~ 10.0.0.100
IPSec 预共享密钥:Vpn@2026(客户端连接必须填写)
拨号账号:user01 密码:Pass@123456
一、第一步:外网 WAN 放行 L2TP/IPSec 端口(必须先做,否则隧道不通)
登录 MER5200 Web 管理后台(默认地址192.168.1.1)
菜单:安全 → 高级设置 → 防火墙策略
新增 2 条放行规则(WAN→LOCAL 本机)
| 规则 | 源区域 | 目的区域 | 服务端口 | 动作 |
| ---- | ---- | ---- | ---- | ---- |
| IPSec | untrust (WAN) | local | ESP (50)、AH (51)、UDP500、UDP4500 | 允许 |
| L2TP | untrust (WAN) | local | UDP1701 | 允许 |
保存策略,外网端口全部放开 VPN 隧道报文。
二、第二步:创建 L2TP 地址池(给拨号客户端分配虚拟 IP)
菜单:虚拟专网 → L2TP 服务器端
切换到「地址池管理」标签,点击添加
地址池名称:L2TP_POOL
起始 IP:10.0.0.2
结束 IP:10.0.0.100
子网掩码:255.255.255.0
PPP 服务器 IP:10.0.0.1(虚拟网关,固定填写池段第一个网关)
确定保存地址池。
三、第三步:开启 L2TP 服务端,新建 L2TP 组(核心配置)
同页面「L2TP 服务器端」主标签,勾选 开启 L2TP 服务器,点击【添加】新建隧道组
新建L2TP组界面
新建 L2TP 组参数填写
组名称:Remote_Work
组类型:PC 到站点(远程员工拨号)
加密状态:启用 IPSec 加密(必选,否则 Windows 无法连接)
IPSec 预共享密钥:Vpn@2026(客户端连接必填)
用户地址池:选择刚才创建的L2TP_POOL
客户端地址:0.0.0.0/0(允许任意外网 IP 拨号)
对端子网范围:填写公司内网 192.168.1.0/24(VPN 拨号后可访问的内网段)
勾选【允许 VPN 访问互联网】(可选,拨号后客户端同时能上公网)
确定保存,L2TP 服务自动生效。
四、第四步:创建 VPN 拨号用户账号(员工登录凭证)
菜单:认证管理 → 用户管理 → 用户设置,点击【添加】
添加PPP拨号用户
用户配置项
用户名:user01(员工拨号账号)
状态:可用
密码:Pass@123456
可用服务:必须勾选 PPP(L2TP 依赖 PPP 拨号认证)
MAC 绑定:不绑定(移动员工电脑不固定 MAC)
最大用户数:1(单账号仅 1 台设备同时登录,按需改 5/10)
有效日期:不配置(永久可用)
点击应用,账号创建完成。
多名员工重复添加用户即可,每个员工独立账号密码。
五、第五步:内网回程路由(客户端拨号后正常访问内网)
MER 会自动生成 VPN 网段回程路由,无需手动配置静态路由;
若内网有三层交换机 / 二级网关,需要在内网设备添加静态路由:
plaintext
目的网段:10.0.0.0/24 下一跳:MER5200内网网关IP(192.168.1.1)
作用:内网服务器能回包给 VPN 拨号客户端。
六、Windows 10/11 PC 客户端连接配置(员工使用教程)
Windows新建VPN
填写L2TP参数
打开 设置 → 网络和 Internet → VPN → 添加 VPN 连接
参数填写:
VPN 提供商:Windows (内置)
连接名称:公司 VPN(自定义)
服务器地址:MER 公网 IP / 域名 203.0.113.10
VPN 类型:L2TP/IPSec 使用预共享密钥
预共享密钥:Vpn@2026(和路由器设置一致)
登录信息:用户名user01、密码Pass@123456
保存,选中 VPN 点击【连接】即可拨号。
拨号失败修复(Windows 常见注册表问题)
Win 默认禁用无证书 L2TP,新建注册表文件修复:
新建文本文档,粘贴内容:
reg
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent]
"AssumeUDPEncapsulationContextOnSendRule"=dword:00000002
后缀改为vpn.reg,双击导入注册表,重启电脑再拨号。
七、macOS / 手机安卓 /iPhone 客户端简要配置
Mac
系统设置 → 网络 → + 新增 VPN,类型选 L2TP over IPSec
服务器地址填 MER 公网 IP,账号密码填写,共享密钥填入预共享密钥,连接。
iPhone / 安卓
设置 - VPN - 新增 L2TP,填写服务器 IP、账号、密码、IPSec 预共享密钥,开启连接。
八、MER5200 VPN 状态查看与故障排查
1. 在线拨号用户查看
菜单:虚拟专网 → L2TP 服务器端 → 隧道信息,可看到已拨号客户端 IP、上线时长。
2. 连通性测试
客户端拨号成功后,CMD 执行:
cmd
# ping公司内网网关/服务器
ping 192.168.1.1
3. 常见故障汇总
客户端提示 “无法建立连接”
MER 防火墙未放行 UDP500/4500/1701、ESP50;
宽带运营商屏蔽 IPSec 端口(更换手机热点测试区分);
Windows 未导入修复注册表。
拨号成功但无法访问内网
L2TP 组「对端子网范围」未填写公司内网段;
内网三层设备无 VPN 网段回程路由。
账号密码报错
用户未勾选服务「PPP」;账号密码输入错误。
能连 VPN 但上不了外网
L2TP 组未勾选【允许 VPN 访问互联网】。
九、扩展补充:固定域名场景(无固定公网 IP)
如果宽带无固定公网 IP,MER5200 支持 DDNS:
菜单「系统工具 → DDNS」,绑定花生壳 / 阿里云域名,客户端服务器地址填写域名即可,无需更换 IP。
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论