配置***服务器中的L2TP/IPSEC:ISA2006系列之二十一

最新推荐文章于 2024-03-15 15:25:55 发布
最新推荐文章于 2024-03-15 15:25:55 发布
阅读量209 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33852020/article/details/85140193
版权
配置 *** 服务器使用 L2TP/IPSEC 协议

上篇博文中我们介绍了如何使用ISA2006来搭建一个***服务器,我们在ISA2006中配置了***地址池,选择了***协议,创建了防火墙策略,检查了网络规则,还赋予了用户远程拨入权限。等***服务器搭建完毕后,我们又利用客户端对***服务器进行了连接测试,测试的结果令人满意,我们拥有了自己的***服务器。只是在上次实验中,客户端访问***服务器时使用的是PPTP协议,但***服务器支持PPTPL2TP/IPSEC两种协议,因此在本篇博文中我们将在客户机上测试使用L2TP/IPSEC协议访问***服务器。
L2TP/IPSEC从字面上理解是在IPSEC上跑L2TPIPSEC负责数据的封装加密,L2TP的作用和PPTP类似,负责在IP网络上做出***隧道。从理论上分析L2TP协议应该比PPTP更安全一些,因为L2TP不但能在用户级别实现PPP验证,还能实现计算机级别的身份验证;而PPTP只考虑了对***用户的身份验证,不支持对计算机身份进行验证。L2TP验证计算机身份可以使用两种方法,预共享密钥和证书。预共享密钥比较简单,只要在***服务器和客户机上使用约定好的密码就可以证实彼此计算机身份,当然安全性也只能说很一般。证书验证则依靠从CA申请的计算机证书来证明身份,由于证书的高安全性,这种验证方法在安全方面是令人满意的。下面我们把两种方法都通过实验实现一下,实验拓扑和上篇博文完全相同。

 

预共享密钥

预共享密钥需要在***服务器和***客户机上设置一个共同约定的密钥作为身份识别标识,首先我们在***服务器上进行设置。在ISA的管理工具中展开虚拟专用网络,如下图所示,点击右侧面板中的“选择身份验证方法”。

 

切换到“身份验证”标签,如下图所示,勾选“允许L2TP连接自定义IPSEC策略”,输入“password”作为预与共享密钥。

 

***服务器为L2TP设置了预共享密钥后,接下来我们在***客户机上进行预共享密钥的设置,如下图所示,在Istanbul的网上邻居属性中,右键点击上篇博文中创建的***连接“ITET”,选择“属性”。

 

***属性中切换到“网络”标签,选择***类型是“L2TP IPSEC ***”。

 

再在***属性中切换到“安全”标签,点击“IPSEC设置”。

 

如下图所示,勾选“使用预共享的密钥作身份验证”,输入密钥的值“password”。

 

在服务器端和客户端都进行预共享密钥设置后,如下图所示,在Istanbul上点击“连接”,准备连接到***服务器。

 

***连接成功后,查看***连接属性,如下图所示,我们看到当前使用的***协议是L2TP

 

  证书

使用预共享密钥方法简单,但安全性不高,接下来我们使用证书验证计算机身份,安全性会有很大提高。使用证书验证计算机身份,***服务器需要申请服务器证书,***客户机需要申请客户端证书。在目前的实验环境中,内网的Denver是证书服务器,类型是独立根,已经被实验用到的所有计算机信任。首先我们在ISA服务器上申请一个服务器证书,如下图所示,在ISA服务器的浏览器中输入[url]http://denver/certsrv[/url],在证书申请页面中选择“申请一个证书”。

 

选择“高级证书申请”。

 

选择“创建并向此CA提交一个申请”。

 

如下图所示,输入证书申请的参数,由于此CA类型是独立根,因此需要输入的参数和企业根有所不同。证书姓名中我们输入了***服务器的域名 Beijing.contoso.com,我们选择的证书类型是“服务器身份验证证书”,然后选择将证书保存在本地计算机存储中,其他参数随便输入即可。

 

提交申请后,证书服务器颁发了证书,如下图所示,我们选择“安装此证书”即可完成证书申请工作。注意,独立根CA默认是需要管理员审核才能进行证书核发,我们修改了独立根CA的策略模块,让CA服务器可以自动发放证书

 

***服务器申请完服务器证书后,接下来我们在Istanbul上申请客户端证书,首先让IstanbulPPTP协议拨入***服务器,然后就可以访问内网的CA服务器了,如下图所示,在Istanbul的浏览器中输入[url]http://10.1.1.5/certsrv[/url],选择“申请一个证书”。

 

选择提交一个“高级证书申请”。

 

选择“创建并向此CA提交一个申请”,通过表单提交证书申请。

 

如下图所示,我们选择申请的证书类型是“客户端身份验证证书”,姓名是“Istanbul”,将证书保存在计算机存储中。

 

提交申请后,CA自动颁发证书,如下图所示,我们在Istanbul上安装了颁发的证书。至此,我们在***的服务器端和客户端都完成了证书申请,接下来我们分别取消***服务器端和客户端的预共享密钥设置,重新在Istanbul上用L2TP连接***服务器,看是否能够使用证书进行计算机身份验证。

 

如下图所示,***拨入成功,这次就不是利用预共享密钥而是利用证书验证了,虽然用户使用起来感觉差别不大,其实安全性方面还是改进了许多。
weixin_33852020
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ipsec+l2tp安装配置及插件
06-01
linux下ipsec+l2tp安装配置及插件
创建基于L2TP的站点到站点的***连接:ISA2006系列之二十六
weixin_34242658的博客
09-04 75
                       创建基于L2TP的站点间***   在上篇博文我们介绍了如何利用ISA2006创建站点间的***,而且站点间***使用的隧道协议是PPTP,今天我们更进一步,准备在上篇博文的基础上实现基于L2TP的站点间***。L2TP和PPTP相比,增加了对计算机的身份验证,从理论上分析应该比PPTP更安全一些。L2TP验证计算机身份可以使用预共享密钥,也可以...
【操作系统】“L2TP 链接尝试失败,因为安全层不能与远程计算机协商兼容的参数”解决方案
沙师弟专栏
04-08 4万+
最近项目原因,要连接VPN来连接到用户方的堡垒机上面。以前没有碰到问题,都很顺利的链接了,如今碰到“L2TP 链接尝试失败,因为安全层不能与远程计算机协商兼容的参数”。因此,解决了一下,现把解决方案公布如下。一般这个服务都是开启的,但有些情况,这个服务被某些进程关掉了,要手动开启下。在修改完注册表后,或者修改服务后,要使其生效,Windows上要重启电脑才行。正常操作,但是Win10系统上碰到了这个问题。修改数值数据框,把0改为1,然后单击确定。
win10自带VPN连接失败,提示“不能建立到远程计算机的连接,你可能需要更改此连接的网络设置”处理方法(亲测有效)
LiuNian0213的博客
03-15 798
公司VPN同事们都可以正常连接,我电脑之前也可以连接,不知道为什么近期怎么都连接不上,重新配置、重置网络适配器都不好使。要么提示正在连接.......,要么就是提示“不能建立到远程计算机的连接,你可能需要更改此连接的网络设置”或者是“不能建立到远程计算机的连接,因此用于此连接的端口已关闭”第二步:在计算机管理页面找到“系统工具-设备管理器-网络适配器-WAN Miniport(IP)”第四步:卸载完成后重启电脑,然后再连接就可以了。第一步:右键“此电脑”,点击“管理”第三步:右键-卸载设备。
解决win10系统 L2TP连接尝试失败:ERROR因为安全层在初始化与远程计算机的协商时遇到了一个处理错误
热门推荐
minxihou的博客
07-30 24万+
错误描述:当连接VPN是回传错误为“ L2TP连接尝试失败,因为安全层在初始化与远程计算机的协商时遇到了一个处理错误” 操作系统:win10家庭版 VPN设置: 常规选项:配置了需要连接目标server的IP地址。 安全选项:VPN类型如下图所示 网络选项:在ipv4属性配置如下: 高级选项IP设置取消了“在远程网络上使用默认网关”然后链接时报错。因为不了解VPN服务器配置
企业根CA方法客户机证书的解决方案,ISA2006系列之三十
weixin_34062329的博客
12-11 134
企业根CA如何发放客户机证书L2TP证书问题的补充说明          在ISA系列二十一篇的博文,我们介绍了如何在***服务器使用L2TP协议。L2TP可以使用证书或预共享密钥,很多朋友反映在做这个实验时出了问题,关键是申请不到客户机证书。因此今天特意花点时间,为大家介绍一下如何解决证书问题。          由于我在博文使用的是一个独立根CA,而不少博友在实验时使用的是企业根...
整理岳雷的微软网络课堂--博文目录摘
weixin_34111790的博客
02-10 136
岳雷的微软网络课堂--博文目录摘 [url]http://yuelei.blog.51cto.com/[/url] ISA2006(29篇):1. ISA2006标准版的常规安装和无人值守安装:ISA2006系列之一2. 详解ISA2006三种客户端:ISA2006系列之二3. WPAD原理介绍暨故障排查:ISA2006系列之三4. 用DHCP部署W...
×××错误提示详
weixin_33969116的博客
08-06 1万+
×××错误提示详解 通用错误代码: 600某操作处于挂起状态。 601端口句柄无效。 602端口已打开。 603呼叫方缓冲区太小。 604指定了错误的信息。 605无法设置端口信息。 606无法连接端口。 607事件无效。 608设备不存在。 609设备类型不存在。 610缓冲区无效。 611路由不可用。 612没有分配路由。 613指定了无效的压缩。 614缓冲区溢出。 ...
openwrt使用l2tp
08-01 1万+
1、配置openwrt cat > /etc/ipsec.conf <<EOF # ipsec.conf - strongSwan IPsec configuration file # basic configuration config setup # strictcrlpolicy=yes # uniqueids = no # Add connections...
CentOS7.2 安装L2TP/IPSec 服务端/客户端 ( libreswan+xl2tpd )
03-02
配套说明: http://blog.csdn.net/gogoytgo/article/details/79420745
l2tp pptp 配置方法
12-01
PPTP L2TP 配置详解
L2TP/IPSec-cnetos-server.sh
11-17
配合https://blog.csdn.net/qq_37500838/article/details/121382517 使用
SSL,L2TP,IPSEC神州数码
03-20
SSL,L2TP,IPSEC神州数码SSL,L2TP,IPSEC神州数码SSL,L2TP,IPSEC神州数码SSL,L2TP,IPSEC神州数码SSL,L2TP,IPSEC神州数码SSL,L2TP,IPSEC神州数码SSL,L2TP,IPSEC神州数码
H3C SecPathF10X0_L2TP over IPSec配置.IOS、Android、Win7、Win10免客户端接入
04-07
H3C防火墙F10X0 V7版本,配置L2tp over ipsec,实现ios和android以及各版本Windows终端,免客户端接入的配置,内含关键配置点说明。
安卓选择器类库,包括日期及时间选择器(可用于出生日期、营业时间等)
04-24
安卓选择器类库,包括日期及时间选择器(可用于出生日期、营业时间等)、单项选择器(可用于性别、民族、职业、学历、星座等)、二三级联动选择器(可用于车牌号、基金定投日期等)、城市地址选择器(分省级、地市级及区县级)、数字选择器(可用于年龄、身高、体重、温度等)、日历选日期择器(….zip
整个系统采用 Java 语言基于 Spring 全家桶,与MySQL数据库等相结合开发
04-24
虽然现如今电商行业发展迅速,平台成熟,但是小的个体商家想要在头部电商平台交易还是代价很高,各种供应链拖欠货款层出不穷,当客户和平台由于商品问题产生纠纷后,平台整体会倾向于客户处理,总之,还是要有自己的商城系统,构成所谓的两条腿发展,做到既可以利用第三方平台销售,也需要自己建立平台。我们开发的乐优商城,具备全品类商品的买卖能力,并且组建了一整套高性能服务,可以实现高并发高可用,满足电商的各种促销。为小企业全方位解决搭建交易平台的难题。 乐优商城开发功能目标: 1、 商品管理模块:实现商品分类,品牌,规格参数,商品自身管理,商 品的上架,下架处理。 2、 搜索系统:基于 elasticSearch 实现商品搜索,搜索自动提示,高亮, 排序,搜索过滤。 3、登录系统:实现用户的登录以及登出,过期时间刷新。 4、购物车系统:基于 SpringData 及 MongoDB 实现购物车增删改查。 5、下单系统:下单减库存,使用分布式事务解决方案 Seata 6、支付系统:调用第三方电子支付平台完成支付及回调,动态修改订单 状态为已支付,为后续发货物流,做好保障工作。
毕业设计+Python+基于OpenCV的交通路口红绿灯控制系统设计+Sqlite +PyCharm 8.zip.zip
最新发布
04-24
本资源的源码都是经过本地编译过可运行的,下载后按照文档配置好环境就可以运行。资源项目的难度比较适,内容都是经过助教老师审定过的,应该能够满足学习、使用需求,如果有需要的话可以放心下载使用。有任何问题也可以随时私信博主,博主会第一时间给您解答!!! 本资源的源码都是经过本地编译过可运行的,下载后按照文档配置好环境就可以运行。资源项目的难度比较适,内容都是经过助教老师审定过的,应该能够满足学习、使用需求,如果有需要的话可以放心下载使用。有任何问题也可以随时私信博主,博主会第一时间给您解答!!! 本资源的源码都是经过本地编译过可运行的,下载后按照文档配置好环境就可以运行。资源项目的难度比较适,内容都是经过助教老师审定过的,应该能够满足学习、使用需求,如果有需要的话可以放心下载使用。有任何问题也可以随时私信博主,博主会第一时间给您解答!!
Java毕业设计-基于Springboot+Vue水果购物网站源码+数据库+PPT文档+演示视频(高分项目).zip
04-24
Java毕业设计-基于Springboot+Vue水果购物网站源码+数据库+PPT文档+演示视频(高分项目).zip该项目是个人高分毕业设计项目源码,已获导师指导认可通过,答辩评审分达到97分,在window10/11测试环境严格调试,下载即用,确保可以运行,部署教程齐全,也可以作为期末作业。 Java毕业设计-基于Springboot+Vue水果购物网站源码+数据库+PPT文档+演示视频(高分项目).zip该项目是个人高分毕业设计项目源码,已获导师指导认可通过,答辩评审分达到97分,在window10/11测试环境严格调试,下载即用,确保可以运行,部署教程齐全,也可以作为期末作业。 Java毕业设计-基于Springboot+Vue水果购物网站源码+数据库+PPT文档+演示视频(高分项目).zip该项目是个人高分毕业设计项目源码,已获导师指导认可通过,答辩评审分达到97分,在window10/11测试环境严格调试,下载即用,确保可以运行,部署教程齐全,也可以作为期末作业。Java毕业设计-基于Springboot+Vue水果购物网站源码+数据库+PPT文档+演示视频(高分项目
l2tp/ipsec 绑定域名
05-20
要绑定域名到 L2TP/IPSec VPN 上,您需要具备以下条件: 1. 一个域名:您需要拥有一个域名,例如 example.com。 2. 一个公共 IP 地址:您需要一个公共 IP 地址,用于将域名映射到您的 VPN 服务器上。 3. 一个 SSL 证书:为了确保通信的安全性,您需要一个 SSL 证书。 4. 配置 DNS:您需要将域名指向您的公共 IP 地址,这样您的客户端才能够通过域名连接到 VPN 服务器。 一旦您准备好了以上条件,您可以按照以下步骤配置 L2TP/IPSec VPN 绑定域名: 1. 安装和配置 L2TP/IPSec VPN 服务器。 2. 从 SSL 证书颁发机构处获取 SSL 证书,并将其安装到您的 VPN 服务器上。 3. 配置您的 DNS 记录,将域名指向您的公共 IP 地址。 4. 在您的 VPN 客户端上配置域名,以便客户端可以通过域名连接到 VPN 服务器。 请注意,不同的 VPN 服务器软件可能有不同的配置步骤。您需要根据您使用的软件和操作系统进行相应的配置

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值