iTMS 云端部署/VPN管理异地光猫 

将iTMS 部署到云端，具备固定公网IP，统一管理异地的OLT和光猫。

部署步骤说明 

iTMS 安装在云端（如阿里云或拥有公网IP接入的机房），同时充当PPTP/L2TP VPN服务器、TR069服务器，以下简称云端。

光猫所在的本地路由器通过VPN连入云端，通过云端统一管理光猫/OLT，下发业务等。

部署要点：

本地路由开DHCP服务，tr069 vlan分配的DNS指向云端
云端加静态路由，访问光猫走VPN；开DNS重定向（重定向ACS域名）
本地路由器添加SNAT策略，让iTMS 访问光猫TR069 WAN业务时，伪装成路由器去访问
本地路由无需开DNS重定向，无需开TR069服务

开放端口：

DNS服务：UDP/53（仅对VPN提供服务）
TR069服务：TCP/9090

路由器-派网PA 对接部署 

拓扑图 

PA 路由器上的设置 

TR069 VLAN 接口 

TR069 VLAN DHCP 设置：

L2TP VPN 客户端 

路由/NAT策略 

iTMS 上的设置 

启用VPN服务 

添加VPN账号 

分配固定IP：

小技巧

2025年版本开始无需单独添加VPN静态路由，在账号中绑定远程局域网子网即可。

添加静态路由（2025年以前版本）：

DNS重定向 

TR069 服务参数 

路由器-iRouter 对接部署 

拓扑图 

iRouter 路由器上的设置 

TR069 VLAN 接口 

TR069 VLAN DHCP 设置：

VPN 客户端 

路由/NAT策略 

iTMS 上的设置 

启用VPN服务 

添加VPN账号 

分配固定IP：

小技巧

2025年版本开始无需单独添加VPN静态路由，在账号中绑定远程局域网子网即可。

DNS重定向 

TR069 服务参数 

光猫上线测试 

光猫上线状态：

诊断测试（iTMS->光猫主动连接）：

路由器-ROS 对接部署 

拓扑图 

ROS 路由器上的设置 

TR069 VLAN 接口：

TR069 VLAN DHCP 设置：

PPTP VPN 客户端：

iTMS 上的设置 

VPN服务端配置 

添加VPN账号 

分配固定IP：

小技巧

2025年版本开始无需单独添加VPN静态路由，在账号中绑定远程局域网子网即可。

DNS重定向 

TR069 服务参数 

查看VPN 连接 

查看路由表 

光猫上线测试 

光猫上线状态：

诊断测试（iTMS->光猫主动连接）：

路由器-iKuai 对接部署 

网络环境 

TR069 VLAN: 57
DHCP 地址池：192.168.57.0/24
VPN 地址段：10.10.10.0/24

iKuai 路由器上的设置 

TR069 VLAN 接口 

重要

DHCP 分配的DNS必须指向VPN服务端IP，此处为 10.10.10.1

NAT规则 

SNAT（源地址转换）规则说明：

源地址：VPN服务端IP
目的地址：光猫TR069 VLAN网段
NAT 后地址：光猫TR069 VLAN 网关

重要

添加或修改SNAT规则后，请重启光猫！

VPN 客户端 

网络设置-》VPN客户端

iTMS 上的设置 

DNS重定向 

重定向到 VPN 服务端IP 10.10.10.1。

rms.xcpon.com 10.10.10.1
.com 10.10.10.1
.cn 10.10.10.1

重要

请勿重定向到 iTMS 服务器的公网IP！

TR069 服务参数 

ACS 地址用域名，可自定义（需做重定向）。

云端混合管理 IPv4+IPv6 光猫 

备注

iTMS 客户端及服务端固件需升级到 2025/04/28 及以后版本才支持IPv6管理。

本方案中的iRouter路由器均为旁路部署，仅做管理光猫用。

本节为云端管理IPv6 的光猫，如需通过本地管理，请参考：基于IPv6 的TR069 本地管理

网络拓扑图 

网络环境规划 

云端 - IP地址规划
项	地址段	说明
VPN IPv4 地址段	178.10.0.0/24	服务端使用 178.10.0.1
VPN IPv6 子网	fc00:0:1::/64	服务端使用 fc00:0:1:X:100:: 客户端使用 fc00:0:1:X:200::
LAN1 接口 IPv6 地址	2001:db8:46:46::1/64	此地址为ACS域名重定向指向及VPN DNS服务器

路由器A - IP地址规划
项	地址段	说明
VPN 账号绑定固定IPv4 地址	178.10.0.101
VPN 账号绑定固定IPv6 子网	fc00:0:1:101::/64	服务端使用 fc00:0:1:101:100:: 客户端使用 fc00:0:1:101:200::
TR069 VLAN 接口地址	IPv4: 192.168.46.1/24 IPv6: 2001:db8:46:101::1/64
TR069 VLAN IPv4 DHCP 地址池	192.168.46.0/24	DHCP DNS 指向 178.10.0.1
TR069 VLAN IPv6 DHCP 地址池	2001:db8:46:101::1001-ffff/64	DHCP DNS 指向 2001:db8:46:46::1

路由器B - IP地址规划
项	地址段	说明
VPN 账号绑定固定IPv4 地址	178.10.0.102
VPN 账号绑定固定IPv6 子网	fc00:0:1:102::/64	服务端使用 fc00:0:1:102:100:: 客户端使用 fc00:0:1:102:200::
TR069 VLAN 接口地址	IPv4: 192.168.36.1/24 IPv6: 2001:db8:46:102::1/64
TR069 VLAN IPv4 DHCP 地址池	192.168.36.0/24	DHCP DNS 指向 178.10.0.1
TR069 VLAN IPv6 DHCP 地址池	2001:db8:46:102::1001-ffff/64	DHCP DNS 指向 2001:db8:46:46::1

VPN服务端/云端设置 

VPN 服务 

VPN 账号 

应用-》本地认证账号，依次创建多个VPN账号：

重要

每个VPN账号绑定的固定IP及客户端子网地址不能相同！

IPv6 绑定的是子网前缀，而不是单个地址

DNS重定向 

Pv4 重定向到 VPN 服务端IP 178.10.0.1，Pv6 重定向到 VPN 服务端LAN接口IPv6 地址：

rms.chinamobile.com 178.10.0.1,2001:db8:46:46::1
cloud.itms.com 178.10.0.1,2001:db8:46:46::1

TR069 服务参数 

ACS 地址用域名，可自定义（需做重定向）。

查看 VPN 客户端连接 

状态-》接口-》连接：

TR069 设备列表 

VPN客户端/路由器设置 

创建VPN客户端连接 

网络-》PPTP/L2TP VPN 客户端：

连接成功后状态如下：

PING 诊断测试 

依次 PING 以下地址：

VPN服务端 IPv4 IP：178.10.0.1
IPv6 对端IP：fc00:0:1:101:100::
IPv6 DNS：2001:db8:46:46::1

常见问题FAQ 

iTMS 无法主动访问光猫 

光猫能正常在TR069设备列表中出现，但下发业务不完整，获得 WAN 连接信息超时，或几分钟后离线。

选择有故障的光猫-》更多-》诊断测试：

正常响应结果是 OK

FAILED 表示 iTMS 无法主动连接光猫，即只能光猫单向访问TR069服务器。

重要

光猫实时业务下发需要 iTMS 服务器和光猫之间能双向互访！

某些光猫对访问者的IP有防火墙限制，从VPN服务端访问VPN客户端后面的光猫时，可能被限制访问，需要在VPN客户端路由上添加SNAT规则。