IPsec和PPTP技术介绍和对应配置 以及 NAT和PPTP以及IPsec冲突解决

已于 2023-03-26 16:10:54 修改
阅读量2.1k 收藏 8
点赞数 1
文章标签: 智能路由器 网络 网络协议 网络安全 python
于 2023-03-26 16:10:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Brinshy/article/details/129780420
版权

目录

IPsec

网段特点:

技术优势

技术劣势

相关技术配置:

PPTP

网段特点

技术优势

技术劣势

相关技术配置

VPN和NAT的冲突

情况一:NAT设备和VPN设备不是同一个,nat在VPN之后

情况二:NAT设备和VPN设备为同一个

情况三:PPTP客户端的NAT转换

最近,在学习关于校园网安全接入的项目,其中涉及到IPsec和PPTP的使用和配置情况。顺便介绍下关于其中常用技术。

IPsec

IPsec一般用于以确定的子网间的隧道连接建立,如该种情况(校外教职工家属区子网内(家属网)的人员,需要安全访问校内服务资源),情况拓扑下图所示:

网段特点:

对于这类型的网段有如下的特点:

(1)网段具有固定且已知路由器。

(2)人员相对安全,无太多闲杂人等,不太要求用户自行主认证。

(3)需要更加方便、透明化。

(4)需要保护、加密、安全的数据传输。

(5)该网段内设备众多,为重量化的连接。

技术优势

(1)安全性:IPsec更安全,因为它使用更强大的加密算法和身份验证方法,如AES和SHA-2。

(2)透明性:IPsec对应用程序是透明的,应用程序不需要进行任何更改或配置,因为IPsec可以在网络层实现。

(3)灵活性:IPsec可以通过不同的组合配置来满足不同的安全需求,如只提供加密,只提供认证等。

(4)身份验证:IPsec可以通过各种方式进行身份验证,包括密码、数字证书和双因素认证。

(5)一劳永逸性:IPsec 可能可以使用预共享密钥方式进行认证,密钥是配置在IPsec网关上的,在IPsec协商完成后即建立通道,IPsec网关所保护的主机在进行通信时无需输入帐户名和密码。

(6)高负载性:IPsec可以支持点对点、网对网等多种连接方式,并且可以通过部署IPsec集线器来集中管理和配置连接,从而简化管理和提高效率,高负载的情况连接更稳定,速度更快。

技术劣势

(1)配置复杂:IPsec的配置较为复杂,需要对网络安全和加密等方面有一定的了解和技能,配置过程中容易出现错误,从而导致连接失败或不稳定。

(2)轻量级的时候效率较低。

(3)可能需要在通信双方的路由器或防火墙上进行配置,对网络拓扑和结构有一定的要求。

(4)和NAT共同使用的时候IPsec的协议头中的源和目标地址被更改,这可能导致IPsec连接失败;IPsec隧道中的协商过程需要在双方能够互相访问时才能成功,而NAT可能会导致IPsec设备无法访问对方。

相关技术配置:

以锐捷路由器为例需要进行以下的主要配置:

(1)假如使用IKE的方式进行,配置IKE:

crypto isakmp enable 
crypto isakmp policy 1 
authentication pre-share 
encrytiong 3des

(2)配置预共享密钥和变换集合

crypto isakmp key preword address 2.2.2.1 
crypto ipsec transform-set myset esp-des esp-md5-hmac

(3)定义一个加密映射集合

crypto map mymap 5 ipsec-isakmp 
 set peer 2.2.2.1 
 set transform-set myset 
 match address 101
interface FastEthernet0 
 ip address 192.168.202.1 255.255.255.0

(4)将加密映射应用到接口

interface Serial0 
 ip address 2.2.2.2 255.255.255.0 
 encapsulation ppp 
 crypto map mymap
ip route 0.0.0.0 0.0.0.0 Serial0

(5)定义加密访问列表,对 192.168.202.0/24 和 192.168.12.0/24 子网之间的 IP 通

信进行保护

access-list 101 permit ip 192.168.202.0 0.0.0.255 192.168.12.0 
0.0.0.255

(6)如果不适用IKE而是用手工的方式进行安全联盟则如下

# 定义变换集合
crypto ipsec transform-set myset esp-des esp-md5-hmac 
# 定义一个加密映射集合
crypto map mymap 5 ipsec-manual 
 set peer 2.2.2.1 
 set session-key inbound esp 300 cipher abcdef1234567890 authenticator abcdef1234567890abcdef1234567890
set session-key outbound esp 301 cipher abcdef1234567890 authenticator abcdef1234567890abcdef1234567890
 set transform-set myset 
 match address 101 
interface FastEthernet0 
 ip address 192.168.202.1 255.255.255.0

PPTP

PPTP一般用于以非确定的子网中终端设备和确定网段之间的隧道连接建立,如该种情况(校外教职工家属区子网以外(陌生网)的其他校外用户,需要访问校内服务资源),情况拓扑下图所示:

网段特点

(1)陌生网用户不具有固定统一路由器。

(2)陌生网用户不一定安全,需用户自行主认证。

(3)可能用户端的终端设备不同、操作系统不同。

(4)需要保护、加密、安全的数据传输。

(5)一般为临时性,为轻量化连接。

技术优势

(1)易于部署:PPTP协议是一种基于PPP协议的虚拟隧道技术,使用较为简单,部署起来比较容易,服务端路由器进行配置后,用户端只需要拨号连接即可。其实SSL 虚拟隧道也可以不过需要远程用户安装支持ssl的浏览器并且安装指定插件,较为繁琐。

(2)高效性:PPTP协议在数据传输中使用了基于GRE(Generic Routing Encapsulation)协议的封装技术,能够实现较高的传输速度和较低的延迟。

(3)支持多种认证方式:PPTP协议支持多种认证方式,包括本地用户、域用户、RADIUS认证和Windows NT Challenge/Response认证等。

(4)支持多种加密算法:PPTP协议支持多种加密算法,包括MPPE、DES和3DES等。

(5)兼容性好:PPTP协议可以在多种平台上使用,包括Windows、Linux、Mac OS等。

技术劣势

(1)安全性较低:PPTP协议的加密算法较为简单,易受到攻击,容易被黑客破解。因此,在对安全性要求较高的网络中,不建议使用PPTP协议。

(2)可扩展性较差:PPTP协议是基于点对点连接的,对于大规模的网络环境,其可扩展性较差,无法满足高性能、高可靠性的需求。

(3)NAT穿越问题:PPTP协议在NAT设备后面的网络中使用时,可能会遇到无法穿越NAT设备的问题,从而导致连接失败。

(4)可管理性较差:PPTP协议的配置比较繁琐,需要手动配置,对于管理人员来说,操作起来比较困难,管理起来比较复杂。

相关技术配置

以锐捷路由器为例需要进行以下的主要配置:

(1)VPDN开启

vpdn enable

(2)创建VPDN组

vpdn-group pptp

(3)VPDN组的参数配置

accept-dialin //允许拨号
protocol pptp //支持pptp
virtual-template 1 //虚拟接口

(4)配置PPTP用户名和密码

username pc password 0 1111

(5)pptp本地地址池(不能和内网冲突)

ip local pool pptp 1.1.1.2 1.1.1.254

(6)配置虚拟接口

interface Virtual-Template 1 
ppp authentication pap 
ip unnumbered FastEthernet 0/1 
peer default ip address pool pptp

远程客户端进行如下配置:

在“网络和拨号连接”中新建连接,“网络连接类型”选择“通过 Internet连接到专用网络”,“公用网络”选择“不拨初始连接”,填入目标地址为192.168.201.123,命名此连接名称为 Vpdnconnect。在 Vpdnconnect 的属性中,指定 VPDN 服务器的类型为 PPTP,并在安全设置中定义使用 PAP 认证及可选加密。在点击呼叫时,输入路由器所配置的用户名 PC 和密码 1111。

VPN和NAT的冲突

情况一:NAT设备和VPN设备不是同一个,nat在VPN之后

对于这种情况,nat会将vpn封装的外层ip地址进行修改从而导致无法正常转发到目的地,这种时候需要利用NAT穿透技术进行处理,介于网上很多方法进行介绍就不再阐述。

情况二:NAT设备和VPN设备为同一个

对于这种情况,一般的设备发送报文的时候,会先判断进行nat再判断进行vpn封装,而内层ip不能进行nat地址转换,因此我们可以利用nat策略(华为路由器)或者是acl控制列表(锐捷路由器)等的方式,控制当源地址或者目的地址为私网网段内地址的时候不进行nat地址转换,即可避免冲突。

情况三:PPTP客户端的NAT转换

了解pptp的读者们应该知道,pptp隧道建立在终端设备和对端网关之间,当远程终端设备发送信息的时候,会先进行GRE封装,随后发送出去,如果当终端设备所在网段网关开启了NAPT服务的时候,此时由于GRE封装,无法获取其TCP或者UDP的端口号,从而无法正常发送。

此时就需要该网关开启pptp的nat服务(一般默认开启),该服务可以利用GRE包头中的call id 和peer call id(两者对隧道进行唯一标识)作为端口号,从而实现NAPT,将外层IP中的私网地址转成公网地址,在广域网中进行传输。

开启服务命令如下:

Ruijie(config)# ip nat translation pptp

假如隧道建立如下所示,且非家属去网关具有NAPT功能,则在非家属区的网关上开启该服务功能即可。

如果觉得我的回答对您有帮助,可以帮忙点个赞,支持一下,QWQ。

Brinshy
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
IPsecNAT冲突问题详解
yeasy的专栏
03-25 1万+
背景 IPsec 协议可以用来在 IP 层提供校验和加密等安全特性。基于 IPsec 的 VPN 已经成为 site-site 模式下高可靠连通方案的首选。 NAT 最初是为了解决地址不足的问题,它将 NAT 网关后的实际地址隐藏起来,对外呈现一个外部地址,通常包括基于地址的映射(设备负责将内外地址进行对应和替换)和基于端口(通常外部为同一地址,根据到达端口的不同替换为内部不同的地址和
CentOS_7虚拟机搭建L2TP和PPTP服务器
m0_71817514的博客
01-31 1243
在CentOS_7环境同时搭建L2TP和PPTP服务器
PPTP L2TP IPsec
weixin_34112900的博客
06-20 405
点对点隧道协议(PPTP) PPTP是一个第2层的协议,将PPP数据桢封装在IP数据报内通过IP网络,如Internet传送。PPTP还可用于专用局域网络之间的连接。RFC草案"点对点隧道协议"对PPTP协议进行了说明和介绍。该草案由PPTP论坛的成员公司,包括微软,Ascend,3Com,和ECI等公司在1996年6月提交至IETF。可在如下站 http://www.i...
PPTP、L2TP、IPSecIPS 有什么区别?
最新发布
Ssm2022的博客
07-11 898
随着互联网的发展,保护网络通信的安全越来越重要。PPTP、L2TP、IPSecIPS是常见的网络安全协议和技术,在保护网络通信安全方面发挥着不同的作用和特点。下面介绍PPTP、L2TP、IPSecIPS之间的区别。
PPTP服务器配置选项详解
weixin_34067102的博客
06-01 739
导读 PPTP服务器配置文件的格式与其它许多Unix程序相似,每一行包含一项配置内容,以配置选项名称开始,后面紧跟参数值或者关键字,它们之间用空格分隔。在读取配置文件时,pptpd进程将忽略空行和每一行“#”后面的注释。PPTP服务器的配置比较简单,总共只有12个配置选项,下面对这些选项进行详细的说明: 指定选项文件 option option-file 功能:指定...
ipsec ***和nat server之间的冲突
weixin_34413357的博客
02-19 388
春节在家把一直计划的ipsec做了一下,从家里连到公司路由器配置过程很顺利,完成后发现一个奇怪的现象,目标服务器可以ping通,但是远程桌面无法打开,通过测试服务器的远程桌面功能是正常开启的,防火墙也是关的没有问题,一时毫无头绪。随后进行了抓包,发现服务器已经收到了TCP握手报文,并且也回复了,但是我的电脑没有收到回复报文,可见这个报文被丢了。被丢在哪了,想了很久。通过对公司路由器配置分析,判...
HCIE-Security Day33:IPSec:深入学习ipsec ikev2、IKEV1和IKEV2比较
小梁的博客
04-01 5387
ikev2 RFC 5996 - Internet Key Exchange Protocol Version 2 (IKEv2) (ietf.org)https://datatracker.ietf.org/doc/html/rfc5996定义在RFC4306,更新于RFC5996 不兼容IKEV1,ikev1不支持认证,ikev2支持认证,eap。 支持nat穿越 支持私密性、完整性、源认证 工作在UDP500端口NAT-T时使用UDP4500端口。 初始交换 正常情况下,IK...
CCNA网络精品课之NAT PPP DHC系列技术文章15:PPP隧道协议(L2TP、PPTP)的实际应用
网络通信中,隧道技术扮演着连接远程网络和安全传输数据的重要角色。PPP(Point-to-Point Protocol)隧道协议是一种常见的隧道协议,它可以在两个网络设备之间创建私密的通信通道,保障数据在公共网络中的安全传输...
NATIPSec VPN的高级应用
本节将介绍NAT的基础知识,包括什么是NATNAT的工作原理、以及NAT的优点与局限。 ### 1.1 什么是NATNAT是一种网络通讯的技术,它可以将私有IP地址映射为公共IP地址,用于实现内部网络与外部网络之间的通信。在...
ros的l2tp服务端创建与pptp多出口配置
ssbttest的博客
03-13 5655
小二最近为了搭建自已的动态IP池,同时为了让苹果终端也能正常使用,初次引入了ros系统,纯属分享,如果不对之处请大神们多指点。 Ros基础网络配置不再描述,前提保证ros本身能正常上网。 l2tp服务端的配置 l2tp的pool配置 点击IP -> Pool,点击“+”,添加VPN ip地址池。 Name:比如l2tp-pool Address:比如10.1.1.1-10.1.1.253 ...
ipsecnat冲突避免
weixin_34205076的博客
12-31 839
室外在使用×××设备时,因×××设备都是接入到internet网进行传输,同时又需要局域网的PC机上公网,要使用NAT转换。这就使得在同一台设备上面既要做IPSEC处理,又要做NAT转换,因两者在路由器上面处理顺序的不同会造成一些问题。以下对IPSECNAT结合使用的注意事项进行说明。一、 本地NAT:本地路由器的对数据包的处理流程是先处理NAT,然后才是I...
IPSec/GRE与PPTP的比较
chinafc的专栏
03-16 1504
 IPSec/GRE与PPTP的比较 目前有一些软件的VPN产品,基于PPTP协议。PPTPPPTP (PointtoPoint Tunneling Protocol)是点对点的协议,基于拨号使用的PPP协议使用PAP或CHAP之类的加密算法,或者使用Microsof
PPTP 服务器配置
weixin_30267697的博客
03-19 257
PPTP 服务器配置 一、实验环境:VMware workstation rhel4一台 IP:10.167.27.29 windows xp 主机一台 IP:10.167.27.207 二、需要安装的软件包: dkms-2.0.10-1.noarch.rpm 动态内核模块支持的RPM安装包 kernel_ppp_m...
配置pptp服务
zdl244的博客
07-26 1138
配置pptp服务 配置pptp服务类似xl2tpd非常简单 1、安装服务: [root@moc ~]# yum install pptpd -y 2、配置文件: [root@moc ~]# cat /etc/pptpd.conf | grep -v ^# | grep -v ^$ option /etc/ppp/options.pptpd logwtmp localip 192.168.110.254 remoteip 192.168.110.230-240,192.168.110.250 [root@m
TP-LINK 企业路由器 PPTP 配置
weixin_38946164的博客
06-09 5326
企业路由器可以帮助中小型企业搭建高性价比、稳定的企业办公网络,灵活满足企业对VN 网络的需求。 PPTP 功能支持构建企业分部与总部的安全隧道,也可以为出差人员提供访问总部。企业出差人员在移动办公环境(如家里、酒店、户外、咖啡厅等)接入Internet后,可以与总部网络建立PPTP 隧道,实现访问内网资源的需求。 企业总部路由器配置步骤:1-1 添加IP地址池 1-2 添加用户 组网模式选择:pc到站点 1-3 添加PPTP服务器 1-4 添加NAPT规则 目的是能让拨号客户端通过本路由器上网,否则客户端不
[App] PPTP 安装配置
唐僧没有肉的博客
11-01 1044
server 192.168.1.151 rhel 7.2 client 192.168.1.67 win7 1、初始化系统 # systemctl disable firewalld # hostnamectl set-hostname mysql-01 # bash # vi /etc/selinu
pptp额外配置
09-14 278
iptables -A INPUT -p tcp --dport 1723 -j ACCEPT iptables -A INPUT -p gre -j ACCEPT iptables -I FORWARD -p tcp --syn -i ppp+ -j TCPMSS --set-mss 1356 modprobe af_key   
锐捷RGNOS交换机配置详览:快速解决问题的实战指南
第五章则详细阐述了应用协议配置,涵盖了DHCP服务、dot1x认证、QoS限速、IPsec、GRE、PPTP、L2TP以及NAT等,这些配置有助于优化网络性能和实现安全通信。 最后,第六章聚焦于路由协议配置,包括默认路由、静态路由...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值