EdgeMAX - servidor L2TP

Visão geral


Os leitores aprenderão como configurar o EdgeRouter para atuar como um L2TP servidor (protocolo de túnel de camada 2) para acesso remoto.

Nota : estas instruções assumem que eth0 é a sua conexão WAN (Internet). No início de configuração, um comando específico deve ser usado no caso de você receber um endereço IP atribuído pelo DHCP do seu provedor de serviços de Internet, enquanto um comando separado deve ser usado se você receber um endereço IP estático do seu provedor de Internet.

Passos


Acesse a interface de linha de comando do roteador. Você pode fazer isso usando o botão CLI enquanto dentro da interface do usuário da Web ou usando um programa SSH como o PuTTY. PuTTY é geralmente mais rápido, pois permite fácil copiar e colar (cópia no Windows, colar usando o botão direito do mouse). 

Nota : comandos que começam com uma cerquilha (#) são comentários explicativos que você não precisa entrar.

As etapas seguem abaixo:

#Enter modo de configuração.

configure

#Define a interface ipsec usará para conexões com a internet (eth0 neste exemplo).

set vpn ipsec ipsec-interfaces interface eth0

#Enable NAT traversal (este é obrigatório).

set vpn ipsec nat-traversal enable

#Set a sub-rede permitida (permitindo a todas as sub-redes).

set vpn ipsec nat-networks allowed-network 0.0.0.0/0

#Show a configuração do ipsec.

show vpn ipsec

# DHCP apenas: se você obter o seu endereço IP de seu provedor de serviços de internet via DHCP, use isto

comando #:

set vpn l2tp remote-access dhcp-interface eth0

# apenas IP estático: se você tiver um endereço IP estático e não obter o seu endereço IP do seu 

provedor de serviços de internet # via DHCP, então usar este comando em vez de acima:

set vpn l2tp remote-access outside-address STATICIP

# substituir "STATICIP" no comando acima com seu endereço IP estático real!

#Set o pool de endereços IP que conexões de VPN remotas irão assumir.

# Neste caso fazemos 10 endereços disponíveis (from.101 a.110) na sub-rede #192.168.100.0/24. 

# Você também pode emitir endereços IP usados em sua sub-rede, mas certifique-se de que

# Eles não se sobreponham com endereços IP emitido pelo servidor de DHCP ou usado por

# outros dispositivos na sua rede.

set vpn l2tp remote-access client-ip-pool start 192.168.100.101
set vpn l2tp remote-access client-ip-pool stop 192.168.100.110

#Set o modo de autenticação IPsec para pre-shared secret.

set vpn l2tp remote-access ipsec-settings authentication mode pre-shared-secret

#Set o segredo pré-compartilhado (substitua "frase secreta" com sua frase-senha desejada)

set vpn l2tp remote-access ipsec-settings authentication pre-shared-secret "secret phrase"

#Set o L2TP modo de autenticação de acesso remoto para o local.

set vpn l2tp remote-access authentication mode local

#Set theL2TP acesso remoto username e senha.  

#Replace testuser com seu nome de usuário desejado e testpassword com sua senha desejada.

#Repeat esta linha como necessário.

set vpn l2tp remote-access authentication local-users username testuser password testpassword

#Set o MTU

set vpn l2tp remote-access mtu 1492

#Set servidores DNS:

set vpn l2tp remote-access dns-servers server-1 8.8.8.8
set vpn l2tp remote-access dns-servers server-2 8.8.4.4

A mudança de #Commit.

commit

#Show a configuração de acesso remoto l2tp.

show vpn l2tp remote-access

#Save as configurações

save

#Open as portas necessárias e protocolo usando a interface do usuário da Web.

#Access Web UI.  

 

Clique na guia"segurança" (nas versões anteriores do firmware) ou o guia "Firewall/NAT" e depois "Diretivas de Firewall" (na versão de firmware 1.5).

 

Encontrar a regra de "WAN_LOCAL" (ou o que quer que você ligou a regra que controla o acesso ao router) e clique em "Ações" para a direita dele.  

Selecione "Editar regras" o suspenso.  

Adicione uma nova regra somwhere antes de você descartar pacotes inválidos como segue:

Guia básico:  

  • Descrição: permitir a L2TP

  • Seleção Enable.  

  • Ação: aceitar.  

  • Protocolo: ou UDP (1,5) ou escolher um protocolo por nome: udp (versões anteriores) 

Guia de destino:  

  • Porto: 500,1701,4500

#Click salvar. 

Adicione uma nova regra somwhere após a regra anterior da seguinte forma:

Guia básico:  

  • Descrição: permitir ESP

  • Seleção Enable.  

  • Ação: aceitar.  

  • Protocolo: ou digite um número de procotol 50 ou escolher um protocolo por nome: esp 

#Click salvar.