概观
本文介绍如何使用 UniFi 安全网关(USG) 作为 RADIUS 服务器来设置 L2TP VPN 。
注意事项和要求:
L2TP VPN 仅适用于 WAN 1。
请配置前先按照以下指南的说明,完成 UniFi - USG:配置 RADIUS 服务器文章中的配置。
使用的设备:- UniFi Switch
- UniFi Security Gateway
目录
UniFi 控制器设置
配置 L2TP 网络
1.导航到 UniFi 控制器中的 设置>网络>创建新网络。
2.填写必要的信息,如上图所示:
- 用途: 远程用户 VPN
- VPN 类型: L2TP 服务器
- 预共享密钥: 称为预共享密钥,将与 L2TP 客户端上的用户名和密码(在 RADIUS 用户中创建)一起输入。
- 网关/子网: 需要与控制器上的任何其他网络不冲突。
- 服务器名称和 WINS 服务器: 除非需要进一步自定义配置,否则可以保留为自动/不做填写。
- Site-to-Site VPN : 如果您选择使用“自动” VPN 类型连接站点,L2TP VPN 子网将包含在这些路由中。
3.从下拉列表中选择默认 RADIUS 配置文件。
4.单击“ 保存”。
Windows 安装程序
如果使用 Windows 计算机连接到 L2TP,请按照以下步骤进行设置:
Windows 10
- 转到“设置”
- VPN >添加 VPN 连接
- 请参阅以下屏幕截图并填写所需信息。
Windows 身份验证设置
- 转到 控制面板>网络和共享设置>更改适配器设置。
- 右键单击 L2TP 适配器,然后转到“ 属性”>“安全性”。
- 在 “VPN 类型”下,选择 “Layer 2 Tunneling Protocol with IPsec”。
- 单击 高级设置。选择预共享密钥进行身份验证并输入。
- 确保选中“ 允许这些协议” 并选中“Microsoft CHAP Version 2 (MS-CHAP v2) ”复选框,如下面的屏幕截图所示。
macOS 安装程序
macOS 设置更简单,不需要进行身份验证修改。
- 只需转到 系统偏好设置>网络
- 单击 + 按钮 2.1 接口:VPN 2.2 VPN 类型:L2TP over IPsec
3.在身份验证设置中,输入预共享密钥。
注意事项
- L2TP 没有路由分发功能。如果未启用客户端设备上路由所有通过数据流的功能,则需要在客户端上手动添加所需要的路由,以指向 USG 的本地网络。
- 设置 L2TP 会自动在设置>路由和防火墙中将防火墙规则添加到 WAN Local ,用户不需要手动添加。
- 如果您的 USG 的 WAN 已经被转换成了私有 IP,则必须在上游路由器上配置端口转发,以将 UDP 端口 500,1701 和 4500 转发到 USG 的 WAN 地址。
- 在 4.3.41 之前的 USG 固件中,如果已经配置了一个或多个 site-to-site IPsec VPN ,则 L2TP 远程访问 VPN 将不起作用。请更新到最新固件。
- 在 5.7.22 之前的控制器版本中,如果在 USG 上配置了 UPnP ,则需要创建 ACL 来拒绝 UDP 端口 500/4500。