Taustaa & Tietoa

L2TP/IPSec on eräs tunnelointiprotokolla, mitä käytetään VPN-yhteyksien luotniin. Itsessään L2TP ei tarjoa mitään kryptausta vaan tässäkin esimerkissä se _naitetaan_ IPSec-protokollan kanssa, joka suojaa yhteyden ja datan. VPN-palvelu löytyy itsessään Windows 2008 R2:sta, ja sitä käytetään tässä malliesimerkissä. Tässä esimerkissä tehdään myös Windows-palvelimesta reititin tekemällä siihen osoitteenmuutos (NAT).

Esimerkin ympäristö

Windows Server 2008 R2

• Domain: int.lawcomp.org
• Koneen nimi: lawcompsrv1.int.lawcomp.org
• Tarvittavat lisäpalvelut: NPS (RRAS)
• Sisäverkon verkkokortti: IP: 192.168.248.32, NETMASK: 255.255.255.0, GW: -
• Ulkoverkon verkkokortti: IP: 192.168.255.239, NETMASK: 255.255.255.0, GW: 192.168.255.1

Windows 7

• Domain: int.lawcomp.org
• Verkkokortti: DHCP

Palvelimen konfigurointi

Luo AD:seen käyttäjä, jolle kirjautumisoikeus annetaan. Vaihda käyttäjän Dial-in -välilehdeltä Network Access Permission arvoksi Allow access.

Avaa RRAS:n hallintakonsoli ja valitse palvelimen päältä oikealla hiirellä avautuvasta valikosta Configure and Enable Routing and Remote Access.

Etene johdantotekstin ohi painamalla Next ja saavut valikkoon, mistä sinun tulee valita RRAS-konfigurointityyppi. Valitse Custom configuration ja paina Next.

Valitse ikkunasta seuraavat valinnat: VPN access, NAT ja Lan Routing ja etene painamalla Next.

Hyväksy viimeisellä sivulla painamalla Finnish ja käynnistä palvelu avautuvasta ikkunasta painamalla Start service.

Avaa RRAS:sin valikosta IPv4-kohta ja sieltä NAT, jonka päällä klikkaa oikealla hiiren napilla avautuvasta valikosta New Interface....

Valitse avautuvasta valikosta haluamasi sisäverkon verkkokortti ja paina OK. Valitse avautuneesta asetusikkunasta Private interface ja valitse OK.

Nyt tee sama asia uudestaan, mutta valitse ulkoverkon verkkokortti ja valitse asetusikkunasta Public interface ja laita ruksi samalla kohtaan Enable NAT on this interface.

Nyt NAT-verkkojen tulisi näyttää tältä. Olen nimennyt omat verkkokortit selkeyden vuoksi nimillä Inside ja Outside, joten älä välitä niistä.

Klikkaa nyt RRAS:ssa oikealla palvelimen päältä ja valitse Properties.

Ruksaa Security-välilehdeltä Allow custom IPsec policy for L2TP connection ja kirjoita ruutuun haluttu PreShared Key. Itse käytän esimerkissä avainta london2011.

Hyväksyttyäsi asetukset, pyytää RRAS, että käynnistät sen uudelleen. Hyväksy ilmoitus painamalla OK.

Klikkaa oikealla hiiren napilla RRAS:ssa palvelimen päältä, valitse All Tasks ja Restart käynnistääksesi palvelun uudelleen. Tämän jälkeen palvelinpuoli on konfiguroitu toimivaksi.

Clientin konfigurointi

Avaa Windows 7:ssa Network and Sharing Center ja valitse sieltä Set up a new connection or network.

Valitse Connection to a workplace

Valitse Use my Internet connection (VPN)

Syötä Internet adderess: -kenttään VPN-osoitteesi tai VPN-palvelimesi julkinen IP-osoite. Anna yhteydelle myös nimi ja ruksaa kohta Don't connect now; just set up so I can connect later.

Anna seuraavan sivun kenttään käyttäjän tiedot.

Hyväksy tekemäsi verkko valitsemalla Close

Valitse oikealta alhaalta verkkojen ikoni ja sieltä luodun VPN-verkon asetukset klikkaamalla oikealla ja valitsemalla Properties -kyseisen yhteyden päältä.

Mene Security -välilehdelle ja valitse VPN:n tyypikis ylimpään valikkoon Layer 2 Tunneling Protocol with IPSec (L2TP/IPSec). Valitse painike Advanced ja sieltä kohta Use preshared key for authentication. Syötä aktivoituvaan kenttään sama preshared key, minkä syötit palvelimelle. Esimerkissä london2011

Nyt voit yhdistää tunnuksilla VPN-verkkoon, kun olet jossain muussa kuin työpaikkasi sisäverkossa. Näet yhteyden nousseen onnistuneesti ylös yhteysnäkymästä, kun yhteyden tila on Connected.

Palvelin NAT:in takana

Jos L2TP/IPSEC-palvelin on nattauksen takana, ei yhteys muodostu johtuen Windowsin asiakaspuolen "ominaisuudesta". Yhteyden kättelytiedot voivat joutua väärin reititetyiksi, jonka vuoksi oletuksena yhteys NAT:in takaa ei ole sallittu. Ongelma korjautuu rekisterimuutoksella:

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
 DWORD -> AssumeUDPEncapsulationContextOnSendRule = 2

Tämän ohjeen kirjoitti: Markus Lintuala 17. heinäkuuta 2011 kello 18.32 (EEST)