USG6600防火墙 L2TP over IPSec VPN配置记录

小乔

                     


<sysname> system-view
[sysname] sysname FW

[FW] interface gigabitethernet 1/0/0   
[FW-GigabitEthernet1/0/0] ip address 36.36.36.36 24 //公网IP地址
[FW-GigabitEthernet1/0/0] quit

[FW] interface gigabitethernet 1/0/1
[FW-GigabitEthernet1/0/1] ip address 192.168.1.1 24 //私网IP地址
[FW-GigabitEthernet1/0/1] quit

[FW] firewall zone untrust
[FW-zone-untrust] add interface gigabitethernet 1/0/0 //公网接口加入Untrust区域
[FW-zone-untrust] quit

[FW] firewall zone trust
[FW-zone-trust] add interface gigabitethernet 1/0/1  //私网接口加入Trust区域
[FW-zone-trust] quit

[FW] ip pool pool1 //创建名为pool1的地址池
[FW-ip-pool-pool1] section 1 10.1.1.2 10.1.1.100  //配置地址段（为L2TP拨号获得的地址，不要与内网网段冲突）
[FW-ip-pool-pool1] quit

[FW] user-manage user test domin default  //创建用户test在默认组里
[FW-localuser-test]password Test!1234  //用户的密码创建

[FW] aaa  //进入aaa视图
[FW-aaa] service-scheme l2tp //创建名l2tp的业务方案
[FW-aaa-service-l2tp] ip-pool pool1  //l2tp业务方案使用地址池pool1
[FW-aaa-service-l2tp] quit
[FW_aaa] authentication-scheme default //进入缺省授权方案
[FW_aaa-authen-default] authentication-mode local  //授板模式为本地
[FW_aaa-authen-default] quit
[FW-aaa] domain default          //进入缺省域
[FW-aaa-domain-default] service-type internetaccess l2tp  //配置缺省允许上网行为管理和L2tp over IPSec
[FW-aaa-domain-default] service-scheme l2tp  //缺省引用l2tp业务方案
[FW-aaa-domain-default]quit

[FW] l2tp enableb  //启动L2tp功能
[FW] interface Virtual-Template 1  //创建虚拟接口 1
[FW-Virtual-Template1] ppp authentication-mode chap  //本端PPP协议对远端设备的验证方式为CHAP
[FW-Virtual-Template1] ip address 10.1.1.1 255.255.255.0  //虚拟接口地址，不要与内网地址和地址池里地址冲突
[FW-Virtual-Template1] remote service-scheme l2tp  //配置虚拟接口引用l2tp业务方案
[FW-Virtual-Template1] quit


[FW] firewall zone untrust  //进入公网区域
[FW-zone-untrust] add interface Virtual-Template 1 将虚拟接口加入公网区域
[FW-zone-untrust] quit

[FW] l2tp-group default-lns  //进入缺省的L2TP组（由于对端隧道名称无法设置，所以只能使用缺省的，可不配置隧道名称）
[FW-l2tp-default-lns] allow l2tp virtual-template 1    //创建虚拟访问接口里使用的VT接口
[FW-l2tp-default-lns] undo tunnel authentication  //关闭L2TP的隧道验证功能（因为系统自带的拨号软件不支持隧道验证）
[FW-l2tp-default-lns] quit

[FW] acl 3000   //创建高级ACL 30000
[FW_acl-adv-3000] rule 5 permit udp source-port eq 1701   //L2TP报文的源端口为1701，所有经过L2TP封装的报文都走IPSec隧道
[FW_acl-adv-3000] quit

[FW] ipsec proposal tran1  //创建名为tran1的安全提议
[FW_ipsec-proposal-tran1] encapsulation-mode auto  //安全协议对数据的封装模式为自动
[FW_ipsec-proposal-tran1] transform esp  //配置IPSec采用ESP协议
[FW_ipsec-proposal-tran1] esp authentication-algorithm sha1 //ESP协议采用sha1认证算法
[FW_ipsec-proposal-tran1] esp encryption-algorithm aes128  //ESP协议采用aes128加密算法
[FW_ipsec-proposal-tran1] quit

[FW] ike proposal 10  //创建IKE安全提议10
[FW_ike-proposal-10] authentication-method pre-share  //配置IKE安全协商的认证方式为pre-share(预约共享密钥方式)
[FW_ike-proposal-10] authentication-algorithm sha1 //配置IKE安全提议使用认证算法为sha1（Android 5.0以上系

统手机拨号必须使用sha1算法）
[FW_ike-proposal-10] encryption-algorithm 3des  //配置IKE安全提议使用加密算法为3des（WIN7自带拨号软件必须包含3des算法）
[FW_ipsec-proposal-tran1] quit
[FW_ike-proposal-10] integrity-algorithm hmac-sha2-256 //配置协商使用的完整性算法为HMAC-SHA2-256
[FW_ike-proposal-10] dh group2  //IKE密钥协商时采用的DH密钥交换参数为组2
[FW_ike-proposal-10] quit

[FW] ike peer a  //创建IKE对等体
[FW_ike-peer-a] ike-proposal 10 //引用IKE安全提议10
[FW_ike-peer-a] pre-shared-key Test!1234  //设置预约共享密钥
[FW_ike-peer-a] quit


[FW] ipsec policy-template policy_temp 1 //创建名称为policy_temp、顺序号为1的安全策略模板
[FW_ipsec-policy-templet-policy_temp-1] security acl 3000  //IPSec模板引用ACL 3000
[FW_ipsec-policy-templet-policy_temp-1] proposal tran1  //引用tran1安全提议
[FW_ipsec-policy-templet-policy_temp-1]scenario point-to-multi-point branch-access l2tp-user-access  //指定IPSec安全策略模板的对端接入类型为允许L2TP用户接入
[FW_ipsec-policy-templet-policy_temp-1] ike-peer a  //引用IKE对等体a
[FW_ipsec-policy-templet-policy_temp-1] quit
[FW] ipsec policy policy 10 isakmp template policy_temp  // 创建名称为policy、顺序号为10的ISAKMP方式IPSec安全策略，并引用名为policy_temp的安全策略模板

[FW] interface gigabitethernet 1/0/0  //进入公网接口
[FW_GigabitEthernet1/0/1] ipsec policy policy   //在接口上应用IPSec安全策略policy
[FW_GigabitEthernet1/0/1] quit

[FW] security-policy
[FW-policy-security] rule name policy1  //创建名为policy1的规则
[FW-policy-security-rule-policy1] source-zone trust  //源安全区域为内网
[FW-policy-security-rule-policy1] destination-zone untrust  //目的安全区域外网
[FW-policy-security-rule-policy1] source-address any  //源地址（这里指所有的内网地址）
[FW-policy-security-rule-policy1] destination-address range 10.1.1.2 10.1.1.100  //目的地址（这里指用户获取的地址池中的地址）
[FW-policy-security-rule-policy1] action permit  //动作是允许
[FW-policy-security-rule-policy1] quit

[FW-policy-security] rule name policy2  //创建名为policy2的规则
[FW-policy-security-rule-policy2] source-zone untrust  //源安全区域
[FW-policy-security-rule-policy2] destination-zone trust  //目的安全区域
[FW-policy-security-rule-policy2] source-address range 10.1.1.2 10.1.1.100   //源地址（这里指用户获取的地址池中的地址）
[FW-policy-security-rule-policy2] destination-address any  //目的地址
[FW-policy-security-rule-policy2] action permit  //动作是允许
[FW-policy-security-rule-policy2] quit

[FW-policy-security] rule name policy3  //创建名为policy3的规则
[FW-policy-security-rule-policy3] source-zone local  //源安全区域为本地
[FW-policy-security-rule-policy3] destination-zone untrust   //目的安全区域为外网
[FW-policy-security-rule-policy3] source-address 36.36.36.36 32  //源地址（这里指公网IP地址）
[FW-policy-security-rule-policy3] action permit  //动作是允许
[FW-policy-security-rule-policy3] quit

[FW-policy-security] rule name policy4  //创建名为policy4的规则
[FW-policy-security-rule-policy4] source-zone untrust  //源安全区域为外网
[FW-policy-security-rule-policy4] destination-zone local  //目的安全区域为本地
[FW-policy-security-rule-policy4] destination-address 36.36.36.36 32  //目的地址（这里指公网IP地址
[FW-policy-security-rule-policy4] action permit   //动作是允许
[FW-policy-security-rule-policy4] quit

[FW-policy-security]rule name policy5  //创建名为policy5的规则
[FW-policy-security-rule-policy5]service protocol udp source-port 0 to 65535 destination-port 1701 //引用UDP目的端口1701
[FW-policy-security-rule-policy5]action permit  //动作是允许
[FW-policy-security-rule-policy4] quit


然后总部设备上要有到L2TP地址池地址的路由才能与出差员工通信，路由的下一跳要指向FW的内网接口地址。如里内网核心交换和防火墙走的路由模式，一般核心都会配默认路有0.0.0.0 0.0.0.0 下一跳XXX。

IPsec Policy Agent这个服务需要打开，默认都是开的。

WIN7注册表默认不需要改的[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\Parameters]
"ProhibitIpSec"=dword:00000000  ProhibitIpSec这个数值默认没有，如里有数值要是0，万一还是有问题，网上还有一处注册表改的地方[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent]
"AssumeUDPEncapsulationContextOnSendRule"=dword:00000002