茫茫網海中的冷日
         
茫茫網海中的冷日
發生過的事,不可能遺忘,只是想不起來而已!
 恭喜您是本站第 1664633 位訪客!  登入  | 註冊
主選單

Google 自訂搜尋

Goole 廣告

隨機相片
IMG_60D_00007.jpg

授權條款

使用者登入
使用者名稱:

密碼:


忘了密碼?

現在就註冊!

一網情深 : [轉貼]juniper防火牆之圖解l2tp vpn配置

發表者 討論內容
冷日
(冷日)
Webmaster
  • 註冊日: 2008/2/19
  • 來自:
  • 發表數: 15766
[轉貼]juniper防火牆之圖解l2tp vpn配置

juniper防火牆之圖解l2tp vpn配置

L2TP隧道(L2TP Tunnel)是指在第二層隧道協議(L2TP)端點之間的邏輯鏈接:LAC(L2TP接入聚合器)和LNS(L2TP網絡服務器)。當LNS是服務器 時,LAC是隧道的發起人,它等待新的隧道。一旦一個隧道被確立,在這個點之間的新通信將是雙向的。為了對網絡有用,高層協議例如點對點協議(PPP)然 後通過L2TP隧道。
今天剛好在學Juniper防火牆的時候,剛好學到L2TP VPN的配置,那麼今天我們來看看使用Juniper防火牆來做L2TP VPN。
第一步:點擊:Objects>IP Pools我們添加一個IP地址池,這個地址池主要用來給我們通過L2TP VPN撥號進來的用戶分配的內網的IP 地址。
 

如上圖:IP Pool Name就是給我們地址池起上一個名字,以便我們以後好調用。
Start IP:我們地址池起始的IP地址
End IP:我們地址池結束的IP地址
輸入好以後點擊OK就行了。
當我們建立好之後,它自動會返回到我們一個地址池匯總的地方,在這裡我們可以看見我們剛才建立的那一個地址池。
當我們地址池建立以後進入「Objects>Users>Local」裡面去建立我們的用戶。如下圖點擊右上角的「New」來新建我們的用戶。
如下圖:User Name:輸入用戶名
              Status:  Enable
              User Password:輸入密碼
              Confirm Password:輸入確認密碼
            將L2TP User選中,因為我們這個用戶將用來給通過L2TP撥號進來的用戶登錄使用的。



 
 
按照上面圖的步驟,我們再建立一個cisco用戶名。當我們建立好之後,就會看見如下圖顯示兩個用戶名。
當我們建立好用戶以後,我們還要建立一個用戶組,將我們的用戶加入該組裡面。

在Group Name後面輸入我們的組名,我這裡輸入的是「aa」,而在我們「Available Members」這裡面顯示的是我們剛才建立好的用戶名,但是下圖應該還有一個cisco用戶才對。而「Group Members」這裡面就是我們的組成員,我們選中「Available Members」下面的用戶,點擊「<&lt;」這個按鈕加入到左邊的「Group Members」裡面,這樣在「Group Members」裡面就會顯示我們加入過來的成員了。
當我們設置好以後點擊「OK」,返回到我們的"Local Groups"頁面,我們在下面就會看見我們剛才建立的「aa」組了。還有組的類型,組成員這些。


 
  

下面進入缺省L2TP設置「VPNs>L2TP&gt;Default Settings」裡面,我們要修改的有幾項,第一項「IP Pool Name」在這裡選擇我們剛才建立的那個地址池「L2TP-Pool」,第二項就是「PPP Authentication」這裡我們使用「CHAP」來進行認證。下面一個就是「DNS」其實這個設置與不設置效果一樣。只不過在後面我們給通過 L2TP撥號上來的用戶分配DNS而已。
當設置好以後點擊「Apply」應用就行了。


 
 
下面我們要建立L2TP遂道。我們可以從下圖看見,默認情況下是沒有的。我們點擊右上角的「New」來進行新建一個。
下圖就是我們新建L2TP遂遂的一個例子。我們來看看,下面應該如何來設置呢?
Name:遂道的名稱
Authentication Server: Local 認證我們使用本地認證。我們這裡沒有配置AAA所以就使用本地人證。

Dialup Group: Local Dialup Group - aa這裡就是我們剛才建立的那個撥號組,裡面有兩個用戶test、cisco,用於我們撥號使用

Outgoing Interface: untrust  我們出去通過那個接口,因為我這是一款低端的juniper防火牆,只有trust與untrust,因為我們外網接的是untrust,所以我就只能選擇untrust。
其它默認就行,好了以後點擊「OK」
 

 
而當我們建立成工以後,在「VPNs&gt;L2TP&gt;Tunnel」裡面會顯示我們剛才建立的條目。


 
  
下面我們來設置策略「Policy&gt;Policis」在這下面有一個「From」後面選擇「untrust」,「TO」後面選擇 「Trust」表示,我們現在要建立一條策略是從「Untrust」到「Trust」的,選擇好以後點擊後面的「New」來進行建立。
在這裡面我們需要設置以下幾項:
Source Address:
Address Book: Dial-Up VPN
Destination Address:
Address Book: Any
Service: ANY
Action: Tunnel
Tunnel L2TP: test_vpn    這裡就是設置我們剛才建立的那個遂道名稱
Position at Top:選擇
其它默認設置,設置好以後,就點擊「OK」
 

 
到此為止,我們Juniper防火牆上面的設置就已經完成了。那麼我們再來我們的PC上面如何來設置呢?
其實現在的建立很簡單了。就是建立一個VPN的撥號連接。
在我們的PC的桌面上,右擊「網上鄰居」選擇「屬性」。



 
在左邊有一個「創建一個新的連接」

 
這時就會出現下面的一個「新建連接嚮導」的歡迎頁面。
在這後面先擇「連接到我的工作場所的網絡」,我們也可以看見下面的說明「使用撥號或VPN」。因為我們這裡使用的是L2TP VPN。
下面這裡我們選擇「虛擬專用網絡連接」因為我們要使用的是VPN,如果我們使用的是ISDN的話我們就選擇上面的「撥號連接」,但是現在ISDN基本上都沒有用過了。
下面就是給我們的這個連接起上一個名稱。我這裡取的一個是「test」
下面這裡就是填寫我們「VPN服務器」的IP地址或者域名也行。
當我們把這些設置好了以後就會顯示「正在完成新建連接嚮導」。我們點擊「完成」就可以了。
當我們在「網絡連接」裡面就會多一個「虛擬專用網絡」下面有一個「test」的連接。這表示我們這個VPN撥號已經建立成功了。
位是當我們建立好以後還不能直接撥號的,因為我們還要設置一些東西。
如下圖,我們選擇「高級(自定義設置)」以後,選擇「設置」。

在「數據加密(D)」下面選擇「可選加密(沒有加密也可以連接)」,還有下面「允許這些協議」下面的「質詢握手身份驗證協議(CHAP)」,因為我們在Juniper防火牆上面的策略裡面設置「PPP」的認證使用的是「CHAP」。其它的保持不變。
在「網絡」裡面,「VPN類型」我們將它改成「L2TP IPSec VPN」因為我們這裡使用的是「L2TP VPN」,所以這裡我們直接選擇這個就行了。
但是現在設置好以後還撥號不行。對於我們XP來說,我們還需要修改一下註冊表才行。那麼下面我們來看看註冊表如何修改呢?
打開「運行」輸入「regedit」來打開「註冊表」。
打開「註冊表」找到以下這個表項:「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service\RasMan\Parameters」,在右邊新填一個「DOWN值」。
將這個「DOWN值」改名成「ProhibitIpSec」。
將其值修改成「1」
好了,重啟一下計算機,然後我們就可以進行撥號了。
重啟之後我們打開我們前面建立的那個「test(虛擬專用網絡連接)」,輸入我們前面建立的「用戶名及密碼」點擊連接。
下圖就是我們連接到服務器「在核對用戶名和密碼」
當我們撥號成功以後,在「通知區域」會顯示一個「網絡連接」。
當我們點擊這個網絡連接查看詳情。
 


 
從上圖我們可以看出來服務器的IP地址,服務器給我們分配的IP地址。以及服務器類型,傳輸使用的是TCP/IP,身份驗證使用的是MD5/CHAP。
其實上面這撥號這一步,很類似於我們的「PPPoE撥號」。
當我們獲得服務器給我們分配的IP地址以後,我們就可以直接ping通我們Juniper防火牆內網的用戶服了。我們來看看ping通Juniper防火牆trust的IP地址,也就是我們內網的網關。
從上圖我們可以看出來,能夠正常訪問我們的192.168.1.1。注意這是撥號成功以後才能夠正常訪問,那麼們現在將這個vpn撥號連接給斷開看看能否再ping通呢?
從上圖我們可以看見,當我們的vpn判斷以後,是無法再次ping通我們Juniper內網的IP地址了。
好了,到此為止,我們的「L2TP」就已經配置完成了。但是在這裡要注意的是,這裡跑的所有數據都沒有經過加密的哦!如果要進行加密的話,我們就是使用到「L2TP over IPSec VPN」等那天空了,我再把這種的VPN再寫一篇文章出來與大家分享分享。

原文出處:juniper防火墙之图解l2tp vpn配置 - Fangrn的j2ee,linux - ITeye技术网站
冷日
(冷日)
Webmaster
  • 註冊日: 2008/2/19
  • 來自:
  • 發表數: 15766
[轉貼]Juniper L2TP VPN 調試
Juniper L2TP VPN 調試
原創作品,允許轉載,轉載時請務必以超鏈接形式標明文章 原始出處 、作者信息和本聲明。否則將追究法律責任。 http://zhovjvn.blog.51cto.com/636365/132795
 
=================防火牆版本=======================
Device Information
     Hardware Version:    110(0)
     Firmware Version:    5.0.0r8.0 (Firewall+VPN)
     Serial Number:    0098042006000111 
     Host Name:    ns204
==========防火牆設置=============
 

一、設置L2TP 用戶;
1.Objects  Users  Local  New:輸入以下內容,然後單擊OK: 
User Name: username   
Status: Enable
L2TP User: (選擇)
User Password:password;
Confirm Password:password;
2.Objects  Users  Local  New:輸入以下內容,然後單擊OK:
User Name: username
Status: Enable 
L2TP User: (選擇) 
User Password: password
Confirm Password: password
二、設置L2TP 用戶組:
3.Objects  User Groups  Local  New:在「Group Name」字段中,鍵入VPNS,執行以下操作,然後單擊 
OK:

image
 
 
 
使用「《《」 按鈕將它從「Available members」列中移動到 「Group members」列中。

image
 
三、IP地址池設置
4.Objects  IP Pools  New:輸入以下內容,然後單擊OK:
IP Pool Name: global
Start IP: 10.1.54.1
End IP: 10.1.54.30

image
 
 
四、缺省L2TP 設置
5. VPNs  L2TP  Default Settings:輸入以下內容,然後單擊OK:
IP Pool Name: global
PPP Authentication: CHAP
DNS Primary Server IP: 10.1.49.27
DNS Secondary Server IP: 202.106.0.20
WINS Primary Server IP: 0.0.0.0
WINS Secondary Server IP: 0.0.0.0

image
五、設置L2TP 通道
6.Name: vpnTD
Dialup Group: Local Dialup Group – VPNS
Authentication Server: Local
Outgoing Interface: ethernet3
Peer IP: 0.0.0.0
Host Name (optional):可以空著。
Secret (optional): 可以空著。

image
 
 

六、策略
7.Policies  (From: Untrust, To: Trust) New:輸入以下內容,然後單擊OK: 
Source Address: 
Address Book: Dial-Up VPN
Destination Address:
Address Book: Any
NAT: Off
Service: ANY
Action: Tunnel
Tunnel L2TP: sales_corp
Position at Top:(選擇)
  image
 
七、設置代理
8.Polices-&gt;untrust –trust 的dial-up VPN 項中,點edit,紅色箭頭所指一定選上,否則能撥通,但與內網不通。
 
 
 
==========客戶端設置===================
不需要安裝VPN客戶端
Windows XP客戶端的設置。
1.創建網絡連接
a)創建新連接-&gt;連接到我的工作場所的網絡(0)-&gt;虛擬專用網絡連接(v)-〉輸入公司名稱(例如:smvpn)-&gt;不初始連接-〉主機名或IP地址(這裡一定輸入:xx.xx.xx.xx)-&gt;桌面創建快捷方式。
b)用戶名:username ,密碼:passoword 。選擇「為下面用戶保存用戶名和密碼」。
c)選屬性-〉安全-〉高級(自定義設置)(D)-〉設置-〉數據加密(D)選「可選加密(沒有加密也可以連接)」。最後一「確定」,再「確定」。
 
2.修改註冊表
在WinXP下,修改註冊表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service\RasMan\Parameters,新增或修改ProhibitIpSec(字符串值)的值為1

image

3.重啟動計算機。
用法:確保你能上互聯網,再VPN撥號。

4.經過以上的配置,撥通vpn,能夠與對端的局域網連通,但上不了互聯網。必須進行以下配置。第三步,去掉「在遠程網絡上使用默認網關(U)」 選項。

image

本文出自 「 總結每一天」 博客,請務必保留此出處 http://zhovjvn.blog.51cto.com/636365/132795

冷日
(冷日)
Webmaster
  • 註冊日: 2008/2/19
  • 來自:
  • 發表數: 15766
[分享]VPN撥通後卻無法上網(外網)?
冷日表示:
經測試,不管XP還是7下,那個『使用遠端網路的預設閘道』不勾的話,都無法連到內部網路!
可是如果把『使用遠端網路的預設閘道』勾起來的話,那個預設閘道的優先權又會高於你現在網卡的優先權,導致你除了VLan以外的網站都上不去!

後來看過Routing Table以後在XP上找到解決方案:
就是XP內的VPN撥號網路,還是要記得把『使用遠端網路的預設閘道』給拿掉(就是不勾)。
然後在撥接上VPN以後只要加一行ROUTE就解決了:
route ADD 192.168.o.o MASK 255.255.255.0 192.168.x.x METRIC 100

註:
1.前面那個192.168.o.o是你的內部網路網段,請依照你的內部網路網段填寫
2.後面那個192.168.x.x是你VPN成功撥接後取得的IP,請依照你姬氣上的IP填寫
目前在XP上測試順利,Windows7依樣畫葫蘆應該也沒問題,請慢用!


順帶一題,XP上一定要『修改註冊表』!
不然XP的認證不會過!
但是某些網站上寫Windows7也要改這註冊表,冷日測試應該是不用,在這裡跟大家報告一下。
前一個主題 | 下一個主題 | 頁首 | | |



Powered by XOOPS 2.0 © 2001-2008 The XOOPS Project|