HiPER VPN网关作为PPTP/L2TP服务器使用时，一般都有两种用户帐号：一种是移动用户帐号，用来让个人用户连接到PPTP/L2TP服务器，这种情况下PPTP/L2TP 服务器中不需要配置到个人用户的路由；一种是LAN到LAN的帐号，用来实现PPTP/L2TP隧道两端局域网的相互连接，这种情况下PPTP/L2TP隧道两端的设备都要配置到对端的路由。

然而在下面这些情况下，需要在PPTP/L2TP隧道连接上启用NAT：

 

1.        PPTP/L2TP客户端使用移动用户的帐号连接PPTP/L2TP 服务器，实现整个局域网到PPTP/L2TP服务器端局域网的连接；

2.        PPTP/L2TP 隧道连通之后，需要实现PPTP/L2TP客户端到PPTP/L2TP 服务器的单向访问；

3.        PPTP/L2TP服务器不能配置到PPTP/L2TP客户端的路由（比如配置Cisco路由器做PPTP/L2TP 服务器的时候，无法配置Radius服务器）；

 

方法：配置HiPER VPN网关成为PPTP/L2TP客户端时，在VPN配置—>PPTP和L2TP的高级选项中，选中“启用NAT”，如图5-61。

 

图5-61 启用NAT

 

　　在PPTP/L2TP隧道连接成功之后，在系统状态—>路由和端口信息的“路由表信息列表”中，可以发现到其对端服务器的路由中，已经启用了NAT（到目的地址192.168.123.0/24的路由状态可见“N”），如表5-14所示。

表5-14 路由表信息列表

 

 提示：在PPTP/L2TP 隧道上启用了NAT，PPTP/L2TP 隧道连通之后，只能实现PPTP/L2TP客户端到PPTP/L2TP服务器的单向访问，从PPTP/L2TP服务器到PPTP/L2TP客户端的访问将被拒绝。

 

 

二、将默认路由绑定到PPTP/L2TP隧道

图5-62 方案——HiPER默认路由绑定到VPN隧道

 

　　如表5-15所示，在HiPER VPN网关作为PPTP/L2TP客户端成功连接到PPTP/L2TP服务器后，在其路由表（系统状态—>路由和端口信息的“路由表信息列表”）里面会形成两条路由，一条到PPTP/L2TP 服务器（192.168.123.0/24）网段的路由，一条默认路由（0.0.0.0/0）。HiPER VPN网关（PPTP/L2TP客户端）将会根据来自本地局域网的数据包的目的地址来决定该数据包是通过默认路由从本地上网，还是通过PPTP/L2TP隧道到达PPTP/L2TP隧道远端的局域网。

表5-15 路由表信息列表

 

　　但是，如果希望在PPTP/L2TP服务器端控制PPTP/L2TP客户端的上网权限，就需要将HiPER VPN网关（PPTP/L2TP客户端）配置成为：PPTP/L2TP隧道连通之后所有的局域网流量（到PPTP/L2TP服务器端的局域网和其他网络）都经过PPTP/L2TP隧道转发到PPTP/L2TP 服务器，也就是将上网的默认路由绑定到PPTP/L2TP隧道。

　

　　由于HiPER VPN网关中，上网线路以及PPTP/L2TP隧道的相关路由参数中，“优先级”和“断开优先级”的默认值分别为“60”、“120”；所以可以通过调高PPTP/L2TP隧道的路由“优先级”和“断开优先级”来实现上述目的。配置方法如下：

1.        在HiPER VPN网关（PPTP/L2TP客户端）中配置到PPTP/L2TP服务器的路由

1)        HiPER是固定IP接入

 

在高级配置—>路由配置的“路由参数设置”中，选中“添加”，在相关配置参数项中依次填入以下内容，再单击“保存”，如图5-63所示。

 

“路由设置名称”：vpn_server

“目的网络”：211.200.200.200.131（PPTP/L2TP服务器的IP地址）

“网络掩码”：255.255.255.255

“网关地址”：200.200.200.173（本地固定IP接入的网关地址）

图5-63 路由参数设置

 

2)        HiPER VPN是PPPoE接入

在高级配置—>路由配置的“路由参数设置”中，选中“添加”，在相关配置参数项中依次填入以下内容，再单击“保存”，如图5-64所示。

“路由设置名称”：vpn_server

“目的网络”：211.200.200.131（PPTP/L2TP服务器的IP地址）

“网络掩码”：255.255.255.255

“绑定”：默认线路（当前PPPoE连接线路为默认线路）

图5-64 路由参数设置（高级选项）

 

 

2.        在HiPER VPN网关（PPTP/L2TP客户端）中配置隧道相关参数

在VPN配置—>PPTP和L2TP中，选中“高级选项”，依次进行如下配置：

1)       将“远端内网IP地址”、“远端内网子网掩码”均设置成“0.0.0.0”，如图5-65所示。

 

图5-65 PPTP/L2TP隧道参数（远端内网IP地址）设置

 

2)       将“优先级”调高至“59”（值越小优先级越高）、“断开优先级”调高至“119”（值越小优先级越高），如图5-66所示。

图5-66 PPTP/L2TP隧道参数（优先级）设置

 

3)       选中“高级选项”，选中“启用NAT”，如图5-67所示。

图5-67 PPTP/L2TP隧道参数（启用NAT）设置

 

4)       启用“保持连接”（PPTP/L2TP隧道两端设备均要启用本设置），如图5-68所示。

 

图5-68 PPTP/L2TP隧道参数（保持连接）设置

 

　　上述配置完成后，在系统状态—>路由和端口信息的“路由表信息列表”中，可以查看到上网线路的路由被标记成备份状态，而PPTP/L2TP隧道连接成功后被作为默认路由，如表5-16所示；还可以看到一条到PPTP/L2TP服务器的主机路由，如表5-17所示。

表5-16 路由表信息列表

 

表5-17 路由表信息列表（续表5-16）

 

　　当PPTP/L2TP 隧道连接中断后，在系统状态—>路由和端口信息的“路由表信息列表”中，可以查看到上网线路的路由被激活，而此时HiPER VPN网关会根据配置来决定是否建立PPTP/L2TP 隧道连接，如表5-18所示。

表5-18 路由表信息列表

 

 

 提示：在PPTP/L2TP 隧道上启用了NAT，PPTP/L2TP 隧道连通之后，只能实现PPTP/L2TP客户端到PPTP/L2TP服务器的单向访问，从PPTP/L2TP服务器到PPTP/L2TP客户端的访问将被拒绝。

 

三、  缺省网关不是PPTP/L2TP服务器的实现方法

图5-69 方案——缺省网关不是PPTP/L2TP服务器

　　某些局域网有两台路由器，一台作为上网的网关，一台作为连接PPTP/L2TP 隧道的路由器。如图5-69所示，上海的局域网的每台计算机网关都指向Internet Gateway，没有指向PPTP/L2TP服务器。那么虽然北京或者移动用户能够连接到PPTP/L2TP隧道，但是仍然不能通过PPTP/L2TP隧道访问上海的计算机。

 

以下三种方法可以解决以上的问题：

1.        方法一 在上海局域网中的每台计算机中添加静态路由

分别为每台计算机添加一条访问北京局域网（192.168.16.0/24）的路由，和一条访问移动用户的路由（假设PPTP/L2TP服务器的地址池是10.10.10.0/24），可在DOS窗口下依次输入：

route add 192.168.16.0 mask 255.255.255.0 192.168.123.1

route add 10.10.10.0 mask 255.255.255.0 192.168.123.1

 

 提示：

按上述方式在计算机上添加的静态路由在计算机重启后需要重新添加，可以采取以下方法解决这个问题：如果是Windows 2000/XP的计算机可以使用命令route add 192.168.16.0 mask 255.255.255.0 192.168.123.1 –p添加永久路由；

 

2.        方法二 在Internet Gateway中添加静态路由

如果Internet Gateway是HiPER VPN网关，则可以为其设置静态路由。

1)        设置访问北京局域网（192.168.16.0/24）的路由

在高级配置—>路由配置—>路由参数设置中，选中“添加”按钮，在相关配置参数项中依次填入以下内容，再单击“保存”按钮，如图5-70所示。

“路由设置名”：route_bj

“目的网络”：192.168.16.0

“网络掩码”：255.255.255.0

“网关地址”：192.168.123.1

图5-70 路由参数设置

 

2)        设置访问移动用户的的路由

这里假设PPTP/L2TP服务器的地址池是10.10.10.0/24。

在高级配置—>路由配置—>路由参数设置中，选中“添加”按钮，在相关配置参数项中依次填入以下内容，再单击“保存”按钮，如图5-71所示。

“路由设置名”：route_mobil

“目的网络”：10.10.10.0

“网络掩码”：255.255.255.0

“网关地址”：192.168.123.1

图5-71 路由参数设置

 

 

    提示：如果Internet Gateway是其他品牌路由器，会有类似的设置静态路由的界面。

 

3.        方法三 在PPTP/L2TP服务器上启用ARP代理

1)        设置PPTP/L2TP服务器地址池相关参数

在VPN配置—>PPTP和L2TP中，如图5-72所示，在“地址池开始地址”和“地址池地址数”中分别填入“192.168.123.220”、“20”，这个地址池为PPTP/L2TP服务器端一段空闲的局域网IP地址（原要求地址池不能设置成任何VPN网段的IP地址段）；

图5-72 路由参数设置

 

2)        在HiPER的LAN口启用ARP代理

进入基本配置—>接口配置页面中，如图5-73所示，首先在“选择接口”选择“LAN”，在“ARP代理”中选择“Enabled”，再单击“保存”按钮。

图5-73 ARP代理设置

 

 

 

 提示：在PPTP/L2TP服务器上启用ARP代理之后，拨入的PPTP/L2TP客户端只能是移动用户。如果想实现一个局域网通过路由器连接到PPTP/L2TP服务器，就必须在PPTP/L2TP隧道上启用NAT，可以参考章节5.4.1里面的设置，但是这样只能是实现PPTP/L2TP客户端局域网到PPTP/L2TP服务器端局域网的单向访问。

 

四、    PPTP/L2TP服务器端的局域网用户访问移动用户的方法

   　 当有移动用户通过PPTP/L2TP隧道连接到PPTP/L2TP服务器时，PPTP/L2TP服务器会从其地址池分配一个IP地址给移动用户，移动用户可以使用这个分配的IP地址访问PPTP/L2TP服务器端的局域网，PPTP/L2TP服务器端的局域网用户也可以通过访问这个分配的IP地址来访问移动用户。在VPN配置—>PPTP和L2TP中，查看“PPTP/L2TP信息列表”，可以查到分配的IP地址（10.10.10.18），如表5-19、表5-20所示（这里以HiPER作为PPTP服务器为例进行说明）。

表5-19 HiPER作为PPTP服务器—PPTP/L2TP信息列表

 

表5-20 HiPER作为PPTP服务器—PPTP/L2TP信息里表（续表5-19）

 

　　由于每次移动用户通过PPTP/L2TP隧道连接到PPTP/L2TP服务器时，都有可能被分配到不同的IP地址，因而每次PPTP/L2TP服务器端的局域网用户访问移动用户时，都要到VPN配置—>PPTP和L2TP页面查看“PPTP/L2TP信息列表”，查询当前分配给移动用户的IP地址。为了避免这个麻烦，可以在移动用户计算机上设定固定的IP地址。方法如下（这里以Windows XP为例说明）：

双击已经在移动用户计算机上设置好的PPTP/L2TP隧道连接名，单击“属性”，在“网络”属性页面，双击“Internet协议（TCP/IP）属性”，如图5-74所示，选中“使用下面的IP地址”，填入“10.10.10.90”（PPTP/L2TP服务器地址池以外的IP地址），那么每次移动用户通过PPTP/L2TP隧道连接到PPTP/L2TP服务器后，PPTP/L2TP服务器端的局域网用户都可以使用10.10.10.90这个IP地址来访问移动用户。

图5-74 Internet协议（TCP/IP）属性界面

 

五、  解决Windows移动用户连接VPN隧道成功后默认路由被修改的方法

移动用户在建立PPTP/L2TP隧道连接之前，在DOS窗口执行route print命令可以看到默认路由如表5-21 所示：

 

移动用户在PPTP/L2TP隧道连接成功之后，在DOS窗口执行route print命令看到默认路由如表5-15 所示：

　　此时，默认路由被指向PPTP/L2TP服务器，这就意味着移动用户所有的上网请求（到PPTP/L2TP服务器端的局域网和其他网络）都将被转发到PPTP/L2TP服务器上，这样就会造成移动用户无法上网或者是PPTP/L2TP服务器端上网带宽的的浪费。

解决方法是（这里以Windows XP为例说明）：

1.        双击在移动用户计算机上已经设置好的PPTP/L2TP隧道连接名，单击“属性”，在“网络”属性页面，双击“Internet协议（TCP/IP）属性”，选中“使用下面的IP地址”，填入“10.10.10.90”（PPTP/L2TP服务器地址池以外的IP地址）。

2.        单击“高级”，取消“在远程网络上使用默认网关”的选中，单击两次“确定”。

3.        单击“连接”，发起建立PPTP/L2TP隧道请求。

4.        PPTP/L2TP隧道连接成功后，在DOS窗口执行添加路由命令：

route add 192.168.123.0 mask 255.255.255.0 10.10.10.90

　　此时，在DOS窗口执行route print命令可以看到上网的路由没有改变，而到PPTP/L2TP服务器端的局域网的请求将被转发到PPTP/L2TP隧道，如表5-23所示。

 

 提示：

为了避免每次重启后在移动用户中添加路由的麻烦，可以将静态路由存成一个*.bat文件，在PPTP/L2TP隧道连接成功后执行一下即可。

 

 

五、多分支PPTP/L2TP隧道互联（配置远端内网IP地址方式）

图5-75 方案——多分支PPTP/L2TP隧道互联（一）

 

　　如图5-75所示，某公司的本部在上海，在北京和广州分别设有分公司。通过在上海使用HiPER VPN网关作为PPTP/L2TP服务器，在北京和广州分别使用HiPER VPN网关作为PPTP/L2TP客户端，同时在北京和上海、广州和上海之间建立PPTP/L2TP隧道。

其中，PPTP/L2TP客户端（北京）的局域网网段是192.168.16.0/255.255.255.0，PPTP/L2TP客户端（广州）的局域网网段是192.168.1.0/255.255.255.0，PPTP/L2TP服务器端（上海）的局域网网段是192.168.123.0/255.255.255.0。

常规配置方式下，在北京和上海、广州和上海的PPTP/L2TP隧道连接成功之后，只能实现北京和上海、广州和上海的互访，而不能实现广州和北京的互访。可以通过调整北京和广州的HiPER VPN网关的“远端内网IP地址”、“远端内网子网掩码”的方式解决这个问题。

由于北京、广州、上海三地的局域网网段都属于192.168.0.0/255.255.0.0这个大网段，因而就可以在北京、广州的HiPER VPN网关中，将“远端内网IP地址”、“远端内网子网掩码”作如下设置（此处以北京的HiPER VPN网关为例）：

在VPN配置—>PPTP和L2TP中，将“远端内网IP地址”配置成“192.168.0.0”、“远端内网子网掩码”配置成“255.255.0.0”。

图5-76 PPTP/L2TP隧道参数（远端内网IP地址）设置

 

　　北京的HiPER VPN网关和PPTP/L2TP服务器连接成功之后，在系统状态—>路由和端口信息的“路由表信息列表”中可以看到目的地址为192.168.0.0/16路由，如表5-24所示，这表示局域网中到上海（192.168.123.0/255.255.255.0）或者广州（192.168.1.0/255.255.255.0）的访问数据都会通过PPTP/L2TP隧道转发。

表5-24 路由表信息列表

 

　　广州的HiPER VPN网关作同样的配置。这样，当北京和上海、广州和上海之间的PPTP/L2TP隧道均连接成功之后，北京和广州的局域网用户就可以通过PPTP/L2TP隧道（在上海中转）进行相互访问，上海、北京和广州之间就实现了多分支PPTP/L2TP隧道互联。

 

 提示：

不需要调整PPTP/L2TP服务器端的HiPER VPN网关中原先已配置的“远端内网IP地址”、“远端内网子网掩码”参数。

 

 

七、 多分支PPTP/L2TP隧道互联（手工添加静态路由方式）

图5-77 方案——多分支PPTP/L2TP隧道互联（二）

 

　　在案例中，北京、上海、广州三地的局域网都处在同一个大网段中，但是如果它们不是处于同一个大网段中，则无法通过配置远端内网IP地址的方法实现多分支PPTP/L2TP隧道，但是可以通过使用配置静态路由的方法来解决这个问题。

如图5-77所示，本实例背景同5.4.6节的实例，所不同的是各端局域网不再处于同一大网段中，其中：PPTP/L2TP客户端（北京）的局域网网段是192.168.16.0/255.255.255.0，PPTP/L2TP客户端（广州）的局域网网段是172.31.10.0/255.255.255.0，PPTP/L2TP服务器端（上海）的局域网网段是192.168.123.0/255.255.255.0。另外，在本例中，还增加了移动用户作为PPTP/L2TP客户端，其网段是10.10.10.0/255.255.255.255（由于在本例中，为PPTP/L2TP服务器配置的“地址池”是10.10.10.10~10.10.10.50）。

要实现北京、广州和移动用户之间通过PPTP/L2TP隧道互联，配置方法如下（以北京的HiPER VPN网关为例）：

 

1.        配置到上海的PPTP/L2TP隧道的相关参数

在VPN配置—>PPTP和L2TP中，选中“添加”选项，将“设置名”设置为“VPN_remote”、“远端内网IP地址”设置为“192.168.123.1”、“远端内网子网掩码”设置为“255.255.255.0”，如图5-78所示。

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　… …

图5-78 VPN隧道参数设置

 

2.        配置到广州的静态路由

在高级配置—>路由配置的“路由参数设置”中，选中“添加”选项，将“路由名”设置为“vpn_gz”、“目的网络”设置为“172.31.10.0”、“网络掩码”设置为“255.255.255.0”、“绑定”在 “VPN_remote”（第1步配置PPTP/L2TP隧道时填写的“设置名”），如图5-79所示。

图5-79 路由参数设置

 

3.        配置到移动用户的静态路由

在高级配置—>路由配置的“路由参数设置”中，选中“添加”按钮，将“路由名”设置为“vpn_mobile”、“目的网络”设置为“10.10.10.0”、“网络掩码”设置为“255.255.255.0”，“绑定”在 “VPN_remote”（第1步配置PPTP/L2TP隧道时填写的“设置名”），如图5-80所示。

图5-80 路由参数设置

 

　　北京的HiPER VPN网关和PPTP/L2TP服务器连接成功之后，在系统状态—>路由和端口信息的“路由表信息列表”中可以看到有到上海、广州、移动用户的路由，如表5-25所示，这就表示局域网中到上海（192.168.123.0/255.255.255.0）、广州（172.31.10.0/255.255.255.0）和移动用户（10.10.10.0/255.255.255.0）的访问数据都会通过PPTP/L2TP隧道转发。

表5-25 路由表信息列表

 

　　广州的HiPER VPN网关作同样的配置。这样，当北京和上海、广州和上海、移动用户和上海之间的PPTP/L2TP隧道均连接成功之后，北京和广州的局域网用户以及移动用户就可以通过PPTP/L2TP隧道（在上海中转）进行相互访问，上海、北京、广州以及移动用户之间就实现了多分支PPTP/L2TP隧道互联。

 

 提示：

1.        不需要调整PPTP/L2TP服务器端的原先设置的参数“远端内网IP地址”和“远端内网子网掩码”。

2.        如果移动用户按照章节5.4.5的方式配置了计算机，那么在这个方案中移动用户还要添加到北京、广州的静态路由。

route add 192.168.16.0 mask 255.255.255.0 10.10.10.90

route add 172.31.10.0 mask 255.255.255.0 10.10.10.90

 

八、  备注

以上内容涉及到的其他厂商的产品型号以及软件版本如表5-26所示：

表5-26 其他厂商产品型号及软件版本