异地组网,一定要花大价钱买专线或用昂贵的商业SD-WAN吗?对于分支机构分散、预算有限的小微企业或技术爱好者来说,动辄上千元的月费令人望而却步。
当然,我们现在已经有了ADVPN方案(别再被SD-WAN价格劝退!手把手教你用百元路由器搭建随车移动专线,成本仅1%),但是难免有人会嫌弃专业设备价格昂贵,或者云主机部署VSR晦涩难懂(别再折腾真机了!阿里云一键部署VSR路由器,全网实验随心配)。
那不妨再试试L2TP VPN。
温故而知新,我们前面介绍了Ubuntu服务器作为LNS和VSR对接L2TP VPN的配置案例(从CentOS到Ubuntu:零成本迁移L2TP VPN,企业级内网穿透实战!),担心有部分粉丝看不懂,我们又特地推出了一键部署脚本(1条命令搞定!Ubuntu搭建L2TP服务器全自动脚本,小白也能轻松上手),通过这个脚本,可以轻松实现落地全国的业务需求(连WiFi就能切IP!揭秘企业级路由器多VPN出口黑科技!)。
如果这个脚本放到200 Mbps带宽的腾讯云轻量应用服务器上(腾讯云轻量服务器实测:跑openVPN能到30Mbps!这性价比绝了),能跑是能跑,但是存在一个小小的瑕疵,那就是客户端之间的互访不那么好控制,怎么回事呢?
正常来讲,我们的客户端通过PPP拨号获取到的IP地址,都是下图中这种32位掩码的主机IP地址。
这就直接限制了客户端只能与服务器进行通信,如果想访问其他LAC客户端,两个LAC设备上都需要添加IP路由,如果只有一端有路由,而另一端没有,就成了单相思了。
当然,如果不想添加路由也可以,那就是在LAC上将掩码改短,比如设置成24位。不过,这个操作也需要在两台LAC上同时进行操作。
你以为这就完了?还有问题,如果没有指定拨号用户获取的IP地址,那拨号用户会依次从地址池取地址,无法固定。如果指定了拨号用户获取固定的IP地址,那拨号用户就没有办法同时登录多个了。
这么看来,xl2tpd这个服务虽然简单,但是想用好问题还是挺负责的。
那什么叫用好呢?
给大家举个例子,如果我们几个办公室想异地组网,都用的是家庭宽带,没有固定IP地址。这时候,200 Mbps带宽的腾讯云轻量应用服务器不是一个很好的中转站吗?
而传统的设备又不支持openVPN、WireGuard这些新协议,使用IPsec性能消耗又比较高。而L2TP呢?可能几十块的家用路由器就能支持(我用100块钱把物理服务器放到了公网,省了几万块!)。
这样的话,我们用两台普通的家用路由器,再加上40块钱的腾讯云轻量应用服务器,就能实现一个简易的HUB-SPOKE组网的全互联组网,不香吗?
安装依旧很简单,直接运行脚本即可,配置LAC地址池的起始IP和结束IP;指定LNS的IP地址,也就是LAC的网关地址;再配置主备DNS和用户登录信息就可以了。如果没有固定分配IP地址的需求,无需指定客户端IP地址。
等待脚本执行完成,看到提示服务状态为【运行中】就可以了,然后使用用户列表中的用户名密码去登录就行了。
如果我们想添加一个获取固定IP地址的用户,可以参考下图的配置:先输入4进入用户管理,此时会展示当前所有的用户列表。再输入1选择添加用户,配置用户名、密码和指定的IP地址就可以了。
配置完成之后,可以在用户列表中看到新的用户。
接下来,我们到路由器上新建一个L2TP拨号。
#
l2tp enable
#
l2tp-group 14 mode lac
lns-ip host-name sh.h3cai.cn
undo tunnel authentication
tunnel name LAC
#
interface Virtual-PPP14
ppp chap password simple shanghai
ppp chap user shanghai
ip address ppp-negotiate
l2tp-auto-client l2tp-group 14
配置时,推荐先使用自动获取,以检验L2TP服务端与客户端都配置正确。
可以看到,LAC默认获取了地址池中的第一个地址,检查LNS侧的地址分配情况。
可以看到,此时LNS也知道客户端的地址是10.118.89.100/32。我们修改LAC地址看一下。
可以看到,掩码改成24位之后,自动多了一条24位的直连路由,不用再手工配置静态路由了。
同时,LNS侧也能正确识别LAC修改后的IP地址了,要知道,这在默认情况下是做不到的。
然后,我们再以同样的方式配置另一台LAC,测试互通情况。
就这样,两台设备就轻松实现了互通,组网就成功了。
通过这个案例,我们再次看到:技术选型不一定要追新,关键是适用。L2TP这个老牌协议,凭借其极高的设备兼容性(几十元的路由器即支持)和足以满足大多数场景的性能,在低成本组网领域焕发了第二春。结合云服务器带来的公网IP和带宽弹性,完美解决了小微企业异地组网的燃眉之急。怎么样?这种组网方式,够不够物美价廉呢?
你的网络环境中,是否有可以用这种极简方案解决的痛点?欢迎在评论区分享你的想法!
声明:来自铁军哥,仅代表创作者观点。链接:https://eyangzhen.com/5756.html
