【SQTE-192】S-Cute制服エッチコレクション 8時間 【逗敦朴的小技能】我算是把Windows IPSec L2TP的问题玩昭彰了

发布日期：2024-08-03 21:54    点击次数：181

对于这个问题！【SQTE-192】S-Cute制服エッチコレクション 8時間

网上一顿著述瞎叽霸写的齐是些什么叽霸玩意！

图片【SQTE-192】S-Cute制服エッチコレクション 8時間

若是你是我方搭建的IPSec L2TP就业器，并且你又在其他处所折腾了半天Windows荟萃L2TP的问题，那么这篇著述相宜你！

今天，咱们来好好说说Windows下的L2TP over IPSec的各式问题。

当今看来，默许竖立下，险些悉数的windows齐无法告成荟萃L2TP over ipsec，处置Windows荟萃L2TP有两种决策，

决策一：顺利禁用ipsec协商决策二：允许L2TP叫醒ipsec，同期修改ipsec协商参数

网上大部分著述给的齐是基于决策一，然后再歪歪扭扭整了一堆注册表修改项，惟有你看到底下这个截图，基本等于顺利禁用ipsec的套路了。

图片

决策一不可说永别，好多麇集小白如实靠着这个主义告成连上了。然则： 这种主义荟萃的L2TP是莫得过程ipsec加密保护的哟，客户端和就业器是顺利使用1701的L2TP端口通讯的哟！！！！明文传输数据哟！！！！！！！！ 怎么磨真金不怕火流量有莫得加密呢？防火墙不放通1701，仅放通500和4500 UDP两个IPSec端口，还能建联的，才是的确过程了ipsec加密。

好了，吐槽完毕，咱们启动注重说一下从就业端，到windows客户端怎么竖立：

一、防火墙竖立

介意，咱们毫不在公网侧顺利放通UDP 1701端口。 咱们但愿的是：

公网流量先过程IPSec加密然后在IPSec浅薄侧相接L2TP的UDP 1701端口的流量让L2TP流量封装在IPSec浅薄内，杀青信得过的L2TP over IPSec的竖立。

因此咱们的竖立相通于底下的截图：

1、WAN口仅放行500+4500 UDP流量

图片

黑丝高跟 2、IPsec虚接口放行L2TP UDP 1701流量

图片

二、就业器端IPSec协商参数

从Microsoft官方找到了独一的一篇干系Windows的IPSec安全残酷的文档。 Default encryption settings for the Microsoft L2TP/IPSec Client 简便讲究下来，就业端竖立的安全残酷

阶段一残酷至少应该包含以下组合： 3DES-SHA1-DH组2阶段二至少应该包含3DES加密算法和SHA1散列算法封装神志使用传输口头

实测Windows荟萃后，如实使用此残酷的组合进行荟萃。

图片

同期为了更好的兼容MacOS、iOS和安卓，保举多搞少量各式残酷的组合，逗敦朴我测试了一下，底下这种组合在各式系统荟萃时，齐不错作念到最大兼容。

图片

三、Windows端修改注册表 1、允许IPSec穿越NAT

评释： 平日的IPSec使用500 UDP端口进行通讯，然则因为IPSec建联时需要相比IKE包内host id字段与IP包头骨子IP，是以需要引入后续版块的NAT穿越时间，由500首次建联，之后交由4500端口进行NAT穿越建联。 默许windows不复旧NAT穿越，竖立AssumeUDPEncapsulationContextOnSendRule字段用于允许IPSec使用UDP 4500端口进行NAT穿越。 竖立神志： 启动，管制员身份运行CMD 复制粘贴底下号令

REG ADD HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent /v AssumeUDPEncapsulationContextOnSendRule /t REG_DWORD /d 0x2 /f

八成手动干与regedit，找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent 新建一个 dword类型的键AssumeUDPEncapsulationContextOnSendRule值为2。

2、允许L2TP叫醒IPSec

评释： 这个竖立不一定会影响成立荟萃，然则可能会影响睡眠后再行叫醒IPSec加密。 竖立： 启动，管制员身份运行CMD 复制粘贴底下号令

REG ADD HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters /v AllowL2TPWeakCrypto /t REG_DWORD /d 0x1 /f

八成手动干与regedit，找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters 新建一个 dword类型的键AllowL2TPWeakCrypto值为1。

3、允许IPSec运行

评释： 我忖度人人在看到这篇著述之前，笃定也曾照着网上的各式著述搞了一堆东倒西歪的东西了。 大部分著述中齐会指令禁用IPSec运行，但这是永别的呀！瞎鸡儿整。 规复ProhibitIpSec竖立

竖立： 启动，管制员身份运行CMD 复制粘贴底下号令

REG ADD HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters /v ProhibitIpSec /t REG_DWORD /d 0x0 /f

八成手动干与regedit，找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters 删除ProhibitIpSec键值。

4、巨人操作，禁用Xbox麇集就业

这是redit上一个巨人网友发现的操作，玄学操作，然则灵验。 干与【就业】，找到Xbox Live 麇集就业，给他禁用掉。

图片

5、证明L2TP身份考据神志和加密

从就业器端证明L2TP身份考据神志，举例是CHAP如故MSCHAPv2，并在Windows客户步伐确竖立相应的身份考据神志。 不知谈是啥身份考据神志的话，就在Windows客户端把悉数的身份考据神志齐勾上。 同期，务必确保【数据加密】不要聘任“不允许加密”，不然又不会协商IPSec了。

图片

本站仅提供存储就业，悉数内容均由用户发布，如发现存害或侵权内容，请点击举报。