L2TP-protokolli eelistatakse VPN-võrkude ehitamisel PPTP-le, peamiselt turvalisuse ja kõrgema kättesaadavuse huvides, kuna andme- ja juhtimiskanalite jaoks kasutatakse ühte UDP-seanssi. Täna vaatleme L2TP VPN-serveri seadistamist Windows server 2008 r2 platvormil.
PPTP
Point-to-Point tunneliprotokoll on Microsofti leiutatud protokoll VPN-ide loomiseks sissehelistamisvõrkude kaudu. PPTP on olnud VPN-ide loomise standardprotokoll juba aastaid. See on ainult VPN-protokoll ja tugineb turvalisuse tagamiseks erinevatele autentimismeetoditele (kõige sagedamini kasutatav on MS-CHAP v.2). Saadaval standardprotokollina peaaegu kõigis VPN-i toega operatsioonisüsteemides ja seadmetes, võimaldades seda kasutada ilma täiendava tarkvara installimiseta.
Plussid:
- PPTP klient on sisse ehitatud peaaegu kõikidesse operatsioonisüsteemidesse
- väga lihtne seadistada
- töötab kiiresti
Miinused:
- ebaturvaline (haavatav autentimisprotokoll MS-CHAP v.2 on endiselt laialt kasutusel)
L2TP ja L2TP/IPsec
Layer 2 Tunnel Protocol on VPN-protokoll, mis iseenesest ei taga seda läbiva liikluse krüptimist ega privaatsust. Sel põhjusel kasutatakse turvalisuse ja privaatsuse tagamiseks tavaliselt IPseci krüpteerimisprotokolli.
Plussid:
- väga turvaline
- lihtne seadistada
- saadaval kaasaegsetes operatsioonisüsteemides
Miinused:
- aeglasem kui OpenVPN
- võib vaja minna täiendavat ruuteri konfiguratsiooni
Ja nii tagasi juurutamise seadete juurde VPN L2TP serverid kasutame Windows Server 2008 R2, kuid väikeste muudatustega kehtib kõik öeldu ka Windows Serveri muude versioonide kohta.
Vajame installitud rolli, mis peaks sisaldama, kuidas seda teha, kirjeldasime üksikasjalikult eelmises artiklis, kus me tõstatasime PPTP VPN, seetõttu ei näe ma mõtet seda protsessi uuesti kirjeldada, edaspidi eeldame, et roll Võrgupoliitika ja juurdepääsuteenused olete juba installinud ja sisaldab Marsruutimise ja kaugjuurdepääsu teenused. Üldine kasutuselevõtt VPN L2TP serverid väga sarnane kasutuselevõtuga PPTP VPN, välja arvatud mõned sätted, mida me üksikasjalikult arutame.
Minge serverihaldurisse: Rollid -Marsruutimine ja kaugjuurdepääs, paremklõpsake sellel rollil ja valige Omadused, vahekaardil Kindral märkige ruudud IPv4 ruuter, vali LAN ja helistage nõudmisel, ja Kaugjuurdepääsu IPv4 server:
Nüüd peame sisestama eeljagatud võtme. Mine vahekaardile Turvalisus ja põllul Lubage L2TP-ühenduse jaoks konkreetsed IPSec-poliitikad märkige ruut ja sisestage oma võti. ( Võtme kohta. Sinna saab sisestada suvalise tähtede ja numbrite kombinatsiooni.Põhiprintsiip on see, et mida keerulisem kombinatsioon, seda turvalisem ja jäta see kombinatsioon meelde või kirja, läheb meil ikka vaja.) Vahekaardil Autentimisteenuse pakkuja vali Windows – autentimine.
Nüüd peame seadistama Ühenduse turvalisus. Selleks minge vahekaardile Turvalisus ja vali Autentimismeetodid, märkige ruut EAP protokoll ja Krüpteeritud kinnitamine (Microsoft v2, MS-CHAP v2):
Järgmisena minge vahekaardile IPv4, kus täpsustame, milline liides ühendusi vastu võtab VPN samuti luua klientidele väljastatud aadresside kogum L2TP VPN sakk IPv4 (Liides on seatud valikule Luba RAS-il adapterit valida):
Liigume nüüd kuvatavale vahelehele Sadamad, paremklõps ja Omadused, valige ühendus L2TP ja vajutage Tunni, uude aknasse panna Sissehelistusühendus (ainult sissetulev) ja Ühendus nõudmisel (sissetulev ja väljaminev) ja määrake maksimaalne portide arv, peab portide arv vastama eeldatavale klientide arvule või ületama seda. Parem on kasutamata protokollid keelata, tühjendades nende atribuutides mõlemad märkeruudud.
Selle tulemusena peaksid teie pordide loendisse jääma ainult teie määratud pordid, mida vajate.
See viib serveri seadistamise lõpule. Jääb vaid lubada kasutajatel serveriga ühenduse luua. Minge serverihaldurisse: Seadistamine - Kohalikud kasutajad ja rühmad - Kasutajad -Valige kasutaja ja paremklõps - Omadused. Vahekaardil Sissetulevad kõned - Võrgu juurdepääsuõigused paljastada Luba juurdepääs. (Kui teie serveris töötab Active Directory, tuleb sätted sisestada vastavasse lisandmoodulisse)
Ärge unustage ruuteri porte vahetada ja tulemüüris avada:
- IKE – UDP-port 500 (vastuvõtmine/saatmine)
- L2TP – UDP-port 1701 (vastuvõtmine/saatmine)
- IPSec ESP – UDP port 50 (vastuvõtmine/saatmine)
- IPSec NAT-T – UDP-port 4500 (vastuvõtmine/saatmine)
