將此篇文章跟 Facebook 上的朋友分享將此篇文章跟 Plurk 上的朋友分享將此篇文章跟 Twitter 上的朋友分享列印轉寄
2014/3/20

善用現成網路設備 架設跨平台VPN閘道

發揮路由器VPN功能 提供PPTP及L2TP連線

丁光立
之前筆者已介紹過SSL VPN的建置,但是Cisco的SSL VPN(Web VPN)只能用於Windows XP與Internet Explore共同使用的環境,因此本期文章將緊接著介紹PPTP及L2TP VPN。
使用PPTP及LT2P的好處是,這兩種連線模式在Windows Base的作業系統中均內建支援,至於其他的作業系統,例如Linux或Mac OS X也都能支援,甚至連手機都提供支援,因此是最普及也最好運用的VPN。

行前準備

首先,必須有一台路由器。與SSL VPN不同的是,PPTP和L2TP只需要12.3(11)T4之後的IOS就可以支援,因此毋須特別選用支援Security的IOS。但若是需要使用IPSec進行認證及傳輸過程中的加密,就必須使用支援Security的IOS。

接下來的內容將會介紹單純的PPTP及L2TP的建立過程,在建立過程中並不需要支援IPSec。此外,L2TP亦可結合IPSec,若讀者有此需求,建議還是備妥Security Function的IOS。

在本文中,同樣使用Cisco 871來作為VPN gateway,其IOS檔名及版本為c870-advipservicesk9-mz.124-15.T6.bin。

測試架構

測試架構如圖1所示。簡言之,這裡的目的是透過Internet存取OFFICE LAN,因此使用電腦軟體與Cisco路由器建立PPTP VPN Tunnel。


▲圖1 測試架構圖。


在成功建立Tunnel後,就可以透過Internet存取辦公室資源,並且資料在存取過程中會受到身分認證的保護。

配置PPTP VPN

簡單地解釋一下PPTP。PPTP是屬於OSI七層架構中第二層的協定,它是PPP(Point to Point)的延伸,可用來封裝LAN的協定,包括IP、IPX、NetBeui等協定。它使用IP network來傳輸資料,並在傳輸過程中可使用MPPE(Microsoft Point to Point Encryption)進行資料加密。

PPTP的使用者驗證方式採用PPP的驗證方式,可用的協定包含PAP、SPAP、CHAP、MS-CHAP V1、V2及EAP等。PPTP可使用MPPE進行資料的加密,但只有採用MS-CHAP V1、V2或EAP-TLS的驗證方式,才能透過MPPE進行資料加密。

首先進行帳號密碼的相關設定,PPTP相較於SSL VPN來說,需設定的部分較少。在此僅提供相關設定供讀者參考。至於路由器的基本設定,請依自己的環境進行相關調整。




在此,啟用新的存取控制指令與功能。




接著,設定在使用PPP登入時所須使用的本機帳號密碼。PPTP將PPP框架封裝在IP資料包中以便透過網路傳輸,因此必須設定PPP帳號。




再設定一組帳號密碼,供登入PPTP VPN時使用。在這裡要特別注意的是,PPTP和L2TP採用帳號所對應的密碼都只能用明文,不可以用Secret進行加密,因此記得要做以下的設定,讓自己的密碼不要被人一眼看穿。




接著,進行IP網段的相關設定:




此處設定一個IP範圍,讓PPTP VPN連線後可取得此IP網段中的IP,筆者設定的是和LAN IP同網段的IP區段。

後續進行PPTP VPN的相關設定。VPDN是Virtual Private Dialup Network的縮寫,先將它啟用。




接著,完成vpdn-group相關設定:




這篇文章讓你覺得滿意不滿意
送出
相關文章
認識OSPF路由協定 活用相關指令設定參數值
NETGEAR發表全新 夜鷹X10 R9000智能WiFi路由器
超狂駭客拉DDoS警報 電信商當關全面協防
NETGEAR發表全新 夜鷹X10 R9000智能WiFi路由器
VMware NSX有亮點 動態開ESG網路服務虛機
留言
顯示暱稱:
留言內容:
送出