李东杰

(国家新闻出版广电总局无线电管理局七二三台,050011)



简述海外台站在RouterOS上配置L2TP VPN服务器的方法与步骤

李东杰

(国家新闻出版广电总局无线电管理局七二三台,050011)

摘要：本文通过利用路由器式VPN技术，逐步阐述了如何在RouterOS上配置海外台站L2TP VPN服务器的方法与步骤，这使海外台站在Internet网络上建立了一条以远程访问协议为基础的安全便捷可靠的私有的数据传输隧道，为涉外办公人员通过私有通道访问单位内网，实现资源共享，提供了安全、高效、便利的远程办公解决方案。

关键词：L2TP;RouterOS;远程访问;路由器式;VPN技术

因海外台站移动办公的需要，急需在Internet公共网络上开辟一条安全、可靠、便捷的数据传输隧道，即建立一条以远程访问协议为基础的私有通道，我们决定利用海外台站现有的RouterBOARD 750路由器的便利条件，采用路由器式VPN（虚拟专用网络）技术来实现对台站局域网及服务器的访问。这样就可以让外网用户通过Internet公网访问台站内部局域网的共享资源，为出行在外的员工检索台站内部资料及外部人员对台站服务器进行代管等应用提供了良好条件。VPN的隧道协议主要有PPTP、L2TP和IPSec这三种，其中PPTP与L2TP为二层隧道协议，IPSec为三层隧道协议,这次我们使用的是L2TP协议。L2TP协议是一种工业标准的Internet隧道协议，其功能和PPTP协议大致类似，不同之处在于L2TP协议要求面向数据包的点对点连接，而PPTP协议要求网络为IP网络；L2TP协议使用多隧道，而PPTP使用单一隧道；L2TP协议可提供包头压缩、隧道验证等，而PPTP协议则不支持。我们现在开始简单地介绍一下远程用户安全访问台站内部资源的情况下如何在RouterOS上配置海外台站的L2TP VPN服务器。

我们先利用Winbox客户端软件（配置管理RouterOS系统的软件）登录配置管理界面，用其对配置L2TP VPN服务器进行操作，具体配置步骤如下：

1　创建客户端拨入网段IP地址池

该地址池主要用于给拨入台站的用户分配IP地址，因此该地址池的网段不能与RouterOS配置中的任何一个网段相同。

在Winbox配置界面里，选择点击IP →再点击Pool →在弹出的IP Pool设置框里的Pools设置栏中，点击“+”号→在弹出的New IP Pool 设置框里，Name栏中输入如vpn l2tppool的新建名称；Addresses栏中输入如192.168.10.11-192.168.10.99的新建地址网段；Next Pool 栏下拉菜单里选择none（默认）→点击OK，则创建客户端拨入网段地址池完成。

2　创建配置L2TP VPN服务器Profile模板

在Winbox配置界面中，选择点击PPP →在弹出的PPP设置框里选择点击Profiles 项→在Profiles设置栏里，点击“+”号→在弹出的New PPP Profile设置框里的General设置栏中，Name栏中输入如vpn l2tp-profile1的新建名称；Local Address栏中输入一个与第一步在同一网段的 IP地址，如192.168.10.10；Remote Address 栏下拉菜单里选择第一步所创建的IP地址池，即vpn l2tp-pool；DNS Server栏中默认即可→点击OK，则创建配置L2TP VPN服务器Profile模板基本完成。

3　启用配置L2TP Server服务

在Winbox配置界面中，选择点击PPP →在弹出的PPP设置框里的Interface设置栏中，选择点击L2TP Server项→在弹出的PPTP Server设置框里点击勾选上Enable；Max MTU栏与Max MRU栏均设置成1460；Default Profile栏下拉菜单里选择vpn l2tp-profile1；在Authentication（身份验证）设置项里，分别点击勾选上chap、mschap1、mschap2等三种认证方式，其余的设置项不进行修改，默认即可→点击Apply →点击OK。回到刚才的PPP设置框里，在Interface设置栏中，点击“+”号下拉菜单，在选项框里选择点击L2TP Server Binding项→在弹出的New Interface设置框里的General设置栏中，Name栏中输入如vpn l2tp-in1的新建端口名称；其它项默认→点击OK，则配置L2TP Server服务基本完成。

4　创建客户端L2TP VPN拨号用户

创建用户用于提供给远程用户拨入，即建立L2TP虚拟专用网络的用户登录名和密码。

在Winbox配置界面中，选择点击PPP →在弹出的PPP设置框里的Secrets设置栏中，点击“+”号→在弹出的New PPP Secret设置框里，Name栏中输入创建的如l2tp user的用户登录名；Password栏中输入登录时所用的密码，如l2tp123；Service栏下拉菜单里选择l2tp；Profile栏下拉菜单里选择第二步所创建的Profile，即vpn l2tp-profile1；也可以在Remote Address栏中为远程用户分配固定的IP地址，如192.168.10.66→点击OK，则创建客户端L2TP VPN拨号用户基本完成。

5　依据VPN地址池段设置NAT上网规则

在Winbox配置界面中，选择点击IP →再点击firewall→在弹出的firewall设置框里，选择点击NAT项→在NAT设置栏里，点击“+”号→在弹出的New NAT Rule设置框里的General设置栏中，Chain栏下拉菜单里选择srcnat；Src. Address（源地址）配置为VPN的虚拟IP段，如192.168.10.0/24；Dst. Address（目标地址）配置为内网的IP地址段，如内网为192.168.1.0/24→ 再在New NAT Rule设置框里，点击Action项，其Action栏下拉菜单里选择masquerade（自动伪装）→点击OK，则设置NAT上网规则完成。（可通过点击Service Ports项,查看L2TP服务器端口是否开启）

6　配置L2TP VPN客户端，即创建VPN客户端拨号器

因本论文重点讲述的是在RouterOS上快速配置L2TP VPN服务器的方法步骤，至于VPN远程用户客户端的创建方法在这里我们就不在介绍了。（较特殊，需修改客户端注册表值）

至此，我们在RouterOS上配置海外台站L2TP VPN服务器的方法与步骤基本完成了。

7　小结

本文通过对在RouterOS上配置海外台站L2TP VPN服务器的方法与步骤的学习，使我们加深了对路由器式VPN技术的了解与认知，同时对VPN技术里的L2TP协议与L2TP配置有了更深刻的认识与学习，为我们以后更好地理解和运用以远程访问协议为基础的VPN技术提供了重要的参考与借鉴价值。

参考文献

[1] 系统运维网：《RouterOS 配置L2TP VPN服务器》;2014年11月

[2] 剑次狼：《ROS下的L2TP配置》;新浪博客;2012年9月

[3]iESAP：《ROS5.20快速设置VPN(PPTP/l2TP)》;工作日志;2016年1月

Method and procedure of configuring VPN L2TP server on RouterOS

Li Dongjie
(State Press and Publication Administration of radio, radio and television, seven two three,050011)

Abstract：In this paper,by using the technology of VPN router,gradually elaborated how in Routeros configuration of the overseas stations L2TP VPN server methods and steps of the overseas stations on the Internet established a remote access protocol for private security on the basis of the convenient and reliable data transmission tunnel,for the foreign office staff through a private channel access network, realize resource sharing,provides a safe,efficient and convenient remote office solutions.

Keywords：L2TP; RouterOS;remote access;router;VPN Technology