[Windows L2TP/IPsec 连接] Microsoft Windows XP/Vista/win7 内建了 PPTP 客

shytheleo

Windows L2TP/IPsec 连接

Microsoft Windows XP/Vista/win7 内建了 PPTP 客户端和和 L2TP/IPSec 客户端。PPTP 链接是不要 IPsec 加密 的，而 windows 的 L2TP/IPsec 默认要求建立 IPsec 链接后，才能进行 L2TP 的拨号连接，这样的解决方法在早 期采用的是修改 windows 的注册表，将 windows 默认的 IPsec 连接值修改并关闭，相对于终端客户操作繁琐， 且安全性降低。为了能正常让 windows 的 L2TP/IPsec 与 RouterOS 连接，我们可以配置 RouterOS 启用 IPsec。

Windows 建立 L2TP/IPSec 连接，首先要求连接到对端的 IPSes，在 IPSec 建立完成后在允许 L2TP 连接，也 就是 IPSec 连接在先，L2TP 其后，所以我们首先配置 IPSec 连接

我们先确定一下网络结构：

游客，如果您要查看本帖隐藏内容请回复

这里 RouterOS 的 IP 地址是 10.200.15.228，两台 PC 的 IP 地址分别是 10.200.15.59,和 10.200.15.60。两台 PC 的 IP 地址必须是固定，以便 IPsec 连接成功。在这个拓扑图里要求所有的地址是能被访问到的，即非 nat 转换的地址（也非 L2TP 隧道分配的 IP 地址）。

IPSec 配置

首先要将 IPsec 指向对端的 windows PC 的 IP 地址（非 L2TP 分配 IP 地址），进入/ip ipsec 菜单下（确定安装 security 功能包），选择 peer 标签，设置 address 为 PC 的 IP 地址，secret 设置共享密钥 ROSABCong，Hash-algorithm 选择 sha，generate-policy 勾上，其他默认。

游客，如果您要查看本帖隐藏内容请回复

添加 10.200.15.60 的 peer 规则



/ip ipsec peer add address=10.200.15.59:500 auth-method=pre-shared-key \

secret=ROSABCong hash-algorithm=sha enc-algorithm=3des generate-policy=yes

/ip ipsec peer add address=10.200.15.60:500 auth-method=pre-shared-key \

secret=ROSABCong hash-algorithm=sha enc-algorithm=3des generate-policy=yes

添加 IPSec peer 设置，

o address=10.200.15.59 是你的 windows 电脑的网卡实际地址。

o :500 端口号;

o hash-algorithm=sha 和 enc-algorithm=3des 是 windows 上的默认配置；

o generate-policy=yes 自动产生 IPSec 策略

RouterOS 配置

首先我们配置 RouterOS 的 L2TP 服务器，这个配置和普通的 PPTP 配置一样，在 PPP 里启用 L2TP 服务




命令行配置，记住这里的路径不同：

/ interface l2tp-server server set enabled=yes

进入 ip pool 设置分配给用户的地址池：



命令操作如下：

/ip pool add name=L2TP ranges=192.168.10.2-192.168.10.254

进入/ppp profile 配置 default-encryption 的规则:



DNS 和 limit 选项里的 rate-limit、only one 参数根据需要设置，这里就不多讲解。

命令行配置

/ppp profile> set 1 local-address=192.168.10.1 remote-address=L2TP

进入/ppp secret 添加用户账号

游客，如果您要查看本帖隐藏内容请回复

命令行配置

/ ppp secret add name=123 password=123 profile=default-encryption

到这里 L2TP 服务器配置完成。

Windows 配置

Windows 配置包含 2 个部分，第一个部分添加新的网络连接，第二个部分调整 IPSec 设置

Win7 配置步骤：

-- 点开始菜单;

-- 控制面板\网络和 Internet\网络和共享中心

-- 设置新的连接或网络;

-- 添加一个 VPN 连接，

-- 目的地的主机或域名填写 10.200.15.228（具体操作跟着步骤走，不详细说明）

接下来我们需要配置 VPN 连接的属性




确定主机地址是 10.200.15.228




选择 VPN 类型为使用 ipsec 的第 2 层隧道协议（L2TP/IPSec）

游客，如果您要查看本帖隐藏内容请回复

选择高级设置，并设置使用预共享的密钥作身份验证：输入相同的密钥：ROSABCong



配置完成后，输入账号 123，密码 123，连接



连接完成后，在 remote peers 可以看到连接的 IP 地址



Policies 策略会被自动添加



Installed SAs 状态，注意当你的 L2TP 注销后，可能会出现 Installed SAs 状态没有清楚，第二次重播可能需要

使用 Flush 清空状态




PPP 里的 active 状态

ahuan987

我们先确定一下网络结构

流沙

bvbvbcvbcvbcvc

lv_v

多谢分享

xz336611

谢谢分享

wochinaren123

谢谢分享
谢谢分享

ros25896

88888888888888888888

小五

223.1.2.1223.1.2.1223.1.2.1223.1.2.1223.1.2.1223.1.2.1223.1.2.1223.1.2.1223.1.2.1223.1.2.1223.1.2.1223.1.2.1223.1.2.1223.1.2.1223.1.2.1223.1.2.1

hjfgt

学习一下，感谢分享。

lifuljk

支持下 支持下