我目前使用的是網通線路,網通與電信之間的距離堪比天涯海角。正巧有一台H3C 路由器同時接了網通和電信的線路,所以打算在這個設備上配置VPN,使我可以順暢訪問電信網絡內部的資源。這台設備型號是H3C MSR 5006,支持L2TP/IPSEC VPN ,不支持PPTP。
我的筆記本跑的是CentOS 6.0, 在Linux上面的L2TP VPN客戶端不是很多,GOOGLE了一下覺得xl2tpd + pppd + 密碼驗證 這個方法實現比較簡單,就朝這條路走下去吧,使用xl2tpd + pppd 做客戶端連接 H3C MSR 5006 的 L2TP VPN。
路由器上的配置挺容易,與做Windows客戶端連接L2TP VPN的方法一樣,貼一段配置,如下:
<msr5006>dis cur
#
version 5.20, Release 2104P02
#
sysname msr5006
#
l2tp enable
#
firewall enable
#
domain default enable system
#
dns resolve
dns server 221.6.4.66
dns server 202.102.3.141
#
telnet server enable
#
ip ttl-expires enable
ip unreachables enable
#
dar p2p signature-file flash:/p2p_default.mtd
#
acl number 3001
rule 5 permit ip source 10.58.1.0 0.0.0.255
rule 100 deny ip
#
vlan 1
#
domain system
access-limit disable
state active
idle-cut disable
self-service-url disable
ip pool 1 10.58.1.2 10.58.1.254 #L2TP客戶端地址范圍
#
user-group system
#
local-user miaotian
password cipher -YSLT1^M6PGQ=^Q`MAF4<1!!
authorization-attribute level 3
service-type ssh telnet
service-type ppp
#
cwmp
undo cwmp enable
#
l2tp-group 1
undo tunnel authentication
mandatory-lcp
allow l2tp virtual-template 0
#
interface Virtual-Template0
ppp authentication-mode pap
remote address pool 1 #L2TP客戶端地址使用地址池1
ip address 10.58.1.1 255.255.255.0 #L2TP虛接口地址
#
interface NULL0
#
interface GigabitEthernet0/0
port link-mode route
description link-wan
nat outbound 3001 #從網通網關NAT出
ip address 58.1.1.2 255.255.255.252
ipsec no-nat-process enable
#
interface GigabitEthernet0/1
port link-mode route
ip address 20.1.1.2 255.255.255.252
#
interface GigabitEthernet0/2
port link-mode route
nat outbound 3001 #從電信網關NAT出
ip address 10.218.1.254 255.255.255.0
#
ip route-static 0.0.0.0 0.0.0.0 10.218.1.1 #電信網關
ip route-static 58.0.0.0 255.0.0.0 58.1.1.1 #網通網關
ip route-static 10.0.0.0 255.0.0.0 20.1.1.1 #內部其他網絡
#
dhcp enable
#
load xml-configuration
#
load tr069-configuration
#
user-interface con 0
user-interface aux 0
user-interface vty 0 4
authentication-mode scheme
#
return
<msr5006>
使用Windows 自帶的客戶端,在注冊表裡禁用IPSEC,重啟系統後連接測試成功。正確獲得客戶端地址10.58.1.x。證明上述配置已經OK。
在筆記本上,用yum安裝xl2tpd ,pppd 等做L2TP所必要的包。 CentOS 6上加入EPEL 的YUM源 (可以自己寫repo文件,也可以從 http://Fedoraproject.org/wiki/EPEL這裡下載RPM包直接安裝).
修改xl2tpd及pppd的配置文件,可以基本參考 http://www.linuxidc.com/Linux/2011-08/41579.htm 這篇文章內容。根據實際環境寫一個LAC段。
OK,編輯完以後 echo 'c utvpn' > /var/run/xl2tpd/l2tp-control 測試了一下。 VPN 可以正確連接, 虛擬網卡ppp0也出來了, 但是ppp0獲得的地址並非
像Windows那樣正確獲得從VPN 地址池裡分配的地址,而是把筆記本的wlan0地址配進了ppp0.
tail /var/log/message 發現,pppd獲得的remote ip 正確,為10.58.1.1。 local ip 為 wlan0 的 ip.
在筆記本上telnet 路由器的虛接口地址也可以登錄。現在,僅是想實現網通進電信出已經實現了。而我還想訪問內網資源。。。也就是10.0.0.0/8裡面的內容
這就麻煩了,得每次在不同的地方上網以後根據當前wlan0獲得的出口地址在20.1.1.1上加路由,要麼就是得讓我獲得10.58.1.0/24這個子網的地址。
