利用WINDOWS XP自带VPN拨号软件拨入SecPath系列防火墙的L2TP设置 
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://wakem.blog.51cto.com/269766/52350 |
利用WINDOWS XP自带VPN拨号软件
拨入SecPath防火墙(动态IP)的L2TP设置
我单位利用一台SecPath 100F作为内部网的Internet出口,为了让网络中心人员在家时能更方便、快捷地处理单位内部的一些事情,于是开启了SecPath 100F防火墙的VPN功能。在家只需要利用Wiodows XP系统自带的VPN拨号软件就可接入单位内部网,处理大部分事务,提高了工作效率。
一、组网需求
L2TP的LNS端采用SecPath 100F防火墙设备;家中电脑利用ADSL上网,作为LAC端,使用Windows XP自带VPN拨号软件进行拨号连接。其中SecPath 100F也是利用ADSL拨号上网,双方都是使用动态IP。
VPN用户访问公司总部过程如下:
用户首先进行PPoE拨号连接Internet,之后直接由用户向LNS发起Tunnel连接的请求。在LNS接受此连接请求之后,VPN用户与LNS之间就建立了一条虚拟的Tunnel。用户与公司总部间的通信都通过VPN用户与LNS之间的Tunnel进行传输。
二、组网图
 如上图所示,使用SecPath防火墙作为L2TP的LNS,客户端软件是Windows自带的拨号软件。
软件版本如下:
SecPath 100F:VRP software, Version 3.40, Release 1210
客户端软件:Windows XP 自带VPN拨号软件。
三、IP地址不固定问题
单位利用ADSL拨号,所分配IP不固定,在家时不能准确知道VPN接入所使用的IP。我们的解决办法是利用花生壳的动态域名服务,在内网其中一台可以上网的PC机上安装花生壳软件实现。也可以使用其他公司提供的动态域名服务,具体方法可以参考网上这方面的教程。
家中电脑所分配IP也不固定,但这并不影响我们的拨号接入。
四、具体配置步骤
为方便说明,假设单位ADSL帐号为abcdef@163.gd;申请的动态域名为www.abcdefg.com。
VPN拨入的帐号为:wakem_chan,密码为:zsdx,共享密匙为:qingyuan;为VPN拨入用户分配的IP范围是:192.168.10.1-192.168.10.5。
4.1 LNS端的配置
< 100F>dis cur
#
sysname 100F
#
l2tp enable //开启l2tp功能
#
firewall packet-filter enable
firewall packet-filter default permit
#
insulate
#
dialer-rule 1 ip permit
#
firewall statistic system enable
#
radius scheme system
#
domain system
ip pool 1 192.168.10.1 192.168.10.5 //配置VPN拨入用户分配的IP地址池
#
local-user abcdefg@163.gd //配置单位ADSL拨号用户
password cipher $P(0A9$V(FSQ=^Q`MAF4<1!!
service-type ppp
local-user wakem_chan //配置VPN拨号用户
password simple zsdx
service-type ppp
#
ike peer 1 //配置ike peer参数
pre-shared-key qingyuan
#
ipsec proposal 1 //配置ipsec提议
encapsulation-mode transport //配置封装模式为透明模式
#
ipsec policy-template temp 1 //配置ipsec策略模板
ike-peer 1
proposal 1
#
ipsec policy 1 1 isakmp template temp
#
acl number 2000 //NAT访问控制列表
rule 0 permit source 192.168.1.0 0.0.0.255
#
interface Virtual-Template1 //配置虚拟接口模板1及其验证方式
ppp authentication-mode pap
ip address 192.168.100.254 255.255.255.0
ipsec policy 1 //在端口上启用ipsec policy
#
interface Aux0
async mode flow
#
interface Dialer1
link-protocol ppp
ppp pap local-user abcdefg@163.gd password cipher $P(0A9$V(FSQ=^Q`MAF4<1!!
mtu 1492
tcp mss 1024
ip address ppp-negotiate
dialer user 100F
dialer-group 1
dialer bundle 1
nat outbound 2000
ipsec policy 1 //在端口上启用ipsec policy
#
interface Ethernet0/0
#
interface Ethernet0/1
#
interface Ethernet0/2
#
interface Ethernet0/3
#
interface Ethernet1/0
pppoe-client dial-bundle-number 1 no-hostuniq
mtu 1492
tcp mss 1024
#
interface Ethernet1/1
#
interface Ethernet1/2
#
interface NULL0
#
firewall zone local
set priority 100
#
firewall zone trust
add interface Ethernet0/0
add interface Ethernet0/1
add interface Ethernet0/2
add interface Ethernet0/3
add interface Dialer1 //把拨号接口添加进入安全域
add interface Virtual-Template1 //把虚拟接口模板添加进入安全域
set priority 85
#
firewall zone untrust
add interface Ethernet1/0
add interface Ethernet1/1
add interface Ethernet1/2
set priority 5
#
firewall zone DMZ
set priority 50
#
firewall interzone local trust
#
firewall interzone local untrust
#
firewall interzone local DMZ
#
firewall interzone trust untrust
#
firewall interzone trust DMZ
#
firewall interzone DMZ untrust
#
l2tp-group 1 //配置l2tp组1
undo tunnel authentication //取消隧道验证
allow l2tp virtual-template 1 //配置使用名字的方式发起l2tp连接
#
ip route-static 0.0.0.0 0.0.0.0 Dialer 1 preference 60 //配置静态默认路由
# //以下为防火墙攻击防范配置,此处需关闭IP欺骗攻击
firewall defend land
firewall defend smurf
firewall defend fraggle
firewall defend winnuke
firewall defend icmp-redirect
firewall defend icmp-unreachable
firewall defend source-route
firewall defend route-record
firewall defend ping-of-death
firewall defend tcp-flag
firewall defend ip-fragment
firewall defend large-icmp
firewall defend teardrop
firewall defend ip-sweep
firewall defend port-scan
firewall defend arp-spoofing
firewall defend arp-reverse-query
firewall defend arp-flood
firewall defend frag-flood
firewall defend syn-flood enable
firewall defend udp-flood enable
firewall defend icmp-flood enable
#
user-interface con 0
user-interface aux 0
user-interface vty 0 4
#
Return
4.2 LAC的配置:
WindowsXP的L2TP功能缺省启动证书方式的IPSEC,应当在注册表中禁用。
方法一:
执行regedit命令,找到如下位置
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
加入如下注册项:
Value Name: ProhibitIpSec
Data Type: REG_DWORD
Value: 1
方法二:
将以下双引号内(不包括双引号)的一段内容复制到记事本,然后保存为reg后缀的文件,双击将其导入注册表。
“Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters]
"ProhibitIpSec"=dword:00000001”
此时,一定要重启电脑,不然注册表的新信息不会生效。
(2)创建L2TP连接
按照以下图片依次进行设置
首先在网络连接处创建新连接,双击“新建连接向导”
   下图的公司名字可以随意填写
    点击“完成”,然后再进行拨号相关信息的配置。
下图填写拨号用户名:wakem_chan,密码:zsdx。
   安全选项卡,选择“高级(自定义设置)”,然后再分别点击“设置”和“IPSec设置”。
 “数据加密”和“允许这些协议”按如图所示设置。
 IPSec设置,使用密匙:qingyuan。
 网络选项卡,VPN类型处选择“L2TP IPSec VPN”。
  完成以上设置后,就可以连接此VPN拨号了。
   当你看到以上画面,恭喜您!您已经拨号成功了!然后,您就可以开始享受把办公室带回家的乐趣了。
五、注意问题
1.动态域名的使用。
2.防火墙配置里面有红色斜体字标记的位置。
3.IP Pool要设置要domain下面。
4.在虚拟接口Virtual-Template1下应用ipsec policy
5.修改注册表,禁用证书方式的IPSec认证。
6.拨号属性中具体配置的修改。
7.假如在“正在核对用户名和密码…”后出现了如下画面,
 请检查你的防火墙攻击防范设置,将“IP欺骗攻击”关闭掉即可。 本文出自 “不鸣则已,再鸣更惊人!” 博客,请务必保留此出处http://wakem.blog.51cto.com/269766/52350 本文出自 51CTO.COM技术博客 |
附件下载:
禁用证书方式IPSEC注册表文件
禁用证书方式IPSEC注册表文件
wakem_chan
博客统计信息
热门文章
最新评论
友情链接