收藏本站腾讯微博新浪微博

经典论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

蓝色理想 最新研发动态 网站开通淘帖功能 - 蓝色理想插件 论坛内容导读一页看论坛 - 给官方提建议

论坛活动及任务 地图和邮件任务 请多用悬赏提问 热夏来袭,选一款蓝色理想的个性T恤吧!

手机上论坛,使用APP获得更好体验 急需前端攻城狮,获得内部推荐机会 论坛开通淘帖功能,收藏终于可以分类了!

搜索
查看: 12943|回复: 4

[网络] 【原创】L2TP预共享密钥解决内网VPN连接问题

[复制链接]
发表于 2008-10-1 00:07:03 | 显示全部楼层 |阅读模式
-----------------------------------
原创文章,转载请保留此信息
作者:oror@blueidea
邮箱:pcn88#hotmail.com
网站:http://wangye.org/
---------------------------------
大概是一个月前的事情了,主要是一个VPN解决方案,服务器配置是Windows 2003 + ISA 2006,单网卡连接路由上网,设置好路由并通过ISA的配置顺利启用了PPTP的VPN,通过客户端ADSL拨号,成功连接,本来以为事情这样就结束了,事实上问题还没有解决。在另外一个客户端中启用连接,停留在验证用户名和密码阶段,然后就发生错误,详细如下:
错误 721 : 远程计算机没反应。
我发现两个客户端就是网络环境不同,这个客户端位于一个局域网中。有问题百度一下,有个解决方案就是修改注册表的,本来以为可以轻松解决这个问题的,但我又想错了,我开始怀疑是这个客户端所在局域网搞的鬼。实际上通过服务器的防火墙监视发现,服务器已经启用了该PPTP连接,但事实上有个数据包不能正常抵达客户端,所以造成这个错误。进一步上网查询,得知这个数据包很有可能是GRE协议,这个协议由于客户端局域网的限制未能正常抵达,所以造成这个错误。本来以为这是个个别现象,回到学校,使用校园网,于是我又尝试连接VPN,一样的错误!回家后使用ADSL上网,连接该VPN,一切正常。断开后启用虚拟机,打开一个虚拟的Windows XP系统,建立VPN连接,拨号,同样的错误!于是我想貌似通常的局域网内部机器都不能正常拨号,若要想正常拨号就必须要去修改局域网配置!但一般修改自己局域网配置是可以的但是修改别人的局域网配置就难了。这个问题困扰了我很多天。

我在PPTP连接上越陷越深,偶然的一次看到某论坛上一位朋友遇到和我一样的问题,据他说使用L2TP可以实现内网访问VPN,我似乎看到了救命稻草,于是我便开始配置ISA的L2TP访问,但有个问题是L2TP必须使用IPSec然后就是什么证书的,比较麻烦,幸好捷径还是有的,IPSec可以预共享密钥。

1.gif

分配静态地址,DHCP配置有点麻烦

2.gif

设置验证方式,注意这里务必勾选“未加密密码(PAP)(U)”和“允许L2TP连接自定义IPSec策略(L)”并且设置好预共享密钥。

3.gif

启用客户端访问。

4.gif

启用PPTP和L2TP/IPSec,当然你不需要PPTP可以先关闭它。

设置完毕后

启用连接,无法连接。原来服务器和客户端都要求使用证书这种加密模式,怎样才能让它们认可预共享密钥连接呢?其实微软已经给我们方法了,修改注册表。

微软文章
http://support.microsoft.com/kb/310109/zh-cn

其实你可以使用下面命令很简单的完成操作


  1. reg add "HKLM\SYSTEM\CurrentControlSet\Services\RasMan\Parameters" /v ProhibitIPSec /t REG_DWORD /d 1
复制代码

j1.gif

完成操作后请重启服务器和客户端
重启完毕下面只要修改客户端就足够了

修改先前的VPN连接

j2.gif

打开连接对话框,点击属性

j3.gif

切换到“网络”选项卡,并选择VPN类型。

j4.gif

切换到“安全”选项卡,单击“IPSec设置(P)…”

j5.gif

输入刚才设定的密钥,确认

确认所有对话框,这时输入VPN用户名和密码,登录,成功!问题解决!

希望我的这篇文章对您有所帮助。

[[i] 本帖最后由 oror 于 2008-10-1 00:15 编辑 ]

评分

参与人数 1威望 +1 收起 理由
蓝色 + 1 谢谢分享

查看全部评分

发表于 2008-10-1 20:04:04 | 显示全部楼层
难得一见的思路清晰的好帖子。很遗憾,作为一个防火墙砖家,却从来没有用过ISA。
如果帖子能把成功和失败的tcpdump抓包内容比较一下,会更完美。
回复 支持 反对

使用道具 举报

 楼主| 发表于 2008-10-2 21:25:02 | 显示全部楼层

回复 沙发 REISTLIN 的帖子

我也没怎么搞过这个,是客户需求的,以前只是对VPN有个概念的理解,这次可以算是硬着头皮把VPN勉强架起来的,看了很多资料。
tcpdump没有做过,当时只是做了个嗅探抓包。然后看了下TCP的连接再配合ISA防火墙日志,做出一些判断的。

改天有机会我用虚拟机架设 Windows 2003+ISA 2006 然后把配置VPN的过程详细写一下。其实配置不难,就是投入使用时遇到的问题比较多。
回复 支持 反对

使用道具 举报

发表于 2010-2-9 13:58:27 | 显示全部楼层

回复 1# oror [楼主] 的帖子

提醒:最后回贴距现在 495 天,请不要无意义回复

为什么我照这样配置后会报678的错
回复 支持 反对

使用道具 举报

发表于 2010-2-10 14:07:02 | 显示全部楼层

回复 4# geelee 的帖子

678的错误好像是和电信局的远端没有连上,你看看是不是这问题..

楼主这贴子确实很不错,我现在都只作过硬件的VPN配置,没作过软的...
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|小黑屋|Archiver|手机版|blueidea.com ( 湘ICP备12001430号 )  

GMT+8, 2020-7-5 17:51 , Processed in 0.112023 second(s), 16 queries , Gzip On, Memcache On.

Powered by Discuz! X3.2 Licensed

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表