Разрешение входящих L2TP/IPSec NAT соединений через демилитаризованную зону брандмауэра ISA Server в сценарии Back to Back Firewall (часть 1)

Вы можете увеличить безопасность ваших удаленных VPN соединений, создав брандмауэрную конфигурацию back to back ISA firewall. В таком сценарии внешний брандмауэр содержит интерфейс, напрямую подключенный к Internet, а также интерфейс, подключенный к демилитаризованной зоне между внешним и внутренним брандмауэрами. Внутренний брандмауэр содержит интерфейс, подключенный к демилитаризованной зоне между внешним и внутренним брандмауэрами, а также интерфейс, подключенный к внутренней сети.

Конфигурация back to back ISA firewall предполагает создание демилитаризованной зоны между двумя брандмауэрами. Вы можете поместить общедоступные серверы в эту демилитаризованную зону. Внешний брандмауэр позволяет внешним пользователям иметь доступ к серверам в демилитаризованной зоне, а внутренний брандмауэр блокирует внешним пользователям доступ к внутренним ресурсам сети.

Вы можете настроить внешний брандмауэр для установления входящих L2TP/IPSec VPN соединений и перенаправлять эти соединения на внутренний брандмауэр. VPN соединения заканчиваются на внутреннем брандмауэре ISA. Это означает, что L2TP/IPSec VPN соединение остается зашифрованным и надежным даже при переходе между внешним и внутренним брандмауэрами.

Мы обсудим следующие процедуры, необходимые для успешного создания VPN соединения между внешним и внутренним ISA брандмауэрами:

• Обзор топологии сети в сценарии back to back ISA firewall
• Настроить клиента L2TP/IPSec VPN NAT-T
• Установить ПО ISA Firewall на внешний брандмауэр
• Настроить внешний брандмауэр перенаправлять L2TP/IPSec NAT-T соединения на внутренний ISA брандмауэр/ VPN сервер
• Опубликовать сертификат для ISA брандмауэра/ VPN сервера
• Настроить внутренний ISA брандмауэр/ VPN сервер для разрешения удаленных VPN соединений
• Установить L2TP/IPSec VPN соединение с ISA брандмауэром/ VPN сервером внешнего VPN – клиентского компьютера

Обзор сетевой топологии в сценарии back to back ISA firewall

Мы настроим экспериментальную сеть таким образом, чтобы REMOTEISA действовал в качестве внешнего брандмауэра, а затем настроим IP-адресацию и на компьютере REMOTEISA, и на компьютере ISALOCAL, чтобы можно было поддерживать конфигурацию back to back firewall.

На рисунке ниже показана топология back to back firewall для ISA Server 2004.

Рисунок 1

В таблице ниже показана схема IP-адресации для такой конфигурации.

Такая сетевая топология позволит внешнему клиентскому компьютеру подключиться к внешнему брандмауэру. Соединение с внешним брандмауэром будет перенаправлено на внутренний брандмауэр/ VPN сервер. После того, как VPN клиент установит соединение с внутренним брандмауэром, ему будет дан доступ к ресурсам внутренней сети. Кроме того, мы так настроим правило доступа, чтобы члены клиентской VPN сети могли подключаться к Internet. Это предотвращает использование клиентами собственных подключений к Internet’у для доступа к его ресурсам и устанавливает корпоративную межсетевую политику, когда VPN клиенты подключены к корпоративной сети.

Настройка L2TP/IPSec VPN клиента

Если у вас Windows 2000 или версия Windows XP до SP2, вам необходимо скачать и установить обновление L2TP/IPSec NAT-T для Windows XP и Windows 2000. Информация об обновленном VPN клиентском ПО находится здесь: Microsoft Knowledge Base Article 818043. Используйте каталог Windows, чтобы определить местонахождение файла. Есть также updated client для Windows 98, Windows NT 4.0 и Windows ME.

Заметим, что эти клиенту будут работать автоматически, потому что они появились ранее Windows XP SP2. Версии после Windows XP SP1, включая Windows XP SP2 и Vista содержат ошибку, прерывающую прохождение IPSec NAT. Для Windows XP SP2 and Vista вам не надо загружать обновленный VPN клиент, а нужно внести изменение в реестр: fix the NAT traversal bug.

Чтобы исправить ошибку прохождения IPSec NAT в Windows Vista и Windows Server 2008, посмотрите эту статью: http://support.microsoft.com/kb/926179 (Спасибо «Justme» с форума ISAserver.org за эту ссылку)

Выполните следующие действия, чтобы найти и загрузить обновление L2TP/IPSec NAT-T для до-Windows XP SP2 клиентов. В данном случае мы покажем, как загрузить обновление для Windows 2000 SP3.

1. Откройте Internet Explorer, щелкните меню Tools, а затем Windows Update.
2. В левой панели страницы Windows Update, найдите ссылку Windows Update Catalog и щелкните на нее.
3. На странице Welcome to Windows Update Catalog щелкните на ссылку Find updates for Microsoft Windows operating systems.
4. OНа странице Microsoft Windows выберите Windows 2000 SP3 в списке Operating Systems. Щелкните на кнопку со стрелкой вниз следом за Advanced search options. В текстовом окне Contains these words введите 818043. Щелкните кнопку Search.

   

   Рисунок 2

1. Щелкните на ссылку Recommend Updates (1) ан странице Your search returned 1 results.
2. Появится запись 818043: Recommended Update for Windows 2000 в списке Recommended Updates (1). Прокрутите вниз текст с описанием обновления и щелкните на кнопку Add. Теперь щелкните на green arrow слева от надписи Go to Download Basket.

   

   Рисунок 3

1. На странице Download Basket введите путь к тому месту на локальном диске, куда будет загружено обновление. Щелкните на кнопку Download Now после того, как введете путь.

   

   Рисунок 4

1. Появится окошко Microsoft Windows Update – Web Page Dialog и просит принять лицензионное соглашение. Щелкните на кнопку Accept.
2. Файл загружается в указанное вами место. Когда загрузка завершится, на странице Download History будет показано точное местоположение файла. Запомните или запишите точный путь к файлу, а затем выполните команду Run из меню Start.
3. Щелкните на кнопку Browse в диалоговом окне Run. Перейдите к местонахождению файла и щелкните на приложение Q818043_W2K_SP5_x86_EN.EXE, так чтобы оно появилось в текстовом окне File name. Щелкните на кнопку Open. Щелкните OK в диалоговом окне Run, чтобы установить обновление.

   

   Рисунок 5

1. В диалоговом окне Choose Directory For Extracted Files введите путь для извлеченных файлов и щелкните OK.
2. Щелкните Next на странице Welcome to the Windows 2000 Q818043 Setup Wizard.
3. Прочтите Лицензионное соглашение на странице License Agreement, а затем выберите опцию I Agree. Щелкните Next.
4. Щелкните Finish на странице Completing the Windows 2000 Q818043 Setup Wizard. Компьютер автоматически перезагрузится.

Войдите в качестве администратора. В данный момент VPN клиент Windows 2000 может использовать L2TP/IPSec в режиме прохождения NAT.

Если вы используете клиент Windows XP или Windows Vista, вам нужно отредактировать реестр до того, как вы сможете устанавливать соединение NAT traversal L2TP/IPSec с внутренним ISA брандмауэром .

Установка ПО брандмауэра ISA на внешнем брандмауэре

Теперь давайте установим соответствующее ПО на внешний брандмауэр. Это может быть либо ISA 2004, либо ISA 2006. В данном примере мы используем ISA 2004, но в случае с ISA 2006 применяются аналогичные процедуры. Наша машина будет иметь правило публикации сервера для L2TP/IPSec NAT-T, которое будет перенаправлять соединения L2TP/IPSec на внутренний брандмауэр/ VPN сервер. Обратите внимание, что VPN соединение фактически оканчивается на внутреннем брандмауэре, а не на внешнем.

Выполните следующие шаги, чтобы установить ISA Server 2004 на двусторонний сервер Windows Server 2003:

1. Вставьте CD-ROM с ISA Server 2004 в устройство чтения компакт-дисков. Появится меню автозапуска.
2. На странице Microsoft Internet Security and Acceleration Server 2004 Setup щелкните на ссылку Review Release Notes и познакомьтесь с замечаниями к выпуску. Они содержат полезную информацию о важных деталях и конфигурационных возможностях. После прочтения закройте окно с замечаниями и щелкните на ссылку Read Setup and Feature Guide. Нет необходимости читать это руководство целиком, но, может быть, вы захотите его распечатать, чтобы прочитать позже. Закройте окно Setup and Feature Guide. Щелкните на ссылку Install ISA Server 2004.
3. Щелкните Next на странице Welcome to the Installation Wizard for Microsoft ISA Server 2004.
4. Выберите опцию I accept the terms in the license agreement на странице License Agreement. Щелкните Next.
5. На странице Customer Information введите ваше имя и название организации в текстовых окнах User Name и Organization. Введите Product Serial Number. Щелкните Next.
6. На странице Setup Type выберите опцию Custom. Если вы не хотите устанавливать ISA Server 2004 на диск C: , щелкните на кнопку Change, чтобы изменить местоположение файлов программы на жестком диске. Щелкните Next.

   

   Рисунок 6

1. На странице Custom Setup вы можете выбрать, какие компоненты нужно устанавливать. По умолчанию Firewall Services и ISA Server Management устанавливаются. Message Screener, используемый для предотвращения спама, а также прикрепления файлов на входе и на выходе из сети, не устанавливается по умолчанию; также не устанавливается по умолчанию Firewall Client Installation Share. Вам нужно установить службу IIS 6.0 SMTP на компьютер с ISA Server 2004 firewall до того, как устанавливать Message Screener. Мы используем установки по умолчанию; щелкните Next. Заметьте, что в процессе установки ISA 2006 firewall, опция Message Screener более недоступна, а также что вы не можете устанавливать разделение клиента Firewall client share на компьютер с брандмауэром ISA.

   

   Рисунок 7

1. На странице Internal Network щелкните на кнопку Add. Внутренняя сеть отличается от LAT, которая использовалась в ISA 2000. В случае с ISA 2004 и 2006 внутренняя сеть содержит доверенные сетевые службы, с которыми должен взаимодействовать брандмауэр. В качестве примеров таких служб можно привести контроллеры доменов Active Directory, DNS, DHCP, временные службы клиентского управления рабочими станциями т.д. Системная политика брандмауэра автоматически использует определение внутренней сети для автоматического создания правил системной политики, что позволяет брандмауэру взаимодействовать с этими сетевыми службами.

   

   Рисунок 8

1. На странице установки внутренней сети щелкните на кнопку Select Network Adapter.

   

   Рисунок 9

1. В диалоговом окне Select Network Adapter удалите галочку напротив Add the following private ranges. Оставьте галочки возле Add address ranges based on the Windows Routing Table. Отметьте окошко возле адаптера, соединенного с внутренней сетью. Причина, по которой мы удаляем отметку возле add private address ranges (добавить диапазоны частных адресов), в том, что мы хотим использовать эти диапазоны частных адресов для сетей периметра. Внешний брандмауэр использует сеть периметра между собой и внутренним брандмауэром в качестве внутренней сети. Щелкните OK.
2. Щелкните OK в диалоговом окне Setup Message, сообщающем о том, что внутренняя сеть была определена на основании таблицы маршрутизации Windows.
3. Щелкните OK в диалоговом окне Internal network address ranges.
4. Щелкните Next на странице Internal Network.
5. На странице Firewall Client Connection Settings используйте настройку по умолчанию, то есть требовать зашифрованных соединений с клиентом для брандмауэра, и щелкните Next.
6. На странице Services щелкните Next.
7. Щелкните Install на странице Ready to Install the Program.
8. На странице Installation Wizard Completed щелкните Finish.
9. Щелкните Yes в диалоговом окне Microsoft ISA Server, сообщающем, что компьютер надо перезагрузить.

После перезапуска войдите в систему как администратор

Настройка внешнего брандмауэра для перенаправления L2TP/IPSec соединений на внутренний брандмауэр/ VPN сервер

Вам нужно создать правило публикования сервера, которое будет перенаправлять соединения L2TP/IPSec на внутренний брандмауэр. ISA Firewall включает в себя встроенные определения L2TP/IPSec протокола, которые вы можете использовать для публикования сервера.

Выполните следующие шаги для настройки компьютера внешнего брандмауэра:

1. В консоли ISA Firewall расширьте имя сервера, а затем щелкните на узел Firewall Policy.
2. Щелкните правой кнопкой мыши на Firewall Policy, наведите курсор на New и щелкните Server Publishing Rule.
3. На странице Welcome to the New Server Publishing Rule Wizard введите имя для правила публикации сервера в текстовом окне Server publishing rule name. В данном примере мы назовем правило L2TP/IPSec NAT-T. Щелкните Next.
4. На странице Select Server введите IP адрес внешнего интерфейса компьютера внутреннего брандмауэра/VPN сервера в текстовом окне Server IP address. В данном примере 10.0.2.2, это значение мы и внесем в текстовое окно. Щелкните Next.
5. На странице Select Protocol щелкните New.
6. На странице Welcome to the New Protocol Definition Wizard введите имя для определения протокола в текстовом окне Protocol definition name. В данном примере мы назовем его L2TP/IPSec NAT-T. Щелкните Next.
7. На странице Primary Connection Information щелкните на кнопку New.
8. На странице New/Edit Protocol Definition установите Protocol type как UDP. Установите Direction — Receive Send. Установите Port Range — From 4500 и To 4500. Щелкните OK.

   

   Рисунок 10

1. На странице Primary Connection Information щелкните на кнопку New.
2. На странице New/Edit Protocol Definition установите Protocol type — UDP. Направление — Receive Send. Port Range — From 500 и To 500. Щелкните OK.
3. Щелкните Next на странице New Protocol Definition Wizard.

   

   Рисунок 11

1. Выберите опцию No на странице Secondary Connections.
2. Щелкните Finish на странице Completing the New Protocol Definition Wizard.
3. Щелкните Next на странице Select Protocol.
4. На странице IP Addresses отметьте External и щелкните Next.

   

   Рисунок 12

1. Щелкните Finish на странице Completing the New Server Publishing Rule Wizard.
2. Щелкните Apply, чтобы сохранить изменения и обновить политику брандмауэра.
3. Щелкните OK в диалоговом окне Apply New Configuration.

Следующий шаг состоит в том, чтобы создать правило доступа, которое открыло бы исходящий доступ внутреннему брандмауэру/ VPN серверу к Internet. Это правило ограничит исходящий доступ к Internet’у внешним адресам внутреннего брандмауэра. Вы могли бы создать правила доступа для внешнего брандмауэра, которые позволяли бы исходящий доступ только протоколам, которым вы это разрешили на внутреннем брандмауэре.

Выполните следующие шаги для создания правила исходящего доступа:

1. В консоли управления Microsoft Internet Security and Acceleration Server 2004 щелкните на вкладку Tasks в панели задач. Щелкните на ссылку Create New Access Rule.
2. На странице Welcome to the New Access Rule Wizard введите имя для правила в текстовом окне Access Rule name. В данном случае мы назовем правило Outbound from Back-end Firewall. Щелкните Next.
3. На странице Rule Action выберите опцию Allow и затем щелкните Next.
4. На странице Protocols примите настройки по умолчанию All outbound protocols в списке This rule applies to. Щелкните Next.

   

   Рисунок 13

1. На странице Access Rule Sources щелкните Add. В диалоговом окне Add Network Entities щелкните на меню New. Щелкните на запись Computer в списке. В диалоговом окне New Computer Rule Element введите имя Back End Firewall в текстовом окне Name. В текстовом окне Computer IP Address введите адрес внешнего интерфейса внутреннего брандмауэра. В данном примере этот адрес 10.0.2.2, именно его и нужно ввести в текстовом окне. Щелкните OK.

   

   Рисунок 14

   

   Рисунок 15

1. В диалоговом окне Add Network Entities щелкните на папку Computers. Двойной щелчок мышью на запись Back End Firewall, затем щелкните Close. Щелкните Next на странице Access Rule Sources.
2. На странице Access Rule Destinations щелкните Add.. В диалоговом окне Add Network Entities щелкните папку Networks, а затем двойным щелчком на External. Щелкните Close. Щелкните Next в диалоговом окне Access Rule Destinations.
3. На странице User Setsпримите запись по умолчанию, All Users, а затем щелкните Next.
4. Щелкните Finish на странице Completing the New Access Rule Wizard.
5. Щелкните Apply, чтобы сохранить изменения и обновить политику брандмауэра.
6. Щелкните OK в диалоговом окне Apply New Configuration.

   

   Рисунок 16

Итоги

В этой, первой, статье этой серии по настройке внешнего и внутреннего брандмауэров для разрешения входящих L2TP/IPSec соединений с внутренним брандмауэром мы познакомились с сетевой топологией этого эксперимента, а затем настроили VPN клиентское соединение. Затем мы установили внешний брандмауэр и настроили правило публикования сервера L2TP/IPSec на внешнем брандмауэре. В следующей статье мы закончим настройкой внутреннего брандмауэра и тестированием VPN соединения. Увидимся!

www.isaserver.org

• Пользовательские политики
• Маршрутизация Windows 2008
• Управление папками в Windows vista
• Как выключить службу рабочая станция?
• Sendmail exchange

Tags: accel, dns, domain, Exchange, ISA Server, l2tp, Microsoft ISA Server, nat, search, vpn, Windows Vista, Windows XP