AR1220实现L2TP-VPN+Portal认证接入内网部网络

AR1220实现L2TP-VPN+Portal认证接入内网部网络

AR1220实现L2TP VPN+Portal认证接入内网部网络 各位：

您好，和大家分享下一个有趣的东西，有时候感觉L2TP VPN的权限管控不是严格，于是想到要是可以在建立了L2TP隧道之后再进行一次身份认证就好了，于是试了试，感觉还是可以的哈，下面分享下。

-------------------------------------------------------------------------------------------------------------------------------

一、L2TP VPN配置

1.L2TP配置 #ip pool l2tp

gateway-list 192.168.22.1

network 192.168.22.0 mask 255.255.255.0 dns-list 61.139.2.69

#interface Virtual-Template0 ppp authentication-mode chap

remote address pool l2tp

ip address 192.168.22.1 255.255.255.0

#l2tp-group 1 undo tunnel authentication allow l2tp virtual-template 0

2.L2TP 用户配置

local-user huawei password

cipher %$%$FN:2X(Z[p2ypv4+Wu+[9=$_+%$%$

local-user huawei service-type ppp

二、本地portal配置

1.ssl证书配置 #pki realm default

enrollment self-signed

#ssl policy huawei type server pki-realm default

2.portal配置

portal local-server ip 192.168.22.1 portal local-server https ssl-policy huawei port 4433

3.应用portal到接口

interface Virtual-Template0 ppp authentication-mode chap remote address pool l2tp

ip address 192.168.22.1 255.255.255.0 portal local-server enable 4.查看portal情况

[Huawei]display portal local-server Portal local-server config: server status : enable server ip : 192.168.22.1 authentication method : chap protocol : https https ssl-policy : huawei 5.设置对DNS服务器免认证规则

portal free-rule 1 destination ip 61.139.2.69 mask 255.255.255.255

6.创建PORTAL认证用户 local-user user01 password

cipher %$%$FN:2X(Z[p2ypv4+Wu+[9=$_+%$%$

local-user user01 service-type web

三、测试

1.L2TP拨号连接

连接成功

获取到了内网IP地址

ping内网的ip不通，打开网页被重地向到这个认证页面

通过认证后，可以正常访问内部的资源,如果配置了DNS可以正常通过L2TP VPN上网