H3C 防火墙L2TP over IPSec (Window10终端拨号)典型配置

已于 2022-01-20 13:50:40 修改
阅读量5.1k 收藏 18
点赞数
分类专栏: Network Windows 文章标签: 服务器 linux 网络
于 2021-08-25 15:30:02 首次发布
原文链接:https://zhiliao.h3c.com/Theme/details/104213
版权

组网及说明

组网需求:

Comware V7防火墙设备作为VPN总部,电脑客户、移动终端通过中间跨越运营商网络拨入L2TP over IPSec VPN实现访问内网服务器的需求。

组网图:
![(https://img-blog.csdnimg.cn/0f3feb91f2924b97ac62945c80cd0582.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_Q1NETiBAbmVyZHN1,size_48,color_FFFFFF,t_70,g_se,x_16)

如图所示,外网终端通过防火墙的接口2地址192.168.1.1拨号L2TP over IPSec VPN访问内网web服务器的资源。

配置步骤

防火墙接口配置如下。

interface GigabitEthernet1/0/2

port link-mode route

ip address 192.168.1.1 255.255.255.0

ipsec apply policy 1

F1030 L2TP/IPSec相关配置.

ip pool pool 10.1.1.2 10.1.1.10 //地址池

interface Virtual-Template1

ppp authentication-mode pap

remote address pool pool

ip address 10.1.1.1 255.255.255.0

local-user client class network

password simple client

service-type ppp

authorization-attribute user-role network-operato

ipsec transform-set 1

encapsulation-mode transport

esp encryption-algorithm 3des-cbc

esp authentication-algorithm md5

ipsec transform-set 2

encapsulation-mode transport

esp encryption-algorithm aes-cbc-128

esp authentication-algorithm sha1

ipsec transform-set 3

encapsulation-mode transport

esp encryption-algorithm aes-cbc-256

esp authentication-algorithm sha1

ipsec transform-set 4

encapsulation-mode transport

esp encryption-algorithm des-cbc

esp authentication-algorithm sha1

ipsec transform-set 5

encapsulation-mode transport

esp encryption-algorithm 3des-cbc

esp authentication-algorithm sha1

ipsec transform-set 6

encapsulation-mode transport

esp encryption-algorithm aes-cbc-192

esp authentication-algorithm sha1

ipsec policy-template 1 1

transform-set 1 2 3 4 5 6 //不确定终端的提议类型,这里设置多个

ike-profile 1

ipsec policy 1 1 isakmp template 1

l2tp-group 1 mode lns

allow l2tp virtual-template 1

undo tunnel authentication

l2tp enable

ike profile 1

keychain 1

local-identity address 192.168.1.1

match remote identity address 0.0.0.0 0.0.0.0

proposal 1 2 3 4 5 6

ike proposal 1

encryption-algorithm aes-cbc-128

dh group2

authentication-algorithm md5

ike proposal 2

encryption-algorithm 3des-cbc

dh group2

authentication-algorithm md5

ike proposal 3

encryption-algorithm 3des-cbc

dh group2

ike proposal 4

encryption-algorithm aes-cbc-256

dh group2

ike proposal 5

dh group2

ike proposal 6

encryption-algorithm aes-cbc-192

dh group2

ike keychain 1

pre-shared-key address 0.0.0.0 0.0.0.0 key simple test

物理口、Virtual-Template1接口加入安全区域,并放通域间策略。对于G1/0/2接口需要注意开放Untrust到Local的策略。对于Virtual-Template1接口,假设虚拟接口加入的是Untrust安全域,如果要访问内网资源,开放Untrust到Trust的安全策略。

window10电脑终端的配置

前面的步骤和W7一样,可以参考:https://zhiliao.h3c.com/theme/details/104211

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

或者点击网络和internet设置,从这里连接VPN

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

配置关键点
有点电脑注册表没有自动生成,这时候尽量都先新建下注册表

修改注册表
1、在“开始 > 运行”中,输入regedit命令,单击“确定”,进入注册表编辑器。
2、在“注册表编辑器”页面的左侧导航树中,选择“HKEY_LOCAL_MACHINE > SYSTEM >CurrentControlSet > Services > Rasman > Parameters”。
3、在菜单栏上选择“编辑 > 新建 > DWORD值”。
4、键入ProhibitIpSec,然后按“ENTER”。
5、右键单击ProhibitIpSec,选择“修改”,进入修改界面。
6、在“数值数据”框中键入1。
7、单击“确定”,并退出注册表编辑器。
8、重新启动该PC,使修改生效。

在这里插入图片描述

在这里插入图片描述

nerdsu
关注
  • 0
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
H3C SecPathF10X0_L2TP over IPSec配置.IOS、Android、Win7、Win10免客户端接入
04-07
H3C防火墙F10X0 V7版本,配置L2tp over ipsec,实现ios和android以及各版本Windows终端,免客户端接入的配置,内含关键配置点说明。
H3C V7 ipsec主:野蛮模式配置脚本.pdf
08-30
H3C V7 ipsec主:野蛮模式配置脚本.pdf
19、华为 华三中小型企业网络架构搭建 【防火墙篇之IPSEC组网,包括与L2TP共存问题】
网络之路Blog(其他平台同名)
02-24 2197
拓扑 拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。(拖动到新窗口打开即可) IPSEC VPN的部署 (1)为什么需要部署Gre Over ipsec 说明:VPN的需求其实非常简单,就是与分部进行安全的访问,当然只允许财务部之间的互访【这个根据需求决定】,这路需要注意,除了这个以外,还有无线AP需要注册到总部来,这个需要通过VPN进行加密连接,但是这里总部是固定IP,而分部则是PPPOE拨号,这个只能通过动态策略模板来进行部署。所以这里需要实施 Gre Over ISPEC。 .
第三方IPsec对接华三防火墙实现总部分支互访配置案例
最新发布
weixin_45836887的博客
05-20 424
源安全域:Trust,源地址:本地内网IP:172.16.0.0/24,目的安全域:Untrust,目的地址:any,动作:允许。创建主站保护的数据流(其他厂商有些叫做感兴趣数流)源IP地址:本地内网地址,目的IP地址:对端内网IP地址段,其他默认。本端ID:方式选择User-FQDB:yqxz,对端ID:选择User-FQDN:tyxz。策略——安全策略——安全策略——新建,创建一条ipsec放行。身份ID采用:tyxz,开启DPD检测 ,其他默认配置网络——VPN——IPsec——策略——新建。
华三防火墙L2TP基础配置
qq_49914736的博客
01-19 3956
H3C防火墙L2TP-VPN基础配置
华三L2TP配置
qq_47529104的博客
06-06 5988
华三l2tp配置
H3C防火墙IPsec综合实验
qq_45049184的博客
03-08 6569
我们知道IPsec需要配置感兴趣流来抓取本端私网到达对端私网的流量,NAT转换抓取的同样也是本端私网流量,且NAT的优先级高于IPsec的优先级,如此一来会导致需要被IPsec封装的流量被NAT抓取且当做正常流量导向了公网。所以为了避免这种情况,我们需要在用于匹配NAT的ACL再加上一条ACL用于匹配IPsec的感兴趣流,成功匹配则将其丢弃,这样即使访问对端私网的流量到达了NAT也会被其丢弃,同时也不会影响NAT的正常工作。按照拓扑图所示配置,业务网段全配置在设备的loopback接口,配置过程略。
H3C各型号路由器L2TP配置汇总.rar
10-21
13 MSR与Android、IOS移动终端建立L2TP over IPSec VPN典型配置案例 14 L2TP 拨号成功后,如何实现同时能够访问总部内网数据和Internet 15 L2TP 多域情况下,PC如何通过windows自带客户端获取其他域地址 18 L2...
H3C防火墙L2TP配置方法借鉴.pdf
12-25
H3C防火墙L2TP配置方法借鉴 本文档主要介绍了H3C防火墙F1000-A的L2TP配置方法,旨在帮助用户快速掌握L2TP配置的步骤和要点。下面将详细说明标题、描述、标签和部分内容中所涉及的知识点。 一、防火墙L2TP配置方法 ...
H3C防火墙L2TP配置方法.pdf
11-26
H3C防火墙L2TP配置方法.pdf
Hillstone 防火墙 l2tp-over-IPsec ***搭建 web 说明
weixin_33672109的博客
11-23 683
Web搭建l2tp-over-ipsec 很简单,简单来说分成两步:1.搭建一个l2tp ***;2.将l2tp *** 使用到 ipsec上; 第一步:搭建一个l2tp ***首先选择左边l2tp ××× – 新建:欢迎页填写***名称,接入用户点 添加local;第三项接入接口,选择出接口,隧道接口选择新建 在弹出的新建接口界面填写tunnel号,安全域(推荐新建一个),以及IP地址(注意不要...
L2TP_OVER_IPSEC功能
08-18
H3C L2TP_OVER_IPSEC功能
华三防火墙建立IPSEC VPN和NAT穿越问题(大学生易读版)
qq_74338624的博客
12-28 1511
其中华三防火墙4和5分别为防火墙两端,不采用华三防火墙和思科路由器建立VPN的原因是加密协议不匹配,在R3的上面作为有8.8.8.8作为isp。
H3C-防火墙L2TP VPN的配置方法(华三)
m0_68265458的博客
04-10 1804
H3C-防火墙L2TP VPN的配置方法(华三)
windows L2TP 拨号无法连接
rclijia的专栏
10-29 451
单位远程L2TP无法连接问题, cmd输入regedit进入注册表设置: 路径: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters 将ProhibitIPSec的值改为0 路径: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Policy...
Win10、Win11系统创建VPN连接以及需要进行的相关设置
qq1507171150的博客
07-24 7660
创建VPN后,直接连接VPN一般会提示以下错误,所以为了一步到位设置成功,创建VPN后先不要连接,先按照以下解决办法设置完成后,再连接VPN。1. 单击开始,单击运行,键入regedit,然后单击确定。2. 在“编辑”菜单上,单击“新建”->“DWORD值”3. 在“名称”框中,键入“ProhibitIpSec”3. 在编辑菜单上,指向新建,然后单击DWORD 值。4. 在“数值数据”框中,键入“1”,然后单击“确定”6. 在数值数据框中,键入1,然后单击确定。是否启动,如果没有启动,将它启动。
Win11配置VPN:L2TP连接尝试失败,因为安全层在初始化与远程计算机的协商时遇到了一个处理错误
Irene的博客
05-24 8461
L2TP连接尝试失败,因为安全层在初始化与远程计算机的协商时遇到了一个处理错误
防火墙配置IPsec vpn (超详细附带思路看完就会)
weixin_52557120的博客
06-18 9719
防火墙配置ipsec vpn ,按照思路去配置一般不会出现差错,防火墙其实就是默认拒绝所有流量的路由器,可以这么理解
防火墙ipsec vpn实验
qq_45817424的博客
04-02 9965
防火墙ipsec vpn项目介绍项目拓扑项目需求配置命令isp路由器配置:分公司防火墙(FW1)配置:接口配置ip和接口划入区域的配置ipsec相关配置:安全策略的配置:nat的配置总公司防火墙FW2配置:接口配置ip和接口划入区域的配置ipsec相关配置:安全策略的配置:nat配置实验结果注意事项 项目介绍 分公司与总公司之间要建立安全的私网通信,且为了减少资金的投入,所以要建立点对点的ipsec vpn(专线太贵)通信。他是通过公网的流量,所以加密级别根据需要而设定。 项目拓扑 项目需求 1:分
华为防火墙ipsec对接华三防火墙
11-01
华为防火墙与华三防火墙之间的IPSec对接,是指通过IPSec协议实现两个防火墙之间的安全通信和数据传输。下面是一个简单的说明步骤: 1. 配置华为防火墙:首先,在华为防火墙配置与华三防火墙对接的IPSec通道。配置包括选择合适的IPSec策略、安全参数和加密算法等,确保与对端的配置一致。 2. 配置华三防火墙:在华三防火墙上同样配置与华为防火墙对接的IPSec通道,确保配置参数与华为防火墙相匹配。 3. 建立IPSec连接:在配置完成后,华为防火墙和华三防火墙会自动尝试建立IPSec连接。在此过程中,会进行握手协商、密钥交换等安全认证步骤,确保连接的安全性。 4. 验证连接:在建立连接后,需要验证IPSec连接是否成功。可以通过查看连接状态、查看日志等方式进行验证。 5. 配置安全策略和访问控制:建立了IPSec连接后,可以根据实际需求配置安全策略和访问控制,确保通过该连接的数据传输符合安全要求。 需要注意的是,IPSec连接的建立需要确保两端的配置一致,包括加密算法、认证方法、密钥长度等,否则将无法建立可靠的连接。同时,还需要保证防火墙的固件版本和硬件性能满足IPSec对接的要求。 通过IPSec对接,华为防火墙和华三防火墙可以实现安全可靠的通信和数据传输,提高网络的安全性和稳定性,确保企业的信息安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值