PPTP配置实例(HiPER ReOS 2008 ×××配置手册)

(一)、配置HiPER做为PPTP服务器安全

1 方案——HiPER做为PPTP服务器
  
  在本方案中,某公司总部在上海。在北京有一个分公司但愿能够实现两地局域网内部资源的相互访问。该公司还有一些出差和远程办公的移动用户但愿在远程访问总公司局域网内部资源。
本方案使用PPTP协议创建×××隧道,在上海公司总部使用HiPER ×××网关做为PPTP服务器,在北京放置任意品牌的标准×××路由器(推荐使用HiPER ×××网关)做为PPTP客户端,移动用户使用Windows操做系统内置的PPTP客户端软件。地址以下:
上海(PPTP服务器):
     局域网网段IP地址:192.168.123.0/24;
     HiPER的LAN口IP地址:192.168.123.1/24;
     HiPER的WAN口IP地址:202.101.35.218/24;
北京(PPTP客户端):
     局域网网段IP地址:192.168.16.0/24;
     路由器的LAN口IP地址:192.168.16.1/24;
移动用户(PPTP客户端):
     使用Windows操做系统经过PPTP拨号创建PPTP隧道链接。
 
1、 配置HiPER做为PPTP服务器(LAN到LAN /移动用户拨入)
 
1.        为北京的路由器建立PPTP隧道拨入账号
在×××配置—>PPTP和L2TP中,选择“添加”选项,而后在配置参数项中依次输入如下内容:
“设置名”:***_bj
“业务类型”:拨入(服务器)
“用户类型”:LAN到LAN
“密码”:***test
“确认密码”:***test
“密码验证方式”:PAP
“远端内网IP地址”:192.168.16.1(×××隧道对端局域网所使用的IP地址)
“远端内网网络掩码”:255.255.255.0
“分配IP地址”:选中
“地址池开始地址”:10.10.10.10(不能和整个×××方案中全部IP地址段重复)
“地址池地址数”:50
再单击“保存”按钮。
 
2.        为移动用户建立PPTP隧道拨入账号
在×××配置—>PPTP和L2TP中,选择“添加”选项,而后在配置参数项中依次输入如下内容:
“设置名”:***_mobile
“业务类型”:拨入(服务器)
“用户类型”:移动用户
“密码”:***test
“确认密码”:***test
“密码验证方式”:PAP
“分配IP地址”:选中(同本节1中配置)
“地址池开始地址”:10.10.10.10(同本节1中配置)
“地址池地址数”:50(本节同1中配置)
再单击“保存”按钮。
 
2、 配置HiPER做为PPTP客户端(LAN到LAN)
配置同(配置HiPER做为PPTP客户端)。
××× 配置—>PPTP 和L2TP中,选择“添加”选项,而后在配置参数项中依次输入如下内容:
“设置名”:***_sh
“业务类型”:拨出(客户端)
“用户名”:***_bj
“协议类型”:PPTP
“密码”:***test
“确认密码”:***test
“密码验证方式”:PAP
“远端内网IP地址”:192.168.123.1(×××隧道对端局域网所使用的IP地址)
“远端内网子网掩码”:255.255.255.0
“隧道服务器地址(名)”:202.101.35.218
再单击“保存”按钮。
 
3、配置Windows 2000做为PPTP客户端(移动用户)
按照如下步骤配置Windows 2000计算机,使其成为PPTP客户端。
 
1.        配置PPTP拨号链接:
1) 进入Windows 2000的“开始”à“设置”à“网络和拨号链接”à“新建链接”。
2) 启动“网络链接向导”,单击“下一步”。
3) 在“网络链接类型”中,选择“经过Internet链接到专用网络”,单击“下一步”。
4) 选择“不拨初始链接”,单击“下一步”。
5) 在“目的地址”一栏,输入准备链接的PPTP服务器的IP地址“202.101.35.218”,单击“下一步”。
6) 选择“只是我本身使用此链接”,单击“下一步”。
7) 输入“您为这个链接使用的名称”为“pptp”。
8) 单击“完成”。
9) 双击“pptp”链接,在pptp链接窗口,单击“属性”。
10)              选择“安全措施”属性页面,选择“高级(自定义设置)”,单击“设置”。
11)              在“数据加密”中选择“可选加密(没有加密也能够链接)”。
12)              在“容许这些协议”选中“不加密的密码(PAP)”、“质询握手身份验证协议(CHAP)”、“Microsoft CHAP(MS-CHAP)”,单击“肯定”。
13)              选择“网络”属性页面,在“我正在呼叫的×××服务器的类型”选择“点对点隧道协议(PPTP)”。
14)              选择“网络”属性页面。
15)              确认“NWLink IPX/SPX/NetBIOS Compatible Transport Prococol”协议没有被选中。
16)              单击“肯定“,保存所作的修改。
 
2.        使用PPTP隧道链接到HiPER PPTP服务器:
1) 确认计算机已经链接到Internet(多是拨号链接或者是固定IP接入)。
2) 启动前面步骤中建立的“pptp”拨号链接。
3) 输入的PPTP隧道的用户名“***_mobile”和密码“***test”。
4) 单击“链接“。
5) 链接成功后,在MS-DOS方式下输入“ipconfig”,能够看到一个在PPTP服务器地址池中的地址,就是PPTP服务器分配给本机的IP地址。
 
4、 配置Windows XP做为PPTP客户端(移动用户)
按照如下步骤配置Windows XP计算机,使得它可以链接到HiPER PPTP服务器。
 
1.        配置PPTP拨号链接:
1)   进入Windows XP的“开始”à“设置”à“控制面板”,选择“切换到分类视图”。
2)   选择“网络和Internet链接”。
3)   选择“创建一个您的工做位置的网络链接”。
4)   选择“虚拟专用网络链接”,单击“下一步”。
5)   为链接输入一个名字为“pptp”,单击“下一步”。
6)   选择“不拨此初始链接”,单击“下一步”。
7)   输入准备链接的PPTP服务器的IP地址“202.101.35.218”,单击“下一步”。
8)   单击“完成”。
9)   双击“pptp”链接,在pptp链接窗口,单击“属性”。
10)选择“安全”属性页面,选择“高级(自定义设置)”,单击“设置”。
11)在“数据加密”中选择“可选加密(没有加密也能够链接)”。
12)在“容许这些协议”选中“不加密的密码(PAP)”、“质询握手身份验证协议(CHAP)”、“Microsoft CHAP(MS-CHAP)”,单击“肯定”。
13)选择“网络”属性页面,在“×××类型”选择“PPTP ×××”。
14)确认“Internet协议(TCP/IP)”被选中。
15)确认“NWLink IPX/SPX/NetBIOS Compatible Transport Prococol”、“微软网络文件和打印共享”、“微软网络客户”协议没有被选中。
16)单击“肯定”,保存所作的修改。
 
2.        使用PPTP隧道链接到HiPER PPTP服务器:
1) 确认计算机已经链接到Internet(多是拨号链接或者是固定IP接入)。
2) 启动前面步骤中建立的“pptp”拨号链接。
3) 输入的pptp 用户名“***_mobile”和密码“***test”。
4) 单击“链接”。
5) 链接成功后,在MS-DOS方式下输入“ipconfig”,能够看到一个在PPTP服务器地址池中的地址,就是PPTP服务器分配给本机的IP地址。
 
  在×××配置—>PPTP和L2TP的“PPTP/L2TP信息列表”,检查HiPER(PPTP服务器)链接后的相关状态信息,如表一、表2所示。
 
1   HiPER做为PPTP服务器— PPTP/L2TP信息列表
 
2   HiPER做为PPTP服务器— PPTP/L2TP信息列表(续表5-10)
 
  当PPTP客户端成功链接到PPTP服务器以后,“会话状态”由“关闭”变成“已链接”,“协议类型”显示为“PPTP”。同时“虚接口地址”显示为分配给PPTP客户端的IP地址。此时“使用时间”开始计时,若是隧道有数据流量,那么“出流量”和“入流量”则开始计数。若是隧道没有数据流量,那么“空闲时间”开始计时。
 
(二)、   配置HiPER做为PPTP客户端
2    方案——HiPER做为PPTP客户端
 
  在本方案中,某公司总部在上海。在北京有一个分公司但愿能够实现两地局域网内部资源的相互访问。
本方案使用PPTP协议创建×××隧道,在上海公司总部使用任意品牌的标准×××路由器(推荐使用HiPER ×××网关)PPTP服务器,在北京分公司使用HiPER ×××网关做为PPTP客户端。地址以下:
上海(PPTP服务器):
     局域网网段IP地址:192.168.123.0/24;
     路由器的LAN口IP地址:192.168.123.1/24;
     路由器的WAN口IP地址:202.101.35.218/24;
北京(PPTP客户端):
     局域网网段IP地址:192.168.16.0/24;
     HiPER的LAN口IP地址:192.168.16.1/24;
 
1、 配置HiPER做为PPTP客户端(LAN到LAN)
在×××配置—>PPTP和L2TP中,选择“添加”选项,而后在配置参数项中依次输入如下内容:
“设置名”:***_sh
“业务类型”:拨出(客户端)
“用户名”:***_bj
“协议类型”:PPTP
“密码”:***test
“确认密码”:***test
“密码验证方式”:PAP
“远端内网IP地址”:192.168.123.1(×××隧道对端局域网所使用的IP地址)
“远端内网子网掩码”:255.255.255.0
“隧道服务器地址(名)”:202.101.35.218
再单击“保存”按钮。
 
2、 配置HiPER做为PPTP服务器(LAN到LAN)
配置同章节5.3.1.1“配置HiPER做为PPTP服务器”。
 
3、 配置Windows 2000 Server做为PPTP服务器(LAN到LAN)
按照如下步骤配置Windows 2000 Server计算机,使其成为PPTP服务器。
 
1.        设置“路由和远程访问”服务:
1) 进入Windows 2000 Server的“开始”à“程序”à“管理工具”à“路由和远程访问”配置界面,如图3所示。
3  路由和远程访问界面一
 
2) 择“服务器状态”,单击鼠标右键,选择“添加服务器”;
3) 选择“这台计算机”,单击肯定,进入如图4 所示界面;
4   路由和远程访问界面二
 
4) 选择上一步添加的计算机,单击鼠标右键,选择“配置和启用路由和远程访问”。
5) 单击“下一步”。
6) 选择“手动配置服务器”,单击“下一步”。
7) 单击“完成”。
8) 单击“是”,以开启“路由和远程访问”服务,如图5 。
5   路由和远程访问界面三
 
9) 选择“SERVER”,单击鼠标右键,选择“属性”。
6  路由和远程访问界面四
 
10)              进入“常规”属性页面(如图6 所示),在“启用此计算机做为”选中“路由器”、“用于局域网和请求拨号路由选择”、“远程访问服务器”。
11)              进入“安全”属性页面,在“验证提供程序”,选择“Windows身份验证”,单击“身份验证方法”,进入如图7所示界面。
12)              选中“Microsoft加密身份验证(MS-CHAP)”、“加密身份验证(CHAP)”、“不加密的密码(PAP)”,单击“肯定”。
7 身份验证方法界面
 
13)              进入“IP”属性页面,选中“启用IP路由”,选中“容许基于IP的远程访问和请求拨号链接”。选择“静态地址池”,单击“添加”,进入如图8 所示界面。
14)              输入起始IP地址“192.168.123.201”,地址数“50”(输入Windows 2000 Server局域网端口所在网段一段空闲的IP地址),单击肯定。
8 新建地址范围界面
 
15)              在“适配器”,选中“容许RAS选择适配器”(若是计算机只安装了一块网卡,看不到此选项),单击“肯定”。
16)              选择“远程访问策略”,单击鼠标右键,选择“新建远程访问策略”。
17)              填入远程访问策略的名称“***”,单击“下一步”。
18)              单击“添加”。
19)              选中“NAS-Port-Type”,单击“添加”,如图9 所示。
20)              将“可用类型”“Virtual(×××)”添加到“选择的类型”中,单击“肯定”。
9   NAS-Port-Type界面
 
21)              单击“下一步”。
22)              选中“授予远程访问权限”,单击“下一步”。
23)              单击“编辑配置文件”,进入如图10 所示界面。
24)              在“身份验证”属性页面,选中“Microsoft加密身份验证(MS-CHAP)”、“加密身份验证(CHAP)”、“未加密的密码(PAP,SPAP)”,单击肯定。
10  编辑拨入配置文件界面
 
25)              单击“肯定”。
26)              选中“端口”,单击鼠标右键,选择“属性”。
27)              选中“WAN微型端口(PPTP)”,单击“配置”,进入如图11 所示界面。
28)              根据实际PPTP客户端的数量,调整“最多端口数”,单击肯定。
11 配置设备界面
 
29)              路由和远程访问服务配置完成。
 
3.        配置拨入的×××用户账号:
1) 进入Windows 2000 Server的开始à程序à管理工具à计算机管理(注意:若是配置了Windows 2000 Server成为域控制器,能够在Active Directory的用户管理中添加用户账号)。
2) 选中“本地用户和组”à“用户”,单击鼠标右键,选择“新用户”,进入如图12 所示界面。
3) 首先依次填入如下参数,而后单击“建立”按钮。
“用户名”:***_bj
“密码”:***test
“确认密码”:***test
“用户下次登陆时须更改密码”:取消选中
“用户不能更改密码”:选中
“密码永不过时”:选中
12  新用户界面
 
4) 选中上一步新建的“***_bj”用户,单击鼠标右键,选择属性。
5) 在“拨入”属性页面,在“远程访问权限”选择“经过远程访问策略控制访问”。
6) 在“回拨选项”选择“不回拨”。
7) 选中“分配静态IP地址”,从地址池中选择一个IP地址192.168.123.240(在“路由和远程访问”中第14步配置)做为分配给此账号的IP地址。
8) 选中“应用静态路由”。
9) 单击“添加路由”,进入如图13 所示界面。
10)              填入北京路由器局域网的网段,目标:192.168.16.0,网络掩码:255.255.255.0,跃点数“1”,单击肯定。
13  添加静态路由界面
 
11)              单击两次“肯定”。
12)              ×××用户账号配置完成。
4.        查看PPTP隧道链接状态:
进入Windows 2000 Server的“开始”à“程序”à“管理工具”à“路由和远程访问”,选中“远程访问客户端”,能够在窗口右侧看到拨入的用户信息。
双击“拨入的用户”,能够查看一些实时的PPTP隧道链接信息,如图14 所示。
14 ×××状态信息界面
 
4、 配置Cisco路由器做为PPTP服务器(LAN到LAN)
        按照如下步骤配置Cisco路由器,使其成为PPTP服务器。Cisco在作×××接入的时候,必须配置Radius Server为Cisco验证用户身份、添加用户路由。
15 方案——Cisco路由器做为PPTP服务器
 
1.        配置Cisco成为PPTP服务器
//配置PPTP服务器的全局参数
vpdn enable
vpdn-group 1
     accept-dialin
    protocol PPTP
    virtual-template 1
     local name runway
 lcp renegotiation always
//配置PPTP服务器的Virtual-Template(IP地址unnumbered路由器WAN口)
interface Virtual-Template1
     ip unnumbered Ethernet0/0
     peer default ip address pool default
     ppp authentication pap
//配置PPTP地址池
ip local pool default 10.0.0.1 10.0.0.254
 
2.        配置Cisco成为Radius Client
//配置一个Cisco访问账号
username admin password admin321
//配置Cisco的AAA
aaa new-model
aaa authentication login default local
aaa authentication ppp default group radius local
aaa authorization network default group radius local
aaa accounting exec default start-stop group radius
aaa accounting network default start-stop group radius
//配置Radius服务器的IP地址和口令
radius-server host 192.168.123.10 auth-port 1812 acct-port 1813
radius-server retransmit 3
radius-server key testing123
 
3.        在Windows 2000 Server上安装“Internet验证服务”:
1)   进入Windows 2000 Server的“开始”à“设置”à“控制面板”à“添加/删除程序”。
2)   选择“添加/删除Windows组件”。
3)   选择“组件”à“网络服务”à“Internet验证服务”,单击“肯定”。
4)   若是须要的话插入Microsoft Windows 2000 Server安装软盘或者CD。
 
4.        配置Windows 2000 Server的Internet验证服务”服务:
1)   进入Windows 2000 Server的“开始”à“程序”à“管理工具”à “Internet验证服务”配置界面,如图16 所示。
16  Internet验证服务界面
 
2)   选中“客户端”,单击鼠标右键,选择“新建客户端”。
3)   “为客户端输入一个好记的名称”填入“cisco”,“协议”选择“RADIUS”,单击“下一步”,进入如图17 所示界面。
4)   填入“客户端地址(IP或DNS)”:192.168.123.1;“客户端-供应商”:RADIUS Standard;“共享的机密”:testing123;“确认共享的机密”:testing123。确认“客户端必须老是在请求中发送签名属性”没有被选中,而后单击“完成”。
17  cisco属性界面
 
5)   选择“远程访问策略”,单击鼠标右键,选择“新建远程访问策略”。
6)   填入远程访问策略的名称“cisco”,单击“下一步”。
7)   单击“添加”,进入如图18 所示界面。
18 选择属性界面
 
8)   选中“Day-And-Time-Restrictions”,单击“添加”,进入如图19 所示界面。
19  选择属性界面
 
9)   选择“容许”,单击“肯定”。
10)选中“授予远程访问权限”,单击“下一步”。
11)单击“编辑配置文件”。
12)在“身份验证”属性页面(如图20 所示),选中“Microsoft加密身份验证(MS-CHAP)”、“加密身份验证(CHAP)”、“未加密的密码(PAP,SPAP)”,单击“肯定”。
20 编辑拨入配置文件界面
 
13)单击“肯定”。
 
5.        配置拨入的×××用户账号:
1)   进入Windows 2000 Server的“开始”à“程序”à“管理工具”à“计算机管理”(注意:若是配置了Windows 2000 Server成为域控制器,能够在Active Directory的用户管理中添加用户账号)。
2)   选中“本地用户和组”à“用户”,单击鼠标右键,选择“新用户”,进入如图21 所示界面。
3)   首先依次填入如下参数,而后单击“建立”按钮。
“用户名”:***_bj
“密码”:***test
“确认密码”:***test
“用户下次登陆时须更改密码”:取消选中
“用户不能更改密码”:选中
“密码永不过时”:选中
21 新用户界面
 
4)   选中上一步新建的“***_bj”用户,单击鼠标右键,选择“属性”。
5)   在“拨入”属性页面,在“远程访问权限”选择“经过远程访问策略控制访问”。
6)   在“回拨选项”选择“不回拨”。
7)   选中“分配静态IP地址”,从Cisco ×××地址池中选择一个IP地址10.0.0.123(在“路由和远程访问”中第14步配置)做为分配给此账号的IP地址。
8)   选中“应用静态路由”。
9)   单击“添加路由”,进入如图22 所示界面。
10)填入北京路由器局域网的网段,目标:192.168.16.0,网络掩码:255.255.255.0,跃点数“1”,单击“肯定”。
22  添加静态路由界面
 
11)单击两次“肯定”。
12)×××用户账号配置完成。
 
5、 配置Fortigate防火墙做为PPTP服务器(LAN到LAN)
按照如下步骤配置Fortigate防火墙(注:本手册使用的是Fortigate 300A产品),使其成为PPTP客户端。
1.        配置用户:
1)   进入Fortigate防火墙的的“设置用户”à“本地”页面,单击“新建”,进入如图23 所示界面。
2)   输入L2TP ×××的“用户名称”为“***_bj”;“输入密码”为“***test”,单击“OK”。
23  新建用户界面
 
2.        配置用户组:
1)   进入Fortigate防火墙的“设置用户”à“用户组”,单击“新建”,进入如图24 所示界面。
2)   填入“组名”为“pptp”,将“***_bj”用户添加到组员中去。单击“OK”。
24  新建用户组界面
 
3.        启用PPTP:
1)   进入Fortigate防火墙的à“虚拟专网”à“PPTP”,进入如图25 所示界面。
2)   选中“启用PPTP”,设置“起始IP”为10.10.10.1,“终止IP”为10.10.10.10(任意其余网段一段空闲的IP地址),“用户组”选择上一步新建的“pptp”用户组,单击“应用”按钮。
25  启用PPTP界面
 
4.        设置防火墙策略:
1)   进入Fortigate防火墙的“防火墙”à“地址”页面。
2)   单击“新建”,进入如图26 所示界面。
3)   设置地址名称为“lan123”,类型为“子网/IP范围”,“子网/IP范围”为Fortigate防火墙的局域网网段“192.168.123.0/255.255.255.0”,接口选择用于链接局域网的端口,本例选择“port1口”,单击“OK”按钮。
 
 
26  新设地址界面一
 
4)   单击“新建”,进入如图27 所示界面。
5)   设置地址名称为“***20”,类型为“子网/IP范围” “子网/IP范围”为第3步设置的Fortigate防火墙的PPTP地址池所在的网段“10.10.10.0/255.255.255.0”,接口选择为用于链接外网的端口(即WAN1),本例中选择“port 6”,单击“OK”。
27 新设地址界面二
 
6)   进入Fortigate防火墙的“防火墙”à“策略”页面。
7)   单击“新建”,进入如图28 所示界面。
8)   “源接口/区”选择“port6”,“源地址”选择上面设定的“***20”地址段,“目的接口/区”选择“port1”,“目的地址”选择上面设定的“lan123”地址段,完成其余防火墙设置策略后单击“OK”。
28  新建输出策略界面
 
*  提示:Fortigate防火墙只支持移动用户的接入,若是想实现一个局域网经过路由器链接到Fortigate防火墙,就必须在PPTP/L2TP隧道链接上启用NAT,能够参考章节5.4.1里面的设置,可是这样只能是实现PPTP/L2TP客户端局域网到Fortigate防火墙端局域网的单向访问。
 
  在×××配置—>PPTP和L2TP的“PPTP/L2TP信息列表”中,检查HiPER ×××网关(做为PPTP客户端)链接先后的相关状态信息,如表三、表4 所示。
3 HiPER做为L2TP客户端— PPTP/L2TP信息列表
 
4  HiPER做为L2TP客户端— PPTP/L2TP信息列表(续表5-12)
 
  当PPTP客户端成功链接到PPTP服务器以后,“会话状态”由“关闭”变成“已链接”,同时得到PPTP服务器分配的“虚接口地址”为“10.10.10.10”。此时“使用时间”开始计时,若是隧道有数据流量,那么“出流量”和“入流量”开始计数。若是隧道没有数据流量,那么“空闲时间”开始计时。
本站公众号
   欢迎关注本站公众号,获取更多信息