Конфигурирование L2TP LNS
Постройте схему в соответствии с рисунком ниже:
Рисунок
В данной схеме EcoRouter выполняет роль LNS (L2TP Network Server). LAC (L2TP Access Concentrator) отсутствует в схеме, его функции берут на себя абонентские устройства L2TP1 и L2TP2 выстраивая L2TP туннели до BMI-интерфейса на EcoRouter.
Настройте EcoRouter в качестве LNS
enable
configure
hostname EcoRouter
ip prefix-list ANY permit any
# Настройка параметров группы RADIUS-серверов
radius-group test
# Пароль pass1234 — идентичен настроенному на RADIUS
radius-server 10.1.1.2 secret pass1234 priority 10
subscriber-aaa test
authentication radius test
ip pool POOL
# Назначение диапазона IP-адресов для абонентов
range 192.168.1.10-192.168.1.20
# Карта фильтрации разрешающая любой IPv4 трафик
filter-map policy ipv4 test 10
match any any any
set accept
# Настройка политики для абонентов
subscriber-policy test
bandwidth in mbps 10
bandwidth out mbps 10
set filter-map in test
set filter-map out test
# Настройка сервиса абонентов
subscriber-service test
set policy test
ppp-options PPP
# Подключить AAA-профиль
set aaa test
# Подключить сервис абонентов
set subscriber-service test
# Выбрать возможные способы аутентификации
authentication pap chap
# Подключить пул адресов абонентов
pool ipv4 POOL 1
# Задать шлюз по умолчанию
gateway 192.168.1.1
l2tp-profile L2TP
# Подключить профиль PPP
set ppp-options PPP
# Принимать любые адреса отправителя (source)
set allowed-ip ANY
# Наименование производителя
vendor-name EcoRouter
port ge0
service-instance bmi
encapsulation untagged
port ge1
service-instance e1
encapsulation untagged
port ge2
mtu 9728
service-instance rad
encapsulation untagged
interface bmi.1
connect port ge0 service-instance bmi
ip address 10.10.10.1/24
# Подключение профиля L2TP
set l2tp-profile L2TP
interface e1
ip mtu 1500
connect port ge1 service-instance e1
ip address 20.20.20.1/24
interface rad
ip mtu 1500
connect port ge2 service-instance rad
ip address 10.1.1.1/24
Настройте RADIUS
Сервер RADIUS настраивается так чтобы принимать любые запросы на авторизацию пользователей и присваивать им абонентский сервис test настроенный на EcoRouter.
Настройте интерфейс командой ip a a 10.1.1.2/24 dev eth0.
/etc/raddb/clients.conf
client router {
ipaddr = 10.1.1.1
secret = pass1234
}/etc/raddb/dictionary
VENDOR RDP 45555
BEGIN-VENDOR RDP
ATTRIBUTE SERVICE_NAME 250 string
END-VENDOR RDP/etc/raddb/users
DEFAULT Auth-Type := Accept
SERVICE_NAME += "test"Настройте L2TP1
Настройте интерфейс командой ip a a 10.10.10.10/24 dev eth0.
/etc/ppp/pap-secrets
# Secrets for authentication using PAP
# client server secret IP addresses
"admin10" * "admin10" */etc/xl2tpd/xl2tpd.conf
[global]
auth file = /etc/ppp/pap-secrets
ipsec saref = no
force userspace = no
access control = no
debug avp = yes
debug network = yes
debug packet = yes
debug state = yes
debug tunnel = yes
[lac admin10]
lns = 10.10.10.1
redial = yes
redial timeout = 15
refuse chap = yes
require pap = yes
require authentication = yes
name = admin10
pppoptfile = /etc/ppp/options.l2tpd
autodial = yes
ppp debug = yes /etc/ppp/options.l2tpd
persist
maxfail 0
nopcomp
noaccomp
defaultroute
replacedefaultroute
debug
noproxyarp
require-pap
refuse-eap
refuse-chap
refuse-mschap
refuse-mschap-v2
name admin10
noauth
Настройте L2TP2
Настройте интерфейс командой ip a a 20.20.20.20/24 dev eth0.
Настройте маршрут к интерфейсу BMI на EcoRouter командой ip route add 10.10.10.1/32 via 20.20.20.1.
/etc/ppp/pap-secrets
# Secrets for authentication using PAP
# client server secret IP addresses
"admin20" * "admin20" */etc/xl2tpd/xl2tpd.conf
[global]
auth file = /etc/ppp/pap-secrets
ipsec saref = no
force userspace = no
access control = no
debug avp = yes
debug network = yes
debug packet = yes
debug state = yes
debug tunnel = yes
[lac admin20]
lns = 10.10.10.1
redial = yes
redial timeout = 15
refuse chap = yes
require pap = yes
require authentication = yes
name = admin20
pppoptfile = /etc/ppp/options.l2tpd
autodial = yes
ppp debug = yes/etc/ppp/options.l2tpd
persist
maxfail 0
nopcomp
noaccomp
defaultroute
replacedefaultroute
debug
noproxyarp
require-pap
refuse-eap
refuse-chap
refuse-mschap
refuse-mschap-v2
name admin20
noauthДля запуска L2TP используйте команду xl2tpd.
Для перезапуска L2TP используйте последовательно команды pkill xl2tpd и xl2tpd.
Проверьте работу построенной схемы
На L2TP2 для проверки соединения с LNS выполните ping 10.10.10.1.
На EcoRouter для проверки соединения с RADIUS выполните ping 10.1.1.2.
На L2TP1 и L2TP2 командой ip a проверьте появился ли PPP интерфейс.
На EcoRouter командой show subscribers проверьте наличие двух присоединённых абонентов: admin10 и admin20.