ISAServer中基於L2TP實現遠端撥入VPN

技術小胖子發表於2017-11-07
Server

 

L2TP/IPSEC是採用的IPSEC加密方法,它比PPTPMPPE加密更安全。ISA SERVERL2TP/IPSEC用來來驗證使用者身份的方法分為證書與預共享金鑰兩種,其中的預共享金鑰安全性較差,因此建議只有在測試的環境中才使用。我們將分兩個主題來討論:
使用IPSEC證書來建立L2TP/IPSEC VPN
使用“預共享金鑰”來建立 L2TP/IPSEC VPN
 
首先來看使用IPSEC證書來建立 L2TP/IPSEC VPN
VPN 伺服器與VPN客戶端都需要申請證書,雙方之間才可以建立安全的。L2TP/IPSEC VPN。我們將利用網頁瀏覽器來向CA(也就是我們們前面的DC)申請證書。
所以我們的步驟是這樣的:
VPN伺服器向CA申請證書與信任CA
VPN客戶端向CA申請證書與信任CA
測試L2TP/IPSEC連線
 
VPN伺服器向CA申請證書與信任CA
IE  HTTP//10.1.1.2/CERTSRV
 
 
申請一個證書————高階證書申請———-建立並向此CA提交一個申請.
如果CA是域則是左邊的顯示       如果CA是工作組則是右邊的顯示
 
 
在右圖中,由於此CA型別是獨立根,因此需要輸入的引數和企業根有所不同。證書姓名中我們輸入了VPN伺服器的域名 florence.itat.com,我們選擇的證書型別是“伺服器身份驗證證書”,然後選擇將證書儲存在本地計算機儲存中,其他引數隨便輸入即可。


由於此ISA SERVER已經加入到了域中,所以預設就信任CA.所以不需要再執行信任CA操作了.可以通過 IE—證書—-受信任的證書頒發機構檢視
如果此ISA SERVER不是域中的機器,則需要再另行執行信任操作.大致方法如下:
下載一個CA證書鏈儲存成一個檔案.記住路徑
開始執行—MMC


VPN客戶端向CA申請證與信任CA
前提是已經在前面的章節中替VPN客戶端建立VPN連線.請執行以下步驟:
 
1. 先連線上VPN    可以先利用PPTP VPN的方式連上VPN伺服器或是釋出內網的WEB站點,也可!
2. IE瀏覽器中[url]http://10.1.1.2/[/url]certsrv 來向CA申請證書與執行信任CA的任務.
以上與上述ISA SERVER的操作相同,特略.!
注意事項:因為此計算機是獨立計算機,所以一定要執行信任CA的步驟
 
如果是工作組則如下圖所示:
 
測試L2TP/IPSEC連線:
VPN客戶端與VPN伺服器都有了證書後,以我們的測試環境來說VPN客戶端就可以跟VPN伺服器建立L2TP/IPSEC VPN.(但實際環境中要先連線到因特網.)
請先中斷已經連線的PPTP VPN連線,然後修改VPN客戶端的VPN連線設定,修改的方法


注意:要與ISA SERVER伺服器端的協議要一致!
此時就可以和VPN伺服器建立起連線了. OK,注意檢視連線屬性
鏉?椋?紲濆ぇ瀹跺ソ榪?
到此實驗成功!
如有不詳之外,請留言討論!
 本文轉自 dufei 51CTO部落格,原文連結:http://blog.51cto.com/dufei/113582,如需轉載請自行聯絡原作者


相關文章