首先,我们需要明确网络拓扑结构。深圳分公司的员工需要能够安全地访问公司内部邮件服务器和文件服务器。为了实现这一目标,我们可以采用TL-ER3220G作为服务器端设备,TL-R479GPE-AC作为客户端设备。
以下是具体操作步骤:
1. **服务器端配置(以TL-ER3220G为例)**
- 设置LAN口网段,确保与客户端不在同一个网段,本例中将LAN网段设置为192.168.0.0/24。 - 配置WAN口,采用静态IP方式或PPPoE方式上网。如果使用PPPoE上网,建议使用动态域名DDNS。 - 打开对象管理——>IP地址池,新增隧道地址池(PPTP VPN隧道通信时使用的IP地址)。 - 打开VPN——>用户管理页面,进行用户管理配置,点击新增,设置用户名、密码等参数。 - 打开VPN——>L2TP页面,设置L2TP VPN服务器,包括服务接口、IPSec加密、预共享秘钥、MTU等参数。
2. **客户端配置(以TL-R479GPE-AC为例)**
- 设置LAN口网段,确保与服务器端不在同一个网段,本例为192.168.1.0/24。 - 正确设置WAN口上网方式,保证路由器可以正常上网。 - 打开VPN——>L2TP——>L2TP客户端页面,新增填写客户端配置信息,包括用户名、密码、出接口、服务器地址、IPSec加密、预共享秘钥等参数。
3. **服务器端和客户端条目建立**
- 在服务器端和客户端配置完成后,都选择启用L2TP VPN连接。 - 成功建立连接后,可以在服务器端和客户端的L2TP/PPTP隧道信息中查看条目。
4. **访问分支机构网络**
- 电脑拨号成功后,系统默认勾选了VPN连接IPv4高级设置中的“在远程网络上使用默认网关”,电脑所有数据优先从VPN接口转发,即可正常访问总部资源。 - 如果需要通过总部进行代理转发访问分部资源,可在分部路由器上设置静态路由。
通过以上步骤,深圳分公司的员工就可以实现安全、稳定的远程办公,提高工作效率。同时,L2TP VPN技术还可以广泛应用于其他场景,如分支机构、远程教育等,为用户提供便捷的远程连接服务。
某公司总公司位于北京,分部在深圳,现需要组建一个网络,深圳的员工都能够安全的访问公司内部邮件服务器和文件服务器,并可满足外出员工移动办公需求。本文将通过一个实例来展示TL-ER3220G与TL-R479GPE-AC的解决方案和配置过程。
一、L2TP站点到站点设置方法
1、服务器端的设置 (以TL-ER3220G为例)
(1) 进入管理界面
设置LAN口网段(与客户端不在同一个网段),本例中将LAN 网段设置为192.168.0.0/24
(2) WAN口设置
静态ip方式上网或者PPPoE方式上网(如果使用的是PPPOE上网,由于获取的IP地址会变化,此时建议使用动态域名DDNS)。
(3) L2TP服务器的设置
打开 对象管理----->IP地址池 页面:新增隧道地址池(PPTP vpn隧道通信时使用的ip地址):
打开 VPN----->用户管理 页面,进行用户管理配置,点击新增。
【参数说明】
(1) 用户名:客户端与服务器端建立连接的用户名。
(2) 密码:客户端与服务器端建立连接的密码。
(3) 服务类型:L2TP:本用户只用于L2TP;PPTP:本用户只用于PPTP;自动:本用户既可用于L2TP也可用于PPTP。
(4) 本地地址:VPN隧道的本地虚拟IP地址。
(5) 地址池:就是A步骤建立的隧道地址池,选择即可。
(6) 组网模式:可选择站点到站点或PC到站点。
(7) 对端子网范围:客户端LAN口的网段(服务器端和客户端LAN口地址不能在同一个网段)。
(8) 最大连接数:这种模式下不能填写(PC到站点的模式时可以填写1-10)。
打开 VPN----->L2TP 页面,设置L2TP VPN服务器:
【参数说明】
(1) 服务接口:PPTP服务器监听的接口,只有来自服务接口的报文才会被处理。
(2) IPSec加密:是否对隧道进行加密,可选择加密、不加密、可选加密。
(3) 预共享秘钥:设置IPSec加密时的预共享密钥,VPN两端需要保持一致。
(4) MTU:MTU(Maximum Transmission Unit,最大传输单元),在一定物理网络中能传送的最大数据单元。可选设置。
2、客户端的设置(以TL-R479GPE-AC为例)
(1) 进入管理界面
设置LAN口网段(与服务器端不在同一个网段),本例为192.168.1.0/24
(2) WAN口设置
正确设置WAN口上网方式,保证路由器可以正常上网。
(3) L2TP客户端的设置
打开VPN----->L2TP ----->L2TP客户端 页面,新增填写客户端配置信息。
【参数说明】
(1) 用户名:服务器端设置的用户名。
(2) 密码:服务器端设置的密码。
(3) 出接口:选择已经设置上网的WAN口。
(4) 服务器地址:服务器WAN口地址,或者填域名:例如vs.yueshen.gd(服务器端申请的动态域名)。
(5) IPSec加密:选择是否加密,与服务器端设置一致。
(6) 预共享秘钥:选择加密时需要填写预共享秘钥,与服务器端保持一致。
(7) 对端子网范围:服务器端LAN口的网段(与本地LAN不同网段)。
(8) 工作模式: NAT:对经过此L2TP隧道的数据包进行NAT转换(数据包的源IP替换为L2TP隧道的本地虚拟IP)。路由:对经过此L2TP隧道的数据包进行路由转发。
3、服务器端和客户端条目建立后,都选择启用。
成功建立后在服务器端和客户端的L2TP/PPTP隧道信息中将有条目:
(1) 服务器隧道条目:
(2) 客户端条目:
二、L2TP PC到站点设置方法
1、服务器端的设置(以TL-ER3220G为例)
需要在用户管理配置中添加PC到站点的用户账号密码,组网模式选择PC到站点,其余设置步骤与上面相同:
2、L2TP PC到站点客户端拨号设置
不同L2TP客户端的配置方式有所差异,请选择客户端操作系统,参考对应指导文档:
客户端拨号成功后,可以在L2TP服务器隧道信息显示客户端信息。
三、电脑拨号成功后,如何访问分支机构网络?
电脑拨号成功后,系统默认勾选了VPN连接IPv4高级设置中的“在远程网络上使用默认网关”,则电脑所有数据优先从VPN接口转发,即可正常访问总部资源。
如果需要通过总部进行代理转发访问分部资源,可在分部路由器上设置静态路由如下即可:
