配置VPN服务器使用L2TP/IPSEC协议

转载 2012年08月15日 09:11:01
配置VPN服务器使用L2TP/IPSEC协议
上篇博文中我们介绍了如何使用ISA2006来搭建一个VPN服务器,我们在ISA2006中配置了VPN地址池,选择了VPN协议,创建了防火墙策略,检查了网络规则,还赋予了用户远程拨入权限。等VPN服务器搭建完毕后,我们又利用客户端对VPN服务器进行了连接测试,测试的结果令人满意,我们拥有了自己的VPN服务器。只是在上次实验中,客户端访问VPN服务器时使用的是PPTP协议,但VPN服务器支持PPTPL2TP/IPSEC两种协议,因此在本篇博文中我们将在客户机上测试使用L2TP/IPSEC协议访问VPN服务器。
L2TP/IPSEC从字面上理解是在IPSEC上跑L2TPIPSEC负责数据的封装加密,L2TP的作用和PPTP类似,负责在IP网络上做出VPN隧道。从理论上分析L2TP协议应该比PPTP更安全一些,因为L2TP不但能在用户级别实现PPP验证,还能实现计算机级别的身份验证;而PPTP只考虑了对VPN用户的身份验证,不支持对计算机身份进行验证。L2TP验证计算机身份可以使用两种方法,预共享密钥和证书。预共享密钥比较简单,只要在VPN服务器和客户机上使用约定好的密码就可以证实彼此计算机身份,当然安全性也只能说很一般。证书验证则依靠从CA申请的计算机证书来证明身份,由于证书的高安全性,这种验证方法在安全方面是令人满意的。下面我们把两种方法都通过实验实现一下,实验拓扑和上篇博文完全相同。
 
预共享密钥
预共享密钥需要在VPN服务器和VPN客户机上设置一个共同约定的密钥作为身份识别标识,首先我们在VPN服务器上进行设置。在ISA的管理工具中展开虚拟专用网络,如下图所示,点击右侧面板中的“选择身份验证方法”。
 
切换到“身份验证”标签,如下图所示,勾选“允许L2TP连接自定义IPSEC策略”,输入“password”作为预与共享密钥。
 
VPN服务器为L2TP设置了预共享密钥后,接下来我们在VPN客户机上进行预共享密钥的设置,如下图所示,在Istanbul的网上邻居属性中,右键点击上篇博文中创建的VPN连接“ITET”,选择“属性”。
 
VPN属性中切换到“网络”标签,选择VPN类型是“L2TP IPSEC VPN”。
 
再在VPN属性中切换到“安全”标签,点击“IPSEC设置”。
 
如下图所示,勾选“使用预共享的密钥作身份验证”,输入密钥的值“password”。
 
在服务器端和客户端都进行预共享密钥设置后,如下图所示,在Istanbul上点击“连接”,准备连接到VPN服务器。
 
VPN连接成功后,查看VPN连接属性,如下图所示,我们看到当前使用的VPN协议是L2TP
 
  证书
使用预共享密钥方法简单,但安全性不高,接下来我们使用证书验证计算机身份,安全性会有很大提高。使用证书验证计算机身份,VPN服务器需要申请服务器证书,VPN客户机需要申请客户端证书。在目前的实验环境中,内网的Denver是证书服务器,类型是独立根,已经被实验用到的所有计算机信任。首先我们在ISA服务器上申请一个服务器证书,如下图所示,在ISA服务器的浏览器中输入[url]http://denver/certsrv[/url],在证书申请页面中选择“申请一个证书”。
 
选择“高级证书申请”。
 
选择“创建并向此CA提交一个申请”。
 
如下图所示,输入证书申请的参数,由于此CA类型是独立根,因此需要输入的参数和企业根有所不同。证书姓名中我们输入了VPN服务器的域名 Beijing.contoso.com,我们选择的证书类型是“服务器身份验证证书”,然后选择将证书保存在本地计算机存储中,其他参数随便输入即可。
 
提交申请后,证书服务器颁发了证书,如下图所示,我们选择“安装此证书”即可完成证书申请工作。注意,独立根CA默认是需要管理员审核才能进行证书核发,我们修改了独立根CA的策略模块,让CA服务器可以自动发放证书
 
VPN服务器申请完服务器证书后,接下来我们在Istanbul上申请客户端证书,首先让IstanbulPPTP协议拨入VPN服务器,然后就可以访问内网的CA服务器了,如下图所示,在Istanbul的浏览器中输入[url]http://10.1.1.5/certsrv[/url],选择“申请一个证书”。
 
选择提交一个“高级证书申请”。
 
选择“创建并向此CA提交一个申请”,通过表单提交证书申请。
 
如下图所示,我们选择申请的证书类型是“客户端身份验证证书”,姓名是“Istanbul”,将证书保存在计算机存储中。
 
提交申请后,CA自动颁发证书,如下图所示,我们在Istanbul上安装了颁发的证书。至此,我们在VPN的服务器端和客户端都完成了证书申请,接下来我们分别取消VPN服务器端和客户端的预共享密钥设置,重新在Istanbul上用L2TP连接VPN服务器,看是否能够使用证书进行计算机身份验证。
 
如下图所示,VPN拨入成功,这次就不是利用预共享密钥而是利用证书验证了,虽然用户使用起来感觉差别不大,其实安全性方面还是改进了许多。

本文出自 “岳雷的微软网络课堂” 博客,请务必保留此出处[url]http://yuelei.blog.51cto.com/202879/92089[/url]
本文出自 51CTO.COM技术博客

树莓派搭建L2TP/IPSec

使用原因: 在pi上搭了SS,但是IOS大陆下不了SS客户端,OpenVpn也是同样的问题。所以就想到了pptp,l2tp/ipsec;考虑到安全性,选择了l2tp/ipsec方式。1. 环境 ...
  • wxlguitar
  • wxlguitar
  • 2016年05月22日 14:02
  • 5293

在raspberry pi(树莓派)上连接VPN

先安装客户端 sudo apt-get install pptp-linux 然后切换到root下,建立一个配置文件 ...
  • tndroid
  • tndroid
  • 2015年03月20日 23:54
  • 4657

树莓派派配置PPTP

香蕉派配置PPTP 1. 安装PPTPD apt-get install pptpd 2. 配置PPTP服务器与客户端IP nano /etc/pptpd.conf localip 192.168...
  • wxlguitar
  • wxlguitar
  • 2016年04月10日 18:19
  • 2315

树莓派+L298N+马达

一.接口说明 IN1、IN2、IN3、IN4分别接了树莓派的GPIO11、GPIO12、GPIO13、GPIO15 +5V接树莓派5V GND接电池盒负极 +12V接电池盒正极 电池盒为...
  • LEE18254290736
  • LEE18254290736
  • 2017年04月15日 22:36
  • 1095

【群晖进阶篇】-更加安全的连接方式VPN Server

 【群晖进阶篇】-更加安全的连接方式VPN Server 发布者:adminh8x8 发布时间:2013-5-6 阅读:4555次 沿着云端继续说...
  • minsenwu
  • minsenwu
  • 2015年12月16日 13:22
  • 10328

vpn之l2tp/ipsec服务器实现远程访问

简介pptp和l2tp是我们最常用的vpn,之前我们用pptp,使用过程中发现新版ios系统不支持pptp协议;另客户端连接iphone的热点后使用pptp无法连接vpn。为了更方便办公,我们需要搭建...
  • yanggd1987
  • yanggd1987
  • 2017年08月17日 08:39
  • 2103

linux l2tp ipsec vpn服务器

http://blog.chinaunix.net/uid-16225204-id-2750120.html 在有2块网卡的(可以是虚拟网卡)linux上安装openswan,该linux就...
  • xiaoxiaozhu2010
  • xiaoxiaozhu2010
  • 2015年02月05日 16:08
  • 1248

l2tpvpn服务器搭建方法

  • 2017年08月03日 08:25
  • 4KB
  • 下载

linux安装VPN server之L2TP VPN

上面两篇文章介绍了PPTP和openvpn的搭建方式,接下来我们开始来搭建L2TP VPN的server的环境,本次搭建的Linux环境是centos7,其操作步骤如下: 1、一些预先准备的环境 ...
  • u013896064
  • u013896064
  • 2016年08月20日 15:14
  • 11723

mac vpn不支持pptp解决方法

状况之前一直用的是shadowsocks,只有网页版的流量是经过代理的,但是其他流量就不能经过代理。之前也设置过全局流量,但是好像没设置成功。公司给了一个vpn账户,才发现自己原来没用过vpn。哈哈捣...
  • qq_28921653
  • qq_28921653
  • 2017年05月28日 17:22
  • 8362
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:配置VPN服务器使用L2TP/IPSEC协议
举报原因:
原因补充:

(最多只允许输入30个字)