如何启用×××服务器端的IPsec功能

 

 测试版安装完成之后,PacketiX ×××的IPsec功能尚未启用,请参照以下方法将其启用。

设置方法:

请参照以下方法配置×××服务器
×××服务器管理器的操作:
以服务器网络管理员模式,从测试版×××服务器管理器(在Windows上运行的GUI应用程序)对搭载着IPsec功能测试版的×××服务器进行连接,会出现新添加的“IPsec / L2TP 設定”按钮,请点击这个按钮。


1


 然后,出现以下界面。
IPsec服务器被划分成几个组件,可以启用/禁用这个界面内的每项内容。


2

 

下面对上述界面设置进行补充说明

  • L2TP服务器功能(L2TP over IPsec

为了从iPhone、iPad、Android等智能手机以及Windows、Mac OS X所标配的L2TP ×××客户端可以连接到PacketiX ××× 服务器,请启用此项。

  • L2TP服务器功能(未加密的L2TP

如需使用特殊的路由器、不支持IPsec的L2TP装置及程序对PacketiX ×××服务器进行连接时,请启用此项。

  • EtherIP over IPsec服务器功能

如需从受EtherIP支持的NEC IX2015等路由器对PacketiX ×××搭建2层×××时,请启用此项。
另外,如点击“EtherIP详细设置”按钮,则需对EtherIP相应设备的ISAKMP (IKE) Phase 1 ID及连接到×××服务器的虚拟HUB时用于连接设定的对应表进行定义。(后述)

  • IPsec预共享密匙

IPsec预共享密匙英文缩写为PSK(Pre-Shared Key),也可称为“密钥(secret)”。这里的字符串默认为“***”(半角英文),建议更换。该预共享密匙更换后,请告知所有使用该IPsec ×××的用户。

 

×××CMD的操作


现阶段测试版中不支持使用×××命令行管理工具(***cmd)对IPsec服务器功能进行设置(计划以后支持)。
由此,目前在Linux、Solaris、FreeBSD、Mac OS X系统上设置×××服务器时,必须在Windows终端上启动“×××服务器管理器”,以远程管理模式连接×××服务器服务,对IPsec功能进行设置。

 

L2TP服务器功能中指定用户名的方法


从支持L2TP的×××客户端向启用了L2TP服务器功能的PacketiX ×××服务器进行×××连接时,客户端指定的用户名是以包含“虚拟HUB名”为原则的。
例如,在PacketiX ×××服务器上有“HUB1”和“HUB2”两个虚拟HUB。用户JIRO登录了HUB1,YAS登录了HUB2。
这种情况下,进行L2TP连接时,请以JIRO@HUB1或YAS@HUB2,按照“用户名@虚拟HUB名”的形式指定用户名。(用户名、虚拟HUB名的字符串不区分大小写)
连接时如果用户名中的虚拟HUB被省略(没有指定@之后的字符串),程序将选择在IPsec服务器设置界面中被选择默认的虚拟HUB。
例如,“HUB2”是被选择默认的虚拟HUB,用户“YAS”即使只使用“YAS”字符串也可以连接到虚拟HUB。


3

 

L2TP服务器功能中密码的指定方法


在L2TP用户认证手续上被L2TP ×××客户端所指定的用户名及密码会传递给虚拟HUB的用户认证模块。
因此,需要将L2TP ×××客户端上的用户名及密码事先注册在虚拟HUB上。(如果L2TP ×××客户端上的用户过多,不想一一添加到虚拟HUB,也可以使用“*”用户名,并开启Radius认证以及Active Directory认证等外部用户认证加以解决)
所以,L2TP ×××客户端无法连接证书认证的用户。

 

EtherIP的详细设置


使用EtherIP时,需要点击“EtherIP的详细设置”按钮,事先对EtherIP客户端(路由器等)与×××服务器进行IPsec连接时提示的ISAKMP (IKE) Phase 1的ID字符串、以及连接对象的虚拟HUB及虚拟HUB内的用户设置等项进行注册。

  • NEC IX2015如何使用EtherIP进行连接

4

 

注意事项


启用PacketiX ×××的IPsec功能时,建议停止操作系统自带的、非操作系统自带的、以及之后安装的程序、通信功能及相关服务(如IPsec/L2TP商业程序)。
PacketiX ×××的IPsec / L2TP功能可能会与其他公司开发的类似功能使用同一端口(UDP 500, 4500, 1701),由此可能会造成通信受阻或不能使用的现象。
例如,Windows的“路由与远程访问”功能,请停止。
当PacketiX ×××的IPsec功能启用时,Windows的IPsec占用上述端口的服务会被暂停。

 

有关使用L2TP服务器功能时IP地址自动分配的情况说明

一般来说,L2TP ×××客户端的×××中使用的IP地址并非由手动设置,而是从×××服务器端获取的。

(Windows等一部分操作系统中的L2TP客户端可以进行固定IP地址设置,而iPhone及iPad等则没有固定IP地址设置)
L2TP ×××客户端要连接到虚拟HUB时,需要在虚拟HUB的以太网段上运行DHCP服务器。
通过DHCP服务器,IP地址被自动分配给L2TP ×××客户端。而且,子网掩码、DNS服务器地址、默认网关等×××内部通信所必须的参数也是由DHCP服务器来分配的。因此,如果×××连接对象的虚拟HUB的以太网段没有DHCP服务器存在的话,是不能进行来自L2TP的×××连接的。
 DHCP服务器可以使用站点端的设置,如果连接对象的×××网段没有DHCP服务器,也可以使用SecureNAT功能的虚拟DHCP服务器(每个虚拟HUB都可以运行)。

存在NAT时的注意事项

在×××服务器与客户端之间有NAT的时候,请注意以下事项。
 NAT存在于×××服务器端
在NAT(NAPT)背后设置了已启用IPsec功能的×××服务器时,请将NAT设置为可以将由互联网输送到全球IP地址的网络通信流量中以下种类的流量传送到由×××服务器分配的个人IP地址的形式。

  • 使用L2TP over IPsecEtherIP over IPsec

占用UDP 端口 500, 4500。

  • 使用L2TP(没有IPsec)

占用UDP端口1701

  • 另外,当互联网与×××服务器之间设置了防火墙及数据包过滤的时候,请将上述收发信端口设置为允许数据包通过的状态。
  • 在使用Windows自带的L2TP ×××客户端功能的情况下,连接对象的×××服务器设置在NAT背后时,请按以下解说编辑注册表:
  • Windows XP / Server 2003注册表设置方法
    Windows Vista / 7 / Server 2008 / Server 2008 R2注册表设置方法

NAT×××客户端


PacketiX ×××服务器搭载的IPsec功能支持最新的NAT驱动(RFC 3947 Negotiation of NAT-Traversal in the IKE)。
因此,即使NAT在×××客户端,也没有必要对NAT 进行设置。
但是,如果防火墙和数据包过滤系统设置了白名单,需要使UDP端口500、4500的UDP数据包能够通过。
 


遗憾的是,IPsec协议非常复杂,缺乏统一感而十分难解。经常会出现一些令专业的网络工程师也会感到头痛的问题。
当出现从客户端或路由器无法正常连接到×××服务器上已经启动的IPsec / L2TP / EtherIP等情况时,建议你查看×××服务器的日志记录以确定原因。同时,也不要忽视对×××客户端及路由器日志记录进行参考。

 

 

< PacketiX ××× 3.0 技术手册欢迎进入PacketiX ××× 3.0 的世界>