开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

Mikrotik路由器后L2TP服务器的正确NAT和防火墙规则

基础概念

L2TP（Layer 2 Tunneling Protocol）：L2TP是一种二层隧道协议，通常与IPSec结合使用，用于在公共网络（如互联网）上建立安全的虚拟私人网络（VPN）连接。

NAT（Network Address Translation）：NAT是一种网络技术，用于将私有IP地址转换为公共IP地址，以便在互联网上进行通信。

防火墙规则：防火墙规则用于控制网络流量，允许或阻止特定类型的流量通过路由器。

相关优势

安全性：L2TP结合IPSec提供强大的加密和认证机制，确保数据传输的安全性。
灵活性：L2TP可以在多种网络环境中部署，支持多种设备和操作系统。
NAT穿透：通过正确的NAT配置，可以使L2TP客户端能够穿越NAT设备，实现远程访问。
防火墙保护：通过配置防火墙规则，可以有效防止未经授权的访问和网络攻击。

类型

L2TP over IPSec：最常见的L2TP实现方式，结合了L2TP的二层隧道能力和IPSec的安全加密能力。
L2TP over GRE：将L2TP封装在GRE（Generic Routing Encapsulation）隧道中，适用于特定的网络环境。

应用场景

远程访问：允许员工从远程位置安全地访问公司内部网络。
分支机构连接：连接分布在不同地理位置的分支机构，实现数据共享和通信。
移动办公：支持移动设备通过安全的VPN连接访问公司资源。

配置示例

以下是一个在Mikrotik路由器上配置L2TP服务器、NAT和防火墙规则的示例：

1. 启用L2TP服务器

/ip l2tp-server
set enabled=yes
set users=1
set user1.name="user1"
set user1.password="password1"

2. 配置NAT

/ip firewall nat
add chain=dstnat protocol=tcp dst-port=1701 action=redirect to-ports=1701,500,4500
add chain=srcnat out-interface=ether1 action=masquerade

3. 配置防火墙规则

/ip firewall filter
add chain=input action=accept protocol=icmp
add chain=input action=accept connection-state=established,related
add chain=input action=accept protocol=l2tp
add chain=input action=drop

常见问题及解决方法

1. L2TP连接失败

原因：可能是由于NAT配置不正确或防火墙规则阻止了L2TP流量。

解决方法：

确保NAT规则允许L2TP流量通过。
检查防火墙规则，确保允许L2TP流量。

2. 客户端无法穿越NAT

原因：可能是由于NAT类型不兼容或NAT配置不正确。

解决方法：

使用NAT穿透技术，如STUN（Session Traversal Utilities for NAT）。
确保NAT规则正确配置，允许L2TP流量通过。

3. 安全性问题

原因：可能是由于IPSec配置不正确或密钥管理不当。

解决方法：

确保IPSec配置正确，使用强密钥和适当的加密算法。
定期更新密钥，确保安全性。

参考链接

通过以上配置和解决方法，您应该能够在Mikrotik路由器上成功部署L2TP服务器，并正确配置NAT和防火墙规则。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

CentOS搭建VPN服务，一次性成功，收藏了

虚拟私人网络（英语：Virtual Private Network，缩写为VPN）是一种常用于连接中、大型企业或团体与团体间的私人网络的通讯方法。虚拟私人网络的讯息透过公用的网络架构（例如：互联网）来传送内部网的网络讯息。它利用已加密的通道协议（Tunneling Protocol）来达到保密、发送端认证、消息准确性等私人消息安全效果。这种技术可以用不安全的网络（例如：互联网）来发送可靠、安全的消息。需要注意的是，加密消息与否是可以控制的。没有加密的虚拟专用网消息依然有被窃取的危险。

04

VPN中l2tp连接失败指南

809错误或显示无法建立计算机与 VPN 服务器之间的网络连接，因为远程服务器未响应。这可能是因为未将计算机与远程服务器之间的某种网络设备(如防火墙、NAT、路由器等)配置为允许 VPN 连接。请与管理员或服务提供商联系以确定哪种设备可能产生此问题。

03

10张图片教会你配置ipsec vpn

跨地区联网办公最经济实惠的方式，莫过于ipsec vpn，笔者此前也不止一次地写过ipsec vpn的配置方法，但是总有网友说太复杂了，今天我非要给各位看官来个简单版的教程，只用10张图片，就能展示华为防火墙配通外网，并且配通总部与分支机构的ipsec vpn。

01

当GRE遇上IPSec后，安全性终于有了保障

BJ_FW身后有一个服务器，CS_FW与CD_R后面的client需要访问这个服务器，希望不把服务器暴露在公网上面，能实现的那就只有GRE与IPSec了，但是GRE没有安全性保障，IPSec有安全性，那能不能把GRE与IPSec结合起来一起使用呢？下面先回顾下GRE的配置，把各个点之前打通，然后在这个基础上面尝试下用IPSec部署，看看有什么样的效果。

01

MikroTik RouterOS 产品初识

MikroTik这家公司部位于拉脱维亚，97年开发出RouterOS系统，02年开始销售自有硬件。我从2010年使用到现在才发现RouterOS真是最好用的路由系统，高灵活、可配置的系统。可以跑在x86、mips、arm、tile各种CPU上。如果只是为了试用或者不怕费电，完全可以跑在x86架构老主板上。但是我这篇文章主要介绍的是自家硬件也就是RouterBoard。我们来看看ROS的部分优点：

03

解决WIN10连不上L2TP类型的VPN问题

无法建立计算机与VPN服务器之间的网络连接，因为远程服务器未响应。这可能是因为未将计算机与远程服务器之间的某种网络设备（如防火墙、NAT、路由器等）配置为允许VPN连接。请与管理员或服务提供商联系以确定哪种设备可能产生此问题。

08

近期研究VPN的一些记录(OpenVPN,pptp,l2tp)

近期由于一些需要（特别是上Google），研究了下在VPS上搭建VPN服务器的方法。其中遇到一些坑，顺带记下来以备下次使用。

03

工业路由器和交换机之间有哪些区别

随着物联网产业的不断发展，无线工业路由器的发展也一路走俏，但是很多人都不知道它跟交换机有什么区别，下面就给大家讲解一下吧。

02

针对网络安全，有以下几点措施建议可以参考！

对于网络安全应包括两层含义，一是网络安全，二是访问控制的安全。在此我们给出全网网络安全建议。

02

Lighthouse Router (1): 在腾讯云轻量应用服务器上安装RouterOS并配置简单的端口转发

RouterOS 是由 MikroTik 公司开发的基于 Linux 内核的路由操作系统，是目前功能较强、应用较广的一款软路由系统，适用于中小企事业单位、网吧、宾馆和运营商。通过该软件可以将标准的 PC 电脑变成专业路由器，在软件的开发和应用上可以不断地更新和发展，使其功能在不断增强和完善。特别在无线、认证、策略路由、带宽控制和防火墙过滤等功能上有着非常突出的功能，其极高的性价比，受到许多网络人士的青睐。从镜像上，RouterOS 分为物理机使用的标准 RouterOS 镜像、适用于虚拟化平台的 Cloud Hosted Router 镜像和适用于交换机的 SwitchOS 镜像。

01

隧道保活超时或协商超时，该如何解决？

华为防火墙，配置了L2TP Over IPSec，但是用客户端远程拨入的时候，显示警告：“隧道保活超时或协商超时”

02

网络安全实验07 部署防火墙负载分担双击热备

该为某企业组网拓扑，两台防火墙都工作在网络互连层，上行链接路由器，下行连接二层交换机。防火墙与路由器间运行OSPF协议。现在希望两台防火墙以负载分担模式工作。正常情况下，防火墙A和B共同转发流量。当其中一台防火墙出现故障时，另一台防火墙转发全部业务。

01

深信服SCSA认证复习笔记三

深信服复习笔记三基础题目： 1.最大传输单元(MTU)用来通知对方所能接受数据服务单元的最大尺寸，说明发送方能够接受的有效载荷大小。是包或者帧的最大长度，一般以字节记。如果MTU过大，则路由器会拒绝此包，并下发通知源节点 2.Telnet是常用的远程控制Web服务器的方法。这个可以判断网络是不是畅通的这一种方法，ping命名不能准确表示是不是在可以上网。

02

手机工作室网络如何组建？

现在很多的招商项目都是手机工作室的，包括做试玩、抖音还有做手游的，少则几十台手机，多则几百、上千台手机来做业务。

01

×××-gre隧道H3C篇

×××隧道技术，通过一个公用网络(通常是因特网)建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道.

01

Lighthouse Router （一）：在腾讯云轻量应用服务器上安装 MikroTik RouterOS 并配置简单的端口转发

RouterOS 是由 MikroTik 公司开发的基于 Linux 内核的路由操作系统，是目前功能较强、应用较广的一款软路由系统，适用于中小企事业单位、网吧、宾馆和运营商。通过该软件可以将标准的 PC 电脑变成专业路由器，在软件的开发和应用上可以不断地更新和发展，使其功能在不断增强和完善。特别在无线、认证、策略路由、带宽控制和防火墙过滤等功能上有着非常突出的功能，其极高的性价比，受到许多网络人士的青睐。从镜像上，RouterOS 分为物理机使用的标准 RouterOS 镜像、适用于虚拟化平台的 Cloud Hosted Router 镜像和适用于交换机的 SwitchOS 镜像。　　本文旨在指导将 RouterOS CHR 安装到腾讯云轻量应用服务器，通过 WinBox 连接并管理 RouterOS 以及配置简单的端口转发。需要注意的是，本文所操作的服务器均位于中国大陆境外，从国内出发的数据包将正常经过国际出口，符合相关法律法规。

04

使用MikroTik产品配置我们的上网环境①

首先我们下载routeros的图形化配置工具winbox https://mikrotik.com/download 目前最新版本为3.18 并且只有exe版本，如果没有windows的同学请先安装wine来启动此程序。

02

华为防火墙L2TP Over IPSec，客户端无法连接，与对方建立连接超时，配置错误或网络故障

之前为某客户的华为防火墙配置了L2TP OVER IPSEC，突然发现无法连接了，UniVPN报错：与对方建立连接超时，配置错误或网络故障。

03

其他通用安全设备.md

1.1远臻综合运维参数：最佳操作系统位数：Microsoft Windows 2008中文版（Standard Server或Enterprise Server）建议使用64位操作系统，并安装最新系统补丁； CPU：Intel 处理器双核 2.0GHZ主频以上的处理器；建议8核以上；内存：16GB以上内存，建议32GB以上；硬盘：剩余磁盘空间：100GB以上，历史数据分析功能按实际情况，需另外存储空间，一般建议500G以上；网卡：千兆；支持数据库：Mysql、oracle（建议版本10g、11g）

02

网络安全实验14 配置IPSec VPN，实现私网之间的隧道互访

IPSec (Internet Protocol Security) 是一种开放标准的框架结构，用于为IP网络通信提供安全服务，确保数据的机密性、完整性和来源认证。它通常由两个主要部分组成：Authentication Header (AH) 和 Encapsulating Security Payload (ESP)，分别负责数据的认证和加密。IPSec VPN 利用这些安全机制，使远程用户或分支办公室能够通过不安全的公共网络（如互联网）安全地访问企业内部网络资源。

01

利用OpenV**实现跨地域跨网络机器互访

可能有不少人知道V**的，在其中有一部分人应该知道并在使用OpenV**或其相关技术。看看你的网络连接，是不是有TAP/TUN之类的虚拟网卡？是不是用过一些软件穿墙而出？有一些V**类型的穿墙工具其实也是基于OpenV**的，只不过可能自己再封装一个图形界面程序仅此而已。今天我要说的并不是穿墙的事，而是……如题。

02

什么是防火墙？

我们知道，原是指古代人们房屋之间修建的那道墙，这道墙可以防止火灾发生的时候蔓延到别的房屋。

02

001.网络TCP/IP工程知识点

一互联网概述计算机网络定义：由自主计算机互连起来的集合体。计算机网络两大部分：硬件：计算机、通信设备、接口设备和传输介质。软件：通信协议和应用软件。广域网拓扑结构通常有：网状拓扑结构和环形拓扑结构。局域网拓扑结构通常有：星形、环形、总线形和树形四种。计算机网络体系结构是指网络的层次和协议，目前主要有两大网络体系结构：OSI七层理论模型和TCP/IP应用模型。 OSI七层模型意义：1优化网络，将复杂的网络简单化。2定义良好的协议规范集，并有许多可选部分完成类似的任务。3提供一种标准，

03

什么是虚拟专用网以及有哪些实现方式（VPN篇）

虚拟专用网（VPN）相信IT人员是最熟悉的了，就算是一个不懂技术的多多少少也听过这个技术名词，特别是去年疫情其间流行的远程办公，大部分就通过VPN技术实现的，下面博主用实际场景介绍来带你走进新的知识点篇，企业组网常见的VPN系列。

01

Centos7.2下部署L2TP/IPsec类型的VPN环境记录

之前在机房部署了PPTP的V**环境，后面发现有的同事使用的mac本不能连接PPTP，原因是IOS10.0系统以后就不支持PPTP的V**了，于是打算将V**更换L2TP类型的。 L2TP是一种工业标准的Internet隧道协议，功能大致和PPTP协议类似，比如同样可以对网络数据流进行加密。不过也有不同之处: 1）PPTP要求网络为IP网络，L2TP要求面向数据包的点对点连接； 2）PPTP使用单一隧道，L2TP使用多隧道； 3）L2TP提供包头压缩、隧道验证，而PPTP不支持。 4）L2TP的可应用性更为广泛，很多路由不支持PPTP穿透

03

Linux学习(2)——防火墙设置

防火墙分类 (一)、包过滤防火墙。数据包过滤(packet Filtering)技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，称为访问控制表(access control lable,ACL)。通过检查数据流中每个数据包的源地址和目的地址，所用的端口号和协议状态等因素，或他们的组合来确定是否允许该数据包通过包过滤防火墙的优点是它对用户来说是透明的，处理速度快且易于维护。缺点是：非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击；数据包的源地址、目的地址和IP的端口号都在数据包的头部，可以很轻易地伪造。“IP地址欺骗”是黑客针对该类型防火墙比较常用的攻击手段。 (二)、代理服务型防火墙代理服务(proxy service)也称链路级网关或TCP通道。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨跃防火墙的网络通信链路分为两段。当代理服务器接收到用户对某个站点的访问请求后就会检查请求是否符合控制规则。如果规则允许用户访问该站点，代理服务器就会替用户去那个站点取回所需的信息，再转发给用户，内外网用户的访问都是通过代理服务器上的“链接”来实现的，从而起到隔离防火墙内外计算机系统的作用。

06

第十三章 iptables 防火墙（一）

防火墙（firewall）一词本是建筑用于，本意是为了保护建筑物不受火灾侵害的。被借鉴到了在网络通信领域中，表示保护局域网或主机不受网络攻击的侵害。

04

工业互联网一体化便携式演示实验平台

为了实践工业互联网场景，北京伟联科技通过理论研究和实证试验相结合的方法，构建起集数据采集、网络交换、无线通讯、工业协议转换、数据库交互、数据上云、网络防护、SCADA系统WEB发布、SCADA系统APP访问以及4G，5G远程维护为一体的演示实验平台，为学校实验室和企业培训提供了研究工业互联网络场景仿真的全新途径。

03

防火墙L2TP over IPSec VPN (Window7终端拨号)典型配置

Comware V7防火墙设备作为VPN总部，电脑客户、移动终端通过中间跨越运营商网络拨入L2TP over IPSec VPN实现访问内网服务器的需求。

01

反向L2TP拨号，接入公司网络

2019肺炎还没有结束，今天第一天远程复工，前几天介绍了一个全局连回公司网络的方案。但有人私信我，公司没有为了临时办公搭建V**的准备，大多公司的临时解决方案是用TeamViewer类软件来实现远程连接方案。这类方案基本都不是直连状态，都是需要去第三方公司绕一圈再连上，第一会卡顿特别是同一公司多人在使用的情况下，更关键的这绕了一圈安全性也不好说。那有没有其他的解决方案呢？

01

网络安全实验15 配置GRE over IPSec VPN，实现私网之间通过隧道安全互访

01

这是最省钱的异地组网方案了吗？

异地组网，也算是老生常谈的话题了，但是每次都会有不同的网络状况、不同品牌的设备，不同的客户需求，所以每次的记录和分享也就显得有些必要了。

00

云计算学习2

4 网络加密 VPN virtual private network 虚拟个人网络：长连接和加密 L2TP(layer 2 tunneling protocol) 二层隧道协议 VPLS(virtual private lan service)虚拟私有局域网服务 IPsec(internet protocol security)网际协议安全 EoMPLS(ethernet over MPLS)基于多协议标签交换的以太网协议个人使用最多的是IPsec SSL IPsec 数据打包加密后在因特网上传输，对端点

08

华为防火墙配置端口映射，并且在内网也能用外网的IP和端口访问

小型企业，一般就在路由器和防火墙之间二选一，不太会同时上两个设备，在他们眼里，防火墙和路由器都一样，无非就是用来上网，这么认为其实也的确无可厚非，因为现在的产品，边界越来越模糊，小型网络里面，用户要求不高，貌似选哪个都差不多。

03

Lighthouse Router （二）：在腾讯云轻量应用服务器上使用 MikroTik RouterOS 在数据中心之间配置隧道

RouterOS 是由 MikroTik 公司开发的基于 Linux 内核的路由操作系统，是目前功能较强、应用较广的一款软路由系统，适用于中小企事业单位、网吧、宾馆和运营商。通过该软件可以将标准的 PC 电脑变成专业路由器，在软件的开发和应用上可以不断地更新和发展，使其功能在不断增强和完善。特别在无线、认证、策略路由、带宽控制和防火墙过滤等功能上有着非常突出的功能。　　本文旨在介绍在腾讯云轻量应用服务器上使用 MikroTik RouterOS CHR 6.48.1 在腾讯云新加坡数据中心和 AWS 新加坡数据中心的两台服务器上配置隧道。　　需要注意的是，本文所操作的服务器均位于新加坡共和国，服务器之间的加密数据通信均属新加坡共和国国内通信交换，符合相关法律法规。　　本文为《Lighthouse Router （一）：在腾讯云轻量应用服务器上安装 MikroTik RouterOS 并配置简单的端口转发》一文的续集。若您尚未了解 MikroTik RouterOS 的安装和配置，请移步 https://www.idc.moe/archives/qcloud-Lighthouse-RouterOS-1.html 开始您的第一步。

03

网络安全第四讲防火墙工作原理及应用

网络信息安全第四讲防火墙工作原理及应用一防火墙概念与分类 1.防火墙简介防火墙允许授权的数据通过，而拒绝未经授权的数据通信。网络防火墙是隔离内部网与Internet之间的一道防御系统，允许人们在内部网和开放的Internet之间通信。访问者必须首先穿越防火墙的安全防线，才能接触目标计算机。在没有防火墙时，局域网内部的每个节点都暴露给Internet上的其它主机，此时内部网的安全性要由每个节点的坚固程度来决定，且安全性等同于其中最薄弱的节点。使用防火墙后，防火墙会将内部网的安全性统一到它自身，网络安

05

如何通过路由器来控制上网

这种共享上网的方法一般如下：(光纤)电话线--语音分离器--(光纤猫)ADSL猫--宽带路由器-交换机-集线器-电脑

深信服防火墙配置上网及端口映射

上一篇文章，写的是深信服务路由器的配置，这篇文章来写一下深信服防火墙的配置，两篇文章有一定的联系，拓扑图也是同一张，防火墙采用路由模式，特此说明。

01

3秒测试：组建一个网络，需要几个硬件设备搞定？

网络的官方解释是指计算机或类似计算机的网络设备的集合，它们之间通过各种传输介质进行连接。

02

Centos7安装L2TP

2.检查是否开启了TUN，有的虚拟机主机需要开启，返回结果为cat: /dev/net/tun: File descriptor in bad state就表示通过。

02

图解：网络硬件的发展史

你知道为什么我们的网络需要路由器、交换机或防火墙吗？一个可用的网络需要部署多少个网络设备？在本文中，我们将简单讨论网络硬件的发展。

03

L2TP/IPSec一键安装脚本

本脚本适用环境：系统支持：CentOS6+，Debian7+，Ubuntu12+ 内存要求：≥128M 更新日期：2017 年 05 月 28 日

01

网络硬件的发展史,非常好的干货,值得一看

如何连接 PC？在发明网络之前，个人计算机之间是独立工作的，没有网卡、网线或协议栈，主要使用磁盘、CD 和其他东西来传输数据。

06

利用SoftEther V**随时访问家里网络

出差在外需要访问到家里的设备,SoftEther V**就能很好的帮助到你.我们直接进入主题.

01

iptable端口重定向 MASQUERADE[通俗易懂]

首先简述下NAT服务器在负载均衡中做了什么，简单的说就是Linux (内核2.4以后是Netfilter肩负起这个使命滴)内核缓冲区修改来源，目标地址。

04

NAT 穿透是如何工作的：技术原理及企业级实践

本文翻译自 2020 年的一篇英文博客：How NAT traversal works（https://tailscale.com/blog/how-nat-traversal-works/）。之前有读者问过关于 NAT 穿越问题，刚好今天找到一篇非常好的文章分享出来，希望对你有帮助！

03

NAT穿透是如何工作的

在前一篇文章 How Tailscale Works 中，我们已经用较长篇幅介绍了 Tailscale 是如何工作的。但其中并没有详细描述我们是如何穿透 NAT 设备，从而实现终端设备直连的 —— 不管这些终端之间有什么设备（防火墙、NAT 等），以及有多少设备。本文试图补足这一内容。

02

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭