第二层隧道协议L2TP(Layer Two Tunneling Protocol) 是一种虚拟隧道协议, 常用于虚拟专用网. 可以让企业非常方便的组成一个"内部局域网", L2TP本身没有加密,所以一般情况下都是配合(IPsec)或其他加密一起使用, pfSense防火墙后台提供了完整的L2TP/IPSec服务器设置方案. 先进入pfSense后台启动L2TP服务器. 接口: WAN 服务器地址: 10.5.5.254 备注: 这里输入一个内网IP地址, 注意,不要和现有的局域网IP段有冲突, 这个地址的意思是给这台L2TP服务器设置的IP地址. 远程地址范围: 10.5.5.0/27 备注: 这里是给链接这台L2TP服务器的设备设置的IP地址段, 需要和之前的L2TP服务器地址在同一个网段. 当然, 如果熟悉子网的用户也可以根据自己的需求设置. L2TP用户数: 10 (根据自己的需求选择) 秘钥: 空 认证类型: CHAP 主L2TP DNS服务器: 1.1.1.1 副L2TP DNS服务器: 这里根据自己的需求设置, 也可以留空 隐藏内容: ******隐藏内容-请回复后再查看****** ******You must reply before you can see the hidden data contained here.******
然后再添加用户. L2TP-用户 添加 用户名: 随意英文或数字 密码: IP地址: 这里需要注意, 如果留空会自动分配IP地址, 也可以手动设置, 如10.5.5.2 如图所示 第一个账号是我指定的IP, 第二个留空, 显示Dynamic(动态)
设置IPSec 加密 进入IPsec-移动客户端(Mobile Clients) IKE扩展: 启用IPSec移动客户端支持 勾选 用户认证: Local Database 其他下面的选项不要勾选 应用后点击创建阶段1(Create Phase 1) 秘钥交换版本: IKEv1 Intenet协议 IPv4 接口: WAN 认证方法: Mutual PSK 协商模式: 主模式 本地ID类型: 我的IP地址 加密算法: 算法: AES, 秘钥长度: 256bits, 哈希: SHA1, DH组: 14 (2048 bit) 其他的选项可以参考截图 保存后再应用更改
再设置预共享秘钥 预共享秘钥-添加 标识符: allusers 加密类型: PSK 预共享秘钥: 自己设置一个密码吧 隐藏内容: ******隐藏内容-请回复后再查看****** ******You must reply before you can see the hidden data contained here.******
最后别忘记进防火墙规则策略设置相关规则 1, 防火墙-规则策略-IPsec-添加 接口-IPsec 地址簇: IPv4 协议: UPD 源: any 目标: any 2, 防火墙-规则策略-L2TP '威-皮-恩'-添加 接口: L2TP '威-皮-恩' 地址簇: IPv4 协议: Any 源: any 目标: any 3, 防火墙-规则策略-WAN-添加 接口-IPsec 地址簇: IPv4 协议: UPD 源: any 目标: WAN address 目标端口范围: 1701
以上pfSense的L2TP/IPsec的服务器就设置好了. 可以使用iPhone和其他设备链接 以iPhone为例 添加'威-皮-恩'设置 类型: L2TP 描述: 自定义 服务器: 服务器的公网IP地址, 可以添加DDNS的域名 账号: 之前设置的用户名 RSA SecurID: 不用启动 密码: 之前的用户密码 秘钥: 就是之前设置的IPsec预共享秘钥.
如果需要指定网关,可以在防火墙-规则策略-L2TP '威-皮-恩'下自定义设置. 隐藏内容: ******隐藏内容-请回复后再查看****** ******You must reply before you can see the hidden data contained here.******
