ORB305路由器与华为防火墙构建L2TP VPN配置指导手册

一、服务器端（华为防火墙）设置：
1.web登入防火墙并打开L2TP配置页面。

启用L2TP并应用。

3.新建L2TP组：
3.1：填写“组名称”；组类型选择“LNS”；填写本地隧道名称；取消勾选“隧道密码认证”；认证域选择“default”；隧道关联安全域选择“untrust”。认证方式选择“CHAP”。

3.2在“服务器地址/子网掩码”填写10.8.10.1/24，地址/地址池选择“用户地址池”用户地址池出下拉选择“新建地址池。”

名称填写可自定义，地址池范围填写“10.8.10.2-10.8.10.100”即可。填写完成后点击保存。

3.3新建用户：点击“对象-用户-default”。场景选择L2TP/L2TP over IPsec即可。在列表点击“新建用户”。

填写登录名和密码即可。两次输入密码要一致。不然无法保存。输入后点击确定

在页面最下方点击“应用”。

3.4新建安全策略：点击“策略-安全策略-安全策略-新建-新建安全策略”

名称添加“L2TP”（可自定义）；源安全区域、目的安全区域、源地址、目的地址下拉选择“any”；用户下拉选择“default”。服务下拉选择“L2TP”；点击确定。

二、客户端配置：
ORB305
点击“网络-VPN-L2TP”：
勾选“启用”；远端地址填写防火墙的公网IP地址；用户名密码填写在华为防火墙default中添加的用户名及密码；认证类型选择“chap”；远端子网填防火墙下设备的子网地址及掩码。保存并应用。

2.在“状态-VPN”查看VPN连接状态。

可以看到本地获得的ip是10.8.10.10（此IP地址下一步要用），远端ip是10.8.10.1。
ORB301
点击“VPN功能-L2TP-L2TP客户端-”：
勾选“启用”；服务器地址填写防火墙的公网IP地址；用户名密码填写在华为防火墙default中添加的用户名及密码；认证类型选择“chap”；远端子网填防火墙下设备的子网地址及掩码。保存并应用。

2.在“状态-VPN”查看VPN连接状态。

三、路由设置：
点击“网络-路由-静态路由-新建”，新建一条静态路由：

目的地址填写“192.168.2.0/24”，下一跳填写“10.8.10.10”。