j'ai compris

[Dr.WoW] [No.26] VPN L2TP initiés par le client-part1

publié il y a  2020-4-27 14:28:39Dernière réponse abr. 30, 2020 23:12:44 11 1 0 0

À l'heure actuelle, la plupart des gens connaissent assez bien les clients sur PC, tablettes ou téléphones mobiles. Les plus courants sont les clients PPPoE, qui sont les clients d'accès Internet à large bande dont on parle souvent. Viennent ensuite les clients VPN. Ces types de clients ne sont pas utilisés par les internautes de loisirs, mais sont plutôt des services fournis par les entreprises à leurs employés travaillant à distance. Ici, nous allons principalement discuter d'un type de client VPN, le client VPN L2TP.

Le rôle d'un client VPN L2TP est d'aider les utilisateurs à lancer et à créer un tunnel L2TP directement vers le réseau HQ de l'entreprise sur un PC, une tablette ou un téléphone portable. Cela atteint l'objectif de permettre à l'utilisateur d'accéder librement au réseau HQ, et c'est un peu comme la façon dont le professeur Du (star d'un drame populaire de science-fiction / romance coréen) a pu voyager instantanément entre deux mondes lointains en contrôlant l'entrée de le monde ** de la Terre (HQ). Que nous parlions du monde réel ou du monde virtuel en ligne, il semble que le bonheur ne peut être ressenti que lorsque les problèmes de temps et de distance sont éliminés. J'utiliserai l'expérience du monde réel pour informer tout le monde de la façon dont les VPN lancés par le client peuvent vous aider à atteindre le même bonheur que le professeur Du.

Si le professeur Du voulait utiliser le client VPN L2TP pour passer par le "wor ** ole" et entrer dans un réseau d'entreprise, il devrait d'abord passer par le contrôle d'identité "gatekeeper" LNS (les méthodes impliquées dans ce contrôle sont très claires , avec tout le nécessaire pour l'inspection du tunnel, y compris les vérifications du nom d'utilisateur, du mot de passe et du nom d'hôte). Les utilisateurs qui réussissent l'inspection reçoivent un laissez-passer spécial (une adresse IP du réseau d'entreprise) par le LNS, tandis que ceux qui tentent d'obtenir un accès non autorisé sont adieu bid c'est l'approche simple affichée dans l'échange d'informations des VPN initiés par le client. Afin d'aider tout le monde à mieux comprendre cela, et pour aider à comparer les VPN initiés par le client aux VPN lancés par le NAS discutés dans la section suivante, j'ai dessiné un schéma simple ( Figure 1-1). Je vais ensuite utiliser ce schéma pour disséquer davantage les échanges d'informations entre le client L2TP et le LNS.


Figure 1-1 Processus de construction d'un VPN initié par le client

[Dr.WoW] [No.26] VPN L2TP initiés par le client-part1-1336609-1

 

La configuration VPN initiée par le client est indiquée dans le tableau 1-1 . Un point clé est que les connexions entre le client L2TP, le LNS et les serveurs de réseau internes sont toutes des connexions directes, ce qui évite la configuration de routage; l'authentification des utilisateurs se fait également à l'aide d'une authentification locale relativement simple. De plus, le serveur de réseau interne doit configurer une passerelle pour garantir que ses paquets de réponse destinés au client L2TP sont capables d'atteindre le LNS.

Tableau 1-1 Configuration VPN initiée par le client

Élément configuré

Client L2TP (en utilisant un client VPN comme exemple)

LNS

Configuration L2TP

l  Adresse IP de l' autre terminal: 1.1.1.1

l  Nom de connexion de l'utilisateur (utilisateur PPP): l2tpuser

l  Mot de passe de connexion utilisateur (utilisateur PPP): Admin @ 123

l  Nom du tunnel LNS (facultatif): LNS

l  Mode d'authentification PPP (PAP / CHAP / EAP; certains clients sont définis par défaut sur CHAP): CHAP

l  Validation du tunnel (facultatif, certains clients ne le prennent pas en charge): non sélectionné

Les trois premiers champs sont obligatoires, tandis que les trois derniers champs peuvent ne pas être disponibles sur tous les clients

activer l2tp

interface Virtual-Template1

 ppp mode d'authentification chap

 adresse IP 192.168.2.1 255.255.255.0

 pool d'adresses distantes 1

l2tp-groupe 1

 annuler l'authentification du tunnel        

 allow l2tp virtual-template 1    // Désigne une interface VT.

 nom du tunnel LNS          // Indique le nom de ce terminal de tunnel.

Configuration de l'authentification AAA

-

aaa    

 local-user l2tpuser password cipher Admin @ 123   // Indique le nom d'utilisateur local et le mot de passe.

 local-user l2tpuser service-type ppp    // Indique le type de service utilisateur.

 pool d'IP 1 192.168.2.2 192.168.2.100     // Indique le pool d'adresses.

 

 

Maintenant, je ne pense pas que beaucoup de gens en savent trop sur l'interface VT, n'est-ce pas? L'interface VT est une interface logique utilisée dans la communication de protocole de couche 2, et est généralement utilisée pendant la négociation PPPoE. L2TP coopère avec PPPoE afin de s'acclimater à l'environnement Ethernet, c'est pourquoi nous trouvons ici l'interface VT. J'expliquerai plus sur le rôle des interfaces VT dans les VPN lancés par le client au fur et à mesure.

Ci-dessous, j'utiliserai des captures de paquets pour expliquer le processus complet de configuration d'un VPN initié par le client.

1 Étape 1: Configuration d'un tunnel L2TP (connexion de contrôle) ―Trois éléments d'information Entrez le Wor ** ole

Un client L2TP et le LNS négocient des paramètres tels que l'ID de tunnel, le port UDP (le LNS utilise le port 1701 pour répondre à la demande de création de tunnel du client), le nom d'hôte, la version L2TP, l'authentification de tunnel (si le client ne prend pas en charge l'authentification de tunnel, la fonction d'authentification du tunnel LNS doit être fermée (c'est le cas pour le système d'exploitation WIN7) en échangeant trois informations.


[Dr.WoW] [No.26] VPN L2TP initiés par le client-part1-1336609-2

 

Pour aider tout le monde à comprendre le sens de la négociation, le tableau 1-2 présente le processus de négociation de l'ID de tunnel.

Tableau 1-2 Processus de négociation d'ID de tunnel

Étape 1

SCCRQ

L2TP client : Hey LNS, utilisez comme ID unnel pour communiquer avec moi.

[Dr.WoW] [No.26] VPN L2TP initiés par le client-part1-1336609-3

Étape 2

SCCRP

LNS : OK, client L2TP, et assurez-vous d'utiliser également "1" comme ID de tunnel pour communiquer avec moi.

[Dr.WoW] [No.26] VPN L2TP initiés par le client-part1-1336609-4

Étape 3

SCCCN

Client L2TP : OK.

-

 

2 Étape 2: Établir une session L2TP ― Trois éléments d'information pour éveiller le pire ** ole Gateguard

Le client L2TP et le LNS échangent trois informations pour négocier un ID de session et établir une session L2TP. Cependant, ce n'est que si le "gateguard" est notifié pour la première fois que les informations d'authentification d'identité peuvent être soumises!


[Dr.WoW] [No.26] VPN L2TP initiés par le client-part1-1336609-5

 

Le tableau 1-3 donne le processus de négociation d'un ID de session.

Tableau 1-3 Processus de négociation d'un ID de session

Étape 1

ICRQ

Client L2TP : Hey LNS, utilisez "1" comme ID de session pour communiquer avec moi.

[Dr.WoW] [No.26] VPN L2TP initiés par le client-part1-1336609-6

Étape 2

ICRP

LNS : OK, client L2TP, et assurez-vous que vous utilisez également "1" comme ID de session pour communiquer avec moi.

[Dr.WoW] [No.26] VPN L2TP initiés par le client-part1-1336609-7

Étape 3

ICCN

Client L2TP : OK.

-

 

3 Étape 3: Création d'une connexion PPP ― Authentification d'identité et délivrance du "Pass spécial"

1.         Négociation LCP

La négociation LCP est menée séparément dans les deux sens et négocie principalement la taille de l'UFM. MRU est un paramètre de couche de liaison de données PPP et est similaire au MTU d'Ethernet. Si l'un des terminaux du lien PPP envoie un paquet dont la charge utile est supérieure à la MRU de l'autre terminal, ce paquet sera fragmenté lors de son envoi.



[Dr.WoW] [No.26] VPN L2TP initiés par le client-part1-1336609-8

[Dr.WoW] [No.26] VPN L2TP initiés par le client-part1-1336609-9

 

La capture d'écran ci-dessus montre que la valeur MRU post-négociation est 1460.

2.         Authentification PPP

Les méthodes d'authentification incluent CHAP, PAP et EAP. L'authentification CHAP et PAP peut être effectuée localement ou sur un serveur AAA, tandis qu'EAP peut effectuer l'authentification sur un serveur AAA. L'authentification EAP est relativement complexe, et il existe des différences dans la prise en charge fournie par différents modèles de pare-feu, donc ici nous ne discuterons que de CHAP, le processus d'authentification le plus courant.



[Dr.WoW] [No.26] VPN L2TP initiés par le client-part1-1336609-10 

Le tableau 1-4 affiche un processus d'authentification PPP de prise de contact classique à trois voies.

Tableau 1-4 Processus d'authentification PPP d'établissement de liaison à trois voies

Étape 1

LNS : Hé, client L2TP, je vous envoie un "défi", utilisez-le pour crypter votre mot de passe.

[Dr.WoW] [No.26] VPN L2TP initiés par le client-part1-1336609-11

Étape 2

Client L2TP : OK, je vous envoie mon nom d'utilisateur et mon mot de passe crypté, veuillez les authentifier.

[Dr.WoW] [No.26] VPN L2TP initiés par le client-part1-1336609-12

Étape 3

LNS : L'authentification a réussi, bienvenue dans le monde du PPP!

[Dr.WoW] [No.26] VPN L2TP initiés par le client-part1-1336609-13

 

Le nom d'utilisateur et le mot de passe configurés sur le LNS sont utilisés pour authentifier le client. Bien entendu, cela nécessite que la "personne en question" et le "visa" soient des correspondances exactes ― c'est-à-dire que le nom d'utilisateur et le mot de passe configurés sur le client L2TP et le LNS doivent être identiques. Ensuite, je vais expliquer brièvement ce que cela signifie pour les noms d'utilisateur d'être identiques.

       Si le "visa" configuré sur le LNS est le nom d'utilisateur (pas de domaine), le nom de connexion de l'utilisateur du client L2TP doit être le nom d'utilisateur.

       Si le "visa" configuré sur le LNS est le nom d'utilisateur complet (nom d'utilisateur @ défaut ou nom d'utilisateur @ domaine), le nom de connexion utilisateur du client L2TP doit être nom d'utilisateur @ défaut ou nom d'utilisateur @ domaine.

Dans cet exemple, le nom d'utilisateur configuré sur le LNS est 12tpuser , donc lorsque le client se connecte, il doit entrer un nom d'utilisateur identique. Le raisonnement derrière cela est très simple, mais c'est une erreur courante que beaucoup font lors de la configuration.

Le concept de "domaine" est toujours utilisé dans l'authentification AAA, et je suis sûr que tout le monde se demande à quoi sert l'ajout d'un domaine derrière le nom d'utilisateur.

Les grandes sociétés affectent souvent différents départements à différents domaines, puis créent des pools d'adresses différents pour ces différents départements sur le LNS en fonction de leur domaine ― c'est-à-dire que les segments de réseau de différents départements peuvent être séparés à l'aide de pools d'adresses, ce qui facilite la tâche. pour déployer ultérieurement différentes politiques de sécurité pour différents services.

3.         Négociation IPCP pour attribuer avec succès une adresse IP

L'adresse IP attribuée par le LNS au client L2TP est 192.168.2.2.



[Dr.WoW] [No.26] VPN L2TP initiés par le client-part1-1336609-14

[Dr.WoW] [No.26] VPN L2TP initiés par le client-part1-1336609-15

 

Après avoir lu jusqu'ici, tout le monde devrait être clair que les adresses dans le pool d'adresses du LNS sont utilisées pour attribuer des adresses IP aux clients distants. Bien entendu, ces adresses doivent être privées et doivent également respecter les règles de planification des adresses IP du réseau interne, tout comme les autres adresses d'hôtes du réseau interne. Mais qu'en est-il de l'interface VT?

En fait, l'interface VT est également une interface réseau interne et doit également être planifiée selon les principes de planification des adresses IP du réseau interne. Les principes généraux de la planification des adresses IP sont les suivants:

       Il est suggéré que des segments de réseau indépendants soient planifiés séparément pour l'interface VT, le pool d'adresses et l'adresse réseau HQ, afin que les adresses des trois ne se chevauchent pas.

       Si les adresses du pool d'adresses et l'adresse réseau HQ sont configurées sur le même segment de réseau, la fonction proxy ARP doit être activée sur l'interface LNS qui se connecte au réseau HQ et la fonction de transfert virtuel L2TP doit également être activée, pour garantir que le LNS peut répondre aux demandes ARP envoyées par le serveur de réseau HQ.

Si l'interface LNS se connectant au réseau HQ est GE0 / 0/1, la configuration d'activation de la fonction proxy ARP et de la fonction de transfert virtuel L2TP est la suivante:

[LNS] interface GigabitEthernet0/0/1

[LNS-GigabitEthernet0 / 0/1] arp-proxy enable // Active la fonction proxy ARP.     

[LNS-GigabitEthernet0 / 0/1] virtual-l2tpforward enable       // Active la fonction de transfert virtuel L2TP.

Après avoir lu le processus d'authentification PPP, tout le monde devrait maintenant savoir que L2TP est habilement capable d'utiliser les fonctions d'authentification de PPP pour atteindre son propre objectif d'authentification de l'accès utilisateur à distance. Quel était le responsable de l'animation de ce projet coopératif? L'interface VT:

[LNS] l2tp-groupe 1

[LNS-l2tp1] allow l2tp virtual-template 1

C'est cette commande ci-dessus qui relie L2TP à PPP; l'interface VT gère l'authentification PPP, tandis que le module L2TP est le patron de l'interface VT. La coopération entre les deux est ainsi réalisée de cette manière. L'interface VT n'est utilisée qu'entre L2TP et PPP ― c'est un héros sans nom qui ne participe pas à l'encapsulation et n'a pas besoin d'être diffusé publiquement, il est donc parfaitement acceptable de configurer son adresse IP comme IP de réseau privé adresse.

Le processus de négociation VPN lancé par le client L2TP est beaucoup plus complexe que pour les VPN GRE. Résumons les caractéristiques des tunnels VPN initiés par le client:

       Les VPN L2TP sont très différents des VPN GRE. Les VPN GRE n'ont pas de processus de négociation de tunnel et sont des tunnels qui ne contrôlent pas les connexions et l'état, il n'y a donc aucun moyen de visualiser le tunnel ou d'inspecter l'état du tunnel. Cependant, les VPN L2TP sont des tunnels à connexion contrôlée et peuvent vérifier et afficher le tunnel et la session.

       Comme le montre la figure 1-2 , il existe un tunnel L2TP entre le client L2TP et le LNS pour les VPN lancés par le client. Il n'y a qu'une seule session L2TP dans le tunnel et la connexion PPP est effectuée sur cette session L2TP. C'est différent des VPN initiés par NAS qui seront discutés dans la section suivante, et c'est important de faire attention.


Figure 1-2 Relation entre un tunnel L2TP et une session avec la connexion PPP sur un VPN initié par le client

[Dr.WoW] [No.26] VPN L2TP initiés par le client-part1-1336609-16

 

 

 

Pour afficher la liste de tous les postes techniques du Dr. WoW, cliquez ici .


  • x
  • Standard:

Youssefi.R
publié il y a 2020-4-30 23:12:44 Utile(0) Utile(0)
Pour afficher la liste de tous les postes techniques du Dr. WoW,, consultez le lien:
http://forum.huawei.com/enterprise/thread-247527.html
View more
  • x
  • Standard:

Commentaire

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Communauté de Support de Huawei Entreprise
Communauté de Support de Huawei Entreprise