特点:跨平台,数据加密传输,安全
1,部署IPSec服务
1)安装软件包
[root@client ~]# yum -y install libreswan
2)新建IPSec密钥验证配置文件
[root@client ~]# cat /etc/ipsecconf //仅查看一下该主配置文件
include /etc/ipsecd/ conf //加载该目录下的所有配置文件
[root@client ~]# vim /etc/ipsecd/myipsecconf
//新建该文件,参考lnmp_soft//myipsecconf
conn IDC-PSK-NAT
rightsubnet=vhost:%priv //允许建立的×××虚拟网络
also=IDC-PSK-noNAT
conn IDC-PSK-noNAT
authby=secret //加密认证
ike=3des-sha1;modp1024 //算法
phase2alg=aes256-sha1;modp2048 //算法
pfs=no
auto=add
keyingtries=3
rekey=no
ikelifetime=8h
keylife=3h
type=transport
left=2011210 //重要,服务器本机的外网IP
leftprotoport=17/1701
right=%any //允许任何客户端连接
rightprotoport=17/%any
3)创建IPSec预定义共享密钥
[root@client ~]# cat /etc/ipsecsecrets //仅查看,不要修改该文件
include /etc/ipsecd/
secrets
[root@client ~]# vim /etc/ipsecd/mypasssecrets //新建该文件
2011210 %any: PSK "randpass" //randpass为预共享密钥
//2011210是×××服务器的IP
4)启动IPSec服务
[root@client ~]# systemctl start ipsec
[root@client ~]# netstat -ntulp |grep pluto
udp 0 0 127001:4500 0000: 3148/pluto
udp 0 0 192168410:4500 0000:
3148/pluto
udp 0 0 2011210:4500 0000: 3148/pluto
udp 0 0 127001:500 0000:
3148/pluto
udp 0 0 192168410:500 0000: 3148/pluto
udp 0 0 2011210:500 0000:
3148/pluto
udp6 0 0 ::1:500 ::: 3148/pluto
32 部署XL2TP服务
1)安装软件包(软件包参考lnmp_soft)
[root@client ~]# yum localinstall xl2tpd-138-2el7x86_64rpm
2) 修改xl2tp配置文件(修改3个配置文件的内容)
[root@client ~]# vim /etc/xl2tpd/xl2tpdconf //修改主配置文件
[global]
[lns default]
ip range = 1921683128-1921683254 //分配给客户端的IP池
local ip = 2011210 //×××服务器的IP地址
[root@client ~]# vim /etc/ppp/optionsxl2tpd //认证配置
require-mschap-v2 //添加一行,强制要求认证 物联网开发找 上海捌跃网络科技有限公司
#crtscts //注释或删除该行
#lock //注释或删除该行
root@client ~]# vim /etc/ppp/chap-secrets //修改密码文件
jacob 123456 //账户名称 服务器标记 密码 客户端IP
3)启动服务
[root@client ~]# systemctl start xl2tpd
[root@client ~]# netstat -ntulp |grep xl2tpd
udp 0 0 0000:1701 0000: 3580/xl2tpd
4)设置路由转发,防火墙
[root@client ~]# echo "1" > /proc/sys/net/ipv4/ip_forward
[root@client ~]# firewall-cmd --set-default-zone=trusted
5)×××设置(非必需 *** 作)
[root@client ~]# iptables -t nat -A POSTROUTING -s 19216830/24 -j SNAT --to-source 2011210
33客户端设置
1)新建网络连接,输入×××服务器账户与密码。
设置×××连接的属性,预共享密钥是IPSec配置文件中填写的randpass,具体 *** 作如图所示。(高版本不用这么麻烦)
2)设置Windows注册表(不修改注册表,连接×××默认会报789错误),具体 *** 作如下:(win7以上不用 *** 作)
单击"开始",单击"运行",键入"regedit",然后单击"确定"
找到下面的注册表子项,然后单击它:
HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Services\Rasman\Parameters
在"编辑"菜单上,单击"新建"->"DWORD值"
在"名称"框中,键入"ProhibitIpSec"
在"数值数据"框中,键入"1",然后单击"确定"
退出注册表编辑器,然后重新启动计算机
连接×××并测试网络连通性。
转自:>
在连接中要设置L2TP连接,方法同PPTP设置,同样是在连接属性窗口的“网络”选项卡中,将类型设置为“L2TP IPSec ”即可。
第二层隧道协议(L2TP)是用来整合多协议拨号服务至现有的因特网服务提供商点。PPP 定义了多协议跨越第二层点对点链接的一个封装机制。特别地,用户通过使用众多技术之一(如:拨号 POTS、ISDN、ADSL 等)获得第二层连接到网络访问服务器(NAS),然后在此连接上运行 PPP。在这样的配置中,第二层终端点和 PPP 会话终点处于相同的物理设备中(如:NAS)。
L2TP 扩展了 PPP 模型,允许第二层和 PPP 终点处于不同的由包交换网络相互连接的设备来。通过 L2TP,用户在第二层连接到一个访问集中器(如:调制解调器池、ADSL DSLAM 等),然后这个集中器将单独得的 PPP 帧隧道到 NAS。这样,可以把 PPP 包的实际处理过程与 L2 连接的终点分离开来。
对于这样的分离,其明显的一个好处是,L2 连接可以在一个(本地)电路集中器上终止,然后通过共享网络如帧中继电路或英特网扩展逻辑 PPP 会话,而不用在 NAS 上终止。从用户角度看,直接在 NAS 上终止 L2 连接与使用 L2TP 没有什么功能上的区别。L2TP 协议也用来解决“多连接联选组分离”问题。多链接 PPP,一般用来集中 ISDN B 通道,需要构成多链接捆绑的所有通道在一个单网络访问服务器(NAS)上组合。因为 L2TP 使得 PPP 会话可以出现在接收会话的物理点之外的位置,它用来使所有的通道出现在单个的 NAS 上,并允许多链接 *** 作,即使是在物理呼叫分散在不同物理位置的 NAS 上的情况下。
LNS表示L2TP网络服务器(L2TP Network Server),是PPP端系统上用于处理L2TP协议服务器端部分的设备。它作为L2TP隧道的另一侧端点,是LAC的对端设备,是被LAC进行隧道传输的PPP会话的逻辑终止端点。
上一篇文章《IP-PBX、VOIP在复杂网络中配置的坎坷经历》中简单配置了L2TP服务器就连接成功,这就是在现实应用中的方便之处,一般又用在哪里呢?
公司两个部门,分别处于城市的两端或者距离较远,局域网无法到达,部门之间可以通过因特网传输文件,但一些其他应用比如VOIP,内部FTP服务等则无法访问,就是解决这项工作的最好最安全的方法,通过加密协议传播,在公用网络无法监听,是最安全的传输方式之一。
怎么配置服务器前文也有简单介绍,本人更倾向于使用L2TP协议,配置最容易出错的就是IP地址冲突,所以在配置时需做好谋划。
一、配置服务器端
添加隧道地址池管理,地址池地址为私有IP地址,如果路由器到路由器地址池地址不宜太多,点击启用并新增。
启用IPsec,加密的网络隧道必须启用此功能。
L2TP配置中有站点到站点和PC到站点两种设置,如果是两端路由器互相连接使用站点到站点,如果在外出差需要连接总公司网络则建设PC到站点,先设置站点到站点。
设置名称,连接时用户名,密码,最大连接数为1,加密状态选择启用,预共享密钥需和客户端相同,选择刚添加的地址池,对端子网范围必须填写对端局域网真实网段,/后面的数字是子网掩码,一般局域网C段私有IP地址设置24(2552552550),新增。
客户端设置必须与服务队设置相同,添加对端IP地址(需公网IP地址)或域名,新增后启用连接。
从L2TP隧道信息查看服务器端是否连接成功。至此端到端配置完成。
配置PC到站点设置与站点到站点相似,设置名称、密码、最大连接数设置为需要的数字,预共享密钥与客户端相同,客户端IP使用0000代表全网可以连接,选择隧道池名称,新增并启用。
PC端以Win7为例,选择设置新的连接或网络。
连接成功后从L2TP隧道信息查看是否连接成功。
此文比较简陋,欢迎批评指正。注意:本篇文章的内容适用于其他版本的 Windows (不包括您正在使用的版本) 。本篇文章的内容可能不适用您的电脑。Microsoft Windows 2000 会自动创建一个与第二层隧道协议 (L2TP)/IPSec 连接(该连接需要用于 Internet 密钥交换 (IKE) 身份验证的证书)一起使用的 Internet 协议安全 (IPSec) 策略。Microsoft 支持通过使用预共享密钥进行 IKE 身份验证的 L2TP/IPSec 网关对网关虚拟专用网络 () 实现。但是,Microsoft 不支持在远程访问 L2TP/IPSec 客户端连接上使用预共享密钥进行 IKE 身份验证。Windows 2000 符合 IKE RFC 2409,允许在远程访问 L2TP/IPSec 客户端连接上实现使用预共享密钥进行 IKE 身份验证。但是,我们建议您仅将此实现用于测试。要实现将预共享密钥身份验证方法用于 L2TP/IPSec 连接: 必须向两台基于 Windows 2000 的终结点计算机添加 ProhibitIpSec 注册表值。 必须手动配置一个 IPSec 策略,然后才能在两台基于 Windows 2000 的计算机之间建立 L2TP/IPSec 连接。本文讲述如何配置两台通过局域网 (LAN) 连接的、基于 Windows 2000 的路由和远程访问服务服务器,使它们使用一个采用预共享密钥身份验证的 L2TP/IPSec 连接。本文还包括关于如何配置 IPSec 策略来接受使用多个预共享密钥或 CA 的连接的信息。 追问: 用的32位OS2008企业版 回答: 要配置两台通过 LAN 连接的、基于 Windows 2000 的路由和远程访问服务服务器,使它们使用一个采用预共享密钥身份验证的 L2TP/IPSec 连接,必须向 L2TP/IPSec 连接上的每台基于 Windows 2000 的终结点计算机添加 ProhibitIpSec 注册表值,以防止创建用于 L2TP/IPSec 通信的自动筛选器。ProhibitIpSec 注册表值设置为 1 时,基于 Windows 2000 的计算机不会创建使用 CA 身份验证的自动筛选器,而是检查本地 IPSec 策略或 Active Directory IPSec 策略。具体修改注册表的方法:要向基于 Windows 2000 的计算机添加 ProhibitIpSec 注册表值,请按照下列步骤 *** 作:1 单击“开始”,单击“运行”,键入 regedt32,然后单击“确定”。2 找到下面的注册表子项,然后单击它:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters3 在“编辑”菜单上,单击“添加值”。4 在“值名称”框中,键入 ProhibitIpSec。5 在“数据类型”列表中,单击“REG_DWORD”,然后单击“确定”。6 在“数据”框中,键入 1,然后单击“确定”。7 退出注册表编辑器,然后重新启动计算机。 追问: 很遗憾啊!你说的办法都没用我用自己的方法解决了。
L2TP(Layer 2 Tunneling Protocol) 第二层隧道协议。该协议是工业标准的Internet隧道协议。
LAC (L2TP Access Concentrator L2TP访问集中器) 是附属在交换机网络中具有PPP端系统和L2TP协议处理能力的设备。LAC一般是一个网络接入服务器NAS(Network Access Server),主要用于通过PSTN/ISDN网络为用户提供接入服务。
LNS (L2TP Network Server L2TP网络服务器) 是PPP端系统上用于处理L2TP协议服务器端部分的设备。
VPDN (virtual Private Dial Network,虚拟私有拨号网) 指利用公共网络(如ISDN,PSDN)的编号功能及接入网来实现虚拟专用网。
(1)PC机和LNS直连
PC机的报文在PPP内网环境中发送到LAC,由LAC封装L2TP,再通过外网的报文正常转发给LNS的报文封装过程。
LAC和LNS之间存在两种连接,隧道连接(一对LAC和LNS之间可以有多个L2TP隧道)和会话连接(复用在隧道连接之上,用于表示承载在隧道连接中的每个PPP会话进程)
隧道由一个控制连接和一个或多个会话连接组成。会话必须在隧道建立(包括身份保护、L2TP版本、帧类型、硬件传输类型等信息的交换)成功之后进行,每个会话连接对应于LAC和LNS之间的一个PPP数据流。控制消息和PPP数据报文都在隧道上传输。
L2TP使用Hello报文来检测隧道的连通性。LAC和LNS定时向对端发送Hello报文,若在一段时间内未收到Hello报文的应答,该隧道连接将被断开。
L2TP报文头中包含隧道标识符(Tunnel ID)和会话标识符(Session ID)信息,用来标识不同的隧道和会话。隧道标识相同、会话标识不同的报文将被复用在一个隧道上,报文头中的隧道标识符与会话标识符由对端分配。
L2TP是数据链路层协议,报文分为数据消息和控制消息。数据消息用PPP帧,该帧作为L2TP报文的数据区,L2TP不保证数据消息的可靠投递,若报文丢失,不予重传,不支持对数据消息的流量控制和拥塞控制。
控制消息用以建立、维护和终止控制连接及会话,L2TP确保其可靠投递,并支持对控制消息的流量控制和拥塞控制。
通常,L2TP会和IPSec结合使用,IPSec提供加密功能,此时数据封装形式为:
L2TP vs PPTP
(1)PPTP要求互联网络为IP网络,L2TP只要求隧道媒介提供面向数据包的点对点连接。L2TP可以在IP(使用UDP),帧中继永久虚拟电路,ATM 虚拟电路网络上使用
(2)PPTP只能在两端点之间建立单一隧道,L2TP支持在两端点见使用多隧道。使用L2TP,用户可以针对不同的服务质量创建不同的隧道
(3)L2TP可以提供包头压缩。当压缩包头时,系统开销占用4个字节,而PPTP协议要用6个字节
(4)PPTP依靠MPPE提供加密服务,而L2TP依靠IPSec提供加密服务
1、右键单击“网上邻居”选择“属性”,打开网络连接属性。
2、在右侧的“网络任务”栏中点击“创建一个新的连接。
3、打开新建连接向导,点“下一步”。在 “网络连接属性”选择里,点击“设置高级连接”,点击“下一步”,然后,在接下来的“高级连接选
项”中选择“接受传入的连接”。点击“下一步”。勾寻直接并行(LPT1),点击“下一步”。
4、勾寻允许虚拟专用连接”,点“下一步”。
5、创建一个允许连接的用户权限。点击“添加”按钮,输入双鱼IP转换器账户和密码后点“确定”。点击“下一步”继续。
6、在“网络软件”中勾选需要用到的协议,一般保持默认即可。点击“下一步”后,服务器就搭建完成了。
选择“开始”→“设置”→“控制面板”→“网络连接”→“创建一个新的连接”→“下一步”→“连接到我的工作场所的网络”→“下一步”→
“虚拟专用网络连接”,按说明完成后面的 *** 作即可。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)