北京电信通的线路,LAN口配置的是电信通的公网IP,WAN口则配置为电信通上游设备的局域网IP。
以下教材,是电信通拨号电信通的场景
--------------------------------------------------------- 百为VPN 服务端配置 ------------------------------------------------------------
使用百为路由在电信通场景,搭建VPN服务。服务端有以下注意事项:
* 启用PPTP VPN 服务
[高级配置]→[点对网VPN]→[PPTP VPN配置]
配置如下图所示,打开功能开关,填入VPN分配的地址池(VPN地址池切勿跟本网吧的内网,以及跟对方网吧的内网冲突,分配私网IP地址)
DNS 配置(提供什么运营商资源给对方VPN客户端用 ,就填写对应的运营商的DNS)
* 启用L2TP VPN 服务
[高级配置]→[点对网VPN]→[L2TP VPN配置]
配置如下图所示,打开功能开关,填入VPN分配的地址池(VPN地址池切勿跟本网吧的内网,以及跟对方网吧的内网冲突,分配私网IP地址)
DNS 配置(提供什么运营商资源给对方VPN客户端用 ,就填写对应的运营商的DNS)
注意:百为路由的L2TP服务基于WAN口开启的,介于电信通的WAN口是个电信通上游的局域网IP。
需要做地址转换,配置如下图所示
[高级配置]→[地址转换]→[目的地址转换]
比如:60.207.100.1 是对方的的网吧的公网IP(VPN客户端)
60.207.200.1 是本网吧的公网IP (VPN客户端)
172.30.47.154 是本网吧的接电信通的口的WAN口的私网IP
由于百为的L2TP服务是建立于172.30.47.154基础上。
需要配置目的地址转换规则,当对方VPN,拨号到本网吧的 60.207.200.1后,转给 172.30.47.154
对VPN拨号过来的地址,做NAT
[网络配置]→[接口配置],选择电信通的接口,比如eth0,进入[高级配置]
点击 “高级”
编辑框填入
iptables -t nat -I MASQ -o eth0 -s 10.10.10.0/24 -j SNAT --to 60.207.200.1
iptables -t nat -I MASQ -o eth0 -s 10.20.20.0/24 -j SNAT --to 60.207.200.1
以上命令,表示对VPN的网段,从eth0出口的,做源地址转换,转成 60.207.200.1 的公网IP上网
[用户管理]→[用户对象],添加用户,选择用户类型“VPN拨号”,自定义账号名和密码。
-------------------------------------------------- 百为VPN 客户端端配置 -------------------------------------------------------
使用百为路由在电信通场景,WAN口添加VPN客户端。VPN客户端有以下注意事项:
[网络配置]→[接口配置],选择电信通的接口,比如eth5,点击“VPN接口”
添加,自定义个VPN ID ,接口名称自定义。
添加后,左边栏会显示出所添加的VPN接口。
[网络配置]→[接口配置],选择VPN的接口,比如vpn100,点击“基本配置”
以 L2TP服务为例,VPN 类型选择 L2TP ,VPN服务器 填入VPN服务端的电信通公网IP,并填入VPN服务端所创建的VPN 账户、密码。点保存
[网络配置]→[接口配置],选择VPN的接口,比如vpn100,点击“高级配置”
TCPMSS 建议值 填写1300; MTU建议值 填写 1400 点保存
注意:百为路由的L2TP服务基于WAN口开启的,介于电信通的WAN口是个电信通上游的局域网IP。
需要做地址转换,配置如下图所示
[高级配置]→[地址转换]→[源地址转换] (有别于VPN服务端,此处是做源地址转换)
比如:60.207.100.1 是本网吧的公网IP(VPN客户端)
172.30.59.22 是本网吧的接电信通的口的WAN口的私网IP
这个规则的用途,通过源地址转换后,VPN客户端的网吧,以60.207.100.1 的IP去拨号VPN服务端
通常这个规则不用特殊去配置,百为路由授权认证,更新。部署前期已经配置该规则,以上只做讲解
评论