基于openwrt平台搭建局域网技术验证之二

1、测试目的

验证l2tp服务器模式的可行性。

提供vpn-l2tp模式的服务器功能，供客户端连接访问内网

2、参考资料

参考连接1：https://www.jianshu.com/p/ccf8f2cca70e

参考连接2：https://openwrt.org/docs/guide-user/services/vpn/ipsec/openswan/openswanxl2tpvpn

3、测试过程

测试过程需要用到的资源：

• • 路由器一个
  • win7系统电脑俩台
  • 交换机一个
  • 网线三根

测试组网如下图所示：

组网说明：

R0公司路由器

S1 交换机

R1 路由器1

PC1 个人电脑1

PC2 个人电脑2

 

• ①(R0) lan口接(S1)，保证(S1)接出去的设备可以访问互联网。
• ②(S1)分别接(R1)wan口和(PC1)，确保俩个设备可以正常上网。
• ③(PC1)接(s1)后可以获取到以太网的ip,此处是192.168.21.103(郭乙标的ip测试时请修改成自己的ip，静态ip)
• ④(R1)wan口接(S1) 后可以获取到以太网的ip，wan口ip是192.168.21.46(最好设置成静态ip，动态ip的话需要注意在客户端连接的时候检查ip是否改变)
• ⑤(R1)lan口网关地址是192.168.1.1
• ⑥(PC2)通过无线连接到(R1)上，分配得到的ip是192.168.1.244。该ip是动态获取的，后续测试需要注意此ip地址是否改变。因为我们要访问这个(PC2),所以必须要知道其ip是多少。
• ⑦在(PC1)发起pptp连接请求后，如果连接成功的话会获取的pptp服务器分配的ip，

此时是192.168.0.20，此ip测试时可以不用关心。对于我们来说不用care这个ip，内核会自己对这个ip做处理。

与pptp服务器的组网是一样的方式，唯一不同的是R1中在配置的时候开启的是l2tp的服务。PC1在连接的时候是采用l2tp的方式进行连接的。

3.1 、搭建环境

硬件环境

CPU:MTK7628n

DDR:128M

Flash:16M

软件环境

Openwrt:14.07

Linux:3.10.14

3.2、测试步骤

• 编译，在openwrt源码目录下make menuconfig，配置l2tp服务器需要的包。

ipsec-tools,

iptables-mod-ipsec,

kmod-crc-ccitt,

kmod-crc16,

kmod-crypto-aes,

kmod-crypto-arc4,

kmod-crypto-authenc,

kmod-crypto-core,

kmod-crypto-des,

kmod-crypto-hmac,

kmod-crypto-md5,

kmod-crypto-sha1,

kmod-ipsec,

kmod-ipsec4,

kmod-ppp，

openswan，

ppp，

xl2tpd，

这些包需要在可视化界面配置上，然后执行make V=s，编译出原始固件。

二、  将编译出的

bin/ramips/openwrt-ramips-mt7628-mt7628-squashfs-sysupgrade.bin烧写到路由器中。并启动。

三、  修改/etc/xl2tpd/xl2tpd.conf文件：

[global]
ipsec saref = yes
saref refinfo = 30

;debug avp = yes
;debug network = yes
;debug state = yes
;debug tunnel = yes

[lns default]
ip range = 192.168.100.100 - 192.168.100.200
local ip = 192.168.100.99
refuse pap = yes
require authentication = yes
;ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes

四、  修改/etc/ppp/options.xl2tpd文件：

require-mschap-v2
ms-dns 192.168.100.99
auth
mtu 1200
mru 1000
crtscts
hide-password
modem
name l2tpd
proxyarp
lcp-echo-interval 30
lcp-echo-failure 4

五、  修改/etc/ppp/chap.secrets文件：

#USERNAME  PROVIDER  PASSWORD  IPADDRESS（客户端登录时的用户名，服务器名,*代表任何服务器都可以，客户端登录时的密码，客户端登录时的ip，*代表任何ip都可以）
caoft1   *       123456  *				
caoft2   *       12345678        *

六、   修改/etc/firewall.user文件：

iptables -A forwarding_rule -i ppp+ -j ACCEPT ## luci-app-pptpd

iptables -A forwarding_rule -o ppp+ -j ACCEPT ## luci-app-pptpd

iptables -A output_rule -o ppp+ -j ACCEPT ## luci-app-pptpd

iptables -A input_rule -i ppp+ -j ACCEPT ## luci-app-pptpd

• 七、重启路由，l2tp服务器已经配置好
• 八、（PC2）关闭Ipsec加密服务，由于openswan与我们的linux版本不兼容，导致Ipsec加密工具openswan编译不过，此处为了验证功能，先将加密去掉。关闭过程如下：

运行regedit.exe，找到如下路径：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters，

在Parameters目录上右键选择新建，创建ProhibitIpSec注册表项，选择DWORD类型并将其设置为 1 的值

 

• 九、配置客户端(PC2)过程

其中①-④按照图中步骤选择即可。

• ⑤ Internet地址是vpn服务器公网ip地址，我们没有公网ip，这里使用的是路由器的wan口进行连接。即组网环境中的192.168.21.46 目标名称可以随便取，

回显示在你的网络环境中。

• ⑥输入服务器为你分配的用户名和密码，即步骤五配置文件中的内容
• ⑦点连接即可。

 

十、      (PC1)通过无线连接(R1),获取到的ip是192.168.1.244

 

十一、    从(PC2)访问(PC1)(为了排除防火墙干扰，R1，PC1，PC2的防火墙全部是关闭状态)

①ping访问：在(PC2)运行里输入cmd，进入命令行模式，ping 192.168.1.244

②http访问：需要在(PC1)安装iis，百度搜索下载安装即可，在(PC2)浏览器中输入192.168.1.244。

③远程登录：需要在(PC1)确认远程登录已开启，在(PC2)运行里输入mstsc -v 192.168.1.244

远程登录开启连接：https://jingyan.baidu.com/article/63f23628177e6d0209ab3d60.html

4、测试结果

• PC2能够ping 通192.168.1.244，即PC1的地址，没有数据丢失会连接超时。
• PC2能够打开192.168.1.244的网页，网页内容如下：

• PC2可以远程登录到PC1上，并成功控制PC1的电脑。