本文目录一览:
- 1、什么是 L2TP
- 2、如何在Windows系统中设置L2TP VPN
- 3、如何查看ipsec/l2tpd 服务器的证书认证模式
- 4、l2tp 采用域认证windows 的域认证账号登录
- 5、怎么启用l2tp协议?
- 6、win10 VPN错误原因 IPSec 的 L2TP 协议的连接要求安装一个机器证书,它也叫做计算机证书
什么是 L2TP
L2TP
第二层隧道协议 (L2TP) 是一种支持多协议虚拟专用网络 (VPN) 的联网技术,它允许远程用户通过 Internet 安全地访问企业网络。类似点对点隧道协议 (PPTP),通过其他远程访问技术,例如通过 DSL 所提供的 Internet 访问,它可以被用于为隧道式端对端 Internet 连接提供安全保护。与 PPTP 不同,L2TP 不依赖特定厂商的加密技术即可达到完全安全和成功的实施。由于此原因,它可能成为 Internet 上保护虚拟专用网安全的标准。Windows 2000 通过 IP 安全性 (IPSec) 技术和“路由和远程访问”服务实现 L2TP 支持。
如何在Windows系统中设置L2TP VPN
在网络和共享中心选择“设置新的连接或网络”,在弹出的“设置连接或网络”窗口中,选中“连接到工作区”;单击“下一步”按钮。在“连接到工作区”窗口中,选择“否,创建新连接”,单击“下一步”按钮,选择“使用我的Internet连接(VPN)”。在“键入要连接的Internet地址”窗口中,Internet地址是VPN拨号的服务器地址,一定要填写正确。目标名称可随意填写,用于识别。选中“现在不连接;仅进行设置以便稍后连接”(连接VPN还需要进一步设置L2PT) 。单击“下一步”按钮。在“键入您的用户名和密码”窗口中,输入用户名和密码后,单击“创建”按钮。现在不用立即连接,还有些后续注意的参数需要修改,先选择“关闭”按钮。重新回到“控制面板”,运行“网络和共享中心”。选择“连接到网络”。在弹出的窗口中,单击选中“VPN 连接2”(即刚才设置的“目标名称”),右击选择属性。选中“网络”选项卡,除“Internet 协议版本 4 (TCP/IPv4)”外,将其他选项的勾去掉。选中“安全”选项卡,VPN类型选择“使用 IPsec 的第2层隧道协议(L2TP/IPSec)”,单击“高级设置”按钮。在“高级属性”窗口中,选择“使用预共享的密钥身份验证”,输入密钥后,单击“确定”按钮,退出设置。-windowsl2tp证书
L2TP拨号配置都已经全部配置完毕,现在就可以连接VPN连接。重新回到“控制面板”,运行“网络和共享中心”。选择“连接到网络”。在弹出的窗口中,单击选中“VPN连接2”,单击“连接”按钮。在“连接 VPN 连接2”窗口中,输入登录的用户名和密码后,单击“连接”按钮,即可通过L2TP VPN方式远程连接了。-windowsl2tp证书
如何查看ipsec/l2tpd 服务器的证书认证模式
什么是 IPsec?
IPsec 是 虚拟私密网络(VPN) 的一种,用于在服务器和客户端之间建立加密隧道并传输敏感数据之用。它由两个阶段组成,第一阶段(Phrase 1, ph1),交换金钥建立连接,使用互联网金钥交换(ike)协议; 第二阶段(Phrase 2, ph2),连接建立后对数据进行加密传输,使用封装安全载荷(esp)协议。参考:维基百科 IPsec 词条。-windowsl2tp证书
其中,第一阶段和第二阶段可以使用不同的加密方法(cipher suites)。甚至,第一阶段 ike 协议的第一版(ikev1)有两种模式,主力模式(main mode)和积极模式(aggressive mode),主力模式进行六次加密握手,而积极模式并不加密,以实现快速建立连接的目的。-windowsl2tp证书
第一阶段的 ike 协议有两个版本(ikev1/ikev2),不同的开源/闭源软件实现的版本均不同,不同的设备实现的版本也不同。再联系到第一阶段/第二阶段使用的各种不同加密方法,使得 IPsec 的配置有点黑魔法的性质,要么完全懂,通吃; 要么完全不懂,照抄。-windowsl2tp证书
设备/操作系统规格
这里主要介绍了设备/操作系统使用的 ike 版本及其特殊要求。
Linux
命令行客户端就是 strongswan 本身,因此完美兼容,支持 ikev1/ikev2 和所有加密方法的连接。因此如果用户只使用 Linux 命令行客户端,不使用各种移动设备也不使用 Windows,那么完全没有那么多事。-windowsl2tp证书
但 Linux 的图形界面客户端 NetworkManager-strongswan 目前只支持 ikev2 连接,必须使用证书或 EAP (各种加密方法都支持,包括微软的 MSCHAPv2)进行认证,不支持纯密码(PSK)认证。这并不是 strongswan 的错误,或者技术不行(开源总是走在技术最前沿的,毕竟命令行是支持的),而仅仅是体现一种选择:ikev1 被 strongswan 项目认为是该淘汰的协议,而 PSK 加密被认为是非常不安全的。参考 strongswan 维基 NetworkManager 词条。-windowsl2tp证书
Android
Android 和 Linux 不一样,只支持 ikev1。其它方面和 Linux 一样,甚至有好多种 IPsec VPN 配置模式可供选择。
iOS/Mac OS X
它们声明使用的 IPsec 客户端为 Cisco,实际为自己修改的 racoon。它只支持 ike 协议的第一版即 ikev1,可以使用证书或纯密码(PSK)认证,但必须辅之 xauth 用户名/密码认证。-windowsl2tp证书
该修改版的 racoon 会优先使用不加密的积极模式,而积极模式是 strongSwan 所不支持的。所以要使用主力模式。
iOS 6 还有一个「衔尾」故障:它在第一阶段握手时会把数据包拆分成小块(fragmentation),然后「加密」发送。然而这种加密仅仅是声明的,其实并未加密,这就导致 strongSwan 及其它标准服务器端/Cisco 设备无法解密。另外 ikev1 的 fragmentation 插件是闭源的。开源服务器端无法对这些小块进行重组。参考:Cisco VPN stop working after upgrading to IOS 6-windowsl2tp证书
l2tp 采用域认证windows 的域认证账号登录
同学机器(客户机):WIN7 64位 电信网络 路由器PPPOE拨号的光纤 但是有多层路由器 内网套内网我的机器(服务器):WIN7 64位 电信网络 路由器PPPOE拨号的光纤 只有一层路由器 路由器上已经做好DMZ穿透和相关的VPN安全设置 由于我这边的网络环境比较简单 因此就由我这边来当服务器了服务器环境配置如上图所示,在”控制面板\网络和Internet\网络连接“中,文件菜单下选择“新建传入连接”。如上图所示,在这里选择可以用于远程登录的账号,点击“添加用户”按钮可以添加新的用户,这是我比较推荐的做法,因为这样添加的用户不属于任何用户组,仅仅是用于登录的。如上图所示,钩子选中,没什么好多说的。如上图所示,在这里可以进行相关协议的配置,比如对于IP地址是采取DHCP自动分配还是手动划分一个地址段分配,或者是否允许客户端自己指定IP地址。如上图所示,连接创建好了,但是我们还需要进行一些设置,否则无法正常连接。如上图所示,我们右键这个连接选择属性,在这个对话框的“用户”选项卡中把上方红框的钩子去除,如果勾上的话会因为加密的关系在连接过程中会发生问题,这里暂时不考虑安全性,我只是拿来打游戏的。客户端环境配置如上图所示,在“网络和共享中心”中,选择“设置新的连接或网络”。如上图所示,选择“连接到工作区”。如上图所示,选择“Internet连接”。如上图所示,选择“现在不连接”,因为之后还有设置需要修改。在Internet地址那里填入服务器的IP地址,当然如果用花生壳绑定域名了之类的可以填入域名地址,免得以后每次连接的时候都要来改成服务器的IP地址。我这里没有花生壳,使用的是动态拨号的IP地址。如上图所示,填入服务器端设置的登录用的用户名和密码后点击“创建”。不要立即连接,我这里还有设置需要修改,点击“关闭”。如上图所示,对新建的VPN连接右键“属性”。如上图所示,"VPN类型"选择“L2TP/IPSec”,数据加密选择“不允许加密”。如上图所示,点击“高级设置”后在弹出的对话框中,将“验证服务器证书的‘名称’和‘用法’属性”的钩子去除,否则连接会失败,随后一路确定出来就配置好了。 对于注册表的修改如果不对注册表进行修改,那么就算做了以上步骤仍旧无法连接成功。我这边用红色背景标识了,如果因为无视后失败的别怪我。。。。。。 这是因为Windows为L2TP连接的VPN自动创建一个IPsec策略,这个IPsec策略使用本地机器上的证书来进行双方的认证.如果本地机器没有合适的证书,那么连接将会失败,所以我们需要取消L2TP VPN自动创建的IPsec策略。 Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\Parameters] "ProhibitIPsec"=dword:00000001 客户端与服务器都添加以上注册表键值后就取消了L2TP VPN自动创建IPsec的策略,当然记得都要重启一下机器。 补充如果在进行了上述设置之后仍旧无法连接,可以看看服务器的路由器上是否开启了相应服务的映射。下图是我这边的路由器相关配置界面。-windowsl2tp证书
怎么启用l2tp协议?
解决方案
VPN报告错误781的提示,需要按照以下步骤配置Windows XP的计算机证书,使其成为L2TP客户端。
(1)配置L2TP拨号连接:我们1)进入Windows XP的“开始”,“设置”,“控制面板”,选择“切换到分类视图”。页2)选择“网络和Internet连接”。页3)选择“创建工作位置的网络连接。”页4)选择“虚拟专用网络连接”,然后单击“下一步”。页5)连接到输入一个名称为“L2TP”,单击“下一步”。页6)选择“不拨初始连接”,然后单击“下一步”。 -windowsl2tp证书
7)输入准备的L2TP连接的服务器“202.101.35.218”的IP地址,单击“下一步”。
8)单击“完成”。
9)双击“L2TP”连接,L2TP连接窗口中,单击“属性”。
10)选择“安全”属性页,选择“高级(自定义设置)”,然后单击“设置”。
11)在“数据加密”中选择“可选加密(没有加密也可以连接)”。
12)在“允许这些协议”选中“不加密的密码(PAP)”,“质询握手身份验证协议比索(CHAP)”,“微软的CHAP(MS-CHAP)”,单击“确定”。
13)在“VPN类型”中选择“L2TP IPSec VPN的”选择“网络”属性页。
14)确认“Internet协议(TCP / IP)”被选中。页15)证实“的NWLink IPX / SPX / NetBIOS兼容传输Prococol”,“Microsoft网络文件和打印共享
”,“Microsoft网络客户端”协议没有被选中。
16)单击“确定”保存更改。
二,注册表
默认的Windows XP L2TP传输策略不允许L2TP传输不使用IPSec加密。您可以
Windows XP的注册表来禁用缺省的行为:
手动更改:我们1)进入Windows XP的“开始”,“运行”,输入“REGEDT32”里,打开“注册表编辑器
是“定位”HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControl设定\服务\ RasMan验证\
参数“的主键。页2)添加以下键主键:
关键:找到ProhibitIPSec
数据类型:REG_DWORD
值:1页3)保存,重新启动使更改生效计算机。
提示:您必须“找到ProhibitIPSec”注册表值添加到每个使用L2TP协议
运行Windows XP操作系统的计算机。
win10 VPN错误原因 IPSec 的 L2TP 协议的连接要求安装一个机器证书,它也叫做计算机证书
VPN一般指虚拟专用网络
虚拟专用网络的功能是:在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN有多种分类方式,主要是按协议进行分类。VPN可通过服务器、硬件、软件等多种方式实现。-windowsl2tp证书
