Monday, December 11th, 2017

Публикация сервера Windows Server 2008 SSL VPN с помощью брандмауэра ISA 2006 Firewall (часть 1)

Published on Февраль 11, 2009 by   ·   Комментариев нет

Постоянная езда по командировкам может слегка осложнять жизнь. Вы практически уверены, что в гостинице, в которой вы собираетесь остановиться, есть подключение к Интернету. Но будет ли это подключение работать? Как часто вам приходилось настраивать подключение к сети в гостинице и обнаруживать, что что-то не так с беспроводным соединением или маршрутизатором вашего сегмента в гостинице.

Но после того, как вам удалось заставить соединение работать, вы понимаете, что проблемы еще не закончились; вашей следующей заботой станет то, какой тип брандмауэра используется в данной гостинице. Поддерживает ли брандмауэр гостиницы VPN соединения? Если да, то, какие типы VPN соединений он поддерживает? Я бывал в гостиницах, в которых поддерживается только PPTP соединение. В других гостиницах поддерживается только L2TP/IPSec соединение, а в некоторых – поддерживаются и PPTP, и L2TP/IPSec. К сожалению, во многих гостиницах не поддерживаются ни PPTP, ни L2TP/IPSec соединения. Для администраторов сетей, нуждающихся в подключении ко многим сетям через VPN соединения, находясь за пределами города, именно здесь начинаются головные боли.

Проблема с брандмауэрами и маршрутизаторами гостиниц заключается в том, что администрация гостиниц желает сделать все как можно проще. Они не блокируют ваши VPN соединения вам назло, желая испортить вашу поездку. Просто с точки зрения управления и безопасности гораздо легче позволить только HTTP и HTTPS (SSL) исходящие соединения, два простых протокола, которые используются 99% их клиентов. Это значительно облегчает диагностику для провайдеров сетевого сервиса, которые сопровождают Интернет соединение в этих гостиницах.

Конечно, если вы тот человек, которому нужно VPN соединение, и вы остановились в одной из этих гостиниц, жизнь наполняется тщетными попытками, когда ваша сеть или сети одного из ваших клиентов нуждаются в обслуживании, а единственный способ обеспечить такое обслуживание, это использовать VPN соединение. Что делать? В прошлом мне пришлось отказаться от политики никогда не использовать RDP соединения для сети, только для того чтобы получить доступ, когда мне нужно что-то исправить. Но это всегда неудобно, поскольку я полностью отдаю себе отчет в риске, который представляет собой открытие RDP доступа к Интернету.

Хорошая новость состоит в том, что теперь у нас есть решение, или, по крайней мере, у нас оно появится, когда выйдет Windows Server 2008 (в феврале 2008). Это решение представляет собой SSTP VPN протокол, включенный в Windows Server 2008. SSTP – это Secure Socket Tunnel Protocol (протокол туннеля защищенных гнезд), который по сути своей является PPP через SSL. SSTP позволяет вам подключаться к вашему VPN серверу через TCP порт 443, как и любые другие SSL соединения, он также работает с не аутентифицирующими Web модулями доступа, поэтому даже если в вашей гостинице используется брандмауэр ISA для исходящего доступа (вы удивитесь тому, как много гостиниц его используют), ваши SSTP соединения будут отлично работать.

В этой статье я покажу вам, как настраивать SSTP VPN сервер и брандмауэр ISA для открытия доступа входящим соединениям от SSTP VPN клиента SSTP VPN серверу. ISA Firewall будет настроен с двумя правилами публикации (Publishing Rules): правило публикации сервера (Server Publishing Rule), которое открывает доступ входящим соединениям с SSTP сервером, и правило веб публикации (Web Publishing Rule), которое открывает доступ входящим соединениям с сайтом распределения CRL.

Сначала давайте рассмотрим примерную сеть для этой конфигурации:

Isa ехетхе 2008

Рисунок 1

Здесь нам нужно рассмотреть два пути передачи данных. Во-первых, есть SSTP соединение, которое должно быть создано через ISA Firewall, ограничивающий SSTP SSL VPN сервер. Второе соединение должно создавать два отрезка пути передачи данных через нашу сеть, первый отрезок – это HTTP соединение, созданное через ISA Firewall, а второй отрезок будет проходить через SSL VPN шлюз к CDP. Для создания такой конфигурации нам нужно будет настроить SSL VPN шлюз в качестве NAT сервера, который будет выполнять обратимый NAT, чтобы открыть доступ к CDP, расположенному за VPN сервером.

Клиент SSTP VPN должен использовать Vista SP1. RTM версия клиентов Vista не поддерживает SSTP.

В этом примере брандмауэр ISA Firewall не входит в домен. Причина кроется в том, что в такой ситуации вхождение в домен не является требованием. Если вы хотите сделать ISA Firewall членом домена, вам понадобится настроить ISA Firewall на использование маршрутизатора за внутренним интерфейсом ISA Firewall, поскольку внутридоменные коммуникации не работают с NAT устройствами в этом пути. Маршрутизатор нужно расположить параллельно VPN серверу, чтобы его внешний и внутренний интерфейсы находились на ID сети, которые отражают ID компьютера со шлюзом SSTP VPN.

Шлюз SSTP VPN входит в состав домена. Благодаря этому мы можем воспользоваться аутентификацией Windows. Я значительно все упростил, поскольку не хотел вдаваться в подробности установки Network Policy Server в этой статье. Если вы не желаете, чтобы шлюз SSTP VPN был членом домена, вы можете установить Network Policy Server в корпоративной сети и настроить VPN сервер на его использование для аутентификации и учета (NPS серверы – это замена в Windows 2008 для Windows Server 2003 IAS сервера).

Компьютер CRL Distribution Point во внутренней сети является контроллером домена для msfirewall.org домена. Роли сервера (Server Roles), установленные на этой машине, включают Active Directory Certificate Services, DHCP Server, DNS Server, Active Directory Domain Services, и WINS.

Чтобы заставить эту конфигурацию работать, нам нужно будет выполнить следующие шаги:

  • Установить IIS на VPN сервере.
  • Запросить сертификаты машины для VPN сервера, используя мастера IIS Certificate Request Wizard.
  • Установить роль RRAS на VPN сервере.
  • Активировать RRAS сервер и настроить его в качестве VPN и NAT сервера.
  • Настроить NAT сервер на публикацию CRL.
  • Настроить учетную запись пользователя на использование dial-up соединений.
  • Настроить IIS на сервере сертификации (Certificate Server), чтобы разрешить HTTP соединения для директории CRL.
  • Настроить брандмауэр ISA с сервером PPTP VPN, SSL VPN и правилами веб публикации (CDP Web Publishing Rules).
  • Настроить HOSTS файл для VPN клиента.
  • Использовать PPTP для соединения с VPN сервером.
  • Получить сертификат CA Certificate с Enterprise CA.
  • Настроить ISA Firewall с правилами публикации SSL VPN Server Publishing и CDP Web Publishing Rules.
  • Настроить клиента на использование SSTP и подключить к серверу VPN через SSTP.

Установка IIS на сервере VPN

Возможно, вам покажется странным, что мы начинаем именно с этой процедуры, так как я рекомендую никогда не устанавливать вебсервер на устройство безопасности сети. Хорошая новость заключается в том, что нам не придется хранить вебсервер на VPN сервере, он понадобится нам лишь на некоторое время. Причина кроется в том, что регистрационный сайт, включенный в Windows Server 2008 Certificate Server, более не является полезным для запроса сертификатов компьютера. На самом деле он вообще бесполезен. Интересно то, что если вы все же решите использовать регистрационный сайт для получения сертификата компьютера, все будет выглядеть так, словно сертификат получен и установлен, однако на самом деле это не так, сертификат не установлен.

Для решения этой проблемы мы воспользуемся преимуществом того, что используем enterprise CA. При использовании Enterprise CA, можно посылать запрос на интерактивный сервер сертификации. Интерактивный запрос на получение сертификата компьютера возможен, когда вы используете мастера IIS Certificate Request Wizard и запрашиваете то, что теперь называется сертификатом домена ‘Domain Certificate’. Это возможно только в том случае, если запрашивающая машина принадлежит тому же домену, что и Enterprise CA.

Для установки роли IIS Web server на сервере VPN выполните следующие шаги:

  1. Откройте Windows 2008 Server Manager.
  2. В левой панели консоли кликните на вкладке Роли.

    Vpn Windows 2008

    Рисунок 2

  1. Жмем в меню Добавить роли с правой стороны правой панели.
  2. Жмем Далее на странице Прежде чем начать.
  3. Ставим галочку напротив строкиWeb Server (IIS) на странице Выбрать роли сервера. Жмем Далее.

    Vpn Windows 2008

    Рисунок 3

  1. Можете прочесть информацию на странице Web Server (IIS), если пожелаете. Это довольно полезная общая информация об использовании IIS 7 в качестве вебсервера, но поскольку мы не собираемся использовать IIS вебсервер на VPN сервере, эта информация не совсем применима в нашей ситуации. Жмем Далее.
  2. На странице Выбрать службы ролей несколько опций уже выбраны. Однако если вы используете опции по умолчанию, вы не сможете воспользоваться мастером Certificate Request Wizard. По крайней мере, так было, когда я тестировал систему. Нет службы роли для мастера Certificate Request Wizard, поэтому я пытался ставить галочки напротив каждой опции Безопасность, и, кажется, сработало. Сделайте то же самое у себя и нажмите Далее.

    Vpn Windows 2008

    Рисунок 4

  1. Просмотрите информацию на странице Подтвердить выбор установок и нажмите Установить.
  2. Нажмите Закрыть на странице Результаты установки.

    Vpn сервер Windows 2008

    Рисунок 5

Запрос сертификата машины (Machine Certificate) для VPN сервера с помощью мастера IIS Certificate Request Wizard

Следующий шаг – это запрос сертификата машины для VPN сервера. VPN серверу требуется сертификат машины для создания SSL VPN соединения с компьютером клиента SSL VPN. Общее название сертификата должно соответствовать имени, которое VPN клиент будет использовать для соединения с компьютером шлюза SSL VPN. Это означает, что вам нужно будет создать публичную DNS запись для имени на сертификате, который будет разрешать внешний IP адрес VPN сервера, или IP адрес NAT устройства перед VPN сервером, которое будет переадресовывать соединение на SSL VPN сервер.

Для запроса сертификата машины на сервер SSL VPN выполните следующие шаги:

  1. В Server Manager, разверните вкладку Роли в левой панели, а затем разверните вкладку Web Server (IIS). Нажмите на Internet Information Services (IIS) Manager.

    Vpn сервер Windows 2008

    Рисунок 6

  1. В консоли Internet Information Services (IIS) Manager, которая появится справа в левой панели, нажмите на имени сервера. В этом примере имя сервера будет W2008RC0-VPNGW. Нажмите на иконку Сертификаты сервера в правой панели консоли IIS.

    Server 2008 маршрутизация vpn

    Рисунок 7

  1. В правой панели консоли жмем на ссылку Создать сертификат домена.

    Vpn Windows 2008

    Рисунок 8

  1. Введите информацию на странице Определенные свойства имени. Самым важным объектом здесь будет Общее имя. Это то имя, которое VPN клиенты будут использовать для соединения с VPN сервером. Вам также понадобится публичная DNS запись для этого имени с тем, чтобы распознавать внешний интерфейс VPN сервера, или публичный адрес NAT устройства перед VPN сервером. В этом примере мы используем общее имя sstp.msfirewall.org. Позже мы создадим записи HOSTS файла на компьютере VPN клиента, чтобы он мог распознавать это имя. Жмем Далее.

    Vpn Windows 2008

    Рисунок 9

  1. На странице Интерактивный источник сертификатов жмем кнопку Выбрать. В диалоговом окне Выбрать источник сертификатов, жмем на имени Enterprise CA и нажимаем OK. Вводим дружественное имя в строке Friendly name. В этом примере мы использовали имя SSTP Cert, чтобы знать, что оно используется для шлюза SSTP VPN.

    Vpn Windows 2008

    Рисунок 10

  1. Жмем Закончить на странице Интерактивный источник сертификатов.

    Vpn сервер Windows 2008

    Рисунок 11

  1. Мастер будет запущен, а затем исчезнет. После этого вы увидите, как появится сертификат в консоли IIS. Кликнем дважды на сертификате и увидим общее имя в секции Назначен для, и теперь у нас есть частный ключ, соответствующий сертификату. Жмем OK, чтобы закрыть диалоговое окно Сертификат.

    Vpn сервер Windows 2008

    Рисунок 12

Теперь, когда у нас есть сертификат, мы можем установить роль RRAS Server Role. Обратите внимание на то, что очень важно установить сертификат до того, как устанавливать роль RRAS Server Role. Если вы этого не сделаете, вы наживете себе большие головные боли, поскольку вам придется использовать довольно сложную рутину командных строк, чтобы связать сертификат с клиентом SSL VPN.

Установка роли RRAS Server Role на VPN сервере

Для установки роли RRAS Server Role нужно выполнить следующие шаги:

  1. В Server Manager, нажмите на вкладку Роли в левой панели консоли.
  2. В секции Общие сведения ролей нажмите на ссылку Добавить роли.
  3. Нажмите Далее на странице Прежде чем начать.
  4. На странице Выбрать роли сервера поставьте галочку напротив строки Политика сети и службы доступа. Нажмите Далее.

    Server 2008 маршрутизация vpn

    Рисунок 13

  1. Прочтите информацию на странице Политика сети и службы доступа. Большая ее часть касается Network Policy Server (который ранее назывался Internet Authentication Server [IAS] и по сути был RADIUS сервером) и NAP, ни один из элементов не применим в нашем случае. Нажимаем Далее.
  2. На странице Выбрать службы роли ставим галочку напротив строки Маршрутизация и службы удаленного доступа. В результате этого будут выбраны пункты Службы удаленного доступа и Маршрутизация. Жмем Далее.

    Vpn Windows 2008

    Рисунок 14

  1. Жмем Установить в окне Подтвердить выбранные установки.
  2. Жмем Закрыть на странице Результаты установки.

Активация RRAS Server и его настройка в качестве VPN и NAT сервера

Теперь, когда роль RRAS установлена, нам нужно активировать сервисы RRAS, также как мы делали это в предыдущих версиях Windows. Нам нужно активировать функцию VPN сервера и сервисы NAT. С активацией компонента VPN сервера все понятно, но вы можете поинтересоваться, зачем нужно активировать NAT сервер. Причина активации сервера NAT кроется в том, что внешние клиенты могут получать доступ к серверу сертификации (Certificate Server), чтобы соединяться с CRL. Если клиент SSTP VPN не сможет загрузить CRL, SSTP VPN соединение работать не будет.

Для того, чтобы открыть доступ к CRL, мы настроим VPN сервер в качестве NAT сервера и опубликуем CRL, используя обратимый NAT. Клиент SSL VPN сначала соединится с брандмауэром ISA Firewall. На ISA Firewall будет настроено правило веб публикации Web Publishing Rule, разрешающее соединения с URL, требуемыми для доступа к CRL. Это правило Web Publishing Rule также настроено на передачу запроса к внешнему интерфейсу NAT сервера. NAT сервер на VPN сервере будет настроен на передачу HTTP запроса на сервер сертификации, содержащий CRL.

Для активации сервиса RRAS выполните следующие шаги:

  1. В Server Manager разверните вкладку Роли в левой панели консоли. Разверните вкладку Политика сети и Службы доступа и кликните по вкладке Маршрутизация и Удаленный доступ. Правой клавишей кликните по вкладке Маршрутизация и Удаленный доступ и нажмите Настроить и активировать маршрутизацию и удаленный доступ.

    Vpn Windows 2008

    Рисунок 15

  1. Нажмите Далее в окне Welcome to the Routing and Remote Access Server Setup Wizard.
  2. На странице Конфигурация выберите опцию Доступ к виртуальным частным сетям (VPN) и NAT и нажмите Далее.

    Vpn Windows 2008

    Рисунок 16

  1. На странице VPN соединение выберите NIC в секции Интерфейсы сети, которая представляет внешний интерфейс VPN сервера. Затем нажмите Далее.
  2. На странице Назначение IP адресов выберите опцию Автоматически. Мы можем выбрать эту опцию, потому что у нас установлен DHCP сервер на контроллере домена за VPN сервером. Если у вас нет DHCP сервера, тогда вам нужно будет выбрать опцию Из определенного списка адресов, а затем внести список адресов, которые VPN клиенты смогут использовать при подключении к сети через шлюз VPN. Жмем Далее.

    Vpn сервер Windows 2008

    Рисунок 17

  1. На странице Управление удаленным доступом нескольких серверов выбираем Нет, использовать маршрутизацию и удаленный доступ для аутентификации запросов соединения. Эту опцию мы используем, когда недоступны NPS или RADIUS серверы. Поскольку VPN сервер является членом домена, можно аутентифицировать пользователей, используя учетные записи домена. Если VPN сервер не входит в домен, тогда только локальные учетные записи VPN сервера можно использовать, если только вы не решите использовать NPS сервер. Я напишу статью об использовании NPS сервера в будущем. Жмем Далее.

    Vpn сервер Windows 2008

    Рисунок 18

  1. Прочтите общую информацию на странице Завершение работы мастера настройки маршрутизации и удаленного доступа и нажмите Закончить.
  2. Нажмите OK в диалоговом окне Маршрутизация и удаленный доступ, которое говорит вам о том, что распределение DHCP сообщений требует агента распределения DHCP.
  3. В левой панели консоли разверните вкладку Маршрутизация и удаленный доступ и затем нажмите на вкладке Порты. В средней панели вы увидите, что WAN Miniport соединения для SSTP теперь доступны.

    Vpn сервер Windows 2008

    Рисунок 19

Настройка NAT сервера для публикации CRL

Как я говорил ранее, клиент SSL VPN должен иметь возможность загружать CRL для подтверждения того, что сертификат сервера на сервере VPN не был поврежден или отозван. Для этого нужно настроить устройство перед сервером сертификации для направления HTTP запросов о расположении CRL на Сервер сертификации.

Как узнать, к какому URL нужно подключиться SSL VPN клиенту, чтобы загрузить CRL? Эта информация содержится в самом сертификате. Если вы снова перейдете на VPN сервер и дважды кликните на сертификате в IIS консоли, как делали прежде, вы сможете найти эту информацию.

Жмем на кнопку Детали на сертификате и листаем вниз до записи Точки распределения CRL, затем жмем на эту запись. В нижней панели показаны различные точки распределения, основанные на протоколе, используемом для получения доступа к этим точкам. В сертификате, показанном на рисунке ниже, видно, что нам нужно открыть доступ клиенту SSL VPN к CRL через URL:

http://win2008rc0-dc.msfirewall.org/CertEnroll/WIN2008RC0-DC.msfirewall.org.crl

Vpn Windows 2008

Рисунок 20

Именно поэтому нужно создавать публичные записи DNS для этого имени, чтобы внешние VPN клиенты смогли относить это имя к IP адресу на внешнем интерфейсе ISA Firewall. В этом примере нам нужно связать win2008rc0-dc.msfirewall.org с IP адресом на внешнем интерфейсе ISA Firewall. Когда соединение достигает внешнего интерфейса брандмауэра ISA Firewall, он перенаправит соединение на NAT сервер на VPN сервере, который потом выполняет обратимый NAT и отправляет соединение к CA, содержащему CDP.

Следует отметить, что использование имени CRL сайта по умолчанию может быть менее безопасной опцией, поскольку оно раскрывает частное имя компьютера в Интернете. Вы можете создавать пользовательскую CDP (CRL Distribution Point), чтобы этого избежать, если считаете, что раскрытие частного имени вашей CA в публичной DNS записи создает угрозу безопасности.

Для настройки RRAS NAT для направления HTTP запросов на сервер сертификации выполните следующие шаги:

  1. В левой панели Server Manager разверните вкладку Маршрутизация и удаленный доступ, а затем разверните вкладку IPv4. Кликните по вкладке NAT.
  2. Во вкладке NAT кликните правой клавишей на внешнем интерфейсе в средней панели консоли. В данном примере имя внешнего интерфейса было Local Area Connection. Нажмите на Свойства.

    Vpn Windows 2008

    Рисунок 21

  1. В диалоговом окне Свойства Local Area Connection поставьте галочку напротив Web Server (HTTP). Это вызовет диалоговое окно Служба редактирования. В текстовой строке Частный адрес введите IP адрес сервера сертификации во внутренней сети. Нажмите OK.

    Vpn Windows 2008

    Рисунок 22

  1. Нажмите OK в диалоговом окне Свойства Local Area Connection.

    Vpn Windows 2008

    Рисунок 23

Теперь, когда NAT сервер установлен и настроен, мы можем перенести наше внимание на настройку сервера CA и клиента SSTP VPN.

Заключение

Эту статью мы начали с обсуждения трудностей получения удаленного VPN доступа в гостиницах и того, как SSTP протокол помогает решить эти проблемы, позволяя создавать VPN соединения с помощью SSL подключения через TCP порт 443, который разрешен всеми брандмауэрами в этих условиях. Затем мы установили службы сертификации на VPN сервере, чтобы можно было получить сертификат компьютера. После установки сертификата на SSL VPN сервер, мы установили RRAS VPN и NAT сервисы для шлюза VPN. И закончили мы настройкой NAT сервера на VPN шлюзе с тем, чтобы он перенаправлял входящие HTTP соединения, направленные ISA Firewall для задержки на CA, содержащем CDP. На следующей неделе мы закончим настройку CA сервера, брандмауэра ISA Firewall и клиента SSTP VPN.

www.isaserver.org


Смотрите также:

Tags: , , , , , , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]