Το L2TP προτιμάται έναντι του PPTP για τη δημιουργία δικτύων VPN, κυρίως για ασφάλεια και υψηλότερη διαθεσιμότητα, λόγω του γεγονότος ότι μια περίοδος σύνδεσης UDP χρησιμοποιείται για δεδομένα και κανάλια ελέγχου. Σήμερα θα εξετάσουμε τη ρύθμιση ενός διακομιστή VPN L2TP σε μια πλατφόρμα διακομιστή Windows 2008 r2.
PPTP
Το Πρωτόκολλο Point-to-Point Tunneling Protocol είναι ένα πρωτόκολλο που εφευρέθηκε από τη Microsoft για τη δημιουργία VPN μέσω δικτύων μέσω τηλεφώνου. Το PPTP είναι το τυπικό πρωτόκολλο για την κατασκευή VPN εδώ και πολλά χρόνια. Είναι μόνο ένα πρωτόκολλο VPN και βασίζεται σε διάφορες μεθόδους ελέγχου ταυτότητας για την ασφάλεια (η πιο συχνά χρησιμοποιούμενη είναι το MS-CHAP v.2). Διατίθεται ως τυπικό πρωτόκολλο σε όλα σχεδόν τα λειτουργικά συστήματα και συσκευές με δυνατότητα VPN, επιτρέποντάς σας να το χρησιμοποιείτε χωρίς να χρειάζεται να εγκαταστήσετε πρόσθετο λογισμικό.
Πλεονεκτήματα:
- Ο πελάτης PPTP είναι ενσωματωμένος σε όλα σχεδόν τα λειτουργικά συστήματα
- πολύ εύκολο στη ρύθμιση
- λειτουργεί γρήγορα
Μειονεκτήματα:
- ανασφαλές (ευάλωτο πρωτόκολλο ελέγχου ταυτότητας MS-CHAP v.2 εξακολουθεί να χρησιμοποιείται ευρέως)
L2TP και L2TP/IPsec
Το Layer 2 Tunnel Protocol είναι ένα πρωτόκολλο VPN που από μόνο του δεν παρέχει κρυπτογράφηση ή απόρρητο για την κυκλοφορία που διέρχεται από αυτό. Για το λόγο αυτό, το πρωτόκολλο κρυπτογράφησης IPsec χρησιμοποιείται συνήθως για ασφάλεια και απόρρητο.
Πλεονεκτήματα:
- πολύ ασφαλής
- εύκολο στη ρύθμιση
- διατίθεται σε σύγχρονα λειτουργικά συστήματα
Μειονεκτήματα:
- πιο αργό από το OpenVPN
- ενδέχεται να απαιτείται πρόσθετη διαμόρφωση δρομολογητή
Και έτσι πίσω στις ρυθμίσεις για την ανάπτυξη Διακομιστές VPN L2TPθα χρησιμοποιήσουμε τον Windows Server 2008 R2, ωστόσο, με μικρές τροποποιήσεις, όλα όσα έχουν ειπωθεί θα ισχύουν και για άλλες εκδόσεις του Windows Server.
Χρειαζόμαστε έναν εγκατεστημένο ρόλο, ο οποίος θα πρέπει να περιέχει πώς να το κάνουμε αυτό, περιγράψαμε λεπτομερώς στο προηγούμενο άρθρο όπου αναφέραμε PPTP VPN,Επομένως, δεν βλέπω νόημα να περιγράψω ξανά αυτή τη διαδικασία, περαιτέρω θα υποθέσουμε ότι ο ρόλος Πολιτική δικτύου και υπηρεσίες πρόσβασηςέχετε ήδη εγκαταστήσει και περιέχει Υπηρεσίες δρομολόγησης και απομακρυσμένης πρόσβασης. Γενική ανάπτυξη Διακομιστές VPN L2TPπολύ παρόμοια με την ανάπτυξη PPTP VPN, με εξαίρεση μερικές ρυθμίσεις, τις οποίες θα συζητήσουμε αναλυτικά.
Μεταβείτε στη Διαχείριση Διακομιστών: Ρόλοι -Δρομολόγηση και απομακρυσμένη πρόσβαση, κάντε δεξί κλικ σε αυτόν τον ρόλο και επιλέξτε Ιδιότητες, στην καρτέλα Γενικόςσημειώστε τα κουτάκια Δρομολογητής IPv4, επιλέξτε LAN και κλήση κατ' απαίτηση, και Διακομιστής IPv4 απομακρυσμένης πρόσβασης:
Τώρα πρέπει να εισαγάγουμε το προεπιλεγμένο κλειδί. Μεταβείτε στην καρτέλα Ασφάλειακαι στο χωράφι Επιτρέψτε συγκεκριμένες πολιτικές IPSec για σύνδεση L2TPτσεκάρετε το πλαίσιο και πληκτρολογήστε το κλειδί σας. ( Σχετικά με το κλειδί. Μπορείτε να εισαγάγετε έναν αυθαίρετο συνδυασμό γραμμάτων και αριθμών εκεί.Η βασική αρχή είναι ότι όσο πιο σύνθετος είναι ο συνδυασμός, τόσο πιο ασφαλής και να θυμάστε ή να γράψετε αυτόν τον συνδυασμό, θα τον χρειαζόμαστε ακόμα.) Στην καρτέλα Πάροχος υπηρεσιών ελέγχου ταυτότηταςεπιλέγω Windows - Έλεγχος ταυτότητας.
Τώρα πρέπει να ρυθμίσουμε Ασφάλεια σύνδεσης. Για να το κάνετε αυτό, μεταβείτε στην καρτέλα Ασφάλειακαι επιλέξτε Μέθοδοι ελέγχου ταυτότητας, σημειώστε το Πρωτόκολλο EAPκαι Κρυπτογραφημένη επαλήθευση (Microsoft v2, MS-CHAP v2):
Στη συνέχεια, μεταβείτε στην καρτέλα IPv4, όπου καθορίζουμε ποια διεπαφή θα δέχεται συνδέσεις VPNκαθώς και να δημιουργήσει μια ομάδα εκδομένων διευθύνσεων σε πελάτες L2TP VPNαυτί IPv4 (Η διεπαφή έχει οριστεί σε Να επιτρέπεται στο RAS να επιλέξει προσαρμογέα):
Τώρα ας πάμε στην καρτέλα που εμφανίζεται λιμάνια, κάντε δεξί κλικ και Ιδιότητες, επιλέξτε σύνδεση L2TPκαι πατήστε Αρμονία, σε νέο παράθυρο βάλτε Σύνδεση μέσω τηλεφώνου (μόνο εισερχόμενα)και Σύνδεση κατ' απαίτηση (εισερχόμενη και εξερχόμενη)και ορίστε τον μέγιστο αριθμό θυρών, ο αριθμός των θυρών πρέπει να αντιστοιχεί ή να υπερβαίνει τον αναμενόμενο αριθμό πελατών. Είναι καλύτερα να απενεργοποιήσετε τα πρωτόκολλα που δεν χρησιμοποιούνται αποεπιλέγοντας και τα δύο πλαίσια ελέγχου στις ιδιότητες τους.
Ως αποτέλεσμα, μόνο οι θύρες που χρειάζεστε στον αριθμό που καθορίσατε θα πρέπει να παραμείνουν στη λίστα των θυρών σας.
Αυτό ολοκληρώνει τη ρύθμιση του διακομιστή. Απομένει μόνο να επιτραπεί στους χρήστες να συνδεθούν στον διακομιστή. Μεταβείτε στη Διαχείριση Διακομιστών: Διαμόρφωση - Τοπικοί χρήστες και ομάδες - Χρήστες -Επιλέξτε χρήστηκαι κάντε δεξί κλικ - Ιδιότητες. Στην καρτέλα Εισερχόμενες κλήσεις - Δικαιώματα πρόσβασης στο δίκτυοεκθέτω Επιτρέψτε την πρόσβαση. (Εάν ο διακομιστής σας εκτελεί την υπηρεσία καταλόγου Active Directory, τότε οι ρυθμίσεις πρέπει να εισαχθούν στο κατάλληλο συμπληρωματικό πρόγραμμα)
Και μην ξεχάσετε να αλλάξετε θύρες στο δρομολογητή σας, καθώς και να τις ανοίξετε στο Τείχος προστασίας:
- IKE - Θύρα UDP 500 (Λήψη\Αποστολή)
- L2TP - Θύρα UDP 1701 (Λήψη/Αποστολή)
- IPSec ESP - Θύρα UDP 50 (Λήψη/Αποστολή)
- IPSec NAT-T - Θύρα UDP 4500 (Λήψη\Αποστολή)
