Eltex Knowledge Base
Дерево страниц
Перейти к концу метаданных
Переход к началу метаданных

Схема:

Задача: Построить L2TP-туннель между маршрутизатором ESR, который является L2TP-Server, маршрутизатором Mikrotik, который является L2TP-Client, и Windows, который является L2TP-Client.  

Для построения IPsec в схеме с L2TP-туннелем между ESR и Mikrotik - в конфигурации tunnel l2tp на маршрутизаторе ESR необходимо включить  ipsec ike rekey enable:
esr# configure 
esr(config)# tunnel l2tp 1
esr(config-l2tp)# ipsec ike rekey enable 

Данная команда поддержана с версии ПО 1.17.0!!!

Для подключения Windows-Client будем использовать пользователя user1 с паролем password. Для подключения Mikrosoft-Client будем использовать пользователя user2 с паролем password.

Пример конфигурации ESR:

object-group service IKE
  port-range 500
  port-range 4500
exit
object-group service L2TP
  port-range 1701
exit

security zone trusted
exit

interface gigabitethernet 1/0/1
  security-zone trusted
  ip address 198.51.100.1/24
exit
security zone-pair trusted self
  rule 1
    action permit
    match protocol udp
    match destination-port L2TP
    enable
  exit
  rule 2
    action permit
    match protocol udp
    match destination-port IKE
    enable
  exit
  rule 3
    action permit
    match protocol esp
    enable
  exit
exit
security zone-pair trusted trusted
  rule 1
    action permit
    enable
  exit
exit

security ike proposal l2tp
  encryption algorithm aes256
  dh-group 14
exit

security ipsec proposal l2tp
  encryption algorithm aes256
exit

remote-access l2tp server
  authentication mode local
  local-address ip-address 192.0.2.1
  remote-address address-range 192.0.2.2-192.0.2.10
  outside-address ip-address 198.51.100.1
  security-zone trusted
  ipsec authentication method pre-shared-key
  ipsec authentication pre-shared-key ascii-text encrypted 8CB5107EA7005AFF
  ipsec ike rekey enable
  ipsec ike proposal l2tp
  ipsec proposal l2tp
  username user1
    password ascii-text encrypted 8CB5107EA7005AFF
    enable
  exit
  username user2
    password ascii-text encrypted 8CB5107EA7005AFF
    enable
  exit
  enable
exit


Пример конфигурации Mikrotik в WEB:

Пример конфигурации Windows:

Вывод оперативной информации со стороны ESR:

esr# show security ipsec vpn status
Name                              Local host        Remote host       Initiator spi        Responder spi        State         
-------------------------------   ---------------   ---------------   ------------------   ------------------   -----------   
server(L2TP)                      198.51.100.1    198.51.100.32     0x1c947627ac707f8a   0xddd832dc28d9a328   Established   
server(L2TP)                      198.51.100.1    198.51.100.25     0x3110ba04a95be251   0x973573d6cbe26b35   Established   
esr# show remote-access status l2tp 
User               IP-address        Server                                   
----------------   ---------------   --------------------------------------   
user1              192.0.2.3         l2tp(server)                             
user2              192.0.2.2         l2tp(server)                             
Count sessions: 2

  • Нет меток