【简介】虽然有SSL,但是因为要安装 FortiClient 客户端软件,很多人还是喜欢用PPTP或L2TP,理由很简单,那就是只要是Windows就可以连,不用安装其它软件。
PPTP 与 L2TP 协议的联系与区别
PPTP:Point to Point Protocol Tunnel Protocol
L2TP: Layer 2 Tunnel Protocol
如果非要说他们有什么联系,那就是他们都能把PPP协议作为自己的Payload,封装PPP协议,这是他们之间唯一的联系。我们用比较容易理解的方法来描述PPP、PPTP、L2TP之间的关系。
PPP协议,点对点协议,相当于你乘飞机的廊桥,把飞机和登机大厅物理连接起来,然后把旅客(IP Packet)送到飞机(Internet)上。
而如果没有廊桥,需要摆渡车,PPTP与L2TP就相当于这个摆渡车。
PPTP是两辆车,一辆负责开道(控制通道,TCP Port 1723,用于建立安全通道),一辆运送旅客(IP/GRE)安全通道,运送旅客的车配备了一些安全人员,只负责保卫VIP旅客(IP Packet,end user traffic)的安全,其它旅客(IP Packet,control traffic)就没有人保卫,最终也到达目的地,登机(Internet)。
L2TP是一辆敞篷车,没有安全,为了全车旅客的安全,配备了安全人员(IP security),保护所有乘客(IP Packet),安全到达目的地,然后再登机(Internet)。
你可以看出,它们是殊途同归,最终的目的都是为了把旅客(IP Packet)送上飞机(Internet),只是途径不一样,安全级别也不一样。
从设计的角度来看主要差别在于:
1、PPTP协议是点对点隧道协议,其将控制包与数据包分开,控制包采用TCP控制,用于严格的状态查询及信令信息;数据包部分先封装在PPP协议中,然后封装到GRE V2协议中。
2、L2TP是国际标准隧道协议,它结合了PPTP协议以及第二层转发L2F协议的优点,能以隧道方式使PPP包通过各种网络协议,包括ATM、SONET和帧中继。但是L2TP没有任何加密措施,更多是和IPSec协议结合使用,提供隧道验证。
3、L2TP是IETF标准协议,意味着各种设备厂商的设备之间用L2TP一般不会有问题;而PPTP是微软出的,有些非微软的设备不一定支持。
4、L2TP使用AES或者3DES加密(256位密钥),用IPSec协商加密方式,并且有电脑/用户双重认证机制,而PPTP只支持MPPE(最多128位密钥),只用PPP协商加密方式,并只有用户一层认证机制,相对来说L2TP更安全。
5、L2TP使用的IPSec,绝大多数防火墙都支持,而PPTP使用GRE,有些防火墙可能有问题。
6、L2TP由于封装了更多安全隧道的信息,所以开销更高,而PPTP开销低,所以相对而言PPTP速度更快。
用户
在建立PPTP之前,我们必须先建立用来登录验证的用户。
① 选择菜单【用户&设备】-【用户】-【设置用户】,点击 “Create New”。
② 默认为 “本地用户”, 点击 “下一个”。
③ 输入自定义的用户名和密码,在PPTP登录的时候要用上。
④ 邮件地址可以不输入,直接点击 “下一个”。
⑤ 默认用户为“启用”,点击 “完成”。
⑥ 用户建立完成,可以根据实际情况建立多个用户。
用户组
建立完用户后需要再建立用户组,用户组包含新建的用户。
① 选择菜单【用户&设备】-【用户】-【用户组】,点击 “Create New”。
② 输入自定义的用户组名,点击 “成员” 右边的下拉箭头,选择新建立的用户名。
③ 如果有多个用户,可以再点击右边的绿色加号,继续添加成员。
④ 用户组建立完成。
地址对象
用户和用户组设置完成后,我们还需要把访问的IP地址设置为地址对象。
① 选择菜单【策略&对象】-【对象】-【地址】,点击 “Create New”。
② 首先建立PPTP与L2TP拨号成功后生成的IP地址对象,因为用户数有可能会比较多,这里选用IP范围。
③ 建立连接成功后允许访问的地址对象,这里设置的是一台服务器的IP地址,也可以根据实际情况作修改。
【提示】 PPTP或L2TP拨号产生的IP地址段,不要与本地地址相同,也尽量不要与需要访问的防火墙的内网地址相同,以免引起冲突。
设置
L2TP与 PPTP配置方法相同,需要用命令行进行配置。
① PPTP 设置完整命令,包括状态、用户组、开始IP地址、结束IP地址等。
② L2TP 设置比PPTP少几个,其它主要命令一样。
③ 在状态窗口下有CLI控制台,可以输入命令行。
④ PPTP与L2TP配置方法相同,这里都将状态设为可用, SIP为开始IP地址,EIP为结束IP地址,usrgrp为验证用户组。
访问策略
拨号连到防火墙后,需要通过策略设置允许访问那些IP。
① 选择菜单【策略&对象】-【策略】-【IPv4】,点击 “Create New”。
② 策略设置允许从Wan1拨号进来,拨号生产的IP地址允许访问Port15端口的指定服务器地址。
客户端连接
因为PPTP是微软推出的,所有Windows系统都默认带有PPTP客户端,这也是很多人为什么喜欢用PPTP的一个原因。
① 这里以Windows 10为例,鼠标右击右下角网络图标,弹出菜单里选择 “打开网络和共享中心”。
② 点击 “设置新的连接或网络”。
③ 选择 “连接到工作区”。
④ 由于这里是拨远端防火墙,选择 “使用我的Internet连接”。
⑤ 输入防火墙Wan1口的外网IP地址,标明目标名称,连接就建好了。
⑥ 点击左下角视窗图标,点击设置图标。
⑦ 选择 “网络和Internet”。
⑧ 点击,可以看到前面建立的连接,点击 “连接”。
⑨ 输入用户名和密码,也就是在防火墙建立用户时输入的内容。
⑩ 第一次连接的时候会花点时间,有时还需要多试几次。
验证与检测
拨号连接成功后,我们需要检测PPTP是否可以正常使用。
① 本机会出现一块PPP虚拟网卡,IP地址就是设置的起始地址。注意这里没有网关,上互联网仍然是走本地。
② 可以访问防火墙策略指定的服务器IP地址,说明PPTP连接成功。
③ 运气好的话,PPTP一连就成功了,可要是运气不好怎么都连不上那怎么办呢?在防火墙的CLI控制台里,我们可以用命令检测PPP状况,一输完第二条命令,就会不停有信息弹出。
④ 客户端拨号,这里就会显示出对应信息,例如输入密码不对,这里就会显示验证无效。CLI控制台的提示不会自动回行,需要弹出并打开最大窗口,而且翻开已经显示示的信息内容有限,所以建议用终端工具连接防火墙查看。
⑤ PPP信息会不停的弹出,如果要关闭诊断话,可以先在其它地方输入关闭命令,然后复制,再到CLI窗口按回车,快速粘贴,再按回车。就可以停止诊断了。
通过PPTP上网
和SSL一样,PPTP拨通后,也可通对方上互联网。
① 在网络连接里鼠标右击连接,弹出菜单里选择 “属性”。
② 选择子菜单 “网络”。
③ 选择 “Internet协议版本4”,点击“属性”。
④ 选择 “高级”。
⑤ 将 “在远程网络上使用默认网关” 打上钩,就设置好了。
⑥ 再次拨通PPTP,这次获得的IP地址,就会多了一个默认网关0.0.0.0。
⑦ 上网流量将不通过本地互联网,而是走对方的互联网,但是如果对方互联网有多条线路的话,也经常会造成上网失败。
飞塔技术-老梅子 QQ:57389522