با سلام خدمت دوستان عزیز
تو این مبحث میخوایم در مورد راه اندازی VPN با پروتکل L2TP با هم صحبت کنیم.
ابتدا رو ما از نوع PPTP راه اندازی میکنم سپس کاربر را الزام به استفاده از پروتکل L2TP میکنیم.
ما وقتی میخواهیم به شبکه VPN بزنیم از پروتکل های مختلفی از جمله : PPTP ، L2TP ، SSTP ، IKE ، open VPN و… میتونیم استفاده کنیم.
پروتکل PPTP ، پروتکلی هستش که مایکروسافت اونو ابداع کرد و یک پروتکل قدیمی میباشد، و از نظر امنیت ضعیف میباشد ولی خیلی سریع میباشد.
وقتی قرار نیست از این نوع VPN به صورت عموم استفاده شود، یعنی قراره فقط خودمان استفاده کنیم این VPN خوب است چون هم کانفیگ راحت تری دارد و هم سرعت بیشتری دارد.
پروتکل L2TP : این پروتکل در لایه ۲ و ۳ کار میکند، چون در هر دولایه کار میکند ما بهش ۲٫۵ میگوییم.
جزء پروتکل های امن است و دو تا روش برای پیاده سازیش وجود دارد : ۱٫ Pre-shared key ۲٫ Certificate
که در اینجا در مورد Pre-shared key صحبت خواهیم کرد .
در اینجا ما تو محیط VM ware Workstation یک DC میاریم بالا و یک سرور VPN که جوین دومین باشد و یک کلاینت work group که بتونیم ازش تست هامون رو بگیریم
نکته : میتونیم سرور VPN مون جوین نباشه، دلیل اینکه جوین میکنیم فقط میخواهیم از یوزر های داخل دومین استفاده کنیم.
بعد از اینکه DC را نصب کردیم میایم روی member server و role Remote access را تیک میزنیم و نصب میکنیم.
سپس next میکنیم و تیک گزینه VPN و routing را مطابق شکل زیر میزنیم :
بعد از نصب role Remote access سپس یک کارت شبکه دیگه به VPN سرورمون اضافه میکنیم.
حالا VPN سرور ما به اصطلاح دو تا دست داره که یک دستش IP : 192.168.1.2 داره که وصل هستش به شبکه داخلی و یک دستش هم IP: 172.16.0.254 و در VMnet 15 هستش که میخواهیم کسی که از بیرون میخواد VPN بزنه وصل بشه به این دست و بره تو شبکه داخلی.
حالا میریم روی کارت شبکه کلاینت و رنج IP اونو هم میزاریم ، ۱۷۲٫۱۶٫۰٫۱ و در VMnet 15 قرار میدیم.
حالا نوبت این رسیده که بریم روی member server و VPN رو کانفیگ کنیم.
ابتدا کنسول routing and remote access را باز میکنیم و سرو راست کلیک میکنیم و گزینه configure and….. را میزنیم (مطابق شکل زیر)
سپس در این مرحله گزینه remote access را انتخاب میکنیم :
در مرحله بعد گزینه VPN را انتخاب میکنیم
در اینجا اون کارت شبکه ای که میخواهیم از طریق اون کاربرها بیان وصل بشن به شبکه داخلی را انتخاب میکنیم
در این مرحله میپرسه که IP را دستی بدهیم یا DHCP داری ….
اگر بزاریم روی دستی باید بهش رنج IP بدهیم که کلاینت وقتی VPN زد و وصل شد به شبکه ما بیاد تو رنج ما قرار بگیره. پس بهش از رنج (۱۹۲) میدهیم.
در مرحله بعد میپرسه که radius داری یا خیر که در اینجا نداریم…
سپس در آخر finish را میزنیم.
حالا VPN سرور ما راه اندازی شد.
حالا میایم در AD که یوزری که میخواهیم VPN بزنه رو بهش اجازه بدهیم که بتونه VPN بزنه.
میریم روی یوزر مورد نظر راست کلیک میکنیم و properties را میزنیم، سپس میریم قسمت dial-in و در قسمت network access permission را allow میکنیم.
قبل از اینکه بریم روی سیستم کلاینت کانکشن VPN بسازیم یک Ping میگیریم که در اینجا میبینم ما به شبکه ۱۹۲٫۱۶۸٫۱٫۱ اصلا متصل نیستیم.
حالا میریم روی کلاینت که میخواهیم ازش VPN بزنیم یک connection VPN میسازیم.
بعد از اینکه connection را ساختیم گزینه connect را میزنیم و بهش وصل میشیم و حالا که ping میگیریم باید جوابش بیاد
این نوع VPN از نوع PPTP است. ( که در عکس زیر مشاهده میکنیم )
حالا میخواهیم این PPTP را به L2TP تبدیل کنیم :
ابتدا میریم روی کنسول RRAS و در قسمت remote access client ، کلاینتی که VPN زده بود را disconnect میکنیم.
حالا میریم روی سرور properties میگیریم، میریم در تب security و گزینه allow custom Ipsec policy for L2TP…. را فعال میکنیم و یک pre-shared key میدهیم.
سپس سرویس را یکبار ریستارت میکنیم (روی سرور راست کلیک all task و restart را میزنیم)
توجه داشته باشید که سرویس را restart میکنیم نه disable .
حالا میخواهیم کاری کنیم که کاربر فقط بتونه L2TP وصل بشه، دیگه PPTP کسی connect نشه. (الزام میکنیم)
میریم روی سرور VPN داخل کنسول RRAS روی گزینه remote access logging راست کلیک میکنیم و گزینه lunch NPS را میزنیم
سپس در پنجره باز شده، network police راست کلیک میکنیم و new را میزنیم، یک پالیسی تعریف میکنیم:
ابتدا یک اسم میدهیم سپس در قسمت type، VPN را انتخاب میکنیم سپس next میکنیم،
در اینجا انواع condition ها را میتوانیم بزاریم که ما در اینجا گزینه tunnel type را میزنیم، و L2TP را تیک میزنیم و ok میکنیم.
سپس next میکنیم و در اینجا access granted را انتخاب میکنیم و next میکنیم
در قسمت EAP type ، add را میزنیم و MSCHAP v2 و PEAP را انتخاب میکنیم.
(اینا متد های authentication از راه دور است، اگر نباشه اصلا کانکشن برقرا نمیشه)
در این مرحله میتوانیم محدودیت بگذاریم مثلا میتونیم بگم کاربر اگر به مدت ۱ دقیقه کار نکرد VPN قطع بشه، یا مثلا میتونیم بگیم که کاربر فقط میتونه تا مقدار ۱۰ دقیقه کانکشن بزنه
در مرحله بعد اینجا استاندارد PPP است که به صورت پیش فرض میزاریم بمونه.
حالا میریم روی کلاینت دوباره کانکت رو میزنیم، میبینم که کانکت نشد و بهم ارور داد
میریم روی کانکشن VPN که ساخته بودیم و advanced option را انتخاب میکنیم و edit را میزنیم، VPN type را از حالت automatic را میزاریم روی L2TP/Pre-shared key و سپس pre-shared key را وارد میکنیم.
حالا میتونیم بریم connect را بزنیم
در اینجا میبینیم که VPN از نوع L2TP میباشد.
در اخر هم یه نکته رو بگم که میتونیم ما برای کاربری که VPN میزنه و میاد تو شبکه بهش یک IP اختصاص بدیم که هر وقت VPN زد اون IPخاص رو بگیره .
برای این کار میریم روی کاربر و properties را میزنیم در قسمت Dial-in در قسمت assign static IP address فعال میکنیم و سپس یک IP در رنج IP شبکه داخلی بهش میدیم که هر وقت VPN زد اون IP رو میگیره.
در اینجا میبینیم که کاربر همون IP که ما بهش دادیم رو گرفته.
امیدوارم که از این مطلب هم لذت برده باشید
خیلی خوشحال میشم اگه مطلب رو خواستید به اشتراک بزارید همراه با منبع و نام نویسنده باشه.
پیروز و پایدار باشید… پیمان اکبری
