侧边栏壁纸
博主头像
liveJQ博主等级

沒有乐趣,何来开始

  • 累计撰写 146 篇文章
  • 累计创建 60 个标签
  • 累计收到 2 条评论

L2TP协议端口转发与多线接入的冲突问题

liveJQ
2023-10-19 / 0 评论 / 0 点赞 / 690 阅读 / 1,725 字 / 正在检测是否收录...
广告 广告

这里需要实现将客户端的流量通过中转节点转发到目标设备的实验,采用 L2TP over IPsec 隧道模式进行互联。

实验环境

20231019_l2tp_forward_for_topology.jpg

除了1台 Windows 测试机之外,其余3台都是 Mikrotik Router 设备,对它们在功能上进行了划分。CPE 客户端作为 L2TP Client,Firewall 作为端口转发,POP 作为 L2TP Server。

设备配置

CEP

网卡配置

  • eth1:192.168.1.1/24,作为管理口。
  • eth2:192.168.2.1/24,作为与 Firewall 的互联。

建立的三条L2TP Client,连接IP填 192.168.2.2,账号密码等参照POP。

Firewall

网卡配置

  • eth1:192.168.2.2/24,作为与 CEP 的互联。
  • eth2:172.16.16.1/24,作为与 POP 的互联。

配置端口转发

/ip firewall nat
add action=dst-nat chain=dstnat dst-port=1701 protocol=udp to-addresses=\
    172.16.16.2 to-ports=1701
add action=dst-nat chain=dstnat dst-port=4500 protocol=udp to-addresses=\
    172.16.16.2 to-ports=4500
add action=dst-nat chain=dstnat dst-port=500 protocol=udp to-addresses=\
    172.16.16.2 to-ports=500

测试阶段可以不用,正式使用最好做下限制转发,参考示例如下。

/ip firewall filter
add action=accept chain=input dst-port=1701 protocol=udp
add action=accept chain=input dst-port=4500 protocol=udp
add action=accept chain=input dst-port=500 protocol=udp
add action=drop chain=input
add action=accept chain=forward src-address=CPE公网网段
add action=accept chain=forward src-address=其他需要转发的网段
add action=drop chain=forward

POP

网卡配置

  • eth1:172.16.16.2/24,作为与 Firewall 的互联。
  • eth2:10.0.137.210
  • eth2:10.0.137.211
  • eth2:10.0.137.212,WAN 口,配置多IP,访问互联网。

开启 L2TP Server 并建立三个账号,Local Address 与 Remote Address 这里设置为 192.168.197.0/30、192.168.198.0/30 和 192.168.199.0/30,取里面的 1 和 2 。

配置 3 条线对应 WAN 口的 3 个 IP。

/ip firewall nat
add action=src-nat chain=srcnat src-address=192.168.197.0/30 to-addresses=\
    10.0.137.210
add action=src-nat chain=srcnat src-address=192.168.198.0/30 to-addresses=\
    10.0.137.211
add action=src-nat chain=srcnat src-address=192.168.199.0/30 to-addresses=\
    10.0.137.212

以上就全部配置完毕了。

测试结论

这 3 条线是无法同时启用的,同一时间只能让其中一条生效,否则无法使用。之前有测试过在转发机上配置3个不同的IP,然后给客户端 3 条线分别单独连接使用,依然无果。事后其实很容易理解,转发机上面的端口是无法重复使用的,同时建立 3 条线意味着相同的端口被 3 条线轮流抢占,导致谁都无法建立连接,自然无法使用了。

相关资料

  1. L2TP工作原理
  2. 既然 IPsec 有隧道模式,为什么还有 L2TP+IPsec 这样的组合
  3. 传输模式和隧道模式的区别
  4. IPSec: 封装模式
0

评论区