1. Настройка l2tp over ipSec на dfl-800

   1. Подаем питание на межсетевой экран.

   2. Соединяем сетевым кабелем компьютера №1 и межсетевой экран (LAN-порт).

   3. Заходим: Пуск→Настройка→Сетевые подключения→Подключение по локальной сети → нажать правой кнопкой мыши → Центр управления сетями и общим доступом → Просмотр состояния →Свойства →Выбираем Протокол Интернета TCP/IPv4 → Свойства

   4. Использовать следующий IP-адрес:

• 192.168.1.ххх (уникальный номер, кроме 1)

• маску подсети 255.255.255.0

5. Подключаемся к межсетевому экрану.

   1. Загружаем Web-браузер (Internet Explorer, Mozzila Firefox и др.).

   2. Набрать в адресной строке http://192.168.1.1 (или https://192.168.1.1) (IP-адрес межсетевого экрана по умолчанию).

   3. Появится приглашение на ввод имени и пароля. ( «admin», «admin»).

2. Начинаем настройку.

   1. Укажем IP-адреса WAN1 и LAN из исходных данных.

      1. Нажмите знак "+" рядом с папкой Interfaces и выберите Ethernet, wan1 и уберите галочку с поля Enable DHCP Client. ОК.

Рис.6.2 Настройка DHCP Client wan1.

2. Нажмите знак "+" рядом с папкой Objects

   1. Выберите Interfaces Addresses, wan1_ip, введите IP на WAN1: 192.168.100.1.

   2. Выберите Interfaces Addresses, wan1net, введите 192.168.100.0/24.

   3. Аналогично указать значения внутренней сети (LAN) (192.168.1.1 и 192.168.1.0/24).

Нажмите ОК.

Рис.6.3 Вид Interfaces Addresses после настройки.

3. Создадим пул IP адресов и IP адрес для L2TP-сервера. При организации туннеля один из адресов данного пула будет назначен удаленному клиенту.

   1. В папке Objects выберите Address Book, затем нажмите Add, из меню выберете IP address.

   2. Добавьте объекты:

• l2tp-ip-pool: 10.0.0.10-10.0.0.50

• l2tp-server: 10.0.0.1 ОК.

Рис.6.3 Вид Addresses Book после настройки.

4. Теперь добавим Pre-Shared Key.

   1. В папке Objects выберите Authentication Objects,

   2. Затем нажмите Add, из меню выберите Pre-Shared Key.

   3. Заполняем поля так:

• Name: ipsec-pre

• Shared Secret: Указываем ключ, например 1234567890

• Confirm Secret: Повторяем ключ.

После заполнения всех полей нажимаем ОК.

Рис.6.4 Настойка Pre-Shared Key.

5. Добавляем IPSec для пользователей в роуминге.

   1. В папке Interfaces выберите IPSec, затем нажмите Add, из меню выберите IPSec Tunnel.

   2. Поля заполняем так:

В General:

• Name: IPsec-for-roaming;

• Local Network: wan1_ip (т.к. удаленные пользователи знают IP-адрес точки подключения. Так же это значение может быть указанно как all-nets, оставив автоматический выбор политики за DFL);

• Remote Network: all-nets (т.к. в большинстве случаев удаленный IP-адрес пользователей не известен, поэтому позволяем DFL автоматически выбирать политику);

• Remote Endpoint: (None);

• Encapsulation Mode: Transport.

В Algorithms:

• IKE Algorithms: Transport;

• IKE Life Time: 28800;

• IPsec Algorithms: Transport;

• IPsec Life Time: 3600.

Рис.6.5 Настойка IPsec-for-roaming

3. Наверху выберите вкладку Authentication.

4. Укажите в поле Pre-shared Key: ipsec-pre.

5. Во вкладке XAuth: IKE XAuth: Off

6. Во вкладке Routing:

Рис.6.6 Настойка на IPsec-for-roaming вкладку Routing

7. Во вкладке IKE Settings:

Рис.6.7 Настойка на IPsec-for-roamingвкладку IKE Settings

8. Во вкладке Keep-alive: Disable

9. Во вкладке Advanced:

Рис.6.8 Настойка на IPsec-for-roaming вкладку Advanced

После заполнения всех полей нажимаем ОК.

6. Добавим L2TP сервер интерфейс.

   1. В папке Interfaces выберите PPTP/L2TP Servers, затем нажмите Add, выберите PPTP/L2TP Servers.

   2. Поля заполняем так:

В General

• Name: l2tp-if

• Inner IP Address: l2tp-server

• Tunnel Protocol: L2TP

• Outer Interface Filter: IPsec-for-roaming

• Server IP: wan1_ip

Рис.6.9 Настойка PPTP/L2TP Servers

3. Во вкладке PPP Parameters:

Рис.6.10 Настойка PPTP/L2TP Servers вкладку PPP Parameters

4. Во вкладке Add Route:

Рис.6.11 Настойка PPTP/L2TP Servers вкладку

7. Добавим локальную базу пользователей:

   1. В папке User Authentication выберите Local User Database, затем нажмите Add,

   2. Создайте Local User Database:

• Name: l2tp-db

1. Во вкладке Users создайте пользователя (например, test):

• Name: test

• Password: test

• Confirm Password: test

Рис.6.12 Листинг создание в вкладке Users пользователя с User Authentication

8. Добавим правило аутентификации:

   1. В папке User Authentication выберите User Authentication rule, затем нажмите Add,

   2. Создайте User Authentication rule:

• В General

• Name: l2tp-auth

• Authentication agent: PPP

• Authentication Source: Local

• Interface: l2tp-if

• Originator IP: all-nets

• Terminator IP: wan1_ip

Рис.6.13 Настойка User Authentication rule.

• Во вкладке Authentication Options:

• Local User DB: l2tp-db

Рис.6.14 Настойка Authentication Options.

• Во вкладке Agent Option:

• PPP Agent Option выбрать Use MS-CHAP v2 (для Microsoft Vista, если же клиент Microsoft XP, нужно выбирать Use MS-CHAP)

Рис.6.15 Настойка Agent Option.

• Во вкладке Restriction указать Allow multiple logins per username

Рис.6.16 Настойка Restriction.

9. Создаем разрешающие правила для доступа удаленным клиентам в lan и наоборот.

   1. Нажмите знак "+" рядом с папкой Rules, выберите папку IP Rules.

2. Нажмите кнопку Add, выберите IP Rule.

3. Правило первое

Поля заполняем так:

• В General

• Name: allow-l2tp-lan1

• Action: Allow

• Service: all_services

• В Address Filter

• Source:

• Interface: l2tp-if

• Network: all-nets

• Destination:

• Interface: lan

• Network: lannet

Нажмите ОК.

Рис.6.17 Настойка allow-l2tp-lan1

в IP Rules.

4. Нажмите кнопку Add, выберите IP Rule.

5. Правило второе

• В General

• Name: allow-l2tp-wan1

• Action: Allow

• Service: all_services

• В Address Filter

Source:

• Interface: lan

• Network: lannet

Destination:

• Interface: l2tp-if

• Network: all-nets

Нажмите ОК.

Рис.6.18 Настойка allow-l2tp-wan1

в IP Rules.

6. Нажмите кнопку Add, выберите IP Rule.

7. Правило третье

• В General

• Name: wan_to_lan

• Action: Allow

• Service: all_services

• В Address Filter

Source:

• Interface: wan1

• Network: all-nets

Destination:

• Interface: lan

• Network: lannet

Нажмите ОК.

Рис.6.19 Настойка wan_to_lan

в IP Rules.

8. Нажмите кнопку Add, выберите IP Rule.

9. Правило четвертое

• В General:

• Name: wan_to_lan

• Action: Allow

• Service: all_services

• В Address Filter:

Source:

• Interface: lan

• Network: lanlnet

Destination:

• Interface: wan1

• Network: wannet

Нажмите ОК.

Рис.6.19 Настойка wan_to_lan в IP Rules.

10. Далее переходим во вкладку Routing:

    1. Далее Main routing table

    2. Нажмите кнопку Add – выбираем Switch route

• В General:

• Switched Interfaces: IPsec-for-roaming;

• Network: all-nets.

Нажмите ОК.

Рис.6.19 Настойка IPsec-for-roaming в Switch Route.

3. Нажмите кнопку Add – выбираем Switch route

• В General:

• Switched Interfaces: l2tp-tp;

• Network: all-nets.

Нажмите ОК.

Рис.6.19 Настойка l2tp-tp в Switch Route.

11. Теперь примените настройки.

    1. Наверху меню Configuration выберите Save and Activate, нажмите ОК и дождитесь применения.

Рис.5.10 Сохранение настройки.