配置 Google Android L2TP VPN 客户端访问

本节提供一个配置示例,说明如何利用内置的 L2TP 服务器和 Google Android 的 L2TP VPN 客户端,实现 L2TP 客户端对 WAN GroupVPN SA 的访问。

要使 Google Android L2TP VPN 客户端能够访问 WAN GroupVPN SA,请执行以下步骤:
1
转至 VPN > 设置页面。
2
对于 WAN GroupVPN 策略,单击配置图标。随即显示 VPN 策略对话框。

3
验证方法下拉菜单中选择使用共享密钥的 IKE(默认)。
4
共享密钥字段输入一个共享密钥以完成客户端策略配置。
5
单击建议选项卡。

6
提供 IKE (阶段 1) 建议的以下设置:
DH 组:组 2
加密:3DES
身份验证:SHA1
生存时间(秒数):28800
7
提供 IPsec (阶段 2) 建议的以下设置:
协议:ESP
加密:DES
身份验证:SHA1
启用完全转发保密:启用
生存时间(秒数):28800
8
单击高级选项卡。

9
提供以下设置:
启用 NetBIOS 广播:启用
启用组播:禁用
通过该 SA 管理:全部禁用
默认网关:0.0.0.0
需要 XAUTH 验证 VPN 客户端:启用
XAUTH 用户的用户群组:受信任的用户
10
在“客户端”选项卡中,提供以下设置:
在客户端缓存 XAUTH 用户名和密码:单一会话始终
虚拟适配器设置:DHCP 租赁
允许连接到:分离隧道
设置默认路由作为该网关:禁用
对于简单客户供应使用默认密钥:启用
11
转至 VPN > L2TP 服务器页面。在“L2TP 服务器设置”部分,单击启用 L2TP 服务器复选框。单击配置按钮。随即显示“L2TP 服务器设置”配置页面。
12
提供以下 L2TP 服务器设置:
保持活动时间(秒):60
DNS 服务器 1:199.2.252.10 (或者使用 ISP 的 DNS)
DNS 服务器 2:4.2.2.2 (ISP 的 DNS)
DNS 服务器 3:0.0.0.0 (ISP 的 DNS)
WINS 服务器 1:0.0.0.0(或者使用 WINS IP)
WINS 服务器 2:0.0.0.0(或者使用 WINS IP)
13
提供 IP 地址设置:
RADIUS/LDAP 服务器提供的 IP 地址:禁用
使用本地 L2TP IP 池:启用
起始 IP :10.20.0.1(示例)
终止 IP:10.20.0.20(示例)
* 
注:使用任何唯一的专用范围。
14
在“L2TP 用户”部分,从“L2TP 用户的用户群组”下拉菜单中选择受信任的用户
15
转至用户 > 本地用户页面。单击添加用户按钮。
16
在“设置”选项卡中,指定用户名和密码。
17
在“VPN 访问”选项卡中,将所需的网络地址对象添加到 L2TP 客户端的访问列表网络。
* 
注:至少应将“LAN 子网”、“LAN 主要子网”和“L2TP IP 池”地址对象添加到访问列表。
* 
注:您已完成 SonicOS 配置。
18
在您的 Google Android 设备上,完成以下 L2TP VPN 客户端配置以实现安全访问:
转至“应用”页面,选择设置图标。从“设置”菜单选择无线和网络
选择“VPN 设置”,单击添加 VPN
选择添加 L2TP/IPSec PSK VPN
VPN 名称:输入 VPN 友好名称
设置 VPN 服务器:输入防火墙的公共 IP 地址
设置 IPSec 预共享密钥:输入您的 WAN GroupVPN 策略的密码
L2TP 密钥:不填
LAN 域:可选设置
输入您的 XAUTH 用户名和密码。单击连接
19
转至 VPN > 设置页面,验证您的 Google Android 设备已连接。VPN 客户端显示在“当前活动的 VPN 隧道”部分。