[Dr.WoW] [No.26] VPN iniciadas por el cliente L2TP- parte 1

Publicado 2019-1-15 10:01:55 64 0 0 0

En la actualidad, la mayoría de las personas están bastante familiarizadas con los clientes en PC, tabletas o teléfonos móviles. Los más comunes son los clientes PPPoE, que son los clientes de acceso a Internet de banda ancha. En segundo lugar a estos son los clientes VPN. Este tipo de clientes no son utilizados por usuarios de Internet de ocio, sino que son, en general, servicios prestados por empresas para sus empleados que trabajan de forma remota. Aquí analizaremos principalmente un tipo de cliente VPN, el cliente VPN L2TP.

La función de un cliente L2TP VPN es ayudar a los usuarios a iniciar y construir un túnel L2TP directamente a la red de la empresa HQ en una PC, tableta o teléfono celular. Esto logra el objetivo de permitir que el usuario acceda libremente a la red de HQ, y se parece un poco a cómo el Profesor Du (protagonista de un popular drama coreano de ciencia ficción / romance) pudo viajar instantáneamente entre dos mundos distantes controlando la entrada a El mundo a la Tierra (HQ). Ya sea que estemos hablando del mundo real o del mundo virtual virtual, parece que la felicidad solo se puede experimentar cuando se eliminan las preocupaciones de tiempo y distancia. Usaré la experiencia del mundo real para informar a todos cómo las VPN iniciadas por el cliente pueden ayudarlo a alcanzar la misma felicidad que el Profesor Du.

Si el profesor Du quisiera usar el cliente L2TP VPN para pasar por el "mundo" e ingresar a una red empresarial, primero tendría que pasar por la verificación de identidad del "guardián" de LNS (los métodos involucrados en esta verificación son muy claros , con todo lo necesario para la inspección del túnel incluido, incluidas las comprobaciones del nombre de usuario, la contraseña y el nombre del host). Los usuarios que pasan la inspección reciben un pase especial (una dirección IP de la red de la empresa) por parte del LNS, mientras que los que intentan obtener acceso no autorizado se ofrecen sin cargo: este es el enfoque simple que se muestra en el intercambio de información de las VPN iniciadas por el cliente. Con el fin de ayudar a todos a comprender mejor esto, y para ayudar a comparar las VPN iniciadas por el cliente con las VPN iniciadas *****AS que se analizan en la siguiente sección, dibujé un diagrama simple (Figura 1-1). Luego usaré este diagrama para analizar mejor los intercambios de información entre el cliente L2TP y el LNS.

Figura 1-1 Proceso para construir una VPN iniciada por el cliente.

235151z5d5lmdkfq6j4uyl.png

La configuración de VPN iniciada por el cliente se muestra en la Tabla 1-1. Un punto clave es que las conexiones entre el cliente L2TP, el LNS y los servidores de red internos son todas conexiones directas, lo que evita la configuración de enrutamiento; La autenticación del usuario también se realiza mediante una autenticación local relativamente simple. Además, el servidor de red interno necesita configurar un gateway para garantizar que sus paquetes de respuesta con destino al cliente L2TP puedan alcanzar el LNS.

Tabla 1-1 Configuración de VPN iniciada por el cliente.

Objeto a configurar

Cliente L2TP (Usando un cliente VPN como ejemplo)

LNS

Configuracion L2TP

l  Other   terminal's IP address: 1.1.1.1

l  User   log-in (PPP user) name: l2tpuser

l  User   log-in (PPP user) password: Admin@123

l  LNS   Tunnel name (optional): LNS

l  PPP   authentication mode (PAP/CHAP/EAP; some clients are defaulted to CHAP): CHAP

l  Validación de túnel   (opcional, algunos clientes no admiten esto): no seleccionado

Los tres primeros   campos son obligatorios, mientras que los tres últimos pueden no estar disponibles   en todos los clientes

l2tp enable

interface Virtual-Template1

 ppp authentication-mode chap

 ip address 192.168.2.1 255.255.255.0

 remote address pool 1

l2tp-group 1

 undo tunnel   authentication        

 allow l2tp virtual-template   1   //Designates a VT interface.

 tunnel name   LNS         //Indicates the name   of this tunnel terminal.

Configuracion AAA

-

aaa    

 local-user l2tpuser password cipher   Admin@123  //Indicates the local user name and password.

 local-user l2tpuser service-type ppp   //Indicates   the user service type.

 ip pool 1 192.168.2.2   192.168.2.100    //Indicates the address pool.

 

Ahora, no creo que mucha gente sepa demasiado acerca de la interfaz de VT, ¿verdad? La interfaz VT es una interfaz lógica que se usa en la comunicación del protocolo de Capa 2, y generalmente se usa durante la negociación PPPoE. L2TP coopera con PPPoE para adaptarse al entorno Ethernet, razón por la cual encontramos la interfaz VT aquí. A medida que avancemos, explicaré más sobre el papel de las interfaces VT en las VPN iniciadas por el cliente.

A continuación, usaré las capturas de paquetes para ayudar a explicar el proceso completo de configuración de una VPN iniciada por el cliente.

 

Paso 1: Configuración de un túnel L2TP (conexión de control) ―Tres partes de información

Ingrese el wormhole

Un cliente L2TP y los parámetros de negociación LNS, como el ID del túnel, el puerto UDP (el LNS usa el puerto 1701 para responder a la solicitud de construcción del túnel del cliente), el nombre del host, la versión L2TP, la autenticación del túnel (si el cliente no admite la autenticación del túnel, la función de autenticación del túnel LNS debe cerrarse (esto es cierto para el sistema operativo WIN7) al intercambiar tres datos.

235208h3j5jo7ojyc2ky3k.png

Para ayudar a todos a comprender el significado de negociación, la Tabla 1-2 proporciona el proceso de negociación de ID de túnel.

Tabla 1-2 Proceso de negociación de ID de túnel.

Paso 1

SCCRQ

Cliente L2TP: Hey LNS, usa 1 como el túnel ID   para comunicarte conmigo.

235512lcu96cggn65useeg.png

Paso 2

SCCRP

LNS: OK, L2TP Client, entonces asegurate de tu tambien   usar el tunnel ID 1 para comunicarte conmigo.

235518lxg09ddrk3x9drg9.png

Paso 3

SCCCN

Cliente L2TP: OK.

-

 

Paso 2: Establecimiento de una sesión de L2TP: tres elementos de información para despertar al peor whole Gateguard

El cliente L2TP y el LNS intercambian tres datos para negociar un ID de sesión y establecer una sesión L2TP. Sin embargo, solo si se notifica por primera vez al "gateguard" se puede enviar la información de autenticación de identidad.

235217es39shl0***z9995.png

La tabla 1-3 proporciona el proceso para negociar una ID de sesión.

Tabla 1-3 Proceso para negociar un ID de sesión.

Paso 1

ICRQ

L2TP Client: Hey LNS, usa 1 como el ID de sesion   para comunicarte conmigo.

235533wplzpdl9crp03433.png

Paso 2

ICRP

LNS: OK, L2TP Client, asegurate de usar 1 como el ID de   sesion para comunicarte conmigo también.

235540oyliexhztkiyyjhe.png

Paso 3

ICCN

L2TP Client: OK.

-

 

Paso 3: Creación de una conexión PPP: Autenticación de identidad y emisión del "Pase especial"

1. Negociación LCP

La negociación de LCP se realiza por separado en ambas direcciones, y principalmente negocia el tamaño de MRU. MRU es un parámetro de capa de enlace de datos PPP, y es similar a la MTU de Ethernet. Si uno de los dispositivos terminales en el enlace PPP envía un paquete con una carga útil mayor que la MRU del otro terminal, este paquete se fragmentará cuando se envíe.

235242xiirjy2xa2ijzf2v.png 

235252gmt7hrrxez1hrrxr.png

La captura de pantalla anterior muestra que el valor de MRU posterior a la negociación es 1460.

2. Autenticación PPP

Los métodos de autenticación incluyen CHAP, PAP y EAP. Tanto la autenticación CHAP como la autenticación PAP pueden realizarse localmente o en un servidor AAA, mientras que EAP puede realizar la autenticación en un servidor AAA. La autenticación EAP es relativamente compleja, y existen diferencias en el soporte provisto para esto por diferentes modelos de firewalls, por lo que aquí solo discutiremos CHAP, el proceso de autenticación más común.

235305axmycw4mmkwnrhfr.png

La Tabla 1-4 muestra un proceso clásico de autenticación PPP de protocolo de enlace de tres vías.

Tabla 1-4 Proceso de autenticación PPP de protocolo de enlace de tres vías.

Paso 1

LNS: Hey, Cliente L2TP, Te estoy mandando un “Challenge”,   úsalo para encriptar tu contraseña.

235550fzjk1f5nhodjwrgn.png

Paso 2

L2TP Client: OK, Te mando mi nombre de usuario y   contraseña encriptadas, por favor autentícalas.

235606hcwz2eyowp2kizzp.png

Paso 3

LNS: Authentication was successful, welcome to   the world of PPP!

235612fkod66q77v5o77og.png

 

El nombre de usuario y la contraseña configurados en el LNS se utilizan para autenticar al cliente. Por supuesto, esto requiere que la "persona en cuestión" y la "visa" tengan que coincidir exactamente, es decir, que el nombre de usuario y la contraseña configurados en el cliente L2TP y el LNS deben ser idénticos. A continuación, explicaré brevemente qué significa que los nombres de usuario sean idénticos.

·         Si la "visa" configurada en el LNS es el nombre de usuario (sin dominio), entonces el nombre de inicio de sesión del usuario del cliente L2TP debe ser el nombre de usuario.

·         Si la "visa" configurada en el LNS es el nombre de usuario completo (nombre de usuario @ predeterminado o nombre de usuario @ dominio), entonces el nombre de inicio de sesión del usuario del cliente L2TP debe ser nombre de usuario @ predeterminado o nombre de usuario @ dominio.

En este ejemplo, el nombre de usuario configurado en el LNS es 12tpuser, por lo que cuando el cliente inicia sesión debe ingresar un nombre de usuario idéntico. El razonamiento detrás de esto es muy simple, pero este es un error común que muchos cometen durante la configuración.

El concepto de "dominio" siempre se usa en la autenticación AAA, y estoy seguro de que todos se preguntan qué propósito tiene para agregar un dominio detrás del nombre de usuario.

Las grandes corporaciones a menudo asignan diferentes departamentos a diferentes dominios, y luego crean diferentes grupos de direcciones para estos diferentes departamentos en el LNS de acuerdo con su dominio, es decir, que los segmentos de red de diferentes departamentos se pueden separar usando grupos de direcciones, lo que facilita la tarea. Para luego implementar diferentes políticas de seguridad para diferentes departamentos.

3. Negociación IPCP para asignar con éxito una dirección IP

La dirección IP asignada por el LNS al cliente L2TP es 192.168.2.2.

235321kf2t6zohtv0nn8cv.png

235328uvngvbr4kkz0hkwy.png

Después de haber leído hasta aquí, todos deben tener claro que las direcciones en el grupo de direcciones del LNS se utilizan para asignar direcciones IP a clientes remotos. Por supuesto, estas deben ser direcciones privadas y también deben cumplir con las reglas de planificación de direcciones IP de la red interna al igual que otras direcciones de host de la red interna. Pero ¿qué pasa con la interfaz VT?

En realidad, la interfaz VT también es una interfaz de red interna, y también debe planificarse de acuerdo con los principios de planificación de direcciones IP de la red interna. Los principios generales detrás de la planificación de direcciones IP son los siguientes:

·         Se sugiere que los segmentos de red independientes se planifiquen por separado para la interfaz VT, el grupo de direcciones y la dirección de red HQ, para que las direcciones para los tres no se superpongan.

·         Si las direcciones del grupo de direcciones y la dirección de red HQ están configuradas para el mismo segmento de red, entonces la función de proxy ARP debe activarse en la interfaz LNS que se conecta a la red HQ, y la función de reenvío virtual L2TP también debe estar habilitada para garantizar que el LNS pueda responder a las solicitudes ARP enviadas por el servidor de red HQ.

Si la interfaz LNS que se conecta a la red HQ es GE0/0/1, la configuración para habilitar la función de proxy ARP y la función de reenvío virtual L2TP es la siguiente:

[LNS] interface GigabitEthernet0/0/1

[LNS-GigabitEthernet0/0/1] arp-proxy enable      //Enable the ARP proxy function.

[LNS-GigabitEthernet0/0/1] virtual-l2tpforward enable       //Enable the L2TP virtual forwarding function.

 

Después de leer el proceso para la autenticación PPP, todos deberían saber ahora que L2TP es hábilmente capaz de usar las funciones de autenticación PPP para lograr su propio objetivo de autenticar el acceso de usuarios remotos. ¿Cuál fue el responsable de facilitar este proyecto cooperativo? La interfaz VT:

[LNS] l2tp-group 1

[LNS-l2tp1] allow l2tp virtual-template 1

 

Es este comando anterior el que enlaza L2TP con PPP; la interfaz VT gestiona la autenticación PPP, mientras que el módulo L2TP es el jefe de la interfaz VT. La cooperación entre los dos se logra así de esta manera. La interfaz VT solo se usa entre L2TP y PPP: este es un héroe sin nombre que no participa en la encapsulación y tampoco necesita ser transmitido públicamente, por lo que es perfectamente aceptable configurar su dirección IP como una red privada IP dirección.

El proceso de negociación VPN iniciado por el cliente L2TP es mucho más complejo que para las VPN GRE. Resumamos las características de los túneles VPN iniciados por el cliente:

·         Las VPN L2TP son muy diferentes a las VPN GRE. Las VPN GRE no tienen un proceso de negociación de túnel y son túneles que no controlan las conexiones y el estado, por lo que no hay manera de ver el túnel o inspeccionar el estado del túnel. Sin embargo, las VPN de L2TP son túneles de conexión controlada y pueden verificar y ver el túnel y la sesión.

·         Como se muestra en la Figura 1-2, hay un túnel L2TP entre el cliente L2TP y el LNS para las VPN iniciadas por el cliente. Solo hay una sesión L2TP en el túnel, y la conexión PPP se realiza en esta sesión L2TP. Esto es diferente a las VPN iniciadas *****AS que se tratarán en la siguiente sección, y es importante prestar atención.

Figura 1-2 Relación entre un túnel L2TP y una sesión con la conexión PPP en una VPN iniciada por el cliente.

235339ezlmg5682ffg8fg9.png     


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba