PPTP配置實例（HiPER ReOS 2008 ×××配置手冊）

（一）、配置HiPER做爲PPTP服務器

圖1 方案——HiPER做爲PPTP服務器

　　

　　在本方案中，某公司總部在上海。在北京有一個分公司但願能夠實現兩地局域網內部資源的相互訪問。該公司還有一些出差和遠程辦公的移動用戶但願在遠程訪問總公司局域網內部資源。

本方案使用PPTP協議創建×××隧道，在上海公司總部使用HiPER ×××網關做爲PPTP服務器，在北京放置任意品牌的標準×××路由器（推薦使用HiPER ×××網關）做爲PPTP客戶端，移動用戶使用Windows操做系統內置的PPTP客戶端軟件。地址以下：

上海（PPTP服務器）：

     局域網網段IP地址：192.168.123.0/24；

     HiPER的LAN口IP地址：192.168.123.1/24；

     HiPER的WAN口IP地址：202.101.35.218/24；

北京（PPTP客戶端）：

     局域網網段IP地址：192.168.16.0/24；

     路由器的LAN口IP地址：192.168.16.1/24；

移動用戶（PPTP客戶端）：

     使用Windows操做系統經過PPTP撥號創建PPTP隧道鏈接。

 

1、 配置HiPER做爲PPTP服務器（LAN到LAN /移動用戶撥入）

 

1.        爲北京的路由器建立PPTP隧道撥入賬號

在×××配置—>PPTP和L2TP中，選擇「添加」選項，而後在配置參數項中依次輸入如下內容：

「設置名」：***_bj

「業務類型」：撥入（服務器）

「用戶類型」：LAN到LAN

「密碼」：***test

「確認密碼」：***test

「密碼驗證方式」：PAP

「遠端內網IP地址」：192.168.16.1（×××隧道對端局域網所使用的IP地址）

「遠端內網網絡掩碼」：255.255.255.0

「分配IP地址」：選中

「地址池開始地址」：10.10.10.10（不能和整個×××方案中全部IP地址段重複）

「地址池地址數」：50

再單擊「保存」按鈕。

 

2.        爲移動用戶建立PPTP隧道撥入賬號

在×××配置—>PPTP和L2TP中，選擇「添加」選項，而後在配置參數項中依次輸入如下內容：

「設置名」：***_mobile

「業務類型」：撥入（服務器）

「用戶類型」：移動用戶

「密碼」：***test

「確認密碼」：***test

「密碼驗證方式」：PAP

「分配IP地址」：選中（同本節1中配置）

「地址池開始地址」：10.10.10.10（同本節1中配置）

「地址池地址數」：50（本節同1中配置）

再單擊「保存」按鈕。

 

2、 配置HiPER做爲PPTP客戶端（LAN到LAN）

配置同（配置HiPER做爲PPTP客戶端）。

在 ××× 配置—>PPTP 和L2TP中，選擇「添加」選項，而後在配置參數項中依次輸入如下內容：

「設置名」：***_sh

「業務類型」：撥出（客戶端）

「用戶名」：***_bj

「協議類型」：PPTP

「密碼」：***test

「確認密碼」：***test

「密碼驗證方式」：PAP

「遠端內網IP地址」：192.168.123.1（×××隧道對端局域網所使用的IP地址）

「遠端內網子網掩碼」：255.255.255.0

「隧道服務器地址(名)」：202.101.35.218

再單擊「保存」按鈕。

 

3、配置Windows 2000做爲PPTP客戶端（移動用戶）

按照如下步驟配置Windows 2000計算機，使其成爲PPTP客戶端。

 

1.        配置PPTP撥號鏈接：

1） 進入Windows 2000的「開始」à「設置」à「網絡和撥號鏈接」à「新建鏈接」。

2） 啓動「網絡鏈接嚮導」，單擊「下一步」。

3） 在「網絡鏈接類型」中，選擇「經過Internet鏈接到專用網絡」，單擊「下一步」。

4） 選擇「不撥初始鏈接」，單擊「下一步」。

5） 在「目的地址」一欄，輸入準備鏈接的PPTP服務器的IP地址「202.101.35.218」，單擊「下一步」。

6） 選擇「只是我本身使用此鏈接」，單擊「下一步」。

7） 輸入「您爲這個鏈接使用的名稱」爲「pptp」。

8） 單擊「完成」。

9） 雙擊「pptp」鏈接，在pptp鏈接窗口，單擊「屬性」。

10）              選擇「安全措施」屬性頁面，選擇「高級（自定義設置）」，單擊「設置」。

11）              在「數據加密」中選擇「可選加密（沒有加密也能夠鏈接）」。

12）              在「容許這些協議」選中「不加密的密碼（PAP）」、「質詢握手身份驗證協議（CHAP）」、「Microsoft CHAP（MS-CHAP）」，單擊「肯定」。

13）              選擇「網絡」屬性頁面，在「我正在呼叫的×××服務器的類型」選擇「點對點隧道協議（PPTP）」。

14）              選擇「網絡」屬性頁面。

15）              確認「NWLink IPX/SPX/NetBIOS Compatible Transport Prococol」協議沒有被選中。

16）              單擊「肯定「，保存所作的修改。

 

2.        使用PPTP隧道鏈接到HiPER PPTP服務器：

1） 確認計算機已經鏈接到Internet（多是撥號鏈接或者是固定IP接入）。

2） 啓動前面步驟中建立的「pptp」撥號鏈接。

3） 輸入的PPTP隧道的用戶名「***_mobile」和密碼「***test」。

4） 單擊「鏈接「。

5） 鏈接成功後，在MS-DOS方式下輸入「ipconfig」，能夠看到一個在PPTP服務器地址池中的地址，就是PPTP服務器分配給本機的IP地址。

 

4、 配置Windows XP做爲PPTP客戶端（移動用戶）

按照如下步驟配置Windows XP計算機，使得它可以鏈接到HiPER PPTP服務器。

 

1.        配置PPTP撥號鏈接：

1）   進入Windows XP的「開始」à「設置」à「控制面板」，選擇「切換到分類視圖」。

2）   選擇「網絡和Internet鏈接」。

3）   選擇「創建一個您的工做位置的網絡鏈接」。

4）   選擇「虛擬專用網絡鏈接」，單擊「下一步」。

5）   爲鏈接輸入一個名字爲「pptp」，單擊「下一步」。

6）   選擇「不撥此初始鏈接」，單擊「下一步」。

7）   輸入準備鏈接的PPTP服務器的IP地址「202.101.35.218」，單擊「下一步」。

8）   單擊「完成」。

9）   雙擊「pptp」鏈接，在pptp鏈接窗口，單擊「屬性」。

10）選擇「安全」屬性頁面，選擇「高級（自定義設置）」，單擊「設置」。

11）在「數據加密」中選擇「可選加密（沒有加密也能夠鏈接）」。

12）在「容許這些協議」選中「不加密的密碼（PAP）」、「質詢握手身份驗證協議（CHAP）」、「Microsoft CHAP（MS-CHAP）」，單擊「肯定」。

13）選擇「網絡」屬性頁面，在「×××類型」選擇「PPTP ×××」。

14）確認「Internet協議（TCP/IP）」被選中。

15）確認「NWLink IPX/SPX/NetBIOS Compatible Transport Prococol」、「微軟網絡文件和打印共享」、「微軟網絡客戶」協議沒有被選中。

16）單擊「肯定」，保存所作的修改。

 

2.        使用PPTP隧道鏈接到HiPER PPTP服務器：

1） 確認計算機已經鏈接到Internet（多是撥號鏈接或者是固定IP接入）。

2） 啓動前面步驟中建立的「pptp」撥號鏈接。

3） 輸入的pptp 用戶名「***_mobile」和密碼「***test」。

4） 單擊「鏈接」。

5） 鏈接成功後，在MS-DOS方式下輸入「ipconfig」，能夠看到一個在PPTP服務器地址池中的地址，就是PPTP服務器分配給本機的IP地址。

 

5、 相關狀態信息

　　在×××配置—>PPTP和L2TP的「PPTP/L2TP信息列表」，檢查HiPER（PPTP服務器）鏈接後的相關狀態信息，如表一、表2所示。

 

表1   HiPER做爲PPTP服務器— PPTP/L2TP信息列表

 

表2   HiPER做爲PPTP服務器— PPTP/L2TP信息列表（續表5-10）

 

　　當PPTP客戶端成功鏈接到PPTP服務器以後，「會話狀態」由「關閉」變成「已鏈接」，「協議類型」顯示爲「PPTP」。同時「虛接口地址」顯示爲分配給PPTP客戶端的IP地址。此時「使用時間」開始計時，若是隧道有數據流量，那麼「出流量」和「入流量」則開始計數。若是隧道沒有數據流量，那麼「空閒時間」開始計時。

 

（二）、   配置HiPER做爲PPTP客戶端

圖2    方案——HiPER做爲PPTP客戶端

 

　　在本方案中，某公司總部在上海。在北京有一個分公司但願能夠實現兩地局域網內部資源的相互訪問。

本方案使用PPTP協議創建×××隧道，在上海公司總部使用任意品牌的標準×××路由器（推薦使用HiPER ×××網關）PPTP服務器，在北京分公司使用HiPER ×××網關做爲PPTP客戶端。地址以下：

上海（PPTP服務器）：

     局域網網段IP地址：192.168.123.0/24；

     路由器的LAN口IP地址：192.168.123.1/24；

     路由器的WAN口IP地址：202.101.35.218/24；

北京（PPTP客戶端）：

     局域網網段IP地址：192.168.16.0/24；

     HiPER的LAN口IP地址：192.168.16.1/24；

 

1、 配置HiPER做爲PPTP客戶端（LAN到LAN）

在×××配置—>PPTP和L2TP中，選擇「添加」選項，而後在配置參數項中依次輸入如下內容：

「設置名」：***_sh

「業務類型」：撥出（客戶端）

「用戶名」：***_bj

「協議類型」：PPTP

「密碼」：***test

「確認密碼」：***test

「密碼驗證方式」：PAP

「遠端內網IP地址」：192.168.123.1（×××隧道對端局域網所使用的IP地址）

「遠端內網子網掩碼」：255.255.255.0

「隧道服務器地址(名)」：202.101.35.218

再單擊「保存」按鈕。

 

2、 配置HiPER做爲PPTP服務器（LAN到LAN）

配置同章節5.3.1.1「配置HiPER做爲PPTP服務器」。

 

3、 配置Windows 2000 Server做爲PPTP服務器（LAN到LAN）

按照如下步驟配置Windows 2000 Server計算機，使其成爲PPTP服務器。

 

1.        設置「路由和遠程訪問」服務：

1） 進入Windows 2000 Server的「開始」à「程序」à「管理工具」à「路由和遠程訪問」配置界面，如圖3所示。

 圖3  路由和遠程訪問界面一

 

2） 擇「服務器狀態」，單擊鼠標右鍵，選擇「添加服務器」；

3） 選擇「這臺計算機」，單擊肯定，進入如圖4 所示界面；

圖4   路由和遠程訪問界面二

 

4） 選擇上一步添加的計算機，單擊鼠標右鍵，選擇「配置和啓用路由和遠程訪問」。

5） 單擊「下一步」。

6） 選擇「手動配置服務器」，單擊「下一步」。

7） 單擊「完成」。

8） 單擊「是」，以開啓「路由和遠程訪問」服務，如圖5 。

圖5   路由和遠程訪問界面三

 

9） 選擇「SERVER」，單擊鼠標右鍵，選擇「屬性」。

圖6  路由和遠程訪問界面四

 

10）              進入「常規」屬性頁面（如圖6 所示），在「啓用此計算機做爲」選中「路由器」、「用於局域網和請求撥號路由選擇」、「遠程訪問服務器」。

11）              進入「安全」屬性頁面，在「驗證提供程序」，選擇「Windows身份驗證」，單擊「身份驗證方法」，進入如圖7所示界面。

12）              選中「Microsoft加密身份驗證（MS-CHAP）」、「加密身份驗證（CHAP）」、「不加密的密碼（PAP）」，單擊「肯定」。

圖7 身份驗證方法界面

 

13）              進入「IP」屬性頁面，選中「啓用IP路由」，選中「容許基於IP的遠程訪問和請求撥號鏈接」。選擇「靜態地址池」，單擊「添加」，進入如圖8 所示界面。

14）              輸入起始IP地址「192.168.123.201」，地址數「50」（輸入Windows 2000 Server局域網端口所在網段一段空閒的IP地址），單擊肯定。

圖8 新建地址範圍界面

 

15）              在「適配器」，選中「容許RAS選擇適配器」（若是計算機只安裝了一塊網卡，看不到此選項），單擊「肯定」。

16）              選擇「遠程訪問策略」，單擊鼠標右鍵，選擇「新建遠程訪問策略」。

17）              填入遠程訪問策略的名稱「***」，單擊「下一步」。

18）              單擊「添加」。

19）              選中「NAS-Port-Type」，單擊「添加」，如圖9 所示。

20）              將「可用類型」「Virtual（×××）」添加到「選擇的類型」中，單擊「肯定」。

圖9   NAS-Port-Type界面

 

21）              單擊「下一步」。

22）              選中「授予遠程訪問權限」，單擊「下一步」。

23）              單擊「編輯配置文件」，進入如圖10 所示界面。

24）              在「身份驗證」屬性頁面，選中「Microsoft加密身份驗證（MS-CHAP）」、「加密身份驗證（CHAP）」、「未加密的密碼（PAP，SPAP）」，單擊肯定。

圖10  編輯撥入配置文件界面

 

25）              單擊「肯定」。

26）              選中「端口」，單擊鼠標右鍵，選擇「屬性」。

27）              選中「WAN微型端口（PPTP）」，單擊「配置」，進入如圖11 所示界面。

28）              根據實際PPTP客戶端的數量，調整「最多端口數」，單擊肯定。

圖11 配置設備界面

 

29）              路由和遠程訪問服務配置完成。

 

3.        配置撥入的×××用戶賬號：

1） 進入Windows 2000 Server的開始à程序à管理工具à計算機管理（注意：若是配置了Windows 2000 Server成爲域控制器，能夠在Active Directory的用戶管理中添加用戶賬號）。

2） 選中「本地用戶和組」à「用戶」，單擊鼠標右鍵，選擇「新用戶」，進入如圖12 所示界面。

3） 首先依次填入如下參數，而後單擊「建立」按鈕。

「用戶名」：***_bj

「密碼」：***test

「確認密碼」：***test

「用戶下次登陸時須更改密碼」：取消選中

「用戶不能更改密碼」：選中

「密碼永不過時」：選中

圖12  新用戶界面

 

4） 選中上一步新建的「***_bj」用戶，單擊鼠標右鍵，選擇屬性。

5） 在「撥入」屬性頁面，在「遠程訪問權限」選擇「經過遠程訪問策略控制訪問」。

6） 在「回撥選項」選擇「不回撥」。

7） 選中「分配靜態IP地址」，從地址池中選擇一個IP地址192.168.123.240（在「路由和遠程訪問」中第14步配置）做爲分配給此賬號的IP地址。

8） 選中「應用靜態路由」。

9） 單擊「添加路由」，進入如圖13 所示界面。

10）              填入北京路由器局域網的網段，目標：192.168.16.0，網絡掩碼：255.255.255.0，躍點數「1」，單擊肯定。

圖13  添加靜態路由界面

 

11）              單擊兩次「肯定」。

12）              ×××用戶賬號配置完成。

4.        查看PPTP隧道鏈接狀態：

進入Windows 2000 Server的「開始」à「程序」à「管理工具」à「路由和遠程訪問」，選中「遠程訪問客戶端」，能夠在窗口右側看到撥入的用戶信息。

雙擊「撥入的用戶」，能夠查看一些實時的PPTP隧道鏈接信息，如圖14 所示。

圖14 ×××狀態信息界面

 

4、 配置Cisco路由器做爲PPTP服務器（LAN到LAN）

        按照如下步驟配置Cisco路由器，使其成爲PPTP服務器。Cisco在作×××接入的時候，必須配置Radius Server爲Cisco驗證用戶身份、添加用戶路由。

圖15 方案——Cisco路由器做爲PPTP服務器

 

1.        配置Cisco成爲PPTP服務器

//配置PPTP服務器的全局參數

vpdn enable

vpdn-group 1

     accept-dialin

    protocol PPTP

    virtual-template 1

     local name runway

 lcp renegotiation always

//配置PPTP服務器的Virtual-Template（IP地址unnumbered路由器WAN口）

interface Virtual-Template1

     ip unnumbered Ethernet0/0

     peer default ip address pool default

     ppp authentication pap

//配置PPTP地址池

ip local pool default 10.0.0.1 10.0.0.254

 

2.        配置Cisco成爲Radius Client

//配置一個Cisco訪問賬號

username admin password admin321

//配置Cisco的AAA

aaa new-model

aaa authentication login default local

aaa authentication ppp default group radius local

aaa authorization network default group radius local

aaa accounting exec default start-stop group radius

aaa accounting network default start-stop group radius

//配置Radius服務器的IP地址和口令

radius-server host 192.168.123.10 auth-port 1812 acct-port 1813

radius-server retransmit 3

radius-server key testing123

 

3.        在Windows 2000 Server上安裝「Internet驗證服務」：

1）   進入Windows 2000 Server的「開始」à「設置」à「控制面板」à「添加/刪除程序」。

2）   選擇「添加/刪除Windows組件」。

3）   選擇「組件」à「網絡服務」à「Internet驗證服務」，單擊「肯定」。

4）   若是須要的話插入Microsoft Windows 2000 Server安裝軟盤或者CD。

 

4.        配置Windows 2000 Server的Internet驗證服務」服務：

1）   進入Windows 2000 Server的「開始」à「程序」à「管理工具」à 「Internet驗證服務」配置界面，如圖16 所示。

圖16  Internet驗證服務界面

 

2）   選中「客戶端」，單擊鼠標右鍵，選擇「新建客戶端」。

3）   「爲客戶端輸入一個好記的名稱」填入「cisco」，「協議」選擇「RADIUS」，單擊「下一步」，進入如圖17 所示界面。

4）   填入「客戶端地址（IP或DNS）」：192.168.123.1；「客戶端-供應商」：RADIUS Standard；「共享的機密」：testing123；「確認共享的機密」：testing123。確認「客戶端必須老是在請求中發送簽名屬性」沒有被選中，而後單擊「完成」。

圖17  cisco屬性界面

 

5）   選擇「遠程訪問策略」，單擊鼠標右鍵，選擇「新建遠程訪問策略」。

6）   填入遠程訪問策略的名稱「cisco」，單擊「下一步」。

7）   單擊「添加」，進入如圖18 所示界面。

圖18 選擇屬性界面

 

8）   選中「Day-And-Time-Restrictions」，單擊「添加」，進入如圖19 所示界面。

圖19  選擇屬性界面

 

9）   選擇「容許」，單擊「肯定」。

10）選中「授予遠程訪問權限」，單擊「下一步」。

11）單擊「編輯配置文件」。

12）在「身份驗證」屬性頁面（如圖20 所示），選中「Microsoft加密身份驗證（MS-CHAP）」、「加密身份驗證（CHAP）」、「未加密的密碼（PAP，SPAP）」，單擊「肯定」。

圖20 編輯撥入配置文件界面

 

13）單擊「肯定」。

 

5.        配置撥入的×××用戶賬號：

1）   進入Windows 2000 Server的「開始」à「程序」à「管理工具」à「計算機管理」（注意：若是配置了Windows 2000 Server成爲域控制器，能夠在Active Directory的用戶管理中添加用戶賬號）。

2）   選中「本地用戶和組」à「用戶」，單擊鼠標右鍵，選擇「新用戶」，進入如圖21 所示界面。

3）   首先依次填入如下參數，而後單擊「建立」按鈕。

「用戶名」：***_bj

「密碼」：***test

「確認密碼」：***test

「用戶下次登陸時須更改密碼」：取消選中

「用戶不能更改密碼」：選中

「密碼永不過時」：選中

圖21 新用戶界面

 

4）   選中上一步新建的「***_bj」用戶，單擊鼠標右鍵，選擇「屬性」。

5）   在「撥入」屬性頁面，在「遠程訪問權限」選擇「經過遠程訪問策略控制訪問」。

6）   在「回撥選項」選擇「不回撥」。

7）   選中「分配靜態IP地址」，從Cisco ×××地址池中選擇一個IP地址10.0.0.123（在「路由和遠程訪問」中第14步配置）做爲分配給此賬號的IP地址。

8）   選中「應用靜態路由」。

9）   單擊「添加路由」，進入如圖22 所示界面。

10）填入北京路由器局域網的網段，目標：192.168.16.0，網絡掩碼：255.255.255.0，躍點數「1」，單擊「肯定」。

圖22  添加靜態路由界面

 

11）單擊兩次「肯定」。

12）×××用戶賬號配置完成。

 

5、 配置Fortigate防火牆做爲PPTP服務器（LAN到LAN）

按照如下步驟配置Fortigate防火牆（注：本手冊使用的是Fortigate 300A產品），使其成爲PPTP客戶端。

1.        配置用戶：

1）   進入Fortigate防火牆的的「設置用戶」à「本地」頁面，單擊「新建」，進入如圖23 所示界面。

2）   輸入L2TP ×××的「用戶名稱」爲「***_bj」；「輸入密碼」爲「***test」，單擊「OK」。

圖23  新建用戶界面

 

2.        配置用戶組：

1）   進入Fortigate防火牆的「設置用戶」à「用戶組」，單擊「新建」，進入如圖24 所示界面。

2）   填入「組名」爲「pptp」，將「***_bj」用戶添加到組員中去。單擊「OK」。

圖24  新建用戶組界面

 

3.        啓用PPTP：

1）   進入Fortigate防火牆的à「虛擬專網」à「PPTP」，進入如圖25 所示界面。

2）   選中「啓用PPTP」，設置「起始IP」爲10.10.10.1，「終止IP」爲10.10.10.10（任意其餘網段一段空閒的IP地址），「用戶組」選擇上一步新建的「pptp」用戶組，單擊「應用」按鈕。

圖25  啓用PPTP界面

 

4.        設置防火牆策略：

1）   進入Fortigate防火牆的「防火牆」à「地址」頁面。

2）   單擊「新建」，進入如圖26 所示界面。

3）   設置地址名稱爲「lan123」，類型爲「子網/IP範圍」，「子網/IP範圍」爲Fortigate防火牆的局域網網段「192.168.123.0/255.255.255.0」，接口選擇用於鏈接局域網的端口，本例選擇「port1口」，單擊「OK」按鈕。

 

 

圖26  新設地址界面一

 

4）   單擊「新建」，進入如圖27 所示界面。

5）   設置地址名稱爲「***20」，類型爲「子網/IP範圍」 「子網/IP範圍」爲第3步設置的Fortigate防火牆的PPTP地址池所在的網段「10.10.10.0/255.255.255.0」，接口選擇爲用於鏈接外網的端口（即WAN1），本例中選擇「port 6」，單擊「OK」。

圖27 新設地址界面二

 

6）   進入Fortigate防火牆的「防火牆」à「策略」頁面。

7）   單擊「新建」，進入如圖28 所示界面。

8）   「源接口/區」選擇「port6」,「源地址」選擇上面設定的「***20」地址段，「目的接口/區」選擇「port1」，「目的地址」選擇上面設定的「lan123」地址段，完成其餘防火牆設置策略後單擊「OK」。

圖28  新建輸出策略界面

 

  提示：Fortigate防火牆只支持移動用戶的接入，若是想實現一個局域網經過路由器鏈接到Fortigate防火牆，就必須在PPTP/L2TP隧道鏈接上啓用NAT，能夠參考章節5.4.1裏面的設置，可是這樣只能是實現PPTP/L2TP客戶端局域網到Fortigate防火牆端局域網的單向訪問。

 

6、 相關狀態信息

　　在×××配置—>PPTP和L2TP的「PPTP/L2TP信息列表」中，檢查HiPER ×××網關（做爲PPTP客戶端）鏈接先後的相關狀態信息，如表三、表4 所示。

表3 HiPER做爲L2TP客戶端— PPTP/L2TP信息列表

 

表4  HiPER做爲L2TP客戶端— PPTP/L2TP信息列表（續表5-12）

 

　　當PPTP客戶端成功鏈接到PPTP服務器以後，「會話狀態」由「關閉」變成「已鏈接」，同時得到PPTP服務器分配的「虛接口地址」爲「10.10.10.10」。此時「使用時間」開始計時，若是隧道有數據流量，那麼「出流量」和「入流量」開始計數。若是隧道沒有數據流量，那麼「空閒時間」開始計時。