北京電信通的線路，LAN口配置的是電信通的公網(wǎng)IP，WAN口則配置為電信通上游設(shè)備的局域網(wǎng)IP。

以下教材，是電信通撥號電信通的場景文章源自網(wǎng)吧系統(tǒng)維護(hù)-http://www.strong-digital.cn/1071.html

文章源自網(wǎng)吧系統(tǒng)維護(hù)-http://www.strong-digital.cn/1071.html

文章源自網(wǎng)吧系統(tǒng)維護(hù)-http://www.strong-digital.cn/1071.html

---------------------------------------------------------    百為VPN 服務(wù)端配置   ------------------------------------------------------------文章源自網(wǎng)吧系統(tǒng)維護(hù)-http://www.strong-digital.cn/1071.html

使用百為路由在電信通場景，搭建VPN服務(wù)。服務(wù)端有以下注意事項(xiàng)：文章源自網(wǎng)吧系統(tǒng)維護(hù)-http://www.strong-digital.cn/1071.html

文章源自網(wǎng)吧系統(tǒng)維護(hù)-http://www.strong-digital.cn/1071.html

* 啟用PPTP VPN 服務(wù)文章源自網(wǎng)吧系統(tǒng)維護(hù)-http://www.strong-digital.cn/1071.html

[高級配置]→[點(diǎn)對網(wǎng)VPN]→[PPTP VPN配置]文章源自網(wǎng)吧系統(tǒng)維護(hù)-http://www.strong-digital.cn/1071.html

配置如下圖所示，打開功能開關(guān)，填入VPN分配的地址池（VPN地址池切勿跟本網(wǎng)吧的內(nèi)網(wǎng)，以及跟對方網(wǎng)吧的內(nèi)網(wǎng)沖突，分配私網(wǎng)IP地址）文章源自網(wǎng)吧系統(tǒng)維護(hù)-http://www.strong-digital.cn/1071.html

DNS 配置（提供什么運(yùn)營商資源給對方VPN客戶端用 ，就填寫對應(yīng)的運(yùn)營商的DNS）文章源自網(wǎng)吧系統(tǒng)維護(hù)-http://www.strong-digital.cn/1071.html

文章源自網(wǎng)吧系統(tǒng)維護(hù)-http://www.strong-digital.cn/1071.html

文章源自網(wǎng)吧系統(tǒng)維護(hù)-http://www.strong-digital.cn/1071.html

* 啟用L2TP VPN 服務(wù)文章源自網(wǎng)吧系統(tǒng)維護(hù)-http://www.strong-digital.cn/1071.html

[高級配置]→[點(diǎn)對網(wǎng)VPN]→[L2TP VPN配置]文章源自網(wǎng)吧系統(tǒng)維護(hù)-http://www.strong-digital.cn/1071.html

配置如下圖所示，打開功能開關(guān)，填入VPN分配的地址池（VPN地址池切勿跟本網(wǎng)吧的內(nèi)網(wǎng)，以及跟對方網(wǎng)吧的內(nèi)網(wǎng)沖突，分配私網(wǎng)IP地址）文章源自網(wǎng)吧系統(tǒng)維護(hù)-http://www.strong-digital.cn/1071.html

DNS 配置（提供什么運(yùn)營商資源給對方VPN客戶端用 ，就填寫對應(yīng)的運(yùn)營商的DNS）文章源自網(wǎng)吧系統(tǒng)維護(hù)-http://www.strong-digital.cn/1071.html

文章源自網(wǎng)吧系統(tǒng)維護(hù)-http://www.strong-digital.cn/1071.html

文章源自網(wǎng)吧系統(tǒng)維護(hù)-http://www.strong-digital.cn/1071.html

注意：百為路由的L2TP服務(wù)基于WAN口開啟的，介于電信通的WAN口是個電信通上游的局域網(wǎng)IP。文章源自網(wǎng)吧系統(tǒng)維護(hù)-http://www.strong-digital.cn/1071.html

需要做地址轉(zhuǎn)換，配置如下圖所示文章源自網(wǎng)吧系統(tǒng)維護(hù)-http://www.strong-digital.cn/1071.html

[高級配置]→[地址轉(zhuǎn)換]→[目的地址轉(zhuǎn)換]

比如：60.207.100.1 是對方的的網(wǎng)吧的公網(wǎng)IP（VPN客戶端）

          60.207.200.1 是本網(wǎng)吧的公網(wǎng)IP （VPN客戶端）

          172.30.47.154  是本網(wǎng)吧的接電信通的口的WAN口的私網(wǎng)IP

由于百為的L2TP服務(wù)是建立于172.30.47.154基礎(chǔ)上。

需要配置目的地址轉(zhuǎn)換規(guī)則，當(dāng)對方VPN，撥號到本網(wǎng)吧的 60.207.200.1后，轉(zhuǎn)給 172.30.47.154

對VPN撥號過來的地址，做NAT

[網(wǎng)絡(luò)配置]→[接口配置]，選擇電信通的接口，比如eth0，進(jìn)入[高級配置]

點(diǎn)擊 “高級”

編輯框填入

iptables -t nat -I MASQ -o eth0 -s 10.10.10.0/24 -j SNAT --to 60.207.200.1

iptables -t nat -I MASQ -o eth0 -s 10.20.20.0/24 -j SNAT --to 60.207.200.1

以上命令，表示對VPN的網(wǎng)段，從eth0出口的，做源地址轉(zhuǎn)換，轉(zhuǎn)成 60.207.200.1 的公網(wǎng)IP上網(wǎng)

[用戶管理]→[用戶對象]，添加用戶，選擇用戶類型“VPN撥號”，自定義賬號名和密碼。

--------------------------------------------------    百為VPN 客戶端端配置   -------------------------------------------------------

使用百為路由在電信通場景，WAN口添加VPN客戶端。VPN客戶端有以下注意事項(xiàng)：

[網(wǎng)絡(luò)配置]→[接口配置]，選擇電信通的接口，比如eth5，點(diǎn)擊“VPN接口”

添加，自定義個VPN ID ，接口名稱自定義。

添加后，左邊欄會顯示出所添加的VPN接口。

[網(wǎng)絡(luò)配置]→[接口配置]，選擇VPN的接口，比如vpn100，點(diǎn)擊“基本配置”

以 L2TP服務(wù)為例，VPN 類型選擇 L2TP ，VPN服務(wù)器 填入VPN服務(wù)端的電信通公網(wǎng)IP，并填入VPN服務(wù)端所創(chuàng)建的VPN 賬戶、密碼。點(diǎn)保存

[網(wǎng)絡(luò)配置]→[接口配置]，選擇VPN的接口，比如vpn100，點(diǎn)擊“高級配置”

TCPMSS 建議值 填寫1300； MTU建議值 填寫 1400  點(diǎn)保存

注意：百為路由的L2TP服務(wù)基于WAN口開啟的，介于電信通的WAN口是個電信通上游的局域網(wǎng)IP。

需要做地址轉(zhuǎn)換，配置如下圖所示

[高級配置]→[地址轉(zhuǎn)換]→[源地址轉(zhuǎn)換]  （有別于VPN服務(wù)端，此處是做源地址轉(zhuǎn)換）

比如：60.207.100.1 是本網(wǎng)吧的公網(wǎng)IP（VPN客戶端）

          172.30.59.22 是本網(wǎng)吧的接電信通的口的WAN口的私網(wǎng)IP

這個規(guī)則的用途，通過源地址轉(zhuǎn)換后，VPN客戶端的網(wǎng)吧，以60.207.100.1 的IP去撥號VPN服務(wù)端

通常這個規(guī)則不用特殊去配置，百為路由授權(quán)認(rèn)證，更新。部署前期已經(jīng)配置該規(guī)則，以上只做講解