L2TP VPN

这也可能是有用的，就像任何其他的隧道协议，带或不带加密使用L2TP。L2TP的标准说，最安全的方式对数据进行加密，使用L2TP over IPSec的（请注意，它是微软L2TP客户端的默认模式）所有L2TP控制和数据包为特定的隧道出现均匀UDP / IP数据包IPsec的系统。

支持多链路PPP（MP），以提供MRRU（能力全尺寸的1500和较大的数据包传输）和跨过PPP链路（使用桥控制协议（BCP），允许PPP链路发送原始以太网帧）。这种方式，有可能没有EoIP设置桥接。这座桥应该有一个行政设置的MAC地址或类似以太网接口，，PPP链路没有MAC地址。

L2TP包括PPP的认证和计费为每个L2TP连接。完整的认证和计费，每个连接可透过RADIUS客户端或本地。

支持MPPE 40位RC4和MPPE 128位RC4加密。

L2TP流量使用UDP协议的控制和数据包。UDP端口1701仅用于链路建立的，进一步的交通使用任何可用的UDP端口（它可能是也可能不是1701）。这意味着，L2TP可以使用大多数防火墙和路由器（甚至NAT）使UDP流量通过防火墙或路由器路由。

子菜单： /接口L2TP客户端

财产 描述

添加默认路由（是没有默认值：无） 是否要添加L2TP的远程地址作为默认路由。

允许（MSCHAP2 | mschap1 |第一章| PAP，默认：MSCHAP2 MSCHAP1，第一章，子宫颈） 宠物的身份验证方法。

（IP 连接，默认） L2TP服务器的远程地址

按需拨号（是没有默认值：无）

残疾人（有没有 ;默认：是） 无论是接口被禁用或没有。默认情况下，它被禁用

最大MRU（整数默认值：1460） 最大接收单元。L2TP接口的最大数据包大小将能够接收无包碎片。

最大MTU（整数默认值：1460） 最大传输单元。最大数据包大小，L2TP接口能够发送无包碎片。

MRRU（禁用整数 ;默认：禁用） 链接可以接收的最大数据包大小。如果一个数据包是大于MTU隧道，将被分成多个包，允许原图IP或以太网要发送的数据包在隧道。阅读更多>>

名称（字符串，默认） 接口的描述性名称。

密码（字符串，默认：“” ） 用于身份验证的密码。

个人资料（姓名，默认：默认加密） 使用PPP轮廓。

用户（字符串，默认） 用于身份验证的用户名。

这个例子演示了如何建立L2TP客户端的用户名“L2TP-HM”，密码为“123”和服务器10.1.101.100

[管理员@ dzeltenais_burkaans] /接口L2TP客户端添加名称= L2TP HM用户= L2TP HM密码= 123 \

\ ... 连接= 10.1.101.100禁用=无

[管理员@ dzeltenais_burkaans] /接口L2TP客户端>打印详细   

标志：X  - 停用，R  - 运行 

 0名“L2TP-HM”最大MTU = 1460最大MRU = 1460 MRRU =禁用 

      连接= 10.1.101.100用户的=“L2TP-HM”密码=“123” 

      简介=默认加密添加默认路由没有拨号点播=无 

      允许= PAP，CHAP MSCHAP1 MSCHAP2 

子菜单： /接口L2TP服务器

此子菜单显示每个连接的L2TP客户端的接口。

创建一个接口为每个给定的服务器建立隧道。L2TP服务器的配置中，有两种类型的接口

如果有一个需要引用的特定用户创建的特定接口的名称（在防火墙规则或其他地方），静态接口加入行政。

动态接口添加到此列表时自动连接用户，其用户名不符合任何现有的静态条目（或情况下，项目已经处于活动状态，不能有两个单独的隧道接口的同名引用）。

动态接口，用户连接时出现和消失，一旦用户断开连接，所以它是不可能引用隧道创建，使用路由器的配置（例如，防火墙），所以如果你需要一个持久的规则，用户，创建一个静态条目为他/她。否则它是安全的使用动态配置。

注： 在这两种情况下，PPP用户必须正确配置-静态条目不更换PPP配置。

子菜单： /接口L2TP服务器服务器

财产 描述

认证（PAP |第一章| MSCHAP1 | MSCHAP2 ;默认：MSCHAP1，MSCHAP2） 认证服务器将接受的方法。

默认配置文件（名称，默认：默认加密）

启用（是|没有预设值：无） 定义L2TP服务器是否启用与否。

最大MRU（整数默认值：1460） 最大接收单元。L2TP接口的最大数据包大小将能够接收无包碎片。

超时keeplaive的（整数默认值：30） 如果服务器存活期间没有收到任何数据包时，它会发送keepalive报文的每一秒的五倍。如果服务器没有收到客户端的响应，然后5秒后断开。日志会显示5X“LCP错过回音应答”消息，然后断开连接。在可利用的从v5.22 v6rc3开始。

最大MTU（整数默认值：1460） 最大传输单元。最大数据包大小，L2TP接口能够发送无包碎片。

MRRU（禁用整数 ;默认：禁用） 链接可以接收的最大数据包大小。如果一个数据包是大于MTU隧道，将被分成多个包，允许原图IP或以太网要发送的数据包在隧道。阅读更多>>

要启用L2TP服务器：

[管理员@ MikroTik的接口L2TP服务器服务器>设置启用=

[管理员@ MikroTik的接口L2TP服务器服务器>打印

          启用：是

          最大MTU：1460

          最大MRU：1460

             MRRU：禁用

   验证：PAP，CHAP MSCHAP1 MSCHAP2

  默认配置：默认加密

[管理员@ MikroTik的接口的L2TP服务器服务器>

监控命令可用于客户端和服务器上的隧道监控状态。

[管理员@ dzeltenais_burkaans] /接口L2TP客户端>监视0

     状态：“连接”

     运行时间：7h24m18s

  空闲时间：6h21m4s的

   编码：“MPPE128无国籍”

        MTU：1460

        MRU：1460

财产 描述

状态（） 当前L2TP地位。的值以外的“连接”表示有一些问题estabising隧道。

拨号 -试图建立连接

验证密码 -连接已经建立到服务器，密码验证正在进行中

连接 -隧道建立成功

终止 -接口未启用或对方将无法建立连接

正常运行时间（时间） 成立以来经过的时间隧道。

空闲时间（时间） 经过时间隧道自去年活性。

编码（） 使用的加密方法

MTU（整数） 谈判和使用的MTU

使用mru（整数） 谈判和使用MRU

下面的例子演示了如何将计算机连接到一个远程办公网络通过L2TP加密隧道给该计算机的IP地址相同的网络远程办公室（无需跨过EoIP隧道）

考虑下面的设置

办公室路由器连接到互联网，通过ether1的。工作站连接到ether2。笔记本电脑连接到互联网，并可以达到办公室路由器的公网IP（在我们的例子中，它是192.168.80.1）。

第一步是创建一个用户

[管理员@ RemoteOffice] / PPP秘密>添加名称=笔记本维修= L2TP密码= 123

本地地址=的10.1.101.1远程地址= 10.1.101.100

[管理员@ RemoteOffice] / PPP的秘密>打印详细

标志：X  - 禁用

  0名称=“笔记本电脑”的服务= L2TP呼叫者ID =“”密码=“123”配置文件=默认

      本地地址= 10.1.101.1远程地址= 10.1.101.100航线==“”

[管理员@ RemoteOffice] / PPP秘密>

注意L2TP本地地址是相同的作为路由器的本地接口和远程地址的地址形成本地网络中的相同的范围内（10.1.101.0/24）。

下一步是在笔记本电脑上启用L2TP服务器和L2TP客户端。

启用[管理员@ RemoteOffice] /接口L2TP服务器服务器>设置=

[管理员@ RemoteOffice] /接口L2TP服务器服务器>打印

            启用：是

            最大MTU：1460

            最大MRU：1460

               MRRU：禁用

     验证：MSCHAP2

    默认配置：默认加密

[管理员] /接口RemoteOffice的L2TP服务器服务器>

L2TP客户端的笔记本电脑连接到路由器的公网IP，在我们的例子中是192.168.80.1 

，请咨询各自的手册就如何建立一个L2TP客户端，您正在使用的软件。

在这一点上（L2TP客户端连接成功时），如果你会尝试，ping任何工作站形式的笔记本电脑，乒乓球会在一定时间出来，因为笔记本电脑是无法得到的ARP工作站。解决办法是设立本地接口上的 ARP代理

[管理员_AT_ RemoteOffice]以太网接口设置ether2 ARP代理ARP

[管理员@ RemoteOffice接口以太网打印

标志：X  - 停用，R  - 运行

  ＃NAME MTU MAC地址的ARP

  0 R ether1的1500零点30分04秒F：0B：7B：C1启用

  1 R ether2 1500零点30分04秒F：06:62:12代理ARP

[管理员@ RemoteOffice接口以太网>

启用代理ARP后的客户端能够顺利到达本地网络中的所有工作站后面的路由器。

下面是一个例子，在互联网上使用L2TP隧道连接两个内部网。

考虑下面的设置

办公室和家庭路由器连接到互联网，通过ether1的，工作站和笔记本电脑连接到ether2。本地网络的路由通过L2TP客户端，因此，他们并不在同一个广播域中。如果两个网络应该是在同一个广播域，那么你需要与当地的接口使用BCP和桥梁的L2TP隧道。

第一步是创建一个用户

[管理员@ RemoteOffice / PPP的秘密>添加名称=服务= L2TP密码= 123

本地地址172.16.1.1的远程地址= 172.16.1.2航线的=“10.1.202.0/24 172.16.1.2 1”

[管理员@ RemoteOffice] PPP秘密>打印详细

标志：X  - 禁用

  0名称=“家”的服务= L2TP呼叫者ID =“”密码=“123”配置文件=默认

      本地地址172.16.1.1的远程地址= 172.16.1.2航线的==“10.1.202.0/24 172.16.1.2 1”

[管理员@ RemoteOffice] / PPP秘密>

请注意，我们设立的L2TP客户端连接时添加路由。如果没有设置这个选项，那么你就需要在服务器上配置静态路由路线交通站点之间通过L2TP隧道。

下一步是办公室路由器上启用L2TP服务器和主页上的路由器配置L2TP客户端。

启用[管理员@ RemoteOffice] /接口L2TP服务器服务器>设置=

[管理员@ RemoteOffice] /接口L2TP服务器服务器>打印

            启用：是

            最大MTU：1460

            最大MRU：1460

               MRRU：禁用

     验证：MSCHAP2

    默认配置：默认加密

[管理员] /接口RemoteOffice的L2TP服务器服务器>

[管理员] /接口L2TP客户端>添加用户=密码= 123连接= 192.168.80.1残疾人=

[管理员@首页] /接口L2TP客户端打印

标志：X  - 停用，R  - 运行

 0 R名称=“L2TP OUT1”最大MTU最大MRU = 1460 = 1460 MRRU =禁用连接= 192.168.80.1用户=“家” 

       密码=“123”模式=默认加密添加默认路由没有拨号点播= 

       允许= PAP，CHAP MSCHAP1 MSCHAP2

[管理员@首页] /接口L2TP客户端>

在家用路由器，你需要手动添加路由，或者你也可以使用配置文件，客户端连接时，它会自动添加。在这种情况下，我们会使用手动路线：

[管理员@首页] / IP路由>添加DST地址= 10.1.101.0/24网关= L2TP OUT1

隧道建立后，路由设置，你应该能ping远程网络。

BCP（桥控制协议）

禁用IPSec与L2TP使用在Windows

MikroTik的RouterOS软路由的和Windows XP IPSEC/L2TP