L2TP over IPsec复杂吗?有点!所以建议你看看这篇文章

于 2024-02-05 21:59:16 发布
阅读量931 收藏 22
点赞数 23
文章标签: 网络 服务器 linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gtj0617/article/details/136050382
版权

5561226d04a9ae7b9eaf73e6fd8e1209.gif

正文共:666 字 8 图,预估阅读时间:2 分钟

我们之前介绍了IPsec采用IKE野蛮模式建立保护IPv4报文的IPsec隧道,也介绍了L2TP VPN巧用VSR的L2TP VPN功能实现访问云上业务,我说L2TP over IPsec会稍微复杂一点,但是说到底能有多复杂呢?我们之前操作过GRE over IPsecGRE和IPsec搭配使用,到底是谁over谁?先看GRE over IPsec,不仅如此,连IPsec over GRE我们也很熟悉IPsec over GRE。再说了,iNode管理中心已经装上了,再定制一个L2TP IPsec VPN客户端就好了。

L2TP over IPsec,over是在网络模型中的说法,就是L2TP在IPsec之上,那在报文封装的时候就会先封装L2TP,再封装IPsec,从报文结构上看起来就是IPsec封装在L2TP封装之外,是用IPsec保护L2TP隧道。

b5b52e46175e5d96fd2da3daf8b3470d.png

关于怎么配置,我们可以从客户端定制过程中找到思路。

abf765c216265eed9b29d49b89fcc1c5.png

上个L2TP VPN配置过程中,我们在电脑上只需要配置服务器地址、用户名和密码就可以了,如果使用IPsec保护L2TP VPN隧道,需要增加对应的IPsec配置。

在高级设置中,可以配置IPsec、IKE等设置。

3c1614a0e24bfc000df775363f0e1b3b.png

在IPsec设置中,我们要记下这些算法信息。

e52c827d22ad55e75c76a239205ff0f1.png

因为客户端IP地址可能不固定,所以我们将IKE的协商模式配置为野蛮模式,同时指定本端版权网关名字为tiejun,对端安全网关设备名字为guo。

6b4b1c0cdc350081743785f606ca9fb9.png

有了上面这些参数,我们就可以开始配置VSR了。

首先配置L2TP VPN,直接上配置。

#
local-user tiejunge class network
 password simple tiejunge
 service-type ppp
#
domain system
 authentication ppp local
#
l2tp enable
#
ip pool tiejun 10.172.113.100 10.172.113.200
ip pool tiejun gateway 10.172.113.1
#
interface Virtual-Template1
 ppp authentication-mode chap pap domain system
 remote address pool tiejun
 ip address 10.172.113.1 255.255.255.0
#
l2tp-group 1 mode lns
 allow l2tp virtual-template 1
 undo tunnel authentication
 tunnel name LNS

然后参照iNode提示参数配置IPsec封装模式为隧道模式,安全协议使用ESP,验证算法使用md5,加密算法使用des。

#
ipsec transform-set l2tp
 esp encryption-algorithm des-cbc
 esp authentication-algorithm md5

配置IPsec的预共享密钥为guotiejun。

#
ike keychain l2tp
 pre-shared-key address 0.0.0.0 0.0.0.0 key simple guotiejun

根据iNode设置,配置IKE安全提议的DH组为group1,验证算法为SHA,加密算法为DES-CBC。

#
ike proposal 1
 dh group1
 authentication-algorithm sha
 encryption-algorithm des-cbc

配置IKE协商模式为野蛮模式,指定预共享密钥为l2tp,指定本端安全网关名称为guo,对端安全网关设备名字为tiejun。

#
ike profile l2tp
 keychain l2tp
 exchange-mode aggressive
 local-identity fqdn guo
 match remote identity fqdn tiejun
 proposal 1

创建一个IKE协商方式的IPsec安全策略模板。

#
ipsec policy-template l2tp 10
 transform-set l2tp
 ike-profile l2tp

引用IPsec安全策略模板创建一条IKE协商方式的IPsec安全策略。

#
ipsec policy l2tp 10 isakmp template l2tp

在接口GigabitEthernet1/0上应用安全策略l2tp。

#
interface GigabitEthernet1/0
 ipsec apply policy l2tp

然后就可以配置进行拨号连接了。

b6991c1ef144fffca4575d49ce06c6e3.png

连接成功了。

50b7a1601b7341dea7b5388de37aef1e.png

别的不说,确实有点复杂,像下面这个报错,我就排查了半天。一个原因是因为客户端认证配置的PAP,而VT接口下配置的CHAP,最后我改成了PAP和CHAP均可。另一个原因就是我配置的用户是tiejunge,我一直使用guotiejun进行登录,周末一直憋在屋里,缺氧了!

76dd6b2bdc61351c29da88fa72e6e05c.png

看完你还想用L2TP over IPsec吗?捎带说一句,排错的时候我去搜了案例,没想到知了社区里有一个案例竟然是错的。哎,现在的年轻人啊!

e76b04fc26e62dffd3c13dcb4f1767b5.gif

长按二维码
关注我们吧

330a567dd629a6ceb689383a632bade4.jpeg

8bfbf5ab2b985de022f94c8c11ba15b5.png

巧用VSR的L2TP VPN功能实现访问云上业务

VSR白送的的SSL VPN功能,你要不要?

前人又栽树:第二次失败的服务器显卡直通操作

分布式EVPN网关

如何在VirtualBox上装一台CentOS虚拟机

Wireshark如何解密IPSec报文?

一条100M宽带 + 一条200M宽带 = 300M,怎么就有人不信呢?

Danileaf_Guo
关注
  • 23
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
H3C SecPathF10X0_L2TP over IPSec配置.IOS、Android、Win7、Win10免客户端接入
04-07
H3C防火墙F10X0 V7版本,配置L2tp over ipsec,实现ios和android以及各版本Windows终端,免客户端接入的配置,内含关键配置点说明。
L2TP/L2TP over IPSec
weixin_45123715的博客
08-26 9281
L2TP VPN: 二层VPN,用于远程访问C/S结构,L2TP VPN是一种用于承载PPP报文的隧道技术,主要用于在远程办公场景中为出差员工远程访问企业内网资源提供接入服务。 二层隧道协议L2TP ( Layer 2 Tunneling Protocol )是虚拟私有拨号网VPDN ( Virtual Private Dial-up Network )隧道协议的一种,扩展了点到点协议PPP ( Point-to-Point Protocol )的应用,是远程拨号用户接入企业总部网络的一种重要VPN技术。
L2TP OVER IPSEC原理详解
永远是少年
08-24 7292
今天继续给大家介绍HCIE安全。本文给大家介绍的是L2TP OVER IPSEC的相关内容。 阅读本文,您需要对L2TPIPSEC有一定的了解,如果您对此还存在困惑,欢迎查阅我博客内的其他文章,相信您一定会有所收获!!! 推荐阅读: IPSEC VPN简介 L2TP详解(一) L2TP详解(二) 一、L2TP OVER IPSEC原理 L2TP OVER IPSEC,类似于GRE IPSEV,都是先建立IPSEC隧道,然后再IPSEC建立的基础上,建立L2TP隧道,相关体系模式如下: 总部与分部网关已经
L2TP over IPSEC配置实例
永远是少年
08-24 5947
今天继续给大家介绍HCIE安全。本文以华为eNSP模拟器,实现了L2TP over ipsec架构配置。 阅读本文,您需要对L2TP 有一定的了解,如果您对此还存在困惑,欢迎您查阅我博客内的其他文章,相信您一定会有所收获。 关于Client-Initiated L2TP配置,请参考下列文章,在该文章中有详细介绍,本文中就不过多赘述了。 L2TP 配置实例——Client-Initiated 一、实验拓扑及目的 实验拓扑如上所示,现在要求配置L2TP Over IPSEC,其中本地使用Vmware虚拟出一台W
IPSec增强原理—L2TP over IPSec
WFlySky的博客
11-21 8793
L2TP over IPSec,即先用L2TP封装报文再用IPSec封装,这样可以综合两种VPN的优势,通过L2TP实现用户验证和地址分配,并利用IPSec保障通信的安全性。L2TP over IPSec既可以用于分支接入总部,也可以用于出差员工接入总部。 分支接入总部网络L2TP over IPSec的工作原理如图1所示。 图1 L2TP over IPSec报文封装和隧道协商过程 报文在隧道中传输时先进行L2TP封装再进行IPSec封装。IPSec封装过程中增加的IP头即源地址为IPSec网关应用I
ipsec+l2tp安装配置及插件
06-01
linuxipsec+l2tp安装配置及插件
L2TP_OVER_IPSEC功能
08-18
H3C L2TP_OVER_IPSEC功能
H3C各型号路由器L2TP配置汇总.rar
10-21
11 Comware V7平台FW与移动终端对接L2TP over IPSec配置案例 12 L2TP 客户端获取固定ip地址方法 13 MSR与Android、IOS移动终端建立L2TP over IPSec VPN典型配置案例 14 L2TP 拨号成功后,如何实现同时能够访问...
VPDN配置文档--L2TP_over_IPSec功能.pdf
09-09
L2TP-Layer Two Tunneling Protocol,二层隧道协议。  RFC2661。  保护 PPP 报文。  数据没有加密机制,可通过 IPSEC 保证数据安全。  主要用途:企业驻外机构和出差人员可从远程经由公共网络,通过虚拟...
防火墙L2TP OVER IPSEC的典型配置.pdf
01-12
防火墙L2TP OVER IPSEC的典型配置.pdf防火墙L2TP OVER IPSEC的典型配置.pdf
【ubuntu】L2TP over IPSEC服务器搭建
weixin_43863426的博客
10-19 1万+
系统准备:ubuntu16.04 下载安装包 sudo apt-get install strongswan xl2tpd ppp lsof 配置参数 1.开启IP转发功能 执行 vi /etc/sysctl.con,在末尾添加以下参数。 net.ipv4.ip_forward = 1 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.default.rp_filter = 0
H3C 防火墙L2TP over IPSec (Window10终端拨号)典型配置
nerdsu的博客
08-25 4958
组网及说明 组网需求: Comware V7防火墙设备作为VPN总部,电脑客户、移动终端通过中间跨越运营商网络拨入L2TP over IPSec VPN实现访问内网服务器的需求。 组网图: 如图所示,外网终端通过防火墙的接口2地址192.168.1.1拨号L2TP over IPSec VPN访问内网web服务器的资源。 配置步骤 防火墙接口配置如下。 interface GigabitEthernet1/0/2 port link-mode route ip address 192.168.1.1 25
l2tp over ipsec配置的大概思路
qq_47529104的博客
04-09 1647
l2tp over ipsec的大概思路 先配置l2tp的内容,然后再正常地建立ipsec隧道,将创建后地ipsec policy挂在l2tp隧道的接口上。如果是client发起的,且使用的就是l2tp over ipsec那么从一开始就会在client发出相关请求报文就会包括l2tp隧道建立以及ipsec隧道的建立。如果是NAS发起的,那么pppoe的客户端所有的流量都是先到NAS,然后NAS再将这些流量通过l2tp隧道将流量转发给防火墙,也就是l2tp隧道的对端,那么针对这种网络场景,ipsec的隧道
l2tp over ipsec 报文分析以及传递到防火墙后防火墙的处理
qq_47529104的博客
04-10 997
l2tp over ipsec推荐使用的封装模式 这是一个l2tp的报文,对于一个l2tp报文来说,它的外壳已经被l2tp隧道所产生的新的IP首部所包围,我们都知道IPsec添加相关加密层的方式,如果是传输模式就直接在旧IP首部后面添加加密首部,如果是隧道模式就重新添加一个新的IP首部以及加密首部。所以在l2tp的这种报文格式加,即便是使用ipsec的传输模式也不会泄露两端的地址信息。所以l2tp over ipsec推荐使用传输模式,避免过多层报文的叠加使得报文数据传输效率低下。 处理流程
CentOS8服务器搭建L2TP服务器(over IPsec)操作指南
热门推荐
衡水铁头哥的博客
06-23 1万+
上次发了服务器上公网(低成本用L2TP把物理服务器放到了公网,省了几万块)的文章,当时L2TP拨号用的是网络上的解决方案,也就是现成的脚本,一跑就OK了。像这样: 输入几个关键信息,脚本就自动执行完成了。我看了一下,脚本一共810行,功能很强大,系统方面支持CentOS 6+、Debian 7+、Ubuntu 12+。 但实际上有个隐藏的问题。上次部署用的是CentOS 7的系统,一切正常,重新部署之后腾讯云的CentOS仅支持8.3的镜像,安装频...
华为防火墙L2TP/L2TP over IPSec
weixin_45123715的博客
08-08 5862
L2TP VPN: 二层VPN,用于远程访问C/S结构,L2TP VPN是一种用于承载PPP报文的隧道技术,主要用于在远程办公场景中为出差员工远程访问企业内网资源提供接入服务。 L2TP不支持加密 L2TP使用的端口号1701 L2TP协议以UDP头部封装 目的: 出差员工跨越Internet远程访问企业内网资源时需要使用PPP协议向企业总部申请内网IP地址,并供总部对出差员工进行身份认证。但PPP报文受其协议自身的限制无法在Internet上直接传输。于是,PPP报文的传输问题成为了制约出差员工远程办公的
L2TP over IPSEC(使用IPSEC传输模式保护)
weixin_33692284的博客
08-29 3448
 实验目的: 应用L2TP结合IPSec建立***,实现分remote-client通过虚拟专用网连接,连接到总公司边界路由,进行认证,建立***,实现安全通信。 实验拓扑:   实验配置要点: R1和R2配置IP和OSPF,并且为PC自动下放IP地址,R3配置NAT和IP地址。   R3的配置: vpdn enable ! vpdn-group l2tp ! Defau...
l2tp over ipsec配置命令
最新发布
04-24
抱歉,作为AI语言模型,我无法执行命令操作,但是我可以为您提供以下l2tp over ipsec配置命令的示例: 在Cisco设备上配置l2tp over ipsec 1. 创建ISAKMP策略 crypto isakmp policy 10 authentication pre-share encryption aes hash sha group 2 lifetime 3600 2. 创建预共享密钥 crypto isakmp key presharedkey address 0.0.0.0 0.0.0.0 3. 配置Transform Set crypto ipsec transform-set L2TP-SET esp-aes esp-sha-hmac 4. 创建一个动态加密映射 crypto dynamic-map L2TP-DYNAMIC 10 set transform-set L2TP-SET reverse-route 5. 设定ACL access-list 100 permit udp any any eq 1701 6. 创建VPN组 vpdn group L2TP-GROUP accept-dialin protocol l2tp virtual-template 1 7. 配置virtual-template接口 interface Virtual-Template1 ip unnumbered Loopback0 ip nat inside peer default ip address pool L2TP-POOL ppp authentication ms-chap-v2 8. 配置IP池 ip local pool L2TP-POOL 192.168.1.1 192.168.1.254 以上是一个示例,具体的l2tp over ipsec配置命令可能会因设备厂商、设备型号、固件版本等因素而有所不同。建议您在进行配置前仔细查阅设备的官方配置指南以确保正确配置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Danileaf_Guo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值