技巧分享:如何用路由器OS創建VPN服務器
在本文中作者向大家詳細的介紹了如何去創建VPN服務器,那么配置過程中要進行怎樣的操作呢?本文對于配置過程給出了詳細的說明。
現在,所有的基礎安裝都已經完成,我們可以好好利用這些功能。今天,我們主要將注意力放在VPN功能上。更確切地說,我們要創建一個L2TP/IPsec VPN服務器。這樣一來,用戶便可以通過建立的通道遠程訪問存取文件或者用戶也可以用它來安全連接公共網絡。而且,我們要配置站點到站點的通道,那么用戶的所有網絡都可以被連接起來。
配置VPN(L2TP)服務器
首先,用戶要確保自己安裝了PPP數據包。這樣,就可以在控制臺或WinBox界面中找到其菜單。用戶可以根據下列步驟,通過WinBox工具讓服務器工作起來:
1. 點擊PPP,選擇Secrets選項卡。
2. 點擊Plus按鈕。
3. 輸入名稱和密碼。
4. 輸入一個本地地址(如1.1.1.1)和一個遠程地址(1.1.1.2)。
5. 點“確認”。
現在,可以啟用服務器。步驟如下:
1. 在PPP主窗口上,選擇Interface選項卡。
2. 點擊L2TP服務器按鈕。
3. 選定啟用的復選框,點“確認”。
現在,用戶需要添加一個IPsec端點。步驟如下:
1. 點擊IP>IPsec,選擇Peer選項卡。
2. 點擊Plus按鈕。
3. 確保Auth Method是預共享密鑰。
4. 至于Secret,要輸入一個密碼作為預共享密鑰。配置Windows的時候,可稍后再輸入該密碼。
5. 驗證Hash Algorithm是否為sha,Encryption Algorithm是3des,二者是Windows默認的。
6. 選定Generate Policy復選框。
在Windows中創建一個網絡連接
現在,Windows用戶可連接到VPN服務器,用戶必須為電腦配置網絡連接。下面是在XP系統中的操作步驟:
1. 打開網絡連接窗口。
2. 雙擊建立新連接的圖標,以啟動創建向導,然后點擊“下一步”。
3. 選擇將網絡連接到My Workspace,然后點擊“下一步”。
4. 選擇虛擬專有網絡連接,點擊“下一步”。
5. 輸入公司名稱,該名稱也是新連接的名稱,點擊“下一步”。
6. 輸入RouterOS服務器的IP地址,點“完成”。
7. 在彈出的連接窗口中,點擊屬性,選擇安全選項卡。
8. 點擊IPsec設置按鈕,選擇Use Pre-Shared Key For Authentication復選框,輸入與創建預共享密鑰時相同的密碼,然后點擊“確認”。
9. 在屬性窗口中,選擇聯網選項卡,然后選擇L2TP IPsec VPN選項。
10. 點“確認”,保存屬性更改。
在Windows中配置IPsec設置
用戶必須在連接前就在操作系統中配置IPsec設置,以XP系統為例:
1. 點“開始”菜單>運行,輸入mmc,確認。
2. 點擊“文件”添加IP安全策略管理嵌套式管理單元> 添加/刪除嵌套式管理單元。
3. 在新添加的嵌套式管理單元窗口中,選擇Action>創建IP安全策略。
4. 在向導中,點“下一步”。
5. 點“下一步”接受默認名稱。
6. 不選定激活默認響應規則,點“下一步”。
7. 選定“編輯”屬性,點“完成”。#p#
開啟彈出的屬性窗口,步驟如下:
1. 點“添加”。
2. 在向導上,選擇“下一步”。
3. 選定This Rule Does Not Specify A Tunnel選項,選擇“下一步”。
4. 選擇局域網,然后點“下一步”。
5. 選擇Use This String To Protect The Key Exchange,輸入和此前在RouterOS上創建的相同預共享密鑰,點下一步。
6. 選擇“添加”,創建一個新的IP過濾列表。
7. 選擇“添加”,按向導提示操作,選擇My IP Address作為起點,再選擇RouterOS的IP地址作為終點。
8. 在新IP過濾列表的窗口中,點“確認”。
9. 選擇剛剛創建的新IP過濾列表,點“下一步”。
10. 選擇Require Security,點“下一步”。
11. 不選定“屬性”選項,點“完成”。
現在,用戶要開啟控制臺上的服務嵌套式管理單元,這樣便可以重啟IPsec服務。隨后,可回到IP安全策略嵌套式管理單元,右鍵單擊新策略,選擇指派。如此,用戶應該可以連接VPN了。
創建站點到站點的通道
現在,用戶可以在兩臺RouterOS電腦間創建一個IPsec VPN通道。這一方法非常適用于那些擁有多間辦公室或多個網絡接入點的用戶以及那些希望在網絡間實現共享的用戶。首先,用戶要用命令行中以SRC-NAT配置接受和偽裝規則。
對于路由一:
ip firewall nat add chain=srcnat src-address=10.1.0.0/24 dst-address=10.2.0.0/24
ip firewall nat add chain=srcnat out-interface=public action=masquerade
路由二是:
ip firewall nat chain=srcnat add src-address=10.2.0.0/24 dst-address=10.1.0.0/24
ip firewall nat chain=srcnat add out-interface=public action=masquerade
現在,必須分別為其配置IPsec設置。
路由一:
ip ipsec policy add src-address=10.1.0.0/24 dst-address=10.2.0.0/24action=encrypt tunnel=yes sa-src-address=1.0.0.1 sa-dst-address=1.0.0.2
ip ipsec peer add address=1.0.0.2 exchange-mode=aggressive secret="gvejimezyfopmekun"
路由二:
ip ipsec policy add src-address=10.2.0.0/24 dst-address=10.1.0.0/24 action=encrypt tunnel=yes sa-src-address=1.0.0.2 sa-dst-address=1.0.0.1
ip ipsec peer add address=1.0.0.1 bexchange-mode=aggressive secret="gvejimezyfopmekun"
【編輯推薦】
