说明
该配置针对的是Windows 10/11通过 L2TP/IPsec VPN 连接到 AR161-S 路由器。注意:Android等移动设备终端可能无法正常连接至此配置下的VPN网关(需要了解系统原生VPN Client是否支持 3DES加密算法)
IPsec配置
根据微软关于 IPsec的说明,默认使用如下IPsec配置:
- 加密算法:3DES/AES-128/AES-256
- 哈希算法:SHA-1
- 封装模式:传输模式(Transport),不支持隧道模式(tunnel)
- 安全协议:ESP(不支持AH)
- ESP认证算法:SHA1
- ESP加密算法:3DES/AES-256
根据以上说明,可以在web网管中的 IPsec VPN中配置如下图所示的策略:
其中,使用红框圈出的部分需保持一致,关于认证方式,较为简单的方式为:使用预共享密钥的方式,并设置有一定安全等级的密钥(需要记住,以供后续使用)。接口名称的配置则根据后续通过哪个接口连接到AR路由器的VPN网管配置,我是使用DDNS将公网的IPv4地址添加到域名的A记录上,以实现在外也可以通过域名连接家中的路由器,所以选择使用PPPoE拨号的Dialer1接口。填写完成后,点击“添加”按钮。
L2TP配置
在菜单中选择L2TP VPN,首先开启L2TP功能,然后在L2TP服务器中添加一条配置,具体配置如下图所示,需要注意红框圈出部分:关闭隧道认证,认证方式(用户认证)选择CHAP,AAA域选择default即可。网关IP部分,设置一个与已有以太网配置不冲突的网段即可。完成后,点击添加。
AAA用户配置
L2TP VPN使用AAA域对用户进行鉴权,需要在用户管理菜单下添加用户,以供VPN网关鉴权。用户名与密码自行设置。因为网关采用点对点的登录鉴权模式,所以需要开启用户的PPP登录权限,该登录权限在普通用户的用户组下,所以需要将访问级别改为普通用户,并在接入类型中勾选PPP。具体配置如下图所示,红框部分请保持一致:
Windows配置
请参照:https://forum.huawei.com/enterprise/zh/thread-412439.html
VPN类型:使用预共享密钥的L2TP/IPsec,并在控制面版-网络连接的VPN连接的属性中修改配置,在其安全选项卡下,配置允许使用质询握手身份验证协议(CHAP)
若有收获,就点个赞吧
0 人点赞
