扫一扫
关注微信公众号

SecPath系列防火墙之PC作为LAC
2007-05-09   


如图。


1. 首先,移动用户通过窄带拨号或ADSL接入internet,或直接通过固定IP接入Internet。在这种情况下,移动用户也可以经过NAT网关。
2. 然后,移动用户采用L2TP软件拨号。可以采用如下L2TP软件:
Secpoint; Enternet500;Win2K/XP自带的VPN软件。


1、 打开Secpoint,新建一个VPN连接。选择正确的网卡,如果对外用的是拨号连接,注意选择相关的虚拟或PPP适配器。输入LNS服务器地址(可输入一主一备),去掉启用IPSEC。完成新建连接。
2、 按右键,打开新建连接的属性。
1) 在基本设置中,可以选择或去掉“连接成功后不允许访问internet”。如果选中,Secpoint连接成功后会自动将公网的网关删除,并添加动态获得的私网地址为自己的默认网关。这样,用户就只访问私网数据,如果访问公网,则可通过接入到的对端LNS的公网出口出去(假设有的话)。如果不选中,用户需要在高级中路由设置中将所需访问的私网网段定义出来,网关指向对端的虚接口地址,这时,用户即可以上公网,又可以访问私网。
2) 在高级中的L2TP设置中,可以定义自己的隧道名字、验证方式、验证字等。如果对端VPN server定义了这些内容,则必须与Server保持一致。
3、双击该连接,输入用户名和密码,拨号。如果有RSA的Token ID,则还需要输入当前钥匙盘上显示的Token码。
4、拨号成功后,通过“ipconfig”可以看到所获得的IP地址。

1、 新建连接,选择“连接到我的工作场所的网络”,选择“虚拟专用网络连接”,输入名称,建议选择“不拨初始连接”,输入LNS地址。完成新建连接。
2、 打开新建连接的属性。
1) 在安全设置中,选择高级。“数据加密”一栏中,选择“可选加密(没有加密也可以连接)”,“可允许这些协议”一项中,选择“PAP”和“CHAP”。
3、双击该连接,输入用户名和密码,拨号。
4、拨号成功后,通过“ipconfig”可以看到所获得的IP地址。

说明:
1、Windows下的L2TP功能缺省启动证书方式的IPSEC,应当首先在注册表中禁用。
方法如下:
执行regedit命令,找到如下位置
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
加入如下注册项:
Value Name: ProhibitIpSec
Data Type: REG_DWORD
Value: 1
2、Secpoint注意采用最新版本。


1、 以从客户端发往总部的数据为例,分析报文格式如下:


可见,L2TP采用UDP封装,因此可以轻松穿越NAT。


热词搜索:

上一篇:SecPath系列防火墙之多个PC作为LAC
下一篇:SecPath系列防火墙之软件升级

分享到: 收藏