L2TP已经建立连接，要求和内网互通 - 华为技术 - 51CTO技术论坛

社区导航: 专家门诊网络技术操作系统数据库程序设计系统应用考试认证 CIO及信息化站长交流综合交流下载基地 51CTO产品服务

【设为首页 | 收藏本站】

51CTO技术论坛» 华为技术 » L2TP已经建立连接，要求和内网互通 [ 打印] [ 订阅] [ 收藏] [ 推荐给朋友] [ 本帖文本页]

论坛跳转:

该主题悬赏的20无忧币已被全部领完

fridaymx

副版主

帖子 505
精华 0
无忧币 1240
积分 547
阅读权限 140
来自 (保密)

注册日期 2007-4-26

最后登录 2008-10-10

离线

[查看资料] [发短消息] [Blog]

[个人主页]

发表于:2007-11-9 14:45　　标题：L2TP已经建立连接，要求和内网互通
＜上一帖 | 下一帖＞

先把我的配置粘贴出来.
[v100-s]display current-configuration
#
sysname v100-s
#
l2tp enable
#
ike local-name zb
#
firewall enable
#
insulate
#
undo connection-limit enable
connection-limit default deny
connection-limit default amount upper-limit 50 lower-limit 20
#
nat address-group 1 X.X.X.X X.X.X.X
#
DNS server 61.139.2.69
DNS server 192.168.10.1
#
ip http shutdown
#
radius scheme system
server-type extended
#
domain system
ip pool 1 192.168.254.2 192.168.254.200
#
local-user admin
password simple admin
service-type ppp
#
ike dpd 1
#
ike peer sub1
exchange-mode aggressive
pre-shared-key 12345
id-type name
remote-name sub1
local-address X.X.X.X
nat traversal
dpd 1
#
ipsec proposal p1
#
ipsec policy-template temp_sub1 1
ike-peer sub1
proposal p1
#
ipsec policy policy1 5 isakmp template temp_sub1
#
dhcp server ip-pool borui
network 192.168.10.0 mask 255.255.255.0
gateway-list 192.168.10.200
dns-list 192.168.10.1 61.139.2.69
#
acl number 3000
rule 1 permit ip source 192.168.10.0 0.0.0.255
rule 100 deny ip
#
interface Virtual-Template1
ppp authentication-mode pap
ip address 192.168.254.1 255.255.255.0
remote address pool 1
#
interface Aux0
async mode flow
#
interface Ethernet0/0
description connect to WAN
ip address X.X.X.X 255.255.255.0
nat outbound 3000 address-group 1
nat server protocol tcp global X.X.X.X www inside 192.168.10.1 www
nat server protocol tcp global X.X.X.X smtp inside 192.168.10.1 smtp
nat server protocol tcp global X.X.X.X pop3 inside 192.168.10.1 pop3
nat server protocol tcp global X.X.X.X 8080 inside 192.168.10.55 8080
nat server protocol tcp global X.X.X.X 3389 inside 192.168.10.1 3389
#
interface Ethernet0/1
description connect wo LAN
ip address 192.168.10.200 255.255.255.0
#
interface Ethernet0/2
#
interface Ethernet0/3
#
interface Ethernet0/4
#
interface Encrypt1/0
#
interface NULL0
#
l2tp-group 1
undo tunnel authentication
mandatory-lcp
allow l2tp virtual-template 1
#
dhcp server forbidden-ip 192.168.10.1
dhcp server forbidden-ip 192.168.10.9
dhcp server forbidden-ip 192.168.10.55
dhcp server detect
#
ip route-static 0.0.0.0 0.0.0.0 61.157.91.1 preference 60
#
user-interface con 0
user-interface aux 0
user-interface vty 0 4
user privilege level 3
set authentication password simple friday
#
return

中间关于IPSEC的先不管,我的L2TP客户端已经成功接入,也获得了192.168.254.X的IP,能够PING通192.168.254.1,但我要求和内网192.168.10.X网段互通,需要添加怎样的命令呢?

[ 本帖最后由 fridaymx 于 2007-11-9 14:47 编辑 ]

思科资料大全（持续更新ing）

2007-11-9 14:45

1楼

[ 顶部 ]

intelboy

高级工程师

帖子 3148
精华 3
无忧币 14845
积分 12608
阅读权限 70
来自 (保密)

注册日期 2006-6-12

最后登录 2008-6-18

离线

[查看资料] [发短消息] [Blog]

[个人主页]

发表于:2007-11-10 17:32　 ,被系统奖励 5 点无忧币

修改acl num 3000,对L2TP客户端地址不进行NAT转换

rule 1 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.254.0 0.0.0.255
rule 2 permit ip source 192.168.10.0 0.0.0.255
rule 100 deny ip

To be or not to be.This is the question!

2007-11-10 17:32

2楼

[ 顶部 ]

2002070344 性别:男

新新人类

帖子 132
精华 0
无忧币 289
积分 170
阅读权限 20

注册日期 2007-9-10

最后登录 2008-10-11

离线

[查看资料] [发短消息] [Blog]

发表于:2007-11-11 19:05　 ,被系统奖励 5 点无忧币

为什么只有一条静态路由的？
没有返回路由，内网可以上网？

论坛活动：测测你对IT技术大会的了解指数(赠微软礼品、无忧币)

2007-11-11 19:05

3楼

[ 顶部 ]

kid822

助理工程师

帖子 1148
精华 0
无忧币 2047
积分 1240
阅读权限 40
来自 (保密)

注册日期 2007-3-12

最后登录 2008-9-9

离线

[查看资料] [发短消息] [Blog]

发表于:2007-11-11 22:55　 ,被系统奖励 5 点无忧币

我建议，如果需要让VPN拨入后的192.168.254.0这个段访问192.168.10.0这个段，还是直接用acl吧！
acl num 3002
rule 10 permit ip source 192.168.254.0 0.0.0.255 destination 192.168.10.0 0.0.0.255

论坛活动：测测你对IT技术大会的了解指数(赠微软礼品、无忧币)

2007-11-11 22:55

4楼

[ 顶部 ]

fridaymx

副版主

帖子 505
精华 0
无忧币 1240
积分 547
阅读权限 140
来自 (保密)

注册日期 2007-4-26

最后登录 2008-10-10

离线

[查看资料] [发短消息] [Blog]

[个人主页]