L2TP隧道(L2TP Tunnel)是指在第二層隧道協議(L2TP)端點之間的邏輯鏈接:LAC(L2TP接入聚合器)和LNS(L2TP網絡服務器)。當LNS是服務器 時,LAC是隧道的發起人,它等待新的隧道。一旦一個隧道被確立,在這個點之間的新通信將是雙向的。為了對網絡有用,高層協議例如點對點協議(PPP)然 後通過L2TP隧道。
今天剛好在學Juniper防火牆的時候,剛好學到L2TP VPN的配置,那麼今天我們來看看使用Juniper防火牆來做L2TP VPN。
第一步:點擊:Objects>IP Pools我們添加一個IP地址池,這個地址池主要用來給我們通過L2TP VPN撥號進來的用戶分配的內網的IP 地址。
如上圖:IP Pool Name就是給我們地址池起上一個名字,以便我們以後好調用。
Start IP:我們地址池起始的IP地址
End IP:我們地址池結束的IP地址
輸入好以後點擊OK就行了。
當我們建立好之後,它自動會返回到我們一個地址池匯總的地方,在這裡我們可以看見我們剛才建立的那一個地址池。
當我們地址池建立以後進入「Objects>Users>Local」裡面去建立我們的用戶。如下圖點擊右上角的「New」來新建我們的用戶。
如下圖:User Name:輸入用戶名
Status: Enable
User Password:輸入密碼
Confirm Password:輸入確認密碼
將L2TP User選中,因為我們這個用戶將用來給通過L2TP撥號進來的用戶登錄使用的。
按照上面圖的步驟,我們再建立一個cisco用戶名。當我們建立好之後,就會看見如下圖顯示兩個用戶名。
當我們建立好用戶以後,我們還要建立一個用戶組,將我們的用戶加入該組裡面。
在Group Name後面輸入我們的組名,我這裡輸入的是「aa」,而在我們「Available Members」這裡面顯示的是我們剛才建立好的用戶名,但是下圖應該還有一個cisco用戶才對。而「Group Members」這裡面就是我們的組成員,我們選中「Available Members」下面的用戶,點擊「<<」這個按鈕加入到左邊的「Group Members」裡面,這樣在「Group Members」裡面就會顯示我們加入過來的成員了。
當我們設置好以後點擊「OK」,返回到我們的"Local Groups"頁面,我們在下面就會看見我們剛才建立的「aa」組了。還有組的類型,組成員這些。
下面進入缺省L2TP設置「VPNs>L2TP>Default Settings」裡面,我們要修改的有幾項,第一項「IP Pool Name」在這裡選擇我們剛才建立的那個地址池「L2TP-Pool」,第二項就是「PPP Authentication」這裡我們使用「CHAP」來進行認證。下面一個就是「DNS」其實這個設置與不設置效果一樣。只不過在後面我們給通過 L2TP撥號上來的用戶分配DNS而已。
當設置好以後點擊「Apply」應用就行了。
下面我們要建立L2TP遂道。我們可以從下圖看見,默認情況下是沒有的。我們點擊右上角的「New」來進行新建一個。
下圖就是我們新建L2TP遂遂的一個例子。我們來看看,下面應該如何來設置呢?
Name:遂道的名稱
Authentication Server: Local 認證我們使用本地認證。我們這裡沒有配置AAA所以就使用本地人證。
Dialup Group: Local Dialup Group - aa這裡就是我們剛才建立的那個撥號組,裡面有兩個用戶test、cisco,用於我們撥號使用
Outgoing Interface: untrust 我們出去通過那個接口,因為我這是一款低端的juniper防火牆,只有trust與untrust,因為我們外網接的是untrust,所以我就只能選擇untrust。
其它默認就行,好了以後點擊「OK」
而當我們建立成工以後,在「VPNs>L2TP>Tunnel」裡面會顯示我們剛才建立的條目。
下面我們來設置策略「Policy>Policis」在這下面有一個「From」後面選擇「untrust」,「TO」後面選擇 「Trust」表示,我們現在要建立一條策略是從「Untrust」到「Trust」的,選擇好以後點擊後面的「New」來進行建立。
在這裡面我們需要設置以下幾項:
Source Address:
Address Book: Dial-Up VPN
Destination Address:
Address Book: Any
Service: ANY
Action: Tunnel
Tunnel L2TP: test_vpn 這裡就是設置我們剛才建立的那個遂道名稱
Position at Top:選擇
其它默認設置,設置好以後,就點擊「OK」
到此為止,我們Juniper防火牆上面的設置就已經完成了。那麼我們再來我們的PC上面如何來設置呢?
其實現在的建立很簡單了。就是建立一個VPN的撥號連接。
在我們的PC的桌面上,右擊「網上鄰居」選擇「屬性」。
在左邊有一個「創建一個新的連接」
這時就會出現下面的一個「新建連接嚮導」的歡迎頁面。
在這後面先擇「連接到我的工作場所的網絡」,我們也可以看見下面的說明「使用撥號或VPN」。因為我們這裡使用的是L2TP VPN。
下面這裡我們選擇「虛擬專用網絡連接」因為我們要使用的是VPN,如果我們使用的是ISDN的話我們就選擇上面的「撥號連接」,但是現在ISDN基本上都沒有用過了。
下面就是給我們的這個連接起上一個名稱。我這裡取的一個是「test」
下面這裡就是填寫我們「VPN服務器」的IP地址或者域名也行。
當我們把這些設置好了以後就會顯示「正在完成新建連接嚮導」。我們點擊「完成」就可以了。
當我們在「網絡連接」裡面就會多一個「虛擬專用網絡」下面有一個「test」的連接。這表示我們這個VPN撥號已經建立成功了。
位是當我們建立好以後還不能直接撥號的,因為我們還要設置一些東西。
如下圖,我們選擇「高級(自定義設置)」以後,選擇「設置」。
在「數據加密(D)」下面選擇「可選加密(沒有加密也可以連接)」,還有下面「允許這些協議」下面的「質詢握手身份驗證協議(CHAP)」,因為我們在Juniper防火牆上面的策略裡面設置「PPP」的認證使用的是「CHAP」。其它的保持不變。
在「網絡」裡面,「VPN類型」我們將它改成「L2TP IPSec VPN」因為我們這裡使用的是「L2TP VPN」,所以這裡我們直接選擇這個就行了。
但是現在設置好以後還撥號不行。對於我們XP來說,我們還需要修改一下註冊表才行。那麼下面我們來看看註冊表如何修改呢?
打開「運行」輸入「regedit」來打開「註冊表」。
打開「註冊表」找到以下這個表項:「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service\RasMan\Parameters」,在右邊新填一個「DOWN值」。
將這個「DOWN值」改名成「ProhibitIpSec」。
將其值修改成「1」
好了,重啟一下計算機,然後我們就可以進行撥號了。
重啟之後我們打開我們前面建立的那個「test(虛擬專用網絡連接)」,輸入我們前面建立的「用戶名及密碼」點擊連接。
下圖就是我們連接到服務器「在核對用戶名和密碼」
當我們撥號成功以後,在「通知區域」會顯示一個「網絡連接」。
當我們點擊這個網絡連接查看詳情。
從上圖我們可以看出來服務器的IP地址,服務器給我們分配的IP地址。以及服務器類型,傳輸使用的是TCP/IP,身份驗證使用的是MD5/CHAP。
其實上面這撥號這一步,很類似於我們的「PPPoE撥號」。
當我們獲得服務器給我們分配的IP地址以後,我們就可以直接ping通我們Juniper防火牆內網的用戶服了。我們來看看ping通Juniper防火牆trust的IP地址,也就是我們內網的網關。
從上圖我們可以看出來,能夠正常訪問我們的192.168.1.1。注意這是撥號成功以後才能夠正常訪問,那麼們現在將這個vpn撥號連接給斷開看看能否再ping通呢?
從上圖我們可以看見,當我們的vpn判斷以後,是無法再次ping通我們Juniper內網的IP地址了。
好了,到此為止,我們的「L2TP」就已經配置完成了。但是在這裡要注意的是,這裡跑的所有數據都沒有經過加密的哦!如果要進行加密的話,我們就是使用到「L2TP over IPSec VPN」等那天空了,我再把這種的VPN再寫一篇文章出來與大家分享分享。
[轉貼]juniper防火牆之圖解l2tp vpn配置 (冷日