CENTIO#KNOWLEDGEBASE
Как да конфигурирате L2TP VPN отдалечен достъп?
Тази статия описва стъпките за конфигуриране на L2TP VPN отдалечен достъп.
Отнася се за следните продукти и версии на Sophos
Sophos Firewall
Sophos Firewall XG Software
Как да конфигурирате L2TP VPN отдалечен достъп?
Активирайте L2TP VPN връзките, добавете IP адреси и добавете потребители
Отидете в VPN > Show VPN Settings.
2. Изберете раздела L2TP и попълнете полетата в General Settings и Client Information и кликнете върху Apply.
Поле | Стойност |
|---|---|
Enable L2TP | Отбележете Enable |
Assign IP from | Въведете обхвата от IP адреси. |
Allow leasing IP address from RADIUS server for L2TP, PPTP, and CISCO VPN client | (По желание) Отбележете полето, ако желаете да вземете IP чрез RADIUS. |
Primary DNS Server | Изберете DNS Server от падащия списък, като можете да изберете определен DNS като изберете Other. |
Secondary DNS Server | Изберете DNS Server от списъка, като можете да изберете определен DNS като изберете Other. |
Primary WINS Server | По желание. |
Secondary WINS Server | По желание. |
(кликнете върху изображението за пълен размер)
3. Кликнете върху Add Member(s), за да добавите потребител за L2TP. В примера е избран за добавяне john.smith като член на L2TP.
4. Кликнете върху Apply, за да запазите промените.
Създаване на L2TP политика
Отидете в VPN > L2TP (Remote Access) и кликнете върху Add, за да добавите L2TP връзка.
Има два варианта за Authentication type (удостоверяване): Preshared key и Digital certificate. Следвайте стъпките според вашият Authentication type.
Опция 1: Preshared key
Попълните полетата и кликнете върху Save.
Поле | Стойност |
|---|---|
Name | HeadOffice |
Policy | DefaultL2TP |
Gateway type | Respond only |
Authentication type | Preshared key |
Preshared key | Въведете Preshared key |
Local WAN port | PortA (изберете WAN порта, който ще се използва) |
Remote host |
|
Allow NAT traversal | Enabled |
Remote subnet | Any |
Local port | 1701 |
Remote port |
|
Забележка: Кликнете върху иконата с удивителен знак до всяко поле, за да прочетете описанието.
(кликнете върху изображението за пълен размер)
Опция 2: Digital certificate
а. Създайте самоподписан сертификат като влезнете в Certificates > Certificates, кликнете върху Add и изберете Generate self-signed certificate.
б. Попълнете полетата според снимката отдолу. За Key encryption изберете Enable, за да го активирате.
(кликнете върху изображението за пълен размер)
в. Изберете Save. Self-signed сертификатът е вече създаден.
(кликнете върху изображението за пълен размер)
г. Отидете в VPN > L2TP (remote access) и кликнете върху Add.
д. Попълнете полетата и кликнете върху Save.
Поле | Стойност |
|---|---|
Name | HeadOffice |
Policy | DefaultL2TP |
Gateway type | Respond only |
Authentication type | Digital certificate |
Local certificate | L2TP_Cert (изберете сертификата, който създадохте) |
Local WAN port | Port2 (изберете WAN порта, който ще се използва) |
Remote host |
|
Allow NAT traversal | Enabled |
Remote subnet | Any |
Local port | 1701 |
Remote port |
|
Забележка: Кликнете върху иконата с удивителен знак до всяко поле, за да прочетете описанието.
(кликнете върху изображението за пълен размер)
3. Кликнете върху червения индикатор в коланата Active, за да активирате връзката. Когато има връзка, индикаторът ще стане зелен.
(кликнете върху изображението за пълен размер)
Създаване на правило на защитната стена
Отидете в Firewall, кликнете върху Add Firewall Rule и изберете User/Network Rule.
Конфигирирайте правилото като следвате снимката отдолу:
(кликнете върху изображението за пълен размер)
3. Кликнете върху Save.
Забележка: Възможно е отдалечения хост да има достъп до интернет през защитната стена XG. В такъв случай, създайте правило за защитната стена като посочите WAN като destination zone (входна), а VPN като source zone (изходна).
Ръководството на английски език: Sophos XG Firewall: How to configure an L2TP VPN remote access