利用WINDOWS XP自带×××拨号软件
拨入SecPath防火墙(动态IP)的L2TP设置
我单位利用一台SecPath 100F作为内部网的Internet出口,为了让网络中心人员在家时能更方便、快捷地处理单位内部的一些事情,于是开启了SecPath 100F防火墙的×××功能。在家只需要利用Wiodows XP系统自带的×××拨号软件就可接入单位内部网,处理大部分事务,提高了工作效率。
一、组网需求
L2TP的LNS端采用SecPath 100F防火墙设备;家中电脑利用ADSL上网,作为LAC端,使用Windows XP自带×××拨号软件进行拨号连接。其中SecPath 100F也是利用ADSL拨号上网,双方都是使用动态IP。
×××用户访问公司总部过程如下:
用户首先进行PPoE拨号连接Internet,之后直接由用户向LNS发起Tunnel连接的请求。在LNS接受此连接请求之后,×××用户与LNS之间就建立了一条虚拟的Tunnel。用户与公司总部间的通信都通过×××用户与LNS之间的Tunnel进行传输。
二、组网图
如上图所示,使用SecPath防火墙作为L2TP的LNS,客户端软件是Windows自带的拨号软件。
软件版本如下:
SecPath 100F:VRP software, Version 3.40, Release 1210
客户端软件:Windows XP 自带×××拨号软件。
三、IP地址不固定问题
单位利用ADSL拨号,所分配IP不固定,在家时不能准确知道×××接入所使用的IP。我们的解决办法是利用花生壳的动态域名服务,在内网其中一台可以上网的PC机上安装花生壳软件实现。也可以使用其他公司提供的动态域名服务,具体方法可以参考网上这方面的教程。
家中电脑所分配IP也不固定,但这并不影响我们的拨号接入。
四、具体配置步骤
为方便说明,假设单位ADSL帐号为abcdefg@163.gd;申请的动态域名为www.abcdefg.com。
×××拨入的帐号为:wakem_chan,密码为:zsdx,共享密匙为:qingyuan;为×××拨入用户分配的IP范围是:192.168.10.1-192.168.10.5。
4.1 LNS端的配置
因为日志字数的限制,100F的详细配置在此处略。详细的配置请参照此文章二中的内容,以下为该文超链接。
点击此处打开详细配置。
4.2 LAC的配置:
WindowsXP的L2TP功能缺省启动证书方式的IPSEC,应当在注册表中禁用。
方法一:
执行regedit命令,找到如下位置
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
加入如下注册项:
Value Name: ProhibitIpSec
Data Type: REG_DWORD
Value: 1
方法二:
将以下双引号内(不包括双引号)的一段内容复制到记事本,然后保存为reg后缀的文件,双击将其导入注册表。
“Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters]
"ProhibitIpSec"=dword:00000001”
此时,一定要重启电脑,不然注册表的新信息不会生效。
(2)创建L2TP连接
按照以下图片依次进行设置
首先在网络连接处创建新连接,双击“新建连接向导”
下图的公司名字可以随意填写
点击“完成”,然后再进行拨号相关信息的配置。
下图填写拨号用户名:wankem_chan,密码:zsdx。
安全选项卡,选择“高级(自定义设置)”,然后再分别点击“设置”和“IPSec设置”。
“数据加密”和“允许这些协议”按如图所示设置。
IPSec设置,使用密匙:qingyuan。
网络选项卡,×××类型处选择“L2TP IPSec ×××”。
完成以上设置后,就可以连接此×××拨号了。
当你看到以上画面,恭喜您!您已经拨号成功了!然后,您就可以开始享受把办公室带回家的乐趣了。
五、注意问题
1.动态域名的使用。
2.防火墙配置里面有红色斜体字标记的位置。
3.IP Pool要设置要domain下面。
4.在虚拟接口Virtual-Template1下应用ipsec policy
5.修改注册表,禁用证书方式的IPSec认证。
6.拨号属性中具体配置的修改。
7.假如在“正在核对用户名和密码…”后出现了如下画面,
请检查你的防火墙***防范设置,将“IP欺骗***”关闭掉即可。
转载于:https://blog.51cto.com/90844/416068