我有一个客户出于各种原因在 NATed ADSL 连接后面安装了 Cisco 路由器。他们想为我们的某个接入点创建 VPN,我们提供的唯一选项是站点到站点或 L2TP 拨入。
是否可以将他们的 Cisco (3925) 配置为通过 L2TP 连接到我们的 PoP?L2TP服务器是一对Fortigate 100D,配置允许iPad、笔记本电脑等拨号上网没有问题,受IPSEC保护。
我正在我的办公室用 1921 对此进行测试,我发现的少数参考资料表明使用伪线设置是必要的,但是我无法设置它,以及 IPSEC 适合它的位置。
当然,这当然是可能的。基本上,您需要设置一个加密映射来捕获和加密 L2TP 流量。psuedowire\L2TP 配置可以附加到 Virtual-PPP 接口。这是一个应该让你开始的配置片段。
! Basic ISAKMP\IPSec configuration, tweak as needed.
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
lifetime 4000
!
crypto isakmp key *preshared key* address 1.2.3.4
!
crypto ipsec transform-set ESP-AES256-SHA1 esp-aes 256 esp-sha-hmac
mode transport
!
! Crypto map that will catch our L2TP Traffic defined in the L2TP_TRAFFIC ACL.
!
crypto map L2TP_VPN 10 ipsec-isakmp
set peer 1.2.3.4
set transform-set ESP-AES256-SHA1
match address L2TP_TRAFFIC
!
! Match the L2TP traffic.
!
ip access-list extended L2TP_TRAFFIC
permit udp host *Outbound IP* eq 1701 host 1.2.3.4 eq 1701
!
! Apply the crypto map to the outbound\internet facing interface.
!
interface FastEthernet0/0
ip address 192.168.1.2 255.255.255.0
crypto map L2TP_VPN
!
! Define the psuedowire class that will speak L2TP and the source interface.
!
pseudowire-class L2TP_PW
encapsulation l2tpv2
ip local interface FastEthernet0/0
!
! Create Virtual-PPP interface to bind the psuedowire class to.
!
interface Virtual-PPP1
description L2TP Tunnel
ip address negotiated
ppp chap hostname *User Name*
ppp chap password *Password*
ppp ipcp address accept
pseudowire 1.2.3.4 1 pw-class L2TP_PW
您还需要为您的场景添加相关的 NAT 和/或路由。