利用WINDOWS XP自带×××拨号软件
拨入SecPath防火墙(动态IP)的L2TP设置
 
我单位利用一台SecPath 100F作为内部网的Internet出口,为了让网络中心人员在家时能更方便、快捷地处理单位内部的一些事情,于是开启了SecPath 100F防火墙的×××功能。在家只需要利用Wiodows XP系统自带的×××拨号软件就可接入单位内部网,处理大部分事务,提高了工作效率。
 
一、组网需求
L2TP的LNS端采用SecPath 100F防火墙设备;家中电脑利用ADSL上网,作为LAC端,使用Windows XP自带×××拨号软件进行拨号连接。其中SecPath 100F也是利用ADSL拨号上网,双方都是使用动态IP。
 
×××用户访问公司总部过程如下:
用户首先进行PPoE拨号连接Internet,之后直接由用户向LNS发起Tunnel连接的请求。在LNS接受此连接请求之后,×××用户与LNS之间就建立了一条虚拟的Tunnel。用户与公司总部间的通信都通过×××用户与LNS之间的Tunnel进行传输。
 
二、 组网图
如上图所示,使用SecPath防火墙作为L2TP的LNS,客户端软件是Windows自带的拨号软件。
软件版本如下:
SecPath 100F:VRP software, Version 3.40, Release 1210
客户端软件:Windows XP 自带×××拨号软件。
 
三、IP地址不固定问题
单位利用ADSL拨号,所分配IP不固定,在家时不能准确知道×××接入所使用的IP。我们的解决办法是利用花生壳的动态域名服务,在内网其中一台可以上网的PC机上安装花生壳软件实现。也可以使用其他公司提供的动态域名服务,具体方法可以参考网上这方面的教程。
家中电脑所分配IP也不固定,但这并不影响我们的拨号接入。
 
四、具体配置步骤
为方便说明,假设单位ADSL帐号为[email]abcdef@163.gd[/email];申请的动态域名为[url]www.abcdefg.com[/url]
×××拨入的帐号为:wakem_chan,密码为:zsdx,共享密匙为:qingyuan;为×××拨入用户分配的IP范围是:192.168.10.1-192.168.10.5。
 
4.1 LNS 端的配置
< 100F>dis cur
#
 sysname 100F
#
 l2tp enable                   //开启l2tp功能 
#
 firewall packet-filter enable
 firewall packet-filter default permit
#
 insulate
#
 dialer-rule 1 ip permit
#
 firewall statistic system enable
#
radius scheme system
#
domain system
 ip pool 1 192.168.10.1 192.168.10.5        //配置×××拨入用户分配的IP地址池
#
local-user [email]abcdefg@163.gd[/email]                 //配置单位ADSL拨号用户
 password cipher $P(0A9$V(FSQ=^Q`MAF4<1!!
 service-type ppp
local-user wakem_chan                    //配置×××拨号用户
 password simple zsdx
 service-type ppp
#
ike peer 1                              //配置ike peer参数
 pre-shared-key qingyuan
#
ipsec proposal 1                       //配置ipsec提议
 encapsulation-mode transport           //配置封装模式为透明模式
#
ipsec policy-template temp 1              //配置ipsec策略模板
 ike-peer 1
 proposal 1
#
ipsec policy 1 1 isakmp template temp    
#
acl number 2000                     //NAT访问控制列表
 rule 0 permit source 192.168.1.0 0.0.0.255
#
interface Virtual-Template1          //配置虚拟接口模板1及其验证方式
 ppp authentication-mode pap
 ip address 192.168.100.254 255.255.255.0
 ipsec policy 1                     //在端口上启用ipsec policy
#
interface Aux0
 async mode flow
#
interface Dialer1
 link-protocol ppp
 ppp pap local-user [email]abcdefg@163.gd[/email] password cipher $P(0A9$V(FSQ=^Q`MAF4<1!!
 mtu 1492
 tcp mss 1024
 ip address ppp-negotiate
 dialer user 100F
 dialer-group 1
 dialer bundle 1
 nat outbound 2000
 ipsec policy 1               //在端口上启用ipsec policy
#
interface Ethernet0/0
#
interface Ethernet0/1
#
interface Ethernet0/2
#
interface Ethernet0/3
#
interface Ethernet1/0
 pppoe-client dial-bundle-number 1 no-hostuniq
 mtu 1492
 tcp mss 1024
#
interface Ethernet1/1
#
interface Ethernet1/2
#
interface NULL0
#
firewall zone local
 set priority 100
#
firewall zone trust
 add interface Ethernet0/0
 add interface Ethernet0/1
 add interface Ethernet0/2
 add interface Ethernet0/3
 add interface Dialer1                   //把拨号接口添加进入安全域
 add interface Virtual-Template1          //把虚拟接口模板添加进入安全域
 set priority 85
#
firewall zone untrust
 add interface Ethernet1/0
 add interface Ethernet1/1
 add interface Ethernet1/2
 set priority 5
#
firewall zone DMZ
 set priority 50
#
firewall interzone local trust
#
firewall interzone local untrust
#
firewall interzone local DMZ
#
firewall interzone trust untrust
#
firewall interzone trust DMZ
#
firewall interzone DMZ untrust
#
l2tp-group 1                //配置l2tp组1
 undo tunnel authentication    //取消隧道验证
 allow l2tp virtual-template 1   //配置使用名字的方式发起l2tp连接
#
 ip route-static 0.0.0.0 0.0.0.0 Dialer 1 preference 60   //配置静态默认路由
#    //以下为防火墙***防范配置,此处需关闭IP欺骗***
 firewall defend land
 firewall defend smurf
 firewall defend fraggle
 firewall defend winnuke
 firewall defend icmp-redirect
 firewall defend icmp-unreachable
 firewall defend source-route
 firewall defend route-record
 firewall defend ping-of-death
 firewall defend tcp-flag
 firewall defend ip-fragment
 firewall defend large-icmp
 firewall defend teardrop
 firewall defend ip-sweep
 firewall defend port-scan
 firewall defend arp-spoofing
 firewall defend arp-reverse-query
 firewall defend arp-flood
 firewall defend frag-flood
 firewall defend syn-flood enable
 firewall defend udp-flood enable
 firewall defend icmp-flood enable
#
user-interface con 0
user-interface aux 0
user-interface vty 0 4
#
Return
 
4.2 LAC 的配置:
WindowsXP的L2TP功能缺省启动证书方式的IPSEC,应当在注册表中禁用。
方法一:
执行regedit命令,找到如下位置
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
加入如下注册项:
Value Name: ProhibitIpSec
Data Type: REG_DWORD
Value: 1
方法二:
将以下双引号内(不包括双引号)的一段内容复制到记事本,然后保存为reg后缀的文件,双击将其导入注册表。
“Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters]
"ProhibitIpSec"=dword:00000001
此时,一定要重启电脑,不然注册表的新信息不会生效。
(2)创建L2TP连接
按照以下图片依次进行设置
首先在网络连接处创建新连接,双击“新建连接向导”
 
下图的公司名字可以随意填写
点击“完成”,然后再进行拨号相关信息的配置。
 
下图填写拨号用户名:wakem_chan,密码:zsdx
安全选项卡,选择“高级(自定义设置)”,然后再分别点击“设置”和“IPSec设置”。
“数据加密”和“允许这些协议”按如图所示设置。
IPSec设置,使用密匙:qingyuan
 
网络选项卡,×××类型处选择“L2TP IPSec ×××”。
 
完成以上设置后,就可以连接此×××拨号了。
当你看到以上画面,恭喜您!您已经拨号成功了!然后,您就可以开始享受把办公室带回家的乐趣了。
五、注意问题
1.动态域名的使用。
2.防火墙配置里面有红色斜体字标记的位置。
3IP Pool要设置要domain下面。
4.在虚拟接口Virtual-Template1下应用ipsec policy
5.修改注册表,禁用证书方式的IPSec认证。
6.拨号属性中具体配置的修改。
7.假如在“正在核对用户名和密码…”后出现了如下画面,
请检查你的防火墙***防范设置,将“IP欺骗***”关闭掉即可。