1. 需求分析
- 通过L2tp over ***(***就不做过多解释了)实现远程终端用户访问企业内部服务器资源和保护通信安全。
2. L2tp over ***配置说明
2.1 软硬件信息
硬件平台 | 软件版本 |
SG-6000-C1200W | SG-6000-M-3-5.5R8P5-v6 |
拨号端PC | Windows 10 专业版 |
2.2 组网拓扑
正在上传…重新上传取消
2.3 环境说明
- PC(Windows 10)的地址为100.0.0.9/24;
- 防火墙的外网出接口E0/1地址为120.0.0.9/24,内网接口E0/6为110.0.0.9/24;
- 内网服务器地址为110.0.0.10/24。
2.4 配置步骤
2.4.1 防火墙基本上网配置(略)
2.4.2 新建P1提议
正在上传…重新上传取消
2.4.3 新建对端列表(一阶段)
正在上传…重新上传取消
正在上传…重新上传取消
2.4.4 新建P2提议
正在上传…重新上传取消
注:阶段二的提议要启用 lifesize 选项并设置数值为 250000 与 WIN7 系统一致!另外为了同时支持 XP、WIN7 平台拨入,需添加 WIN7 支持的 AES 和 SHA 加密、认证算法,而 XP 需要配置支持的 DES 和 MD5 的加密、认证算法。
2.4.5 新建IKE 列表(二阶段)
正在上传…重新上传取消
2.4.6 在L2tp 配置页面引用***隧道
正在上传…重新上传取消
正在上传…重新上传取消
正在上传…重新上传取消
- L2tp 高级配置->PPP认证建议选择“any”(如选择其他,则需要与终端PPP认证设置保持一致)。
正在上传…重新上传取消
2.4.7 新建登录用户
正在上传…重新上传取消
2.5 客户端拨入及注意事项
注:win8 和 win10 客户端默认启用***加密,连接 L2tp over***的时候无需修改册表。Win7 默认是禁用***加密,连接 L2tp over ***需要先修改注册表并重启。
2.5.1 Windows 10 客户端配置
(1)控制面板->网络和共享中心->设置新的连接或网络。
正在上传…重新上传取消
(2)连接到工作区->否,创建新连接->使用我的Internet连接()->填写的域名或地址和连接名。
(3)返回桌面右键点击右下角的
图标,打开”网络和Internet'设置->L2TP->选择已经建立的L2TP连接。
(4)高级选项->编辑->输入下列数据并保存。
- PC去访问防火墙内网服务器地址http://110.0.0.10:80。
正在上传…重新上传取消
2.5.2 Windows 7 客户端配置
1、创建一个L2TP连接。
1)在控制面板--网络和共享中心;
2)进入网络和共享中心界面后点击“设置新的连接或网络”;
3)“选择一个连接选项”下面点击“连接到工作区”----下一步, 使用我的 Internet连接(L2TP)。
正在上传…重新上传取消
正在上传…重新上传取消
4)输入 L2TP 的域名或 IP 地址,输入 L2TP的用户名和密码,点击连接。
正在上传…重新上传取消
2、确认注册表参数,默认 WIN7 禁用 ***加密,需要启用。
1)单击“开始”,单击“运行”,键入“regedit”,单击“确定”弹出注册表编辑器窗口;
2)在左侧注册表项目中逐级点击:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters;
3)为 Parameters 参 数 添 加 SWORD 值,单击 Parameters 项,确定名称为“Prohibit***”,数据类型为”REG_DWORD”、值为 “0”,然后单击“确定”,重启计算机生效。
正在上传…重新上传取消
4)查看 *** policy agent 服务有没有启动。
正在上传…重新上传取消
3、调整 L2TP参数。
1)在控制面板--网络和 internet 页面,点击“连接到网络”,选择 L2TP连接,右键选择“查看连接属性”;
正在上传…重新上传取消
2)选择“安全”属性页面,L2TP 类型选择“使用 *** 的第 2 层隧道协议(L2tp/***)”,数据加密选择“可选加密(没有加密也可以连接)”;
3)在“允许这些协议”选项中勾选“不加密的密码(PAP)”和“质询握手验证协议(CHAP)”;
4)“属性”->“安全”->“高级设置”勾选“使用预共享密钥做身份认证”并在“密钥”框中输入 pre-share key,是***隧道配置的预共享密钥:
正在上传…重新上传取消
2.5.3 手机端配置(安卓)
很多用户需要安卓或者苹果手机拨入 L2TP over *** 时手机的配置。安卓端拨号设置(机型太多,举例)
在安卓手机中【设置】>【无线和网络】>【L2TP】>【添加 L2TP 网络】
1、点击设置,选择 L2TP,添加 L2TP 网络。
2、类型选择 L2TP/*** PSK 。
正在上传…重新上传取消
3、名称,服务器地址,*** 预共享密钥配置好保存。
正在上传…重新上传取消
4、点击相应 L2TP,填写用户名密码即可。
2.5.4 手机端配置(苹果)
1、打开设置->通用->L2TP。点击添加 L2TP 配置。
正在上传…重新上传取消
2、修改类型为 L2TP。
按照要求填入,描述、服务器地址、账户密码及预共享密钥,并开启发送所有流量。
正在上传…重新上传取消
3、选择相应 L2TP 点击链接即可。
2.5.5 Ubuntu客户端配置
注:需要注意高级配置,在 Ubuntu PPP 设置里,需要勾选对应的,不建议把 PPP 其他协议全部勾选,和防火墙对应。
Setting--network--新建L2TP。
配置防火墙 L2TP 对外的网关 IP,L2TP 用户账号密码,在设置一下 PPP,只需要选择和防火墙对应的协议,例如:chap 或者 PAP,其他关闭,无其他配置,配置完之后点击连接即可。
正在上传…重新上传取消
防火墙密钥(举例):
isakmp proposal L2TP_1_p1
authentication pre-share
group 2
hash sha
encryption 3des
lifetime 86400
exit
*** proposal L2TP_1_p2
protocol esp
group nopfs
encryption 3des
hash sha
lifetime 28800
Ubuntu 密钥(举例):
还需要勾选 UDP 封装。
最后点击连接,即可。
3. 补充说明
- L2TP ***配置可参考《L2TP 配置案例_WebUI》。
- 如遇到无法成功拨入,排除客户端侧问题后,需要在防火墙L2TP服务端进行debug故障调试,可按照《StoneOS Debug(抓包)故障调试手册》进行抓包操作。
☛ 以上图片显示异常,详细图文内容!