В большинстве случаев технологию L2TP используют, чтобы организовать защищенный удаленный доступ для работников компании. Маршрутизаторы QTECH позволяет выполнить настройку в сжатые сроки.
Преимущества технологии L2TP:
1. Не требуются доп. лицензии для оборудования.
2. Максимальное кол-во одновременных подключений не ограничено.
3. Настройка подключения в встроенном клиенте в любой ОС.
4. Не нужно устанавливать дополнительное ПО.
Большую часть настроек будем выполнять в консоли.
1. Начнем с установки белого статического IP-адреса.
interface gigabitethernet0
ip address 100.1.1.1 255.255.255.252
2. Определяем диапазон адресов для удалённых L2TP-пользователей.
Первым делом задаем диапазон IP-адресов. Адреса из данного диапазона будут присваиваться удалённым клиентам.
QSR(config)#ip local pool L2TP_POOL 10.10.10.20 10.10.10.80
3. Создаем виртуальные интерфейсы.
Создаём интерфейс Loopback, который будет выступать шлюзом для удалённых клиентов.
QSR(config)#interface loopback0
QSR(config)#ip address 10.10.10.10 255.255.255.255
Создаём интерфейс Virtual-Template – это шаблон для подключения L2TP-клиентов.
QSR(config)#interface virtual-template0
QSR(config)#encapsulation ppp
QSR(config)#ppp authentication ms-chap-v2
QSR(config)#peer default ip address pool L2TP_POOL
QSR(config)#ip unnumbered loopback0
QSR(config)#mtu 1500
QSR(config)#exit
4. Задаем параметры шифрования
На данном этапе требуется задать параметры шифрования для траффика и задать общий ключ для удалённых клиентов.
Общий ключ для клиентов «QTECH»
QSR(config)#crypto ike key QTECH any
QSR(config)#crypto ike proposal ike_l2tp
QSR(config-ike-prop)#encryption 3des
QSR(config-ike-prop)#group group2
QSR(config-ike-prop)#exit
QSR(config)#crypto ipsec proposal ipsec_l2tp
QSR(config-ipsec-prop)#esp 3des sha1
QSR(config-ipsec-prop)#mode transport
QSR(config-ipsec-prop)# exit
QSR(config)#crypto tunnel TUN_L2TP
QSR(config-tunnel)#local address 100.1.1.1
QSR(config-tunnel)#peer any
QSR(config-tunnel)#set authentication preshared
QSR(config-tunnel)#set ike proposal ike_l2tp
QSR(config-tunnel)#set ipsec proposal ipsec_l2tp
QSR(config-tunnel)#exit
5. Настраиваем криптополитику.
Задаём имя «L2TP_POLI».
QSR(config)#crypto policy L2TP_POLI
QSR(config-policy)#flow host 100.1.1.1 any udp 1701 any ipv4-tunnel TUN_L2TP
exit
6. Настраиваем авторизацию удалённых L2TP-клиентов.
Здесь возможны разные варианты, возможна авторизация локальная или через сервер авторизации Radius.
Для локальной авторизации:
Создаём пользователя на маршрутизаторе для локальной авторизации.
Логин: client
Пароль: client
local-user client class network
QSR(config-user-network-client)#password 0 client
QSR(config-user-network-client)#service-type ppp
QSR(config-user-network-client)#exit
Далее создаём домен для авторизации и аутентификации.
Присваиваем имя «LOCAL_L2TP»
domain LOCAL_L2TP
QSR(config-isp-LOCAL_L2TP)#aaa authentication ppp local
QSR(config-isp-LOCAL_L2TP)#aaa authorization ppp local
QSR(config-isp-LOCAL_L2TP)#exit
Для авторизации через Radius-server:
Назначаем имя группы серверов «RadiusServer»
IP-адрес Radius сервера 172.16.1.1
Ключ от сервера QtechServer
QSR(config)#aaa server group radius RadiusServer
QSR(config-sg-radius-RadiusServer)#server 172.16.1.1 acct-port 1813 auth-port 1812 key 0 QtechServer
exit
Создаём домен для авторизации через Radius, задаём имя домена «Radius_L2TP»
QSR(config)#domain Radius_L2TP
QSR(config-isp-Radius_L2TP)#aaa authentication ppp radius-group RadiusServer
QSR(config-isp-Radius_L2TP)#aaa authorization ppp radius-group RadiusServer
QSR(config-isp-Radius_L2TP)#aaa accounting ppp start-stop radius-group RadiusServer
Exit
Для авторизации удалённых клиентов через Radius, дополнительно укажите название домена в шаблоне virtual-template.
QSR(config)#interface virtual-template0
QSR(config)#encapsulation ppp
QSR(config)#ppp authentication ms-chap-v2 RADIUS_L2TP
7. Запускаем сервера L2TP.
Требуется запустить VPDN и активировать все настройки:
QSR(config)#vpdn enable
QSR(config)#vpdn-group L2TP_VPDN
QSR(config-vpdn)#accept-dialin
QSR(config-vpdn-acc-in)#protocol l2tp
QSR(config-vpdn-acc-in)#virtual-template 0
QSR(config-vpdn-acc-in)#exit
QSR(config-vpdn)#local name QSR
QSR(config-vpdn)#no l2tp tunnel authentication
QSR(config-vpdn)#lcp renegotiation always
QSR(config-vpdn)#exit
8. Подключение удалённого клиента с операционной системой windows к L2TP-серверу.
Разбираемся на ОС Windows 10.
Нажмите кнопку Пуск и выберите Параметры> Сеть и Интернет> VPN> Добавить VPN-подключение.
Ранее созданный на маршрутизаторе общий ключ
Ip адрес L2TP-сервера
Вводим данные пользователя.
Логин и пароль от локальной учетной записи
При успешном подключении видим, что соединение выполнено.
Проверить введение данные можно в сведениях о сетевом подключении.
После выполнения перечиленных действий, работа по настройке корпоративного маршрутизатора QTECH завершена.
Источник: