Ang L2TP protocol ay mas pinipili kaysa sa PPTP para sa pagbuo ng mga VPN network, pangunahin para sa seguridad at mas mataas na kakayahang magamit, dahil sa ang katunayan na ang isang UDP session ay ginagamit para sa data at mga control channel. Ngayon ay titingnan natin ang pag-set up ng isang L2TP VPN server sa isang Windows server 2008 r2 platform.
PPTP
Ang Point-to-Point Tunneling Protocol ay isang protocol na inimbento ng Microsoft para sa pagtatatag ng mga VPN sa mga dial-up na network. Ang PPTP ay naging karaniwang protocol para sa pagbuo ng mga VPN sa loob ng maraming taon. Isa lamang itong VPN protocol at umaasa sa iba't ibang paraan ng pagpapatunay para sa seguridad (ang pinakakaraniwang ginagamit ay MS-CHAP v.2). Magagamit bilang isang karaniwang protocol sa halos lahat ng mga operating system at device na pinagana ng VPN, na nagbibigay-daan sa iyong gamitin ito nang hindi kinakailangang mag-install ng karagdagang software.
Mga kalamangan:
- Ang PPTP client ay binuo sa halos lahat ng operating system
- napakadaling i-set up
- gumagana nang mabilis
Minuse:
- hindi secure (malawakang ginagamit ang vulnerable authentication protocol MS-CHAP v.2)
L2TP at L2TP/IPsec
Ang Layer 2 Tunnel Protocol ay isang VPN protocol na sa kanyang sarili ay hindi nagbibigay ng encryption o privacy para sa trapikong dumadaan dito. Para sa kadahilanang ito, ang IPsec encryption protocol ay karaniwang ginagamit para sa seguridad at privacy.
Mga kalamangan:
- NAPAKALIGTAS
- madaling i-set up
- magagamit sa mga modernong operating system
Minuse:
- mas mabagal kaysa sa OpenVPN
- maaaring kailanganin ang karagdagang configuration ng router
At kaya bumalik sa mga setting para sa pag-deploy Mga VPN L2TP Server gagamit kami ng Windows Server 2008 R2, gayunpaman, na may maliliit na pagbabago, lahat ng sinabi ay magiging totoo din para sa iba pang mga bersyon ng Windows Server.
Kailangan namin ng isang naka-install na tungkulin, na dapat maglaman kung paano gawin ito, inilarawan namin nang detalyado sa nakaraang artikulo kung saan namin itinaas PPTP VPN, samakatuwid, wala akong nakikitang punto sa paglalarawan muli sa prosesong ito, higit pa nating ipagpalagay na ang tungkulin Patakaran sa Network at Mga Serbisyo sa Pag-access na-install mo na at naglalaman Mga Serbisyo sa Pagruruta at Remote Access. Pangkalahatang deployment Mga VPN L2TP Server halos kapareho sa deployment PPTP VPN, maliban sa ilang mga setting, na tatalakayin natin nang detalyado.
Pumunta sa Server Manager: Mga tungkulin -Pagruruta at malayuang pag-access, i-right-click sa tungkuling ito at piliin Ari-arian, sa tab Heneral lagyan ng tsek ang mga kahon IPv4 router, pumili LAN at tawag on demand, at Remote Access IPv4 Server:
Ngayon ay kailangan nating ipasok ang preshared key. Pumunta sa tab Seguridad at sa bukid Payagan ang mga partikular na patakaran ng IPSec para sa L2TP na koneksyon lagyan ng check ang kahon at ilagay ang iyong susi. ( Tungkol sa susi. Maaari kang magpasok ng arbitraryong kumbinasyon ng mga titik at numero doon. Ang pangunahing prinsipyo ay ang mas kumplikadong kumbinasyon, mas ligtas at tandaan o isulat ang kumbinasyong ito, kakailanganin pa rin natin ito.) Sa tab Provider ng Serbisyo ng Authentication pumili Windows - Pagpapatunay.
Ngayon kailangan nating mag-set up Seguridad ng koneksyon. Upang gawin ito, pumunta sa tab Seguridad at pumili Mga Paraan ng Pagpapatunay, lagyan ng tsek ang EAP protocol at Naka-encrypt na Pag-verify (Microsoft v2, MS-CHAP v2):
Susunod, pumunta sa tab IPv4, kung saan tinukoy namin kung aling interface ang tatanggap ng mga koneksyon VPN pati na rin ang pag-set up ng pool ng mga ibinigay na address sa mga kliyente L2TP VPN tab IPv4 (Itinakda ang interface sa Payagan ang RAS na pumili ng adaptor):
Ngayon, pumunta tayo sa tab na lilitaw Mga daungan, i-right click at Ari-arian, piliin ang koneksyon L2TP at pindutin Tune, sa isang bagong window ilagay Koneksyon sa dial-up (papasok lamang) at Koneksyon on demand (incoming at outgoing) at itakda ang maximum na bilang ng mga port, ang bilang ng mga port ay dapat tumugma o lumampas sa inaasahang bilang ng mga kliyente. Mas mainam na huwag paganahin ang mga hindi nagamit na protocol sa pamamagitan ng pag-alis ng check sa parehong mga checkbox sa kanilang mga katangian.
Bilang resulta, tanging ang mga port na kailangan mo sa numerong iyong tinukoy ang dapat manatili sa iyong listahan ng mga port.
Kinukumpleto nito ang pag-setup ng server. Ito ay nananatili lamang upang payagan ang mga user na kumonekta sa server. Pumunta sa Server Manager: Configuration - Mga Lokal na Gumagamit at Grupo - Mga gumagamit -Pumili ng user at i-right click - Ari-arian. Sa tab Mga papasok na tawag - Mga karapatan sa pag-access sa network ilantad Payagan ang pag-access. (Kung ang iyong server ay nagpapatakbo ng Active Directory, ang mga setting ay dapat na ilagay sa naaangkop na snap-in)
At huwag kalimutang lumipat ng mga port sa iyong router, pati na rin buksan ang mga ito sa iyong Firewall:
- IKE - UDP port 500 (Receive\Send)
- L2TP - UDP port 1701 (Tumanggap/Ipadala)
- IPSec ESP - UDP Port 50 (Tumanggap/Ipadala)
- IPSec NAT-T - UDP port 4500 (Tumanggap/Ipadala)
