【逗老师的小技巧】我算是把Windows IPSec L2TP的问题玩明白了

最新推荐文章于 2024-05-12 23:37:41 发布
最新推荐文章于 2024-05-12 23:37:41 发布
阅读量1.3w 收藏 50
点赞数 13
分类专栏: 网络攻城狮的世界 疑难杂症小技巧 文章标签: windows 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ytlzq0228/article/details/122812629
版权

关于这个问题!

网上一顿文章瞎叽霸写的都是些什么叽霸玩意!

在这里插入图片描述

如果你是自己搭建的IPSec L2TP服务器,而且你又在其他地方折腾了半天Windows连接L2TP的问题,那么这篇文章适合你!

今天,我们来好好说说Windows下的L2TP over IPSec的各种问题。

目前看来,默认配置下,几乎所有的windows都无法顺利连接L2TP over ipsec,解决Windows连接L2TP有两种方案,

  • 方案一:直接禁用ipsec协商
  • 方案二:允许L2TP唤醒ipsec,同时修改ipsec协商参数

网上大部分文章给的都是基于方案一,然后再歪七扭八整了一堆注册表修改项,只要你看到下面这个截图,基本就是直接禁用ipsec的套路了。
在这里插入图片描述方案一不能说不对,很多网络小白确实靠着这个办法顺利连上了。但是:
这种办法连接的L2TP是没有经过ipsec加密保护的哟,客户端和服务器是直接使用1701的L2TP端口通信的哟!!!!明文传输数据哟!!!!!!!!
如何检验流量有没有加密呢?防火墙不放通1701,仅放通500和4500 UDP两个IPSec端口,还能建联的,才是真的经过了ipsec加密。

好了,吐槽完了,我们开始正式说一下从服务端,到windows客户端如何配置:

一、防火墙配置

注意,我们绝不在公网侧直接放通UDP 1701端口。
我们希望的是:

  1. 公网流量先经过IPSec加密
  2. 然后在IPSec隧道侧承接L2TP的UDP 1701端口的流量
  3. 让L2TP流量封装在IPSec隧道内,实现真正的L2TP over IPSec的配置。

因此我们的配置类似于下面的截图:

1、WAN口仅放行500+4500 UDP流量

在这里插入图片描述

2、IPsec虚接口放行L2TP UDP 1701流量

在这里插入图片描述

二、服务器端IPSec协商参数

从Microsoft官方找到了唯一的一篇有关Windows的IPSec安全提议的文档。
Default encryption settings for the Microsoft L2TP/IPSec Client
简单总结下来,服务端配置的安全提议

  • 阶段一提议至少应该包含以下组合:
    3DES-SHA1-DH组2
  • 阶段二至少应该包含3DES加密算法和SHA1散列算法
  • 封装方式使用传输模式

实测Windows连接后,确实使用此提议的组合进行连接。
在这里插入图片描述

同时为了更好的兼容MacOS、iOS和安卓,推荐多搞一点各种提议的组合,逗老师我测试了一下,下面这种组合在各种系统连接时,都可以做到最大兼容。
在这里插入图片描述

三、Windows端修改注册表

1、允许IPSec穿越NAT

说明:
正常的IPSec使用500 UDP端口进行通信,但是因为IPSec建联时需要比较IKE包内host id字段与IP包头实际IP,所以需要引入后续版本的NAT穿越技术,由500初次建联,之后交由4500端口进行NAT穿越建联。
默认windows不支持NAT穿越,配置AssumeUDPEncapsulationContextOnSendRule字段用于允许IPSec使用UDP 4500端口进行NAT穿越。
配置方式:
开始,管理员身份运行CMD
复制粘贴下面命令

REG ADD HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent /v AssumeUDPEncapsulationContextOnSendRule /t REG_DWORD /d 0x2 /f

或者手动进入regedit,找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
新建一个 dword类型的键AssumeUDPEncapsulationContextOnSendRule值为2。

2、允许L2TP唤醒IPSec

说明:
这个配置不一定会影响建立连接,但是可能会影响休眠后重新唤醒IPSec加密。
配置:
开始,管理员身份运行CMD
复制粘贴下面命令

REG ADD HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters /v AllowL2TPWeakCrypto /t REG_DWORD /d 0x1 /f

或者手动进入regedit,找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
新建一个 dword类型的键AllowL2TPWeakCrypto值为1。

3、允许IPSec运行

说明:
我估计大家在看到这篇文章之前,肯定已经照着网上的各种文章搞了一堆乱七八糟的东西了。
大部分文章中都会引导禁用IPSec运行,但这是不对的呀!瞎鸡儿整。
恢复ProhibitIpSec配置

配置:
开始,管理员身份运行CMD
复制粘贴下面命令

REG ADD HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters /v ProhibitIpSec /t REG_DWORD /d 0x0 /f

或者手动进入regedit,找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
删除ProhibitIpSec键值。

4、神仙操作,禁用Xbox网络服务

这是redit上一个神仙网友发现的操作,玄学操作,但是有用。
进入【服务】,找到Xbox Live 网络服务,给他禁用掉。
在这里插入图片描述

5、确认L2TP身份验证方式和加密

从服务器端确认L2TP身份验证方式,例如是CHAP还是MSCHAPv2,并在Windows客户端正确配置相应的身份验证方式。
不知道是啥身份验证方式的话,就在Windows客户端把所有的身份验证方式都勾上。
同时,务必确保【数据加密】不要选择“不允许加密”,否则又不会协商IPSec了。

在这里插入图片描述

逗老师
关注
  • 13
    点赞
  • 50
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 9
    评论
专栏目录
L2tp/Ipsec的搭建与使用
GGGoodLuck的博客
12-03 7945
1.直接上活,如果看到了这篇文章肯定兜了解了是干嘛的,不懂得直接百度吧!这里主要用来在家办公使用。 2.主机是否支持pptp,返回结果为yes就表示通过。 modprobe ppp-compress-18 && echo yes 3.是否开启了TUN,有的虚拟机主机需要开启,返回结果为cat: /dev/net/tun: File descriptor in bad ...
L2TPIPSec两种***的概要比较
weixin_34366546的博客
11-17 6557
一、L2TPL2TP(LayerTwoTunnelingProtocol,第二层通道协议)是×××(虚拟专用网络)技术的一种,专门用来进行第二层数据的通道传送,即将第二层数据单元,如点到点协议(PPP)数据单元,封装在IP或UDP载荷内,以顺利通过包交换网络(如internet),抵达目的地。L2TP提供了一种远程接入访问控制的手段,其典型的应用场景是:某公司员工通过P...
gmailc2:一款基于Google SMTP的完全无法检测的C2服务器
qq_53058639的博客
07-24 241
1、持久化;2、支持Shell访问;3、查看系统信息;4、…
利用IPSec/L2TP代理上网
yangxinyujy的博客
04-04 5673
系统:Centos 6.9优势:Windows、macOS、Linux、IPhone、Android等设备都能用该协议代理上网安装软件:———————————————————————————————————————————————————————运行命令: yum install -y xl2tpd libreswanCentos7官方源中无xl2tpd,添加源 yum install -y ep...
L2TP 内网穿透
最新发布
2401_84968529的博客
05-12 821
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
windows 网络安全策略 IPSEC
07-06
windows IPSECwindows IPSECwindows IPSECwindows IPSECwindows IPSECwindows IPSECwindows IPSEC
Win11配置VPN:L2TP连接尝试失败,因为安全层在初始化与远程计算机的协商时遇到了一个处理错误
Irene的博客
05-24 8457
L2TP连接尝试失败,因为安全层在初始化与远程计算机的协商时遇到了一个处理错误
L2TP OVER IPSEC原理详解
永远是少年
08-24 7483
今天继续给大家介绍HCIE安全。本文给大家介绍的是L2TP OVER IPSEC的相关内容。 阅读本文,您需要对L2TPIPSEC有一定的了解,如果您对此还存在困惑,欢迎查阅我博客内的其他文章,相信您一定会有所收获!!! 推荐阅读: IPSEC VPN简介 L2TP详解(一) L2TP详解(二) 一、L2TP OVER IPSEC原理 L2TP OVER IPSEC,类似于GRE IPSEV,都是先建立IPSEC隧道,然后再IPSEC建立的基础上,建立L2TP隧道,相关体系模式如下: 总部与分部网关已经
L2TP/IPSEC搭建详细步骤
热门推荐
goinggo的博客
09-12 2万+
长沙分公司访问北京总公司的办公OA业务,本文利旧总公司的linux服务器搭建L2TP/IPSEC打通两地内网,达到安全访问的目的。
SSL,L2TP,IPSEC神州数码
03-20
SSL,L2TP,IPSEC神州数码SSL,L2TP,IPSEC神州数码SSL,L2TP,IPSEC神州数码SSL,L2TP,IPSEC神州数码SSL,L2TP,IPSEC神州数码SSL,L2TP,IPSEC神州数码SSL,L2TP,IPSEC神州数码
ipsec+l2tp安装配置及插件
06-01
linux下ipsec+l2tp安装配置及插件
NetworkManager-l2tp:对NetworkManager的L2TPL2TPIPsec支持
02-22
NetworkManager-l2tp是用于NetworkManager 1.8及更高版本的VPN插件,它支持L2TPL2TP / IPsec(即,基于IPsecL2TP)连接。 对于L2TP支持,它使用xl2tpd( ) 为了获得IPsec支持,它使用以下任一方法: 利伯...
centos7搭建基于strongswan ipsecl2tp服务器
08-22
centos7下搭建ipsec l2tp服务器,使用strongswan来构建ipsec.
H3C SecPathF10X0_L2TP over IPSec配置.IOS、Android、Win7、Win10免客户端接入
04-07
H3C防火墙F10X0 V7版本,配置L2tp over ipsec,实现ios和android以及各版本Windows终端,免客户端接入的配置,内含关键配置点说明。
阿里云centos7部署l2tp后无法连接
艾小米
05-22 8223
在某些情况下,VPN服务器不得不设置在内部网络中,并且通过NAT-PT接入Internet。服务器端无需更改任何设置,只需在路由器上,进行端口映射。映射UDP500、1701、4500三个端口到VPN服务器。 在客户机上,如果是XP SP2或者更新的系统,微软默认关闭了IPsec的NAT-T功能,需要手工修改注册表,详情请看微软知识库文章。 http://support.microsoft.com...
Windows PC 间实现IPSec通信
qq_44484541的博客
04-10 2447
实验环境:准备两台主机
解决win10专业版2004系统 L2TP连接尝试失败:ERROR因为安全层在初始化与远程计算机的协商时遇到了一个处理错误
weixin_42450945的博客
12-22 2191
错误描述 要使用VPN连接公司服务器,结果发现我自己电脑死活连不上,Win10专业版2004的系统,点击连接VPN后,等待有一两分钟,提示 L2TP连接尝试失败:ERROR因为安全层在初始化与远程计算机的协商时遇到了一个处理错误。VPN连接配置如下图 解决历程 百度了一堆方法,都是千篇一律,没一个能用,心塞啊,只能自己去外边找,然后很偶然在github上找到一篇关于配置 IPsec/L2TP VPN 客户端教程的文章,文章中有一段关于vpn故障排除吸引到我 不管那么多了,死马当活马医吧,赶快动手试一试
Windows Server 2019 Ipsec安全策略】关于Server中配置IPSec的步骤实现两机之间的安全通信
校园一站式平台大学生创业团队,初心从未改变
02-14 3129
在第一台电脑(192.168.30.11)打开cmd输入·ping 192.168.30.12 -t,在第二台电脑(192.168.30.12)打开cmd输入 ping 192.168.30.11 -t。查看第一台创建策略后两个cmd的变化,查看第两台创建策略后两个cmd的变化。本地安全策略,是指对登陆到计算机上的账号定义一些安全设置,在没有活动目录集中管理的情况下,本地管理员必须为计算机进行设置以确保其安全。首先进入本地安全策略->IP安全策略->创建IP策略。tips:创建好策略后记得分配~
VPN理论入门及GRE、L2TPIPsec(HCIP)
qq_45022073的博客
12-22 2612
IPsec(Internet Protocol Security,因特网协议安全协议)是ETF制定的一组开放的网络安全协议(标准,厂商共同支持)。它并不是一个单独的协议,而是一系列为IP网络提供安全性的协议和服务的集合。数据来源验证:接收方验证发送方身份是否合法(带ID)。数据加密:发送方对数据进行加密,以密文的形式在开放网络上传送,接收方对接收的加密数据进行解密后处理或直接转发(第一阶段5、6包秘钥加密)。数据完整性:接收方对接收的数据进行验证,以判定报文是否被算改(带秘钥的哈希)。
l2tp ipsec windows
10-16
L2TP/IPsec***以下步骤进行设置: 1. 打开“控制面板”,选择“网络和共享中心”。 2. 点击“设置新的连接或网络********* 9. 选择“安全”选项卡,选择“类型”为“L2TP/IPsec”,点击“高级设置”。 10. 勾选“使用预共享密钥进行身份验证”,输入预共享密钥,点击“确定”。 11. 点击“确定”保存设置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

逗老师

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值