• 欢迎访问搞代码网站,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站!
  • 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏搞代码吧
> 数据库 > mysql > 创建基于L2TP的站点到站点的VPN 连接:ISA2006系列之二十六

创建基于L2TP的站点到站点的VPN 连接:ISA2006系列之二十六

mysql 搞代码 4年前 (2022-01-09) 19次浏览 已收录 0个评论

创建 基于 L2TP 的站点间 VPN 在上篇博文中我们介绍了如何利用 ISA2006 创建站点间的 VPN ,而且站点间 VPN 使用的隧道协议是 PPTP ,今天我们更进一步,准备在上篇博文的基础上实现基于 L2TP 的站点间 VPN 。 L2TP 和 PPTP 相比,增加了对计算机的身份验证

创建基于L2TP的站点间VPN

在上篇博文中我们介绍了如何利用ISA2006创建站点间的VPN,而且站点间VPN使用的隧道协议是PPTP,今天我们更进一步,准备在上篇博文的基础上实现基于L2TP的站点间VPN来@源gao*daima.com搞@代#码网L2TPPPTP相比,增加了对计算机的身份验证,从理论上分析应该比PPTP更安全一些。L2TP验证计算机身份可以使用预共享密钥,也可以使用证书。我们把两种方式都尝试一下,实验拓扑如下图所示,和上篇博文的环境完全一致。

使用预共享密钥

使用预共享密钥实现L2TP的过程是是比较简单的,我们在VPN站点两端的VPN服务器上配置一个相同的预共享密钥,就可以用于L2TP协议中验证计算机身份。如下图所示,我们在Beijing上定位到“虚拟专用网络”,右键点击远程站点Tianjin,选择“属性”。

我们在远程站点TianjinL2TP/IPSEC”,同时勾选使用预共享密钥,并设置预共享密钥为password。这里的设置会导致beijing拨叫tianjin时,使用预共享密钥password来证明自己的身份。

在“常规VPN配置”中点击“选择身份验证方法”,如下图所示,勾选“允许L2TP连接自定义IPSEC策略”,并设置预共享密钥为password。这个设置则是告诉beijing,接受VPN客户端使用预共享密钥验证计算机身份。这样我们分别设置了beijing作为VPN服务器和VPN客户端都使用预共享密钥验证计算机身份,至此,Beijing服务器设置完毕。

接下来我们在Tianjin服务器上如法炮制,如下图所示,选择远程站点Beijing的属性。

L2TP作为VPN协议,并配置预共享密钥为password

然后在“常规VPN配置”中点击“选择身份验证方法”,如下图所示,勾选“允许L2TP连接自定义IPSEC策略”,并设置预共享密钥为password。至此,Tianjin服务器也设置完毕。

这时我们来看看站点间VPN配置的成果,如下图所示,在北京内网的Denverping天津内网的Istanbul。第一个包没有ping通,这是因为两个ISA服务器正在创建VPN隧道,接下来的包都可以顺利往返,这证明我们的配置起作用了。

使用证书验证

使用证书验证比预共享密钥验证更加安全,只是实现起来要麻烦一些,我们需要有CA的配合。在我们的实验环境中,Denver是一个被所有的实验计算机都信任的CADenverCA类型是独立根。有了CA之后,VPN服务器需要向CA申请证书以证明自己的身份,由于站点间VPN中每个VPN服务器既是服务器又充当客户机角色,因此每个VPN服务器都需要申请两个证书,一个是服务器证书,一个是客户机证书。

1、 Beijing上进行配置

首先我们要先为Beijing申请两个证书,一个是服务器证书,一个是客户机证书。如下图所示,在Beijing上我们在IE中输入[url]http://10.1.1.5/certsrv[/url],在CA主页中选择“申请一个证书”。

选择“提交一个高级证书申请”。

选择“创建并向此CA提交一个申请”。

如下图所示,我们在证书申请的表单中选择申请一个客户机证书,并且把证书存储在计算机存储中。

提交证书申请后,如下图所示,我们发现Beijing申请的证书已经被CA发放了,点击安装此证书即可完成任务。

接下来如法炮制为Beijing申请服务器证书,如下图所示,这次为Beijing申请的是服务器证书,仍然存储在本地计算机存储中,接下来的证书发放以及安装就不再赘述。

如下图所示,我们可以看到Beijing的计算机存储中已经有了刚申请的两个证书,

接下来在远程站点属性中取消使用预共享密钥验证身份。

然后在VPN常规配置的选择身份验证方法中同样取消使用预共享密钥验证身份,至此,我们在Beijing上配置完毕。

2、 Tianjin上进行配置

Tianjin上进行配置基本和Beijing是一样的,首先也是先从Denver申请证书,如下图所示,Tianjin先申请的是一个客户机证书。

申请完客户机证书后,如下图所示,Tianjin又申请了一个服务器证书。

接下来就是在远程站点中取消使用预共享密钥。

最后在VPN常规配置的身份验证方法中取消使用预共享密钥。

OK,两个VPN服务器都进行了对称配置,这下他们在进行身份验证时只能使用证书了。用客户机测试一下效果吧,如下图所示,在天津的Istanbulping北京的Denver,结果还是令人满意的,我们用证书实现L2TP的身份验证获得了成功!

L2TP实现站点间VPN并不难,尤其是预共享密钥的实现是很简单的,如果是证书验证,要注意对CA的信任,切记,只有从一个被所有机器都认可的CA申请证书才是有意义的!

搞代码网(gaodaima.com)提供的所有资源部分来自互联网,如果有侵犯您的版权或其他权益,请说明详细缘由并提供版权或权益证明然后发送到邮箱[email protected],我们会在看到邮件的第一时间内为您处理,或直接联系QQ:872152909。本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:创建基于L2TP的站点到站点的VPN 连接:ISA2006系列之二十六

喜欢 (0)
[搞代码]
分享 (0)
发表我的评论
取消评论

表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址