利用WINDOWS XP自带×××拨号软件
拨入SecPath防火墙(动态IP)的L2TP设置
我单位利用一台SecPath 100F作为内部网的Internet出口,为了让网络中心人员在家时能更方便、快捷地处理单位内部的一些事情,于是开启了SecPath 100F防火墙的×××功能。在家只需要利用Wiodows XP系统自带的×××拨号软件就可接入单位内部网,处理大部分事务,提高了工作效率。
一、组网需求
L2TP的LNS端采用SecPath 100F防火墙设备;家中电脑利用ADSL上网,作为LAC端,使用Windows XP自带×××拨号软件进行拨号连接。其中SecPath 100F也是利用ADSL拨号上网,双方都是使用动态IP。
×××用户访问公司总部过程如下:
用户首先进行PPoE拨号连接Internet,之后直接由用户向LNS发起Tunnel连接的请求。在LNS接受此连接请求之后,×××用户与LNS之间就建立了一条虚拟的Tunnel。用户与公司总部间的通信都通过×××用户与LNS之间的Tunnel进行传输。
二、
组网图
如上图所示,使用SecPath防火墙作为L2TP的LNS,客户端软件是Windows自带的拨号软件。
软件版本如下:
SecPath 100F:VRP software, Version 3.40, Release 1210
客户端软件:Windows XP 自带×××拨号软件。
三、IP地址不固定问题
单位利用ADSL拨号,所分配IP不固定,在家时不能准确知道×××接入所使用的IP。我们的解决办法是利用花生壳的动态域名服务,在内网其中一台可以上网的PC机上安装花生壳软件实现。也可以使用其他公司提供的动态域名服务,具体方法可以参考网上这方面的教程。
家中电脑所分配IP也不固定,但这并不影响我们的拨号接入。
四、具体配置步骤
为方便说明,假设单位ADSL帐号为[email]abcdef@163.gd[/email];申请的动态域名为[url]www.abcdefg.com[/url]。
×××拨入的帐号为:wakem_chan,密码为:zsdx,共享密匙为:qingyuan;为×××拨入用户分配的IP范围是:192.168.10.1-192.168.10.5。
4.1 LNS
端的配置
< 100F>dis cur
#
sysname 100F
#
l2tp enable //开启l2tp功能
#
firewall packet-filter enable
firewall packet-filter default permit
#
insulate
#
dialer-rule 1 ip permit
#
firewall statistic system enable
#
radius scheme system
#
domain system
ip pool 1 192.168.10.1 192.168.10.5 //配置×××拨入用户分配的IP地址池
#
local-user [email]abcdefg@163.gd[/email] //配置单位ADSL拨号用户
password cipher $P(0A9$V(FSQ=^Q`MAF4<1!!
service-type ppp
local-user wakem_chan //配置×××拨号用户
password simple zsdx
service-type ppp
#
ike peer 1 //配置ike peer参数
pre-shared-key qingyuan
#
ipsec proposal 1 //配置ipsec提议
encapsulation-mode transport //配置封装模式为透明模式
#
ipsec policy-template temp 1 //配置ipsec策略模板
ike-peer 1
proposal 1
#
ipsec policy 1 1 isakmp template temp
#
acl number 2000 //NAT访问控制列表
rule 0 permit source 192.168.1.0 0.0.0.255
#
interface Virtual-Template1 //配置虚拟接口模板1及其验证方式
ppp authentication-mode pap
ip address 192.168.100.254 255.255.255.0
ipsec policy 1 //在端口上启用ipsec policy
#
interface Aux0
async mode flow
#
interface Dialer1
link-protocol ppp
ppp pap local-user [email]abcdefg@163.gd[/email] password cipher $P(0A9$V(FSQ=^Q`MAF4<1!!
mtu 1492
tcp mss 1024
ip address ppp-negotiate
dialer user 100F
dialer-group 1
dialer bundle 1
nat outbound 2000
ipsec policy 1 //在端口上启用ipsec policy
#
interface Ethernet0/0
#
interface Ethernet0/1
#
interface Ethernet0/2
#
interface Ethernet0/3
#
interface Ethernet1/0
pppoe-client dial-bundle-number 1 no-hostuniq
mtu 1492
tcp mss 1024
#
interface Ethernet1/1
#
interface Ethernet1/2
#
interface NULL0
#
firewall zone local
set priority 100
#
firewall zone trust
add interface Ethernet0/0
add interface Ethernet0/1
add interface Ethernet0/2
add interface Ethernet0/3
add interface Dialer1 //把拨号接口添加进入安全域
add interface Virtual-Template1 //把虚拟接口模板添加进入安全域
set priority 85
#
firewall zone untrust
add interface Ethernet1/0
add interface Ethernet1/1
add interface Ethernet1/2
set priority 5
#
firewall zone DMZ
set priority 50
#
firewall interzone local trust
#
firewall interzone local untrust
#
firewall interzone local DMZ
#
firewall interzone trust untrust
#
firewall interzone trust DMZ
#
firewall interzone DMZ untrust
#
l2tp-group 1 //配置l2tp组1
undo tunnel authentication //取消隧道验证
allow l2tp virtual-template 1 //配置使用名字的方式发起l2tp连接
#
ip route-static 0.0.0.0 0.0.0.0 Dialer 1 preference 60 //配置静态默认路由
# //以下为防火墙***防范配置,此处需关闭IP欺骗***
firewall defend land
firewall defend smurf
firewall defend fraggle
firewall defend winnuke
firewall defend icmp-redirect
firewall defend icmp-unreachable
firewall defend source-route
firewall defend route-record
firewall defend ping-of-death
firewall defend tcp-flag
firewall defend ip-fragment
firewall defend large-icmp
firewall defend teardrop
firewall defend ip-sweep
firewall defend port-scan
firewall defend arp-spoofing
firewall defend arp-reverse-query
firewall defend arp-flood
firewall defend frag-flood
firewall defend syn-flood enable
firewall defend udp-flood enable
firewall defend icmp-flood enable
#
user-interface con 0
user-interface aux 0
user-interface vty 0 4
#
Return
4.2 LAC
的配置:
WindowsXP的L2TP功能缺省启动证书方式的IPSEC,应当在注册表中禁用。
方法一:
执行regedit命令,找到如下位置
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
加入如下注册项:
Value Name: ProhibitIpSec
Data Type: REG_DWORD
Value: 1
方法二:
将以下双引号内(不包括双引号)的一段内容复制到记事本,然后保存为reg后缀的文件,双击将其导入注册表。
“Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters]
"ProhibitIpSec"=dword:00000001”
此时,一定要重启电脑,不然注册表的新信息不会生效。
(2)创建L2TP连接
按照以下图片依次进行设置
首先在网络连接处创建新连接,双击“新建连接向导”
![](https://i-blog.csdnimg.cn/blog_migrate/f1233deea076d5fa4f7523f572c22386.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/491f25292ee363ba8b587d62f098f7c1.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/84771f377e15fe211a625201bb4f105d.jpeg)
下图的公司名字可以随意填写
![](https://i-blog.csdnimg.cn/blog_migrate/7be281ef5e63ca9a06a5b222e3e632b1.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/99cb53d108cb4aadbeebb9306ebc0546.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/c5da7893bbdd07cb74e48fa13763b815.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/4c3003eabccbccd0d5fb9754c1e8b7e7.jpeg)
点击“完成”,然后再进行拨号相关信息的配置。
下图填写拨号用户名:wakem_chan,密码:zsdx。
![](https://i-blog.csdnimg.cn/blog_migrate/81ee495dd1201b167b894af108da55e6.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/b521c497ff76964e092272aa021df90c.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/4b2affdedd5537074f09629ce673f963.jpeg)
安全选项卡,选择“高级(自定义设置)”,然后再分别点击“设置”和“IPSec设置”。
![](https://i-blog.csdnimg.cn/blog_migrate/fc81f589b8645e8d0816b09fa7e58e19.jpeg)
“数据加密”和“允许这些协议”按如图所示设置。
![](https://i-blog.csdnimg.cn/blog_migrate/2eab4a7c436f700c670a2a21a16a9114.jpeg)
IPSec设置,使用密匙:qingyuan。
![](https://i-blog.csdnimg.cn/blog_migrate/55e8edd2f4654f68730473f5740aa7c6.jpeg)
网络选项卡,×××类型处选择“L2TP IPSec ×××”。
![](https://i-blog.csdnimg.cn/blog_migrate/d063f3f0fd730c344f0577d13ed8a211.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/0da610c7c6c2d093a52a54f7e23c3a0a.jpeg)
完成以上设置后,就可以连接此×××拨号了。
![](https://i-blog.csdnimg.cn/blog_migrate/c4c18853495e30c130157859e9e73d65.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/e5ebd6f8d342e49161e85a4b057369b0.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/569f92a5be8a2f4e3de84f4e98b1cb46.jpeg)
当你看到以上画面,恭喜您!您已经拨号成功了!然后,您就可以开始享受把办公室带回家的乐趣了。
五、注意问题
1.动态域名的使用。
2.防火墙配置里面有红色斜体字标记的位置。
3.IP Pool要设置要domain下面。
4.在虚拟接口Virtual-Template1下应用ipsec policy
5.修改注册表,禁用证书方式的IPSec认证。
6.拨号属性中具体配置的修改。
7.假如在“正在核对用户名和密码…”后出现了如下画面,
![](https://i-blog.csdnimg.cn/blog_migrate/c4e3b2b586ad65922e945b0dde123931.jpeg)
请检查你的防火墙***防范设置,将“IP欺骗***”关闭掉即可。
转载于:https://blog.51cto.com/wakem/52350