山石网科Hillstone防火墙L2TP over ***详细配置步骤_含客户端配置（官方最新版）

（***就不做过多解释了~）

1. 组网拓扑

• 通过管理口E0/0和PC连接起来，E1100防火墙作为LNS，PC终端作为LAC。

2. 配置步骤

2.1 ***实例配置

（1）配置P1提议。

采用预共享密钥认证方式

（2）配置P2协议，验证算法选择MD5、SHA。加密算法选择3DES、DES、AES。

• 生存时间选择：3600
• 启用生存大小：25000

（3）Windows操作系统的L2TP客户端仅支持主模式的IKE协商，所以认证模式采用主模式。

• 类型：采用用户组的类型。

（4）L2TP对端高级配置连接类型：选择双向、开启NAT穿越、接受对端任意ID，启用对端存活检测（每3秒请求3次）。

（5）由于Windows操作系统的***协议操作模式仅支持传输模式（transport），因此LNS端的***协议操作模式配置为传输模式。

IKE 高级配置

• 开启使用代理ID。

2.2 L2TP 实例配置

（1）创建L2TP 。

（2）L2TP 配置地址池并在tunnel接口下绑定L2TP 。

• 引用之前配置的***隧道。

（3）L2TP 高级配置中的PPP认证选择任意、其他默认。

（4）在local下创建用户。

2.3 PC终端连接L2TP配置

Win10电脑端配置

（1）选择网络设置；选择”L2TP”—>选择”添加L2TP”。

（2）选择L2TP提供商（Windows内置）。

• 服务器名称/地址：与L2TP中设置的出接口地址一致；
• L2TP类型选择：使用与共享密钥的L2TP/***；
• 预共享密钥：输入IKE对端设置的预共享密钥；
• 登录信息：选择用户名和密码（LNS上local用户配置的用户和密码）。

• 如下：

（3）进入更改网络适配器选项：编辑属性中“安全”，选择“未加密的（PAP）（U），质询握手身份验证（CHAP）（H）”。

2.4 连接报错

• 部份Win10系统在连接L2TP时可能会出现如下报错：

• 原因是L2TP连接需要***加密，远程服务器未响应说明***加密被禁用了，需要在注册表启用它，具体步骤如下：

（1）打开注册表。

（2）找到：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters。

• 若无该项可以选择创建，再改数值。

（3）找到：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent 。

• 若无该项可以选择创建，再改数值。

（4）重启计算机。

• 使计算机注册表生效，可以看见登录成功.

（5）在LNS上可以观察到

（6）查看***第一阶段协商状态。

（7）查看***第二阶段协商状态。

（8）查看L2TP隧道。

☛  以上部分图片显示异常，详细图文内容！