Московский государственный университет имени М.В.Ломоносова
Опубликован: 28.11.2014 | Доступ: свободный | Студентов: 1379 / 124 | Длительность: 23:26:00
ISBN: 978-5-9556-0163-2
Лабораторная работа 10:

Соединение двух сетей протоколом L2TP/IPSec в транспортном режиме, для одной из локальных сетей используется NAT

< Лабораторная работа 9 || Лабораторная работа 10 || Лекция 11 >

Цель

Соединить две сети, расположенные за межсетевыми экранами, VPN с использованием семейства протоколов IPSec. VPN с использованием IPSec будем создавать в транспортном режиме. Для туннеля между двумя ло-кальными сетями будет использовать протокол L2TP. Локальная сеть, рас-положенная за L2TP-клиентом, используется NAT.

Топология сети аналогична топологии VPN/IPSec.

Топология


Описание практической работы

Межсетевой Экран 1

Все установки аналогичны установкам предыдущей лабораторной работы. Опишем только установки, которые отличаются от установок предыдущей лабораторной работы.

L2TP- и IPSec-Интерфейсы

NAT выполняется для L2TP-адресов. Поддержка NAT для IPSec не требуется


Правила фильтрования

В Правилах фильтрования вместо действия Allow следует указать действие NAT.


Межсетевой Экран 2

L2TP- и IPSec-Интерфейсы

NAT выполняется для L2TP-адресов. Поддержка NATдля IPSec не требуется.


Правила фильтрования

В Правилах фильтрования вместо сети remote_lan следует указать пул IP-адресов, из которого выделяется IP-адрес противоположной стороне L2TP-туннеля.

Веб-интерфейс:

Rules→IPRules→l2tp

Командная строка

set IPRule 1 DestinationNetwork=l2tp/l2tp_pool

Аутентификация на уровне пользователя

В описании параметров пользователя вместо сети remote_lan следует указать пул IP-адресов, из которого выделяется IP-адрес противоположной стороне L2TP-туннеля.


Проверка конфигурации

На рабочей станции, расположенной за межсетевым экраном 1, выполним команду ping.


Получим дамп трафика аналогично тому, как это делалось в предыдущих лабораторных работах.

На интерфейсе wan2 видим IPSec-трафик.


На интерфейсе IPSec_l2tp видим L2TP-трафик.


На интерфейсе l2tp_server видим ICMP-трафик.

IP-адрес источника в ICMP-запросе принадлежит пулу IP-адресов, указанному для L2TP-клиента.


< Лабораторная работа 9 || Лабораторная работа 10 || Лекция 11 >