题目
RouterSrv:
- 虚拟专用网络
- 设置L2TP/IPSec,IKE通道采用证书进行验证。
- L2TP通道使用chinaskills.com域内用户进行身份验证,仅允许manager组内用户通过身份证验证。
- 对于vpn客户端,请使用范围192.168.1.200-192.168.1.220/24。
DCServer:
- NPS(网络策略服务)
- 在DCSERVER上安装网络策略服务作为VPN用户登录验证。
- 仅允许L2TP/IPSEC VPN进行VPN连接访问验证。
- 认证、授权日志将存储到DCSERVER上的“C:\NPS\”目录下。
实验环境
- DCServer已经安装域服务,且RouterSrv已经加入域。
- RouterSrv已经安装路由远程访问,开启VPN服务。
- OutsideSrv可以解析到RouterSrv.chinaskills.com到100.100.100.251
- DCServer安装证书服务并颁发计算机证书给RouterSrv。
- DCServer已添加manager组,并且有成员。
实验步骤
DCServer
- DCServer安装证书服务
- 证书颁发机构中添加计算机证书
- 使用组策略进行颁发
计算机配置---策略---Windows设置---安全设置---公钥策略
gpupdate /force更新策略
- 安装并配置NPS服务
新建网络策略:
新建连接请求策略:
RouterSrv
- 配置VPN地址池
配置RAIDUS身份认证,机密要与DCServer一致,配置完成后自动重启路由服务。
将RouterSrv的计算机证书和根证书导出并安装到OutsideCli上
OutsideCli
证书导入之后,添加一个VPN连接