簡述海外臺站在RouterOS上配置L2TP VPN服務器的方法與步驟

李東杰

(國家新聞出版廣電總局無線電管理局七二三臺,050011)

?

簡述海外臺站在RouterOS上配置L2TP VPN服務器的方法與步驟

李東杰

(國家新聞出版廣電總局無線電管理局七二三臺,050011)

摘要：本文通過利用路由器式VPN技術，逐步闡述了如何在RouterOS上配置海外臺站L2TP VPN服務器的方法與步驟，這使海外臺站在Internet網絡上建立了一條以遠程訪問協議為基礎的安全便捷可靠的私有的數據傳輸隧道，為涉外辦公人員通過私有通道訪問單位內網，實現資源共享，提供了安全、高效、便利的遠程辦公解決方案。

關鍵詞：L2TP;RouterOS;遠程訪問;路由器式;VPN技術

因海外臺站移動辦公的需要，急需在Internet公共網絡上開辟一條安全、可靠、便捷的數據傳輸隧道，即建立一條以遠程訪問協議為基礎的私有通道，我們決定利用海外臺站現有的RouterBOARD 750路由器的便利條件，采用路由器式VPN（虛擬專用網絡）技術來實現對臺站局域網及服務器的訪問。這樣就可以讓外網用戶通過Internet公網訪問臺站內部局域網的共享資源，為出行在外的員工檢索臺站內部資料及外部人員對臺站服務器進行代管等應用提供了良好條件。VPN的隧道協議主要有PPTP、L2TP和IPSec這三種，其中PPTP與L2TP為二層隧道協議，IPSec為三層隧道協議,這次我們使用的是L2TP協議。L2TP協議是一種工業標準的Internet隧道協議，其功能和PPTP協議大致類似，不同之處在于L2TP協議要求面向數據包的點對點連接，而PPTP協議要求網絡為IP網絡；L2TP協議使用多隧道，而PPTP使用單一隧道；L2TP協議可提供包頭壓縮、隧道驗證等，而PPTP協議則不支持。我們現在開始簡單地介紹一下遠程用戶安全訪問臺站內部資源的情況下如何在RouterOS上配置海外臺站的L2TP VPN服務器。

我們先利用Winbox客戶端軟件（配置管理RouterOS系統的軟件）登錄配置管理界面，用其對配置L2TP VPN服務器進行操作，具體配置步驟如下：

1　創建客戶端撥入網段IP地址池

該地址池主要用于給撥入臺站的用戶分配IP地址，因此該地址池的網段不能與RouterOS配置中的任何一個網段相同。

在Winbox配置界面里，選擇點擊IP →再點擊Pool →在彈出的IP Pool設置框里的Pools設置欄中，點擊“+”號→在彈出的New IP Pool 設置框里，Name欄中輸入如vpn l2tppool的新建名稱；Addresses欄中輸入如192.168.10.11-192.168.10.99的新建地址網段；Next Pool 欄下拉菜單里選擇none（默認）→點擊OK，則創建客戶端撥入網段地址池完成。

2　創建配置L2TP VPN服務器Profile模板

在Winbox配置界面中，選擇點擊PPP →在彈出的PPP設置框里選擇點擊Profiles 項→在Profiles設置欄里，點擊“+”號→在彈出的New PPP Profile設置框里的General設置欄中，Name欄中輸入如vpn l2tp-profile1的新建名稱；Local Address欄中輸入一個與第一步在同一網段的 IP地址，如192.168.10.10；Remote Address 欄下拉菜單里選擇第一步所創建的IP地址池，即vpn l2tp-pool；DNS Server欄中默認即可→點擊OK，則創建配置L2TP VPN服務器Profile模板基本完成。

3　啟用配置L2TP Server服務

在Winbox配置界面中，選擇點擊PPP →在彈出的PPP設置框里的Interface設置欄中，選擇點擊L2TP Server項→在彈出的PPTP Server設置框里點擊勾選上Enable；Max MTU欄與Max MRU欄均設置成1460；Default Profile欄下拉菜單里選擇vpn l2tp-profile1；在Authentication（身份驗證）設置項里，分別點擊勾選上chap、mschap1、mschap2等三種認證方式，其余的設置項不進行修改，默認即可→點擊Apply →點擊OK。回到剛才的PPP設置框里，在Interface設置欄中，點擊“+”號下拉菜單，在選項框里選擇點擊L2TP Server Binding項→在彈出的New Interface設置框里的General設置欄中，Name欄中輸入如vpn l2tp-in1的新建端口名稱；其它項默認→點擊OK，則配置L2TP Server服務基本完成。

4　創建客戶端L2TP VPN撥號用戶

創建用戶用于提供給遠程用戶撥入，即建立L2TP虛擬專用網絡的用戶登錄名和密碼。

在Winbox配置界面中，選擇點擊PPP →在彈出的PPP設置框里的Secrets設置欄中，點擊“+”號→在彈出的New PPP Secret設置框里，Name欄中輸入創建的如l2tp user的用戶登錄名；Password欄中輸入登錄時所用的密碼，如l2tp123；Service欄下拉菜單里選擇l2tp；Profile欄下拉菜單里選擇第二步所創建的Profile，即vpn l2tp-profile1；也可以在Remote Address欄中為遠程用戶分配固定的IP地址，如192.168.10.66→點擊OK，則創建客戶端L2TP VPN撥號用戶基本完成。

5　依據VPN地址池段設置NAT上網規則

在Winbox配置界面中，選擇點擊IP →再點擊firewall→在彈出的firewall設置框里，選擇點擊NAT項→在NAT設置欄里，點擊“+”號→在彈出的New NAT Rule設置框里的General設置欄中，Chain欄下拉菜單里選擇srcnat；Src. Address（源地址）配置為VPN的虛擬IP段，如192.168.10.0/24；Dst. Address（目標地址）配置為內網的IP地址段，如內網為192.168.1.0/24→ 再在New NAT Rule設置框里，點擊Action項，其Action欄下拉菜單里選擇masquerade（自動偽裝）→點擊OK，則設置NAT上網規則完成。（可通過點擊Service Ports項,查看L2TP服務器端口是否開啟）

6　配置L2TP VPN客戶端，即創建VPN客戶端撥號器

因本論文重點講述的是在RouterOS上快速配置L2TP VPN服務器的方法步驟，至于VPN遠程用戶客戶端的創建方法在這里我們就不在介紹了。（較特殊，需修改客戶端注冊表值）

至此，我們在RouterOS上配置海外臺站L2TP VPN服務器的方法與步驟基本完成了。

7　小結

本文通過對在RouterOS上配置海外臺站L2TP VPN服務器的方法與步驟的學習，使我們加深了對路由器式VPN技術的了解與認知，同時對VPN技術里的L2TP協議與L2TP配置有了更深刻的認識與學習，為我們以后更好地理解和運用以遠程訪問協議為基礎的VPN技術提供了重要的參考與借鑒價值。

參考文獻

[1] 系統運維網：《RouterOS 配置L2TP VPN服務器》;2014年11月

[2] 劍次狼：《ROS下的L2TP配置》;新浪博客;2012年9月

[3]iESAP：《ROS5.20快速設置VPN(PPTP/l2TP)》;工作日志;2016年1月

Method and procedure of configuring VPN L2TP server on RouterOS

Li Dongjie
(State Press and Publication Administration of radio, radio and television, seven two three,050011)

Abstract：In this paper,by using the technology of VPN router,gradually elaborated how in Routeros configuration of the overseas stations L2TP VPN server methods and steps of the overseas stations on the Internet established a remote access protocol for private security on the basis of the convenient and reliable data transmission tunnel,for the foreign office staff through a private channel access network, realize resource sharing,provides a safe,efficient and convenient remote office solutions.

Keywords：L2TP; RouterOS;remote access;router;VPN Technology