Dell SonicWALL 网络安全设备可以终止来自流入 Microsoft Windows 或 Google Droid 客户端的 L2TP-over-IPsec 连接。在无法运行全局 VPN 客户端的情况下,可以利用 Dell SonicWALL L2TP 服务器来安全访问防火墙之后的资源。
可以利用 2 层隧道协议 (L2TP) 来创建互联网等公共网络上的 VPN。L2TP 提供了不同 VPN 供应商之间的互操作性,PPTP 和 L2F 则无此能力,不过 L2TP 结合了这两个协议的长处,是它们的扩展。
L2TP 支持 PPP 支持的多种验证选项,包括密码验证协议 (PAP)、质询握手身份验证协议 (CHAP) 和 Microsoft 质询握手身份验证协议 (MS-CHAP)。可以利用 L2TP 验证 VPN 隧道的端点以提供额外的安全性,还可以利用 IPsec 予以实现以提供安全的加密 VPN 解决方案。
本章包括以下章节:
• 配置 Microsoft Windows L2TP VPN 客户端访问
• 配置 Google Droid L2TP VPN 客户端访问
Note 有关配置 L2TP 服务器的更详细信息,请参阅技术说明在 SonicOS 中配置 L2TP 服务器,它位于 Dell SonicWALL 文档网站:http://www.sonicwall.com/us/Support.html。
VPN > L2TP 服务器页面提供用于将 Dell SonicWALL 网络安全设备配置为 L2TP 服务器的设置。
要配置 L2TP 服务器,请执行以下步骤:
1. 要启用防火墙上的 L2TP 服务器功能,请选择启用 L2TP 服务器。然后,单击配置以显示 L2TP 服务器配置窗口。
在保持活动时间(秒数)字段中输入秒数,以发送特定数据包,保持连接打开。默认值为 60 秒。
3. 在 DNS 服务器 1 字段中输入首个 DNS 服务器的 IP 地址。若有第二个 DNS 服务器,请在 DNS 服务器 2 字段中输入其 IP 地址。
4. 在 WINS 服务器 1 字段中输入首个 WINS 服务器的 IP 地址。若有第二个 WINS 服务器,请在 WINS 服务器 2 字段中输入其 IP 地址。
5. 如果 RADIUS/LDAP 服务器向 L2TP 客户端提供 IP 寻址信息,请选择 RADIUS/LDAP 服务器提供的 IP 地址。
6. 如果 L2TP 服务器提供 IP 地址,则选择使用本地 L2TP IP 池。在起始 IP 和终止 IP 字段中输入专用 IP 地址的范围。专用 IP 地址应当是 LAN 上的 IP 地址范围。
7. 如果已配置使用 L2TP 的特定用户群组,请从 L2TP 用户的用户群组菜单中选择或使用任何人。
8. 单击确定。
• 用户名 - 本地用户数据库或 RADIUS 用户数据库中指定的用户名。
• PPP IP - 连接的源 IP 地址。
• 区域 - L2TP 客户端使用的区域。
• 接口 - 用于访问 L2TP 服务器的接口,可以是 VPN 客户端或其他防火墙。
• 身份验证 - L2TP 客户端使用的身份验证类型。
• 主机名 - 连接到 L2TP 服务器的 L2TP 客户端的名称。
配置 Microsoft Windows L2TP VPN 客户端访问
本节提供一个配置示例,说明如何利用内置的 L2TP 服务器和 Microsoft 的 L2TP VPN 客户端,实现 L2TP 客户端对 WAN GroupVPN SA 的访问。
要使 Microsoft L2TP VPN 客户端能够访问 WAN GroupVPN SA,请执行以下步骤:
1. 转至 VPN > 设置页面。对于 WAN GroupVPN 策略,单击配置图标按钮。
2. 在“常规”选项卡中,从验证方法下拉菜单中选择使用共享密钥的 IKE。输入一个共享密钥以完成客户端策略配置。单击确定按钮。
3. 转至 VPN > L2TP 服务器页面。在“L2TP 服务器设置”部分,单击启用 L2TP 服务器复选框。单击配置按钮。随即显示“L2TP 服务器设置”配置页面。
4. 提供以下 L2TP 服务器设置:
– 保持活动时间(秒):60
– DNS 服务器 1:199.2.252.10(或者使用 ISP 的 DNS)
– DNS 服务器 2:4.2.2.2(或者使用 ISP 的 DNS)
– DNS 服务器 3:0.0.0.0(或者使用 ISP 的 DNS)
– WINS 服务器 1:0.0.0.0(或者使用 WINS IP)
– WINS 服务器 2:0.0.0.0(或者使用 WINS IP)
5. 提供 IP 地址设置:
– RADIUS/LDAP 服务器提供的 IP 地址:禁用
– 使用本地 L2TP IP 池:启用
– 起始 IP:10.20.0.1(示例)
– 终止 IP:10.20.0.20(示例)
Note 使用任何唯一的专用范围。
6. 在“L2TP 用户”部分,从“L2TP 用户的用户群组”下拉菜单中选择“受信任的用户”。
7. 转至用户 > 本地用户页面。单击添加用户按钮。
8. 在“设置”选项卡中,指定用户名和密码。
9. 在“VPN 访问”选项卡中,将所需的网络地址对象添加到 L2TP 客户端的访问列表网络。
Note 或者,您也可以将这些网络添加到“任何人”或“受信任的用户”群组。
10. 转至网络 > NAT 策略页面。单击添加... 按钮以添加新的 NAT 策略。
11. 添加一个具有下列设置的 NAT 策略:
– 发包来源:L2TP IP 池
– 已转换的源:WAN 主要 IP
– 发包目标:任何
– 已转换的目标:初始
– 发包服务:任何
– 已转换的服务:初始
– 入站接口:任何
– 出站接口:WAN 或 X1
– 备注:L2TP 出站 NAT
– 单击启用 NAT 策略复选框。
– 创建反向策略复选框保持禁用。
12. 转至防火墙 > 访问规则页面。单击添加...按钮以添加新访问规则。
13. 添加一个具有下列设置的网络访问规则:
– 操作:允许
– 服务:任何
– 源:WAN 远程访问网络
– 目标:任何
– 允许的用户:全部
– 日程:始终打开
– 备注:L2TP 互联网访问
Note 您已完成 SonicOS 配置。
14. 在您的 Microsoft Windows 计算机上,完成以下 L2TP VPN 客户端配置以实现安全访问:
– 转至 Windows > 开始 > 控制面板 > 网络连接。
– 打开“新建连接向导”。单击下一步。
– 选择“连接到我的工作场所的网络”。单击下一步。
– 选择“虚拟专用网络连接”。单击下一步。
– 为您的 VPN 连接输入一个名称。单击下一步。
– 输入防火墙的公共 (WAN) IP 地址。或者,您也可以使用一个指向该防火墙的域名。单击下一步,然后单击完成。随即出现连接窗口。单击属性。
– 单击“安全”选项卡。单击“IPSec 设置”。启用“使用预共享密钥进行身份验证”。输入您的预共享密钥。单击确定。
– 单击“联网”选项卡。将“VPN 类型”从“自动”更改为“L2TP IPSec VPN”。单击确定。
– 10) 输入您的 XAUTH 用户名和密码。单击连接。
15. 转至 VPN > 设置页面,验证您的 Microsoft Windows L2TP VPN 设备已连接。VPN 客户端显示在“当前活动的 VPN 隧道”部分。
配置 Google Droid L2TP VPN 客户端访问
本节提供一个配置示例,说明如何利用内置的 L2TP 服务器和 Google Droid 的 L2TP VPN 客户端,实现 L2TP 客户端对 WAN GroupVPN SA 的访问。
要使 Google Droid L2TP VPN 客户端能够访问 WAN GroupVPN SA,请执行以下步骤:
1. 转至 VPN > 设置页面。对于 WAN GroupVPN 策略,单击配置图标按钮。
2. 在“常规”选项卡中,从验证方法下拉菜单中选择使用共享密钥的 IKE。输入一个共享密钥以完成客户端策略配置。单击确定按钮。
3. 在“建议”选项卡中,为“IKE(阶段 1)建议”和“IPsec(阶段 2)建议”提供以下设置:
– DH 组:组 2
– 加密:3DES
– 身份验证:SHA1
– 生存时间(秒数):28800
– 协议:ESP
– 加密:DES
– 身份验证:SHA1
– 启用完全转发保密:启用
– 生存时间(秒数):28800
4. 在“高级”选项卡中,提供以下设置:
– 启用 NetBIOS 广播:启用
– 启用组播:禁用
– 通过该 SA 管理:全部禁用
– 默认网关:0.0.0.0
– 需要 XAUTH 验证 VPN 客户端:启用
– XAUTH 用户的用户群组:受信任的用户
5. 在“客户端”选项卡中,提供以下设置:
– 在客户端缓存 XAUTH 用户名和密码:单一会话或始终
– 虚拟适配器设置:DHCP 租赁
– 允许连接到:分离隧道
– 设置默认路由作为该网关:禁用
– 对于简单客户供应使用默认密钥:启用
6. 转至 VPN > L2TP 服务器页面。在“L2TP 服务器设置”部分,单击启用 L2TP 服务器复选框。单击配置按钮。随即显示“L2TP 服务器设置”配置页面。
7. 提供以下 L2TP 服务器设置:
– 使活时间 (秒) :60
– DNS 服务器 1:199.2.252.10(或者使用 ISP 的 DNS)
– DNS 服务器 2:4.2.2.2(或者使用 ISP 的 DNS)
– DNS 服务器 3:0.0.0.0(或者使用 ISP 的 DNS)
– WINS 服务器 1:0.0.0.0(或者使用 WINS IP)
– WINS 服务器 2:0.0.0.0(或者使用 WINS IP)
8. 提供 IP 地址设置:
– RADIUS/LDAP 服务器提供的 IP 地址:禁用
– 使用本地 L2TP IP 池:启用
– 起始 IP:10.20.0.1(示例)
– 终止 IP:10.20.0.20(示例)
Note 使用任何唯一的专用范围。
9. 在“L2TP 用户”部分,从“L2TP 用户的用户群组”下拉菜单中选择受信任的用户。
10. 转至用户 > 本地用户页面。单击添加用户按钮。
11. 在“设置”选项卡中,指定用户名和密码。
12. 在“VPN 访问”选项卡中,将所需的网络地址对象添加到 L2TP 客户端的访问列表网络。
Note 至少应将“LAN 子网”、“LAN 主要子网”和“L2TP IP 池”地址对象添加到访问列表。
Note 您已完成 SonicOS 配置。
13. 在您的 Google Droid 设备上,完成以下 L2TP VPN 客户端配置以实现安全访问:
– 转至“应用”页面,选择设置图标。从“设置”菜单选择无线和网络。
– 选择“VPN 设置”,单击添加 VPN。
– 选择添加 L2TP/IPSec PSK VPN。
– VPN 名称:输入 VPN 友好名称
– 设置 VPN 服务器:输入防火墙的公共 IP 地址
– 设置 IPSec 预共享密钥:输入您的 WAN GroupVPN 策略的密码
– L2TP 密钥:不填
– LAN 域:可选设置
– 输入您的 XAUTH 用户名和密码。单击连接。
14. 转至 VPN > 设置页面,验证您的 Google Droid 设备已连接。VPN 客户端显示在“当前活动的 VPN 隧道”部分。