我有一台 Server 2012 机箱,在 Cisco 1841 ISR 后面运行 PPTP 和 L2TP VPN 服务。我的 NAT 规则允许 PPTP 流量连接,但是我无法完成与 L2TP 的连接。相关 NAT 规则如下:
ip nat inside source static udp 192.168.62.2 500 1.2.3.4 500 extendable
ip nat inside source static udp 192.168.62.2 1701 1.2.3.4 1701 extendable
ip nat inside source static tcp 192.168.62.2 1723 1.2.3.4 1723 extendable
ip nat inside source static udp 192.168.62.2 4500 1.2.3.4 4500 extendable
我还需要在 1841 上启用其他功能吗?我尝试打开 ESP 并通过访问列表允许 isakmp 和 esp。但是第一个访问列表规则无论如何都应该允许这一切通过,所以我很困惑。
答案1
PPTP 与 L2TP 无关。PPTP 使用 GRE 传输有效载荷,TCP/1723作为控制通道,而 L2TP 使用UDP/1701作为单一通道,可以通过 ipsec 进一步加密。顺便说一句,Windows 开箱即用地在 L2TP 上强制使用 ipsec。
因此,你的 NAT 设置与你尝试通过网关的 L2TP/ipsec 无关,因为你应该通过UDP/500和啊/尤其是协议(后者确实取决于 Windows VPN 中心强制执行的安全策略,AH 根本无法通过 NAT 工作)。此外,在您控制的 Cisco 网关后面拥有 VPN 中心是完全是胡说八道,因为思科有能力均采用 dot1q 封装和VPN 终止,包括带或不带 ipsec 的 l2tp。因此,要么通过 vlan 为 Windows VPN 集线器提供完整的 WAN 连接,要么在 Cisco 上配置 VPN 服务器。