偶看新闻eve小航如何旗舰跳:TMG实现L2TP/IPSec VPN
来源:百度文库 编辑:偶看新闻 时间:2024/04/20 09:21:43
我们都知道,Windows Server 2008的VPN有三种类型:PPTP、L2TP/IPSec、SSTP。而对于SSTP VPN直接走443端口,增加了通用性。而对于ISA2004/2006均不可以实现这种类型的VPN,而最近微软发布的新产品TMG增加了对SSTP VPN的支持,今天我们就来看一下,这三种类型的VPN在TMG下的实现方式: 对于本内容我们分三次进行,这是我们的第二次课,L2TP/IPSec VPN的实现过程: 我们的重点解决SSTP的VPN,但在解决之前,我们可能要进行一系列的测试工作,避免不了使用PPTP或L2TP/IPSec,所有干脆一并在这里一一道来,成为一个VPN解决系列。前言:对于VPN的工作过程,不外乎两个阶段:身份验证和授权,对于身份验证说白了其实就是对用户进行合法性验证,即是否是对应数据库里的用户,并且密码验证也通过。授权,即该用户必须有拔入权限。实验拓朴:
三台机器,所有配置如上所示,初始环境已经搭建结束,如W08a是DC和DNS,CA并没有安装。W08c是TMG服务器,并已经安装了TMG,远程客户端win7的TCP相关配置如上。接下来我们来看L2TP/IPSec VPN的实现过程:分析:对于L2TP/IPSec VPN我们有两种方式进行计算机的身份验证和加密,一种是使用预共享密钥,一种是使用证书。在这里我们采用证书完成VPN的操作。所以我们必须为TMG服务器和远程客户端分别申请计算机证书,并下载CA的根证书(安装到计算机存储中)。步骤:一、在企业内部的W08a上搭建独立根CA二、在TMG上申请计算机证书并下载CA的根证书三、在Win7上申请计算机证书并下载CA的根证书四、在TMG上完成L2TP/IPSec VPN的配置并创建相应的访问规则及用户拔入权限。五、在Win7上创建VPN拔号连接,并测试。六、总结实现过程:一、在企业内部的W08a上搭建独立根CA在W08a上运行“服务器管理器”,在控制台的“角色”上右击--“添加角色”,如下所示:选择" AD CS "单击“下一步”:
下图,选择“证书颁发机构Web注册”,会弹出关联组件并选择安装,单击下一步:
下图,我们选择"独立CA”,单击下一步:
下图,选择根CA,继续:
接下来,基本可以采用默认的设置,一路单击即可:
安装结束后如下图:
开始---搜索,输入certsrv.msc,右击Root CA选--属性,设置CA自动颁发证书。(PS:当然这里是为了图简单,在生产环境里当然必须要手动颁发喽~~),改后,注意要重启证书服务,此处略~~
二、在TMG上申请计算机证书并下载CA的根证书1.打开IE,工具---Internet选项,配置“安全级别”,并把CA站点添加到信任区域。
2.在TMG上创建一条“阵列访问规则”,允许TMG服务器可以访问CA服务器的HTTP协议。在这里为了简单我们创建一条从本地主机(即TMG)到内部的一条可以访问全部协议的规则。大致操作如下:在防火墙策略上新建一条“访问规则”:如下一系列图示。
如上图,仅为测试,故选择所有出站通讯,若在生产环境里,根据情况定义,此处略。
创建结束后,单击“应用”保存配置,稍等片刻。我们进行下面的操作。3.为TMG服务器下载CA的根证书,并安装到计算机存储中。打开IE,在地址栏里输入http://10.1.1.5/certsrv,单击"下载CA证书、证书链或CRL"
注意“保存”到本地计算机,如桌面上。接下来,单击“开始---搜索”,输入mmc,如下所示:
如上图,添加“用户和计算机”的证书控制台,然后在下图所示中,展开“证书(本地计算机)”,导入刚才下载并保存的CA的根证书,导入后,如下下图所示。
4. 在TMG上申请计算机证书,并安装“证书(本地计算机)”的个人存储中。如上一样,打开IE,输入http://10.1.1.5/certsrv,如下:
如上图,一定要注意这三项,然后单击“提交”,如下图:
单击“安装此证书”,注意此时该证书被安装到了用户个人存储中,我们必须再次打刚才的MMC,把用户里的这个证书,带私钥导出,然后再导入计算机个人存储中。如下所示:(步骤太多,截了几副,其它未贴出采用默认配置自行处理)
导出证书后,我们还需要如下操作,把该证书导入到计算机个人存储中,如下:
导完后,如下图所示:
三、在Win7上申请计算机证书并下载CA的根证书有关远程客户端证书的申请过程和TMG一般无二,但我们要考虑的就是如何实现和CA的连接问题:两种方式:a.如果是单位的笔记本电脑,可以事先申请并安装,再出差。b.如果在分支机构的电脑等,我们也可以事先用PPTP的方式连接,然后再申请。由于步骤一样,在此不在赘述。具体见上篇《TMG实现PPTP VPN---TMG 2010 VPN系列之一》四、在TMG上完成L2TP/IPSec VPN的配置并创建相应的访问规则及用户拔入权限。此处的操作和配置,与上篇的操作和配置基本相同,唯一的区别,如下图处,我们要选择VPN协议为L2TP/IPSec:
五、在Win7上创建VPN拔号连接,并测试。此处的配置基本上和上篇配置类似,唯一的区别,需要更改VPN的连接选择L2TP/IPSec,并选择使用证书,如下图所示:
连接上来后,如下所示:
六、总结其实实现L2TP/IPSec VPN关键还是证书方面,你必须在TMG和远程客户端都要下载CA的根证书,并且一定要安装到计算机存储列表中,此外两个计算机证书,名字必须是对应计算机的名字,并且申请时选择“导出私钥”,然后利用MMC控制导出并导入计算机存储中。这是这个实验成功的关键点!在整个实验过程中,对于TMG还有配置相应的访问规则。理好思路并不难,就是步骤多了些。 预告:敬请关注《TMG实现SSTP VPN---TMG 2010 VPN系列之三》
三台机器,所有配置如上所示,初始环境已经搭建结束,如W08a是DC和DNS,CA并没有安装。W08c是TMG服务器,并已经安装了TMG,远程客户端win7的TCP相关配置如上。接下来我们来看L2TP/IPSec VPN的实现过程:分析:对于L2TP/IPSec VPN我们有两种方式进行计算机的身份验证和加密,一种是使用预共享密钥,一种是使用证书。在这里我们采用证书完成VPN的操作。所以我们必须为TMG服务器和远程客户端分别申请计算机证书,并下载CA的根证书(安装到计算机存储中)。步骤:一、在企业内部的W08a上搭建独立根CA二、在TMG上申请计算机证书并下载CA的根证书三、在Win7上申请计算机证书并下载CA的根证书四、在TMG上完成L2TP/IPSec VPN的配置并创建相应的访问规则及用户拔入权限。五、在Win7上创建VPN拔号连接,并测试。六、总结实现过程:一、在企业内部的W08a上搭建独立根CA在W08a上运行“服务器管理器”,在控制台的“角色”上右击--“添加角色”,如下所示:选择" AD CS "单击“下一步”:下图,选择“证书颁发机构Web注册”,会弹出关联组件并选择安装,单击下一步:下图,我们选择"独立CA”,单击下一步:下图,选择根CA,继续:接下来,基本可以采用默认的设置,一路单击即可:安装结束后如下图:开始---搜索,输入certsrv.msc,右击Root CA选--属性,设置CA自动颁发证书。(PS:当然这里是为了图简单,在生产环境里当然必须要手动颁发喽~~),改后,注意要重启证书服务,此处略~~二、在TMG上申请计算机证书并下载CA的根证书1.打开IE,工具---Internet选项,配置“安全级别”,并把CA站点添加到信任区域。2.在TMG上创建一条“阵列访问规则”,允许TMG服务器可以访问CA服务器的HTTP协议。在这里为了简单我们创建一条从本地主机(即TMG)到内部的一条可以访问全部协议的规则。大致操作如下:在防火墙策略上新建一条“访问规则”:如下一系列图示。如上图,仅为测试,故选择所有出站通讯,若在生产环境里,根据情况定义,此处略。创建结束后,单击“应用”保存配置,稍等片刻。我们进行下面的操作。3.为TMG服务器下载CA的根证书,并安装到计算机存储中。打开IE,在地址栏里输入http://10.1.1.5/certsrv,单击"下载CA证书、证书链或CRL"注意“保存”到本地计算机,如桌面上。接下来,单击“开始---搜索”,输入mmc,如下所示:如上图,添加“用户和计算机”的证书控制台,然后在下图所示中,展开“证书(本地计算机)”,导入刚才下载并保存的CA的根证书,导入后,如下下图所示。4. 在TMG上申请计算机证书,并安装“证书(本地计算机)”的个人存储中。如上一样,打开IE,输入http://10.1.1.5/certsrv,如下:如上图,一定要注意这三项,然后单击“提交”,如下图:单击“安装此证书”,注意此时该证书被安装到了用户个人存储中,我们必须再次打刚才的MMC,把用户里的这个证书,带私钥导出,然后再导入计算机个人存储中。如下所示:(步骤太多,截了几副,其它未贴出采用默认配置自行处理)导出证书后,我们还需要如下操作,把该证书导入到计算机个人存储中,如下:导完后,如下图所示:三、在Win7上申请计算机证书并下载CA的根证书有关远程客户端证书的申请过程和TMG一般无二,但我们要考虑的就是如何实现和CA的连接问题:两种方式:a.如果是单位的笔记本电脑,可以事先申请并安装,再出差。b.如果在分支机构的电脑等,我们也可以事先用PPTP的方式连接,然后再申请。由于步骤一样,在此不在赘述。具体见上篇《TMG实现PPTP VPN---TMG 2010 VPN系列之一》四、在TMG上完成L2TP/IPSec VPN的配置并创建相应的访问规则及用户拔入权限。此处的操作和配置,与上篇的操作和配置基本相同,唯一的区别,如下图处,我们要选择VPN协议为L2TP/IPSec:五、在Win7上创建VPN拔号连接,并测试。此处的配置基本上和上篇配置类似,唯一的区别,需要更改VPN的连接选择L2TP/IPSec,并选择使用证书,如下图所示:连接上来后,如下所示:六、总结其实实现L2TP/IPSec VPN关键还是证书方面,你必须在TMG和远程客户端都要下载CA的根证书,并且一定要安装到计算机存储列表中,此外两个计算机证书,名字必须是对应计算机的名字,并且申请时选择“导出私钥”,然后利用MMC控制导出并导入计算机存储中。这是这个实验成功的关键点!在整个实验过程中,对于TMG还有配置相应的访问规则。理好思路并不难,就是步骤多了些。 预告:敬请关注《TMG实现SSTP VPN---TMG 2010 VPN系列之三》 本文出自 “千山岛主之微软技术空间站” 博客,转载请与作者联系!
vpn ipsec方案
其中一种VPN的工作原理介绍(如L2TP或者IPSec的工作原理介绍).高手们可以告诉我么?
icmp snmp ike vpn pptp vpn l2tp vpn igmp协议
IPSEC VPN的常用软件和硬件产品
IPSec VPN、 SSL VPN隧道主要区别是什么?
ipsec vpn能够建立B/S结构系统吗?
怎么实现VPN互联?
softether 实现VPN问题
WIN2003下怎样实现VPN?
同网段如何实现vpn??
winxp能否实现VPN功能
使用VPN时,为何提示“无法打开IPSec driver”?如何打开?多谢!
局域网上网,为什么启用了NAT中ALG中的IPSEC通过,就能拔上公司VPN
什么是 L2TP
实现VPn功能需要哪些条件
异地网络如何实现VPN技术
如何用路由器+win2000+花生壳 实现VPN
如何在Win2000或WinXP下实现VPN? 如何在Win2000或WinXP下实现VPN?
IPSEC是什么意思?
什么是网络的VPN技术?VPN能够为哪几种网络应用提供优越的解决方案?实现VPN的关键技术有哪几项?
没有公网IP是否就不可能实现VPN了?
VPN技术可以在不同操作系统之间实现吗?
利用vpn实现外网访问内网的问题
我单位要实现VPN,要买什么设备呢?