Nálam eth0 a WAN, router előtt szolgáltatói eszköz bridge módban. Saját DNS szerverem van, de szerintem működik akár külső (pl. 8.8.8.8), akár a router.
# show vpn | no-more
ipsec {
ipsec-interfaces {
interface eth0
}
}
l2tp {
remote-access {
authentication {
mode radius
radius-server 192.168.30.10 {
key {radius-server-key}
}
}
client-ip-pool {
start 192.168.100.240
stop 192.168.100.249
}
dhcp-interface eth0
dns-servers {
server-1 192.168.30.10
}
ipsec-settings {
authentication {
mode pre-shared-secret
pre-shared-secret {secret}
}
}
}
}
Ami még érdekes (és elkeserítő), hogy az L2TP forgalmat körülményes limitálni tűzfalban. IN oldalon nem lehet megfogni, csak OUT működik. Az összes LAN interface OUT-ját kell hozzárendelni. Nálam 3 VLAN van, a VPN klienseknek csak a DMZ-hez engedek hozzáférést az alábbi szabályokkal. Ha már van hasonló nálad, akkor esetleg ott van valami korlátozva.
# show firewall name LAN_OUT | no-more
default-action accept
description ""
rule 10 {
action accept
description "Allow DMZ for VPN clients"
destination {
group {
network-group DMZ
}
}
log disable
protocol all
source {
group {
address-group VPN_RANGE
}
}
}
rule 20 {
action drop
description "Limit VPN clients"
destination {
group {
network-group LAN_NETWORKS
}
}
log disable
protocol all
source {
group {
address-group VPN_RANGE
}
}
}