利用WINDOWS XP自带VPN拨号软件拨入SecPath系列防火墙的L2TP设置

  我单位利用一台SecPath 100F作为内部网的Internet出口，为了让网络中心人员在家时能更方便、快捷地处理单位内部的一些事情，于是开启了SecPath 100F防火墙的VPN功能。在家只需要利用Wiodows XP系统自带的VPN拨号软件就可接入单位内部网，处理大部分事务，提高了工作效率。   一、组网需求 L2TP的LNS端采用SecPath 100F防火墙设备；家中电脑利用ADSL上网，作为LAC端，使用Windows XP自带VPN拨号软件进行拨号连接。其中SecPath 100F也是利用ADSL拨号上网，双方都是使用动态IP。   VPN用户访问公司总部过程如下： 用户首先进行PPoE拨号连接Internet，之后直接由用户向LNS发起Tunnel连接的请求。在LNS接受此连接请求之后，VPN用户与LNS之间就建立了一条虚拟的Tunnel。用户与公司总部间的通信都通过VPN用户与LNS之间的Tunnel进行传输。   二、组网图
如上图所示，使用SecPath防火墙作为L2TP的LNS，客户端软件是Windows自带的拨号软件。 软件版本如下： SecPath 100F：VRP software, Version 3.40, Release 1210 客户端软件：Windows XP 自带VPN拨号软件。   三、IP地址不固定问题 单位利用ADSL拨号，所分配IP不固定，在家时不能准确知道VPN接入所使用的IP。我们的解决办法是利用花生壳的动态域名服务，在内网其中一台可以上网的PC机上安装花生壳软件实现。也可以使用其他公司提供的动态域名服务，具体方法可以参考网上这方面的教程。 家中电脑所分配IP也不固定，但这并不影响我们的拨号接入。   四、具体配置步骤 为方便说明，假设单位ADSL帐号为[email]abcdef@163.gd[/email]；申请的动态域名为[url]www.abcdefg.com[/url]。 VPN拨入的帐号为：wakem_chan，密码为：zsdx，共享密匙为：qingyuan；为VPN拨入用户分配的IP范围是：192.168.10.1－192.168.10.5。   4.1 LNS端的配置 100F dis cur  sysname 100F  l2tp enable   //开启l2tp功能   firewall packet-filter enable  firewall packet-filter default permit  insulate  dialer-rule 1 ip permit  firewall statistic system enable radius scheme system domain system  ip pool 1 192.168.10.1 192.168.10.5  //配置VPN拨入用户分配的IP地址池 local-user [email]abcdefg@163.gd[/email]  //配置单位ADSL拨号用户  password cipher $P(0A9$V(FSQ=^Q`MAF4 1!!  service-type ppp local-user wakem_chan  //配置VPN拨号用户  password simple zsdx  service-type ppp ike peer 1   //配置ike peer参数  pre-shared-key qingyuan ipsec proposal 1  //配置ipsec提议  encapsulation-mode transport   //配置封装模式为透明模式 ipsec policy-template temp 1   //配置ipsec策略模板  ike-peer 1  proposal 1 ipsec policy 1 1 isakmp template temp  acl number 2000  //NAT访问控制列表  rule 0 permit source 192.168.1.0 0.0.0.255 interface Virtual-Template1   //配置虚拟接口模板1及其验证方式  ppp authentication-mode pap  ip address 192.168.100.254 255.255.255.0  ipsec policy 1  //在端口上启用ipsec policy interface Aux0  async mode flow interface Dialer1  link-protocol ppp  ppp pap local-user [email]abcdefg@163.gd[/email] password cipher $P(0A9$V(FSQ=^Q`MAF4 1!!  mtu 1492  tcp mss 1024  ip address ppp-negotiate  dialer user 100F  dialer-group 1  dialer bundle 1  nat outbound 2000  ipsec policy 1   //在端口上启用ipsec policy interface Ethernet0/0 interface Ethernet0/1 interface Ethernet0/2 interface Ethernet0/3 interface Ethernet1/0  pppoe-client dial-bundle-number 1 no-hostuniq  mtu 1492  tcp mss 1024 interface Ethernet1/1 interface Ethernet1/2 interface NULL0 firewall zone local  set priority 100 firewall zone trust  add interface Ethernet0/0  add interface Ethernet0/1  add interface Ethernet0/2  add interface Ethernet0/3  add interface Dialer1   //把拨号接口添加进入安全域  add interface Virtual-Template1   //把虚拟接口模板添加进入安全域  set priority 85 firewall zone untrust  add interface Ethernet1/0  add interface Ethernet1/1  add interface Ethernet1/2  set priority 5 firewall zone DMZ  set priority 50 firewall interzone local trust firewall interzone local untrust firewall interzone local DMZ firewall interzone trust untrust firewall interzone trust DMZ firewall interzone DMZ untrust l2tp-group 1  //配置l2tp组1  undo tunnel authentication   //取消隧道验证  allow l2tp virtual-template 1   //配置使用名字的方式发起l2tp连接  ip route-static 0.0.0.0 0.0.0.0 Dialer 1 preference 60   //配置静态默认路由 #   //以下为防火墙攻击防范配置，此处需关闭IP欺骗攻击  firewall defend land  firewall defend smurf  firewall defend fraggle  firewall defend winnuke  firewall defend icmp-redirect  firewall defend icmp-unreachable  firewall defend source-route  firewall defend route-record  firewall defend ping-of-death  firewall defend tcp-flag  firewall defend ip-fragment  firewall defend large-icmp  firewall defend teardrop  firewall defend ip-sweep  firewall defend port-scan  firewall defend arp-spoofing  firewall defend arp-reverse-query  firewall defend arp-flood  firewall defend frag-flood  firewall defend syn-flood enable  firewall defend udp-flood enable  firewall defend icmp-flood enable user-interface con 0 user-interface aux 0 user-interface vty 0 4 Return   4.2 LAC的配置： （1）禁用证书方式的IPSEC WindowsXP的L2TP功能缺省启动证书方式的IPSEC，应当在注册表中禁用。 执行regedit命令，找到如下位置 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters 加入如下注册项： Value Name: ProhibitIpSec Data Type: REG_DWORD Value: 1 将以下双引号内（不包括双引号）的一段内容复制到记事本，然后保存为reg后缀的文件，双击将其导入注册表。 “Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters] "ProhibitIpSec"=dword:00000001” 此时，一定要重启电脑，不然注册表的新信息不会生效。 （2）创建L2TP连接 按照以下图片依次进行设置 首先在网络连接处创建新连接，双击“新建连接向导”   下图的公司名字可以随意填写 点击“完成”，然后再进行拨号相关信息的配置。   下图填写拨号用户名：wakem_chan，密码：zsdx。 安全选项卡，选择“高级（自定义设置）”，然后再分别点击“设置”和“IPSec设置”。 “数据加密”和“允许这些协议”按如图所示设置。 IPSec设置，使用密匙：qingyuan。   网络选项卡，VPN类型处选择“L2TP IPSec VPN”。   完成以上设置后，就可以连接此VPN拨号了。 当你看到以上画面，恭喜您！您已经拨号成功了！然后，您就可以开始享受把办公室带回家的乐趣了。 五、注意问题 1．动态域名的使用。 2．防火墙配置里面有红色斜体字标记的位置。 3．IP Pool要设置要domain下面。 4．在虚拟接口Virtual-Template1下应用ipsec policy 5．修改注册表，禁用证书方式的IPSec认证。 6．拨号属性中具体配置的修改。 7．假如在“正在核对用户名和密码…”后出现了如下画面， 请检查你的防火墙攻击防范设置，将“IP欺骗攻击”关闭掉即可。