山石网科Hillstone防火墙L2TP over ***详细配置步骤（官方最新版）

1. 需求分析

通过L2tp over ***（***就不做过多解释了）实现远程终端用户访问企业内部服务器资源和保护通信安全。

2. L2tp over ***配置说明

2.1 软硬件信息

硬件平台	软件版本
SG-6000-C1200W	SG-6000-M-3-5.5R8P5-v6
拨号端PC	Windows 10 专业版

2.2 组网拓扑

正在上传…重新上传取消

2.3 环境说明

PC(Windows 10)的地址为100.0.0.9/24；
防火墙的外网出接口E0/1地址为120.0.0.9/24，内网接口E0/6为110.0.0.9/24；
内网服务器地址为110.0.0.10/24。

2.4 配置步骤

2.4.1 防火墙基本上网配置(略)

2.4.2 新建P1提议

正在上传…重新上传取消

2.4.3 新建对端列表(一阶段)

正在上传…重新上传取消

2.4.4 新建P2提议

正在上传…重新上传取消

注：阶段二的提议要启用 lifesize 选项并设置数值为 250000 与 WIN7 系统一致！另外为了同时支持 XP、WIN7 平台拨入，需添加 WIN7 支持的 AES 和 SHA 加密、认证算法，而 XP 需要配置支持的 DES 和 MD5 的加密、认证算法。

2.4.5 新建IKE 列表(二阶段)

正在上传…重新上传取消

2.4.6 在L2tp 配置页面引用***隧道

正在上传…重新上传取消

L2tp 高级配置->PPP认证建议选择“any”（如选择其他，则需要与终端PPP认证设置保持一致）。

正在上传…重新上传取消

2.4.7 新建登录用户

正在上传…重新上传取消

2.5 客户端拨入及注意事项

注：win8 和 win10 客户端默认启用***加密，连接 L2tp over***的时候无需修改册表。Win7 默认是禁用***加密，连接 L2tp over ***需要先修改注册表并重启。

2.5.1 Windows 10 客户端配置

（1）控制面板->网络和共享中心->设置新的连接或网络。

正在上传…重新上传取消

（2）连接到工作区->否，创建新连接->使用我的Internet连接（）->填写的域名或地址和连接名。

（3）返回桌面右键点击右下角的

图标，打开”网络和Internet'设置->L2TP->选择已经建立的L2TP连接。

（4）高级选项->编辑->输入下列数据并保存。

PC去访问防火墙内网服务器地址http://110.0.0.10:80。

正在上传…重新上传取消

2.5.2 Windows 7 客户端配置

1、创建一个L2TP连接。

1）在控制面板--网络和共享中心；

2）进入网络和共享中心界面后点击“设置新的连接或网络”；

3）“选择一个连接选项”下面点击“连接到工作区”----下一步，使用我的 Internet连接(L2TP)。

正在上传…重新上传取消

4）输入 L2TP 的域名或 IP 地址，输入 L2TP的用户名和密码，点击连接。

正在上传…重新上传取消

2、确认注册表参数，默认 WIN7 禁用 ***加密，需要启用。

1）单击“开始”，单击“运行”，键入“regedit”，单击“确定”弹出注册表编辑器窗口；

2）在左侧注册表项目中逐级点击：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters；

3）为 Parameters 参数添加 SWORD 值，单击 Parameters 项，确定名称为“Prohibit***”，数据类型为”REG_DWORD”、值为 “0”，然后单击“确定”，重启计算机生效。

正在上传…重新上传取消

4）查看 *** policy agent 服务有没有启动。

正在上传…重新上传取消

3、调整 L2TP参数。

1）在控制面板--网络和 internet 页面，点击“连接到网络”，选择 L2TP连接，右键选择“查看连接属性”；

正在上传…重新上传取消

2）选择“安全”属性页面，L2TP 类型选择“使用 *** 的第 2 层隧道协议（L2tp/***）”,数据加密选择“可选加密（没有加密也可以连接）”；

3）在“允许这些协议”选项中勾选“不加密的密码（PAP）”和“质询握手验证协议（CHAP）”；

4）“属性”->“安全”->“高级设置”勾选“使用预共享密钥做身份认证”并在“密钥”框中输入 pre-share key，是***隧道配置的预共享密钥：

正在上传…重新上传取消

2.5.3 手机端配置(安卓)

很多用户需要安卓或者苹果手机拨入 L2TP over *** 时手机的配置。安卓端拨号设置（机型太多，举例）

在安卓手机中【设置】>【无线和网络】>【L2TP】>【添加 L2TP 网络】

1、点击设置，选择 L2TP，添加 L2TP 网络。

2、类型选择 L2TP/*** PSK 。

正在上传…重新上传取消

3、名称，服务器地址，*** 预共享密钥配置好保存。

正在上传…重新上传取消

4、点击相应 L2TP，填写用户名密码即可。

2.5.4 手机端配置(苹果)

1、打开设置->通用->L2TP。点击添加 L2TP 配置。

正在上传…重新上传取消

2、修改类型为 L2TP。

按照要求填入，描述、服务器地址、账户密码及预共享密钥，并开启发送所有流量。

正在上传…重新上传取消

3、选择相应 L2TP 点击链接即可。

2.5.5 Ubuntu客户端配置

注：需要注意高级配置，在 Ubuntu PPP 设置里，需要勾选对应的，不建议把 PPP 其他协议全部勾选，和防火墙对应。

Setting--network--新建L2TP。

配置防火墙 L2TP 对外的网关 IP，L2TP 用户账号密码，在设置一下 PPP，只需要选择和防火墙对应的协议，例如：chap 或者 PAP，其他关闭，无其他配置，配置完之后点击连接即可。

正在上传…重新上传取消

防火墙密钥(举例)：

isakmp proposal L2TP_1_p1
authentication pre-share
group 2
hash sha
encryption 3des
lifetime 86400
exit
*** proposal L2TP_1_p2
protocol esp
group nopfs
encryption 3des
hash sha
lifetime 28800

Ubuntu 密钥(举例)：

还需要勾选 UDP 封装。

最后点击连接，即可。

3. 补充说明

L2TP ***配置可参考《L2TP 配置案例_WebUI》。
如遇到无法成功拨入，排除客户端侧问题后，需要在防火墙L2TP服务端进行debug故障调试，可按照《StoneOS Debug(抓包)故障调试手册》进行抓包操作。

☛ 以上图片显示异常，详细图文内容！