之前就遇到這問題 處理方式也是用最簡單的允許所有網路流量

這次終於決定去查了一下相關資訊 (果然是平時多拜神有益身心健康 :D)

首先當然要了解 VPN使用的通訊協定  果然在M$下就找到了

VPN 通道通訊協定

適用於: Windows Server 2008

通道可將一種通訊協定類型中的封包封裝在另一個通訊協定的資料包中。例如,VPN 使用 PPTP 透過公用網路 (例如,網際網路) 來封裝 IP 封包。可以設定以「點對點通道通訊協定」(PPTP)、「第二層通道通訊協定」(L2TP) 或「安全通訊端通道通訊協定」(SSTP) 為基礎的 VPN 解決方案。

PPTP、L2TP 和 SSTP 高度倚賴一開始指定給「點對點通道通訊協定」(PPTP) 的功能。PPP 是專為透過撥號或專用點對點連線傳送資料所設計。對於 IP,PPP 將 IP 封包封裝於 PPP 框架內,然後透過點對點連結傳輸封裝的 PPP 封包。PPP 一開始定義為在撥號用戶端和網路存取伺服器之間使用的通訊協定。

PPTP

PPTP 允許加密多重通訊協定流量,然後封裝在 IP 標頭裡,以透過 IP 網路或公用 IP 網路 (例如,網際網路) 傳送。PPTP 可用於遠端存取和站對站 VPN 連線。在使用網際網路作為 VPN 的公用網路時,PPTP 伺服器是啟用 PPTP 的 VPN 伺服器,一個介面在網際網路上,而第二個介面在內部網路上。

封裝

PPTP 將 PPP 框架封裝在 IP 資料包中以便透過網路傳輸。PPTP 使用 TCP 連線進行通道管理,並使用 Generic Routing Encapsulation (GRE) 的修改版來封裝通道資料之 PPP 框架。封裝之 PPP 框架的承載可以加密、壓縮,或兩者皆使用。下圖顯示包含 IP 資料包的 PPTP 封包之結構。

包含 IP 資料包的 PPTP 封包之結構

包含 IP 資料包的 PPTP 封包結構

加密

PPP 框架使用 MS-CHAP v2 或 EAP-TLS 驗證程序產生的加密金鑰,來以 Microsoft 點對點加密 (MPPE) 進行加密。虛擬私人網路用戶端必須用 MS-CHAP v2 或 EAP-TLS 驗證通訊協定,才能夠加密 PPP 框架的承載。PPTP 利用基本 PPP 加密,並封裝先前加密的 PPP 框架。

L2TP

L2TP 允許加密多重通訊協定流量,然後透過任何支援點對點資料包傳送的媒體 (例如:IP 或非同步傳輸模式 (ATM)) 來傳送。L2TP 是 PPTP 和「第二層轉送」(L2F) 的組合,這是 Cisco Systems, Inc. 所開發的技術。L2TP 可呈現 PPTP 和 L2F 的最佳功能。

和 PPTP 不同,Microsoft 所執行的 L2TP 不使用 MPPE 來加密 PPP 資料包。L2TP 仰賴「傳輸模式」中的「網際網路通訊協定安全性」(IPsec) 來進行加密服務。L2TP 和 IPsec 的組合即所謂 L2TP/IPsec。

VPN 用戶端和 VPN 伺服器都必須支援 L2TP 和 IPsec。L2TP 的用戶端支援內建於 Windows Vista® 和 Windows XP 遠端存取用戶端,而 L2TP 的 VPN 伺服器支援內建於 Windows Server® 2008 和 Windows Server 2003 家族的成員中。

L2TP 是使用 TCP/IP 通訊協定來安裝。

封裝

L2TP/IPsec 封包的封裝包含兩個層級:

第一層:L2TP 封裝

將 PPP 框架 (IP 資料包) 包裝於 L2TP 標頭和 UDP 標頭。

包含 IP 資料包的 L2TP 封包之結構

包含 IP 資料包的 L2TP 封包結構
第二層:IPsec 封裝

然後將結果 L2TP 訊息包裝在 IPsec「封裝安全承載」(ESP) 標頭和尾端、提供訊息完整性及驗證的 IPsec 驗證尾端,然後是最終 IP 標頭。在 IP 標頭中的是對應到 VPN 用戶端和 VPN 伺服器的來源及目的地 IP 位址。

以 IPsec ESP 加密 L2TP 流量

使用 IPsec ESP 加密 L2TP 流量

加密

L2TP 訊息可使用「網際網路金鑰交換」(IKE) 交涉處理產生的加密金鑰,以「資料加密標準」(DES) 或「三重資料加密標準」(3DES) 進行加密。

SSTP

「安全通訊端通道通訊協定」(SSTP) 是新的通道通訊協定,透過 TCP 通訊埠 443 使用 HTTPS 通訊協定,將流量傳遞通過可能會封鎖 PPTP 和 L2TP/IPsec 流量的防火牆和網路 Proxy。SSTP 提供透過 HTTPS 通訊協定的「安全通訊端層」(SSL) 通道來封裝 PPP 流量的機制。使用 PPP 可支援強式驗證方法,如 EAP-TLS。SSL 利用增強金鑰交涉、加密和完整性檢查來提供傳輸層安全性。

當用戶端嘗試建立以 SSTP 為基礎的 VPN 連線時,SSTP 首先會建立 SSTP 伺服器的雙向 HTTPS 層。透過此 HTTPS 層,通訊協定封包可如資料承載一般傳送。

封裝

SSTP 將 PPP 框架封裝在 IP 資料包中以便透過網路傳輸。SSTP 使用 TCP 連線 (透過通訊埠 443) 來進行通道管理,和 PPP 資料框架一樣。

加密

SSTP 訊息是以 HTTPS 通訊協定的 SSL 通道進行加密。

選擇通道通訊協定

當您要在 PPTP、L2TP/IPsec 和 SSTP 遠端存取 VPN 解決方案中做選擇時,請考量下列事項:

  • 許多 Microsoft 用戶端都能使用 PPTP,包括 Microsoft Windows 2000、Windows XP、Windows Vista 以及 Windows Server 2008。和 L2TP/IPsec 不同,PPTP 不需要使用公開金鑰基礎結構 (PKI)。透過使用加密,以 PPTP 為基礎的 VPN 連線可機密地提供資料 (沒有加密金鑰就無法解譯擷取的封包)。但是,以 PPTP 為基礎的 VPN 連線不提供資料完整性 (證明資料在傳輸途中沒有修改) 或資料來源驗證 (證明資料是由授權的使用者所傳送)。

  • L2TP 只能夠在執行 Windows 2000、Windows XP 或 Windows Vista 的用戶端電腦使用。L2TP 支援電腦憑證或預先共用金鑰作為 IPsec 的驗證方法。電腦憑證驗證 (建議的驗證方法) 必須要有 PKI 來簽發電腦憑證給 VPN 伺服器電腦和所有 VPN 用戶端電腦。透過使用 IPsec,L2TP/IPsec VPN 連線可提供資料機密性、資料完整性和資料驗證。

    和 PPTP 及 SSTP 不同,L2TP/IPsec 在 IPsec 層啟用機器驗證,而在 PPP 層啟用使用者層級驗證。

  • SSTP 只能夠在執行 Windows Vista Service Pack 1 (SP1) 或 Windows Server 2008 的用戶端電腦使用。透過使用 SSL,SSTP VPN 連線可提供資料機密性、資料完整性和資料驗證。

  • 三種通道類型均將 PPP 框架攜帶於網路通訊協定堆疊的最上層。因此,PPP 的一般功能 (例如,驗證機制、第四版網際網路協定 (IPv4)、第六版網際網路協定 (IPV6) 交涉,以及網路存取保護 (NAP)) 仍然和三種通道類型一樣。

 

看到這裡 就將PPTP及L2TP通通給他開啟了   結果試了一下 還是失敗.......又拜了一下神 提示是 PPTP+GRE即可 所以又到M$找了一下GRE 

 

「一般路由封裝 」 (GRE) 通訊協定是建立虛擬私人網路 (VPN) 用戶端之間或用戶端和伺服器之間使用點對點通道通訊協定 (PPTP) 一起使用。

其中一個受歡迎的實作是使用 Microsoft 的 VPN 技術,如下所示,針對 LAN LAN 路由,設定的兩個路由及遠端存取服務 (RRAS) 伺服器之間: 

Lclient           L-RRAS ===== VPN ===== R-RRAS           Rclient
    |      IP      |  |      Internet     |  |      IP      |
     --------------    -------------------    --------------

若要進一步瞭解使用 GRE 來建立及使用 VPN,很有幫助瞭解封包結構。PPTP 控制項之後建立工作階段,GRE 用來封裝資料或內容以安全的方式。取得更多資訊有關 PPTP 按一下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:

241252  (http://support.microsoft.com/kb/241252/EN-US/ ) VPN 通道-PPTP 通訊協定封包說明和使用

GRE 封包格式,Microsoft 使用來封裝資料有下列的一般形式: 

   +-----------------------------------+
   | Data Link (D/L) Header            | 
   +-----------------------------------+
   | IP Header                         | 
   +-----------------------------------+
   | GRE Header                        | 
   +-----------------------------------+
   | PPP Header                        | 
   +-----------------------------------+
   | Encrypted PPP Payload             | 
   +-----------------------------------+
   | Data Link Trailer                 | 
   +-----------------------------------+

設定點對點通訊協定 (PPP) 標頭並再放在 GRE 封包內的資料或即將要通過通道的內容。GRE 封包會沿用將兩個通道結束點的資料。GRE 封包已經抵達最終目的地 (通道端點) 之後會被捨棄,並且封裝的封包再傳輸到最終目的地。

使 用 [此區段上方的 [圖表],Lclient 從一個網際網路通訊協定 (IP) 封包是第一次傳送至 L RRAS 伺服器。IP 封包是加密、 提供額外的 PPP 標頭,然後放在 GRE 封包內。因為 PPP 標頭也加密與資料一併如下圖說 「 PPP 虛設常式"和不"PPP 標頭 」。雖然它不能看到它,GRE 通訊協定均設定為 [知道 PPP 標頭的存在。GRE 封包,以封裝和加密的資料會傳送透過網際網路與最終目的地的 R RRAS 伺服器。R RRAS 伺服器刪除關閉 GRE 標頭和 PPP 標頭,並會傳輸至 Rclient 解密的資料 (IP 封包)。 

Lclient           L-RRAS ===== VPN ===== R-RRAS           Rclient
    |      IP      |  |      Internet     |  |      IP      |
     --------------    -------------------    --------------
    D/L header             D/L header            D/L header
    IP header              IP header             IP header
    Payload                GRE header            Payload
                           PPP stub
                           Payload (encrypted)
				

所以L2TP 在VPN上的功用 到底...這裡就不探討了 ~~~有興趣換你去拜神XD

 

創作者介紹
創作者 不求甚解的部落格 的頭像

不求甚解的部落格

賊 發表在 痞客邦 留言(0) 人氣( 0 )

▲top

請先 登入 以發表留言。