用WindowsServer2003架设L2TPIPSECVPN服务器辩析.doc

用Windows Server 2003架设L2TP/IPSEC VPN服务器 本文曾发表于黑客防线2004年第8期，这篇文章本身与防火墙没多大关系，但文章里面讲到的东西我们却可能碰到，所以也就把它发在这里了本文将提到NAT-T，如有不明白的地方可以在本站搜索关于NAT的文章如果你已经熟悉了Windows?2000，现在来用windows?server?2003，相信你会有不少惊喜发现，在外观改变不大的情况下，功能确实处处在增强，今天我们就来利用windows?server?2003的“路由与远程访问”组件搭建一个L2TP/IPSEC?VPN服务器，让你从外部以更安全的L2TP方式访问内网，windows?2003的VPN支持NAT-T，这使得外部内网中的用户也能够使用L2TP的方式访问VPN服务器及内网，在以前，由于NAT与IPSEC的不兼容，使得我们只能通过PPTP的方式从一个内网中访问远方的VPN服务器及内网，比如从网吧访问自己的网络，有了windows?server?2003，你也可以从任何地方以更安全的L2TP方式进行VPN访问了。?本文的大致网络环境如图1所示，以典型的ADSL共享上网为因特网接入方式，这里ADSL猫以一条网线连接到双网卡的Windows?Server?2003上，然后Windows?Server?2003再以内网卡连接到内部交换机上，两块网卡都配置了不同网段的IP，但网关和DNS都为空，内网中的客户机通过Windows?Server?2003上的ADSL共享上网，这里将在这台Windows?Server?2003上创建L2TP?VPN服务器。为了完成这个工作，我们将做以下几部分工作：1，?启用“路由与远程访问”2，?创建ADSL连接3，?用NAT实现共享上网4，?配置VPN5，?安装独立根CA6，?为VPN服务器安装服务器证书7，?L2TP客户端证书的安装8，?L2TP客户端相关问题下面将依次讲述。[ 相关贴图 ]一、?启用“路由与远程访问”1，在管理工具中运行“路由与远程访问”，默认情况下“路由与远程访问”是禁用的，所以右击服务器图标，选择“配置并启用路由与远程访问”；2，进入“配置”窗口，选择“自定义配置”项；3，在“自定义配置”窗口，勾选“VPN访问”、“NAT和基本防火墙”和“LAN路由”项，其他的可以以后根据需要再配置。二、?创建ADSL用的PPPoE连接Windows?Server?2003的“路由与远程访问”组件支持直接创建PPPoE的请求拨号接口，方法如下：1，展开服务器图标，右击“网络接口”，选择“新建请求拨号接口”，点击下一步；2，在“接口名称”窗口给这个接口取个有意义的名字，比如PPPoE；3，在“连接类型”中选择“使用以太网上的PPP（PPPOE）连接”项；4，在“服务名称”中取个有意义的名称，也可以不填，直接点下一步；5，在“协议及安全措施”窗口中勾选上“在此接口上路由选择IP数据包”；6，在“远程网络的静态路由”窗口中添加一条默认路由，也即是添加一条到目的的默认路由，点击“添加”按钮，然后弹出一个窗口，这里只添加一条默认路由，所以直接确定此窗口即可（如图2）。[ 相关贴图 ]7，在“拨出凭据”窗口中，填入你ADSL虚拟拨号的用户名和密码,域一栏保持为空。上面的过程就完成了PPPOE连接的创建，但要想拨号成功，还需要修改一个地方，右击刚创建的PPPoE接口，选择“属性”，在弹出的窗口中选择“安全”标签（如图3），在其中选择“典型”项，“验证我的身份为”栏选择“允许没有安全措施的密码”项。为了保持这个接口的永久在线，切换到“选项”标签，在“连接类型”中选择“持续型连接”。完成了上面的操作后就可以右击PPPOE连接，然后选择“连接”项来建立ADSL连接了。[ 相关贴图 ]要说明的一点是之所以在这里创建PPPoE连接而不是直接通过“网络连接”中的“创建一个新的连接”来创建ADSL连接，是因为“网络连接”窗口中创建的连接不能为NAT识别，而在NAT中又需要选择此PPPOE连接为外部连接以进行地址转换，所以就只有在这里创建了。三，用NAT安全共享此ADSL连接NAT就是Network?Address?Translation，也就是把不能直接与公网IP通信的私有IP翻译成公网IP（还有端口），以便能完成与公网的通信，关于它的介绍已很多了，这里就不细述，只强调一下设置NAT主要是设置好内部接口和外部接口，因为地址翻译就是在它们之间进行的。下面是基本操作方法：1，?定位到“IP路由选择”下的“NAT/基本防火墙”，右击之，选“新增接口”，这里首先选择内部接口，也就是内网卡所代表的那个本地连接，在弹出的