Настройка L2TP на маршрутизаторах QTECH QSR-1920/2920/3920

Преимущества технологии L2TP:
1. Не требуются доп. лицензии для оборудования.
2. Максимальное кол-во одновременных подключений не ограничено.
3. Настройка подключения в встроенном клиенте в любой ОС.
4. Не нужно устанавливать дополнительное ПО.

Большую часть настроек будем выполнять в консоли.

Начнем с установки белого статического IP-адреса.

interface gigabitethernet0

ip address 100.1.1.1 255.255.255.252

Определяем диапазон адресов для удалённых L2TP-пользователей.

Первым делом задаем диапазон IP-адресов. Адреса из данного диапазона будут присваиваться удалённым клиентам.

QSR(config)#ip local pool L2TP_POOL 10.10.10.20 10.10.10.80

Создаем виртуальные интерфейсы.

Создаём интерфейс Loopback, который будет выступать шлюзом для удалённых клиентов.

QSR(config)#interface loopback0

QSR(config)#ip address 10.10.10.10 255.255.255.255

Создаём интерфейс Virtual-Template – это шаблон для подключения L2TP-клиентов.

QSR(config)#interface virtual-template0

QSR(config)#encapsulation ppp

QSR(config)#ppp authentication ms-chap-v2

QSR(config)#peer default ip address pool L2TP_POOL

QSR(config)#ip unnumbered loopback0

QSR(config)#mtu 1500

QSR(config)#exit

Задаем параметры шифрования

На данном этапе требуется задать параметры шифрования для траффика и задать общий ключ для удалённых клиентов.

Общий ключ для клиентов «QTECH»

QSR(config)#crypto ike key QTECH any

QSR(config)#crypto ike proposal ike_l2tp

QSR(config-ike-prop)#encryption 3des

QSR(config-ike-prop)#group group2

QSR(config-ike-prop)#exit

QSR(config)#crypto ipsec proposal ipsec_l2tp

QSR(config-ipsec-prop)#esp 3des sha1

QSR(config-ipsec-prop)#mode transport

QSR(config-ipsec-prop)# exit

QSR(config)#crypto tunnel TUN_L2TP

QSR(config-tunnel)#local address 100.1.1.1

QSR(config-tunnel)#peer any

QSR(config-tunnel)#set authentication preshared

QSR(config-tunnel)#set ike proposal ike_l2tp

QSR(config-tunnel)#set ipsec proposal ipsec_l2tp

QSR(config-tunnel)#exit

Настраиваем авторизацию удалённых L2TP-клиентов.

Здесь возможны разные варианты, возможна авторизация локальная или через сервер авторизации Radius.

Для локальной авторизации:

Создаём пользователя на маршрутизаторе для локальной авторизации.

Логин: client

Пароль: client

local-user client class network

QSR(config-user-network-client)#password 0 client

QSR(config-user-network-client)#service-type ppp

QSR(config-user-network-client)#exit

Далее создаём домен для авторизации и аутентификации.

Присваиваем имя «LOCAL_L2TP»

domain LOCAL_L2TP

QSR(config-isp-LOCAL_L2TP)#aaa authentication ppp local

QSR(config-isp-LOCAL_L2TP)#aaa authorization ppp local

QSR(config-isp-LOCAL_L2TP)#exit

Для авторизации через Radius-server:

Назначаем имя группы серверов «RadiusServer»

IP-адрес Radius сервера 172.16.1.1

Ключ от сервера QtechServer

QSR(config)#aaa server group radius RadiusServer

QSR(config-sg-radius-RadiusServer)#server 172.16.1.1 acct-port 1813 auth-port 1812 key 0 QtechServer

exit

Создаём домен для авторизации через Radius, задаём имя домена «Radius_L2TP»

QSR(config)#domain Radius_L2TP

QSR(config-isp-Radius_L2TP)#aaa authentication ppp radius-group RadiusServer

QSR(config-isp-Radius_L2TP)#aaa authorization ppp radius-group RadiusServer

QSR(config-isp-Radius_L2TP)#aaa accounting ppp start-stop radius-group RadiusServer

Exit

Для авторизации удалённых клиентов через Radius, дополнительно укажите название домена в шаблоне virtual-template.

QSR(config)#interface virtual-template0

QSR(config)#encapsulation ppp

QSR(config)#ppp authentication ms-chap-v2 RADIUS_L2TP

Запускаем сервера L2TP.

Требуется запустить VPDN и активировать все настройки:

QSR(config)#vpdn enable

QSR(config)#vpdn-group L2TP_VPDN

QSR(config-vpdn)#accept-dialin

QSR(config-vpdn-acc-in)#protocol l2tp

QSR(config-vpdn-acc-in)#virtual-template 0

QSR(config-vpdn-acc-in)#exit

QSR(config-vpdn)#local name QSR

QSR(config-vpdn)#no l2tp tunnel authentication

QSR(config-vpdn)#lcp renegotiation always

QSR(config-vpdn)#exit