Protocolul L2TP este preferat față de PPTP pentru construirea de rețele VPN, în principal pentru securitate și disponibilitate mai mare, datorită faptului că o sesiune UDP este utilizată pentru canalele de date și de control. Astăzi ne vom uita la configurarea unui server VPN L2TP pe o platformă Windows Server 2008 r2.
PPTP
Point-to-Point Tunneling Protocol este un protocol inventat de Microsoft pentru stabilirea de VPN-uri prin rețele dial-up. PPTP a fost protocolul standard pentru construirea de VPN-uri de mulți ani. Este doar un protocol VPN și se bazează pe diferite metode de autentificare pentru securitate (cel mai des folosit este MS-CHAP v.2). Disponibil ca protocol standard pe aproape toate sistemele de operare și dispozitivele compatibile cu VPN, permițându-vă să-l utilizați fără a fi nevoie să instalați software suplimentar.
Pro:
- Clientul PPTP este încorporat în aproape toate sistemele de operare
- foarte usor de configurat
- functioneaza rapid
Minusuri:
- nesigur (protocolul de autentificare vulnerabil MS-CHAP v.2 este încă utilizat pe scară largă)
L2TP și L2TP/IPsec
Layer 2 Tunnel Protocol este un protocol VPN care în sine nu oferă criptare sau confidențialitate pentru traficul care trece prin acesta. Din acest motiv, protocolul de criptare IPsec este utilizat de obicei pentru securitate și confidențialitate.
Pro:
- foarte sigur
- ușor de configurat
- disponibil pe sistemele de operare moderne
Minusuri:
- mai lent decât OpenVPN
- poate fi necesară o configurare suplimentară a routerului
Și așa revenim la setările pentru implementare Servere VPN L2TP vom folosi Windows Server 2008 R2, cu toate acestea, cu modificări minore, tot ceea ce s-a spus va fi valabil și pentru alte versiuni de Windows Server.
Avem nevoie de un rol instalat, care ar trebui să conțină cum să facem acest lucru, am descris în detaliu în articolul anterior unde am ridicat PPTP VPN, prin urmare, nu văd niciun rost să descriu acest proces din nou, mai departe vom presupune că rolul Politică de rețea și servicii de acces ai instalat deja și conține Servicii de rutare și acces la distanță. Desfăşurare generală Servere VPN L2TP foarte asemănătoare cu desfășurarea PPTP VPN, cu excepția câtorva setări, pe care le vom discuta în detaliu.
Accesați Server Manager: Roluri -Rutare și acces la distanță, faceți clic dreapta pe acest rol și selectați Proprietăți, pe fila General bifați căsuțele Router IPv4, alege LAN și apel la cerere, și Server IPv4 de acces la distanță:
Acum trebuie să introducem cheia predistribuită. Accesați fila Securitate iar în câmp Permite politici IPSec specifice pentru conexiunea L2TP bifați caseta și introduceți cheia dvs. ( Despre cheie. Puteți introduce o combinație arbitrară de litere și numere acolo.Principiul principal este că, cu cât combinația este mai complexă, cu atât mai sigur și amintiți-vă sau notați această combinație, vom avea în continuare nevoie de ea.) În fila Furnizor de servicii de autentificare Selectați Windows - Autentificare.
Acum trebuie să ne instalăm Securitatea conexiunii. Pentru a face acest lucru, accesați fila Securitateși alegeți Metode de autentificare, bifați Protocolul EAPși Verificare criptată (Microsoft v2, MS-CHAP v2):
Apoi, accesați fila IPv4, unde specificăm ce interfață va accepta conexiuni VPN precum și să înființeze un grup de adrese emise clienților VPN L2TP fila IPv4 (Interfață setată la Permite RAS să selecteze adaptorul):
Acum să mergem la fila care apare Porturi, faceți clic dreapta și Proprietăți, alegeți conexiune L2TPși apăsați Ton, într-o fereastră nouă pune Conexiune dial-up (doar pentru intrare)și Conexiune la cerere (intrare și ieșire)și setați numărul maxim de porturi, numărul de porturi trebuie să corespundă sau să depășească numărul așteptat de clienți. Este mai bine să dezactivați protocoalele neutilizate debifând ambele casete de selectare din proprietățile lor.
Ca rezultat, doar porturile de care aveți nevoie în numărul specificat de dvs. ar trebui să rămână în lista dvs. de porturi.
Aceasta completează configurarea serverului. Rămâne doar să permită utilizatorilor să se conecteze la server. Accesați Server Manager: Configurare - Utilizatori și grupuri locali - Utilizatori -Selectați utilizatorul si click dreapta - Proprietăți. Pe fila Apeluri primite - Drepturi de acces la rețea expune Permite accesul. (Dacă serverul dvs. rulează Active Directory, atunci setările trebuie introduse în snap-in-ul corespunzător)
Și nu uitați să comutați porturile de pe router, precum și să le deschideți în Firewall:
- IKE - portul UDP 500 (primire/trimitere)
- L2TP - portul UDP 1701 (primire/trimitere)
- IPSec ESP - Port UDP 50 (primire/trimitere)
- IPSec NAT-T - portul UDP 4500 (primire/trimitere)
