Разрешение входящих L2TP/IPSec NAT соединений через демилитаризованную зону брандмауэра ISA Server в сценарии Back to Back Firewall (часть 2)

Published on Февраль 12, 2009 by   ·   Комментариев нет

Если вы пропустили первую часть статьи, пожалуйста, прочитайте: Разрешение входящих L2TP/IPSec NAT соединений через демилитаризованную зону брандмауэра ISA Server в сценарии Back to Back Firewall (часть 1)

В первой части этой серии мы начали описывать инфраструктуру, используемую в экспериментальной среде, а затем загрузили и настроили клиентское ПО VPN. Затем мы установили внешний брандмауэр и создали правила публикования сервера, необходимые для возможности L2TP/IPSec соединения с внутренним брандмауэром.

В этой, второй и последней, части мы закончим настройкой клиентских систем с машинными сертификатами, а также настроим внутренний брандмауэр. Мы также протестируем клиентское VPN соединение и посмотрим на характеристики соединения в файлах журнала брандмауэра и с помощью session monitor.

Публикование машинного сертификата на внутреннем брандмауэре

Теперь мы можем запросить сертификат для внутреннего брандмауэра от сайта регистрации центра сертификации. После того, как мы получим сертификат, мы его скопируем в хранилище сертификатов Trusted Root Certification Authorities.

По умолчанию брандмауэр ISA сильно ограничен в доступе со строгим контролем. Вам будет нужно включить правило политики системы, которое бы позволяло внутреннему брандмауэру взаимодействовать с центром сертификации во внутренней сети.

Выполните следующие шаги, чтобы включить правило политики безопасности на внутреннем брандмауэре:

  1. В ISA Firewall console расширьте имя сервера, а затем щелкните на узел Firewall Policy.
  2. Щелкните правой кнопкой мыши на узел Firewall Policy, наведите курсор на View и щелкните на Show System Policy Rules.
  3. В списке правил системной политики двойной щелчок на правиле Allow HTTP from ISA Server to all networks for CRL downloads.
  1. В диалоговом окне System Policy Editor поставьте отметку возле Enable в панели General. Щелкните OK.

    Firewall для l2tp vpn

    Рисунок 1

  1. Щелкните Apply, чтобы сохранить изменения и обновить политику брандмауэра..
  2. Щелкните OK в диалоговом окне Apply New Configuration.

Выполните следующие шаги на главном офисном брандмауэре ISA Server 2004, чтобы запросить и установить сертификаты:

  1. Откройте Internet Explorer. В адресной строке введите http://10.0.0.2/certsrv и щелкните OK.
  2. В диалоговом окне Enter Network Password введите Administrator в поле User Name и введите пароль администратора в поле Password. Щелкните OK.
  3. В диалоговом окне безопасности Internet Explorer щелкните Add. В диалоговом окне Trusted Sites щелкните Add,, а затем Close.
  4. Щелкните на ссылку Request a Certificate на странице приветствия Welcome.
  5. На странице Request a Certificate щелкните на ссылку advanced certificate request.
  6. На странице Advanced Certificate Request щелкните на ссылку Create and submit a request to this CA.
  7. На странице Advanced Certificate Request выберите сертификат Administrator из списка Certificate Template. Поставьте отметку возле Store certificate in the local computer certificate store. Щелкните Submit.
  8. Щелкните Yes в диалоговом окне Potential Scripting Violation.
  9. На странице Certificate Issued щелкните на ссылку Install this certificate.
  10. Щелкните Yes на странице Potential Scripting Violation.
  11. Закройте браузер после просмотра страницы Certificate Installed.
  12. Щелкните Start, а затем выполните команду Run. Введите mmc в текстовом окне Open и щелкните OK.
  13. В консоли Console1 щелкните на меню File и выберите команду Add/Remove Snap-in.
  14. Щелкните Add в диалоговом окне Add/Remove Snap-in.
  15. Выберите запись Certificates в списке Available Standalone Snap-ins в диалоговом окне b>Add Standalone Snap-in. Щелкните Add.
  16. Выберите опцию Computer account на странице Certificates snap-in.
  17. Выберите опцию Local computerна странице Select Computer.
  18. Щелкните Close в диалоговом окне Add Standalone Snap-in.
  19. Щелкните OK в диалоговом окне Add/Remove Snap-in.
  20. В левой панели консоли расширьте узел Certificates (Local Computer), а затем расширьте узел Personal. Щелкните на узел \Personal\Certificates . Двойной щелчок на сертификате Administrator в правой панели консоли.
  21. В диалоговом окне Certificate щелкните на вкладку Certification Path. Вверху иерархии сертификатов в рамке Certification path — корневой сертификат центра сертификации. Щелкните на сертификате EXCHANGE2003BE вверху списка. Щелкните на кнопку View Certificate.
  22. В диалоговом окне сертификата Certificate щелкните на вкладку Details. Щелкните на кнопку Copy to File.
  23. Щелкните Next на странице Welcome to the Certificate Export Wizard.
  24. На странице Export File Format выберите опцию Cryptographic Message Syntax Standard – PKCS #7 Certificates (.P7B) и щелкните Next.
  25. На странице File to Export введите c:\cacert в текстовом окне File name. Щелкните Next.
  26. Щелкните Finish на странице Completing the Certificate Export Wizard.
  27. Щелкните OK в диалоговом окне Certificate Export Wizard.
  28. Щелкните OK в диалоговом окне Certificate. Щелкните опять OK в диалоговом окне Certificate.
  29. В левой панели консоли расширьте узел Trusted Root Certification Authorities и щелкните на узле Certificates. Щелкните правой кнопку мыши на \Trusted Root Certification Authorities\Certificates, наведите курсов на All Tasks и щелкните Import.
  30. Щелкните Next на страниц Welcome to the Certificate Import Wizard.
  31. На странице File to Import с помощью кнопки Browse найдите сертификат центра сертификации, который вы сохранили на жесткий диск и нажмите Next.
  32. На странице Certificate Store примите настройки по умолчанию и нажмите Next.
  33. Щелкните Finish на странице Completing the Certificate Import Wizard.

Щелкните OK в диалоговом окне Certificate Import Wizard, информирующем вас о том, что импорт успешно завершен.

Настройка внутреннего брандмауэра ISA/ VPN сервера на разрешение удаленных VPN соединений

По умолчанию компонент VPN сервер отключен. Сначала нужно разрешить его и настроить компоненты сервера VPN.

Выполните следующие действия, чтобы разрешить и настроить внутренний брандмауэр/VPN сервер:

  1. Откройте ISA Firewall console и расширьте серверное имя. Щелкните на узле Virtual Private Networks (VPN).
  2. Перейдите на вкладку Tasks в панели задач. Щелкните на ссылку Enable VPN Client Access.

    Входящее vpn соединение

    Рисунок 2

  1. Щелкните Apply, чтобы сохранить изменения и обновить политику брандмауэра.
  2. Щелкните OK в диалоговом окне Apply New Configuration.
  3. Щелкните на ссылку Configure VPN Client Access на вкладку Tasks.
  4. На вкладке GeneralMaximum number of VPN clients allowed с 5 до 10.

    L2tp ipsec и nat

    Рисунок 3

  1. Щелкните на вкладку Groups На этой вкладке щелкните на кнопку Add.
  2. В диалоговом окне Select Groups щелкните на кнопку Locations. В диалоговом окне Locations щелкните на запись msfirewall.org и щелкните OK.
  3. В диалоговом окне Select Group введите Domain Users в поле Enter the object names to select. Щелкните на кнопку Check Names. Имя группы будет подчеркнуто, когда оно будет найдено Active Directory. Щелкните OK. Обратите внимание, что опция работает только в случае, когда вы настраиваете свой домен в режиме Windows Server 2003 через Active Directory. Если вы этого не делаете, вам будет нужно каждый аккаунт отдельно настраивать для включения наборного доступа, и тогда, конечно, вам не нужно будет ничего вводить в этом диалоговом окне на вкладку Groups.

    L2tp через nat

    Рисунок 4

  1. Перейдите на вкладку Protocols. На этой вкладку поставьте отметку возле Enable L2TP/IPSec.

    Vpn ipsec через nat

    Рисунок 5

  1. На вкладке Tasks щелкните на ссылку Select Access Networks.

    Firewall для l2tp vpn

    Рисунок 6

  1. В диалоговом окне Virtual Private Networks (VPN) Properties щелкните на вкладку Access Networks. Обратите внимание, что выбрана опция External. Это означает, что внешний интерфейс принимает входящие VPN соединения.
  2. Перейдите на вкладку Address Assignment. Выберите внутренний интерфейс из списка Use the following network to obtain DHCP, DNS and WINS services. Это очень важная деталь, так как она определяет сеть, через которую осуществляется доступ к DHCP.

    Постоянно рвется l2tp ipsec

    Рисунок 7

  1. Перейдите на вкладку Authentication. Обратите внимание, что настройка по умолчанию — включить только Microsoft encrypted authentication version 2 (MS-CHAPv2)..В последующих документах здесь: ISA Server 2004 VPN Deployment Kit мы включим опцию EAP, так чтобы могли использоваться высоконадежные пользовательские сертификаты для аутентификации в брандмауэре ISA/ VPN сервере. Отметьте Allow custom IPSec policy for L2TP connection. Если вы не хотите создавать инфраструктуру открытого ключа, или процесс создания его еще не закончен, тогда вы можете включить эту опцию, а затем ввести ключ pre-shared. Сейчас мы этого делать не будем.

    L2tp ipsec и nat

    Рисунок 8

  1. Перейдите на вкладку RADIUS. Здесь вы можете настроить брандмауэр ISA/VPN сервер для использования RADIUS для аутентификации пользователей VPN. Преимущество такой аутентификации в том, что вы можете транслировать базу данных пользователей Active Directory (и другие), чтобы аутентифицировать пользователей без необходимости включения в домен Active Directory.

    L2tp через nat

    Рисунок 9

  1. Щелкните Apply в диалоговом окне Virtual Private Networks (VPN) Properties, а затем щелкните OK.
  2. Щелкните Apply, чтобы сохранить изменения и обновить политику брандмауэра.
  3. Щелкните OK в диалоговом окне Apply New Configuration.
  4. Перезапустите машину с брандмауэром ISA.

После перезагрузки машина получит блок IP адресов от сервера DHCP во внутренней сети. Обратите внимание, что в целевой сети, где расположен сервер DHCP на сетевом сегменте, удаленном от брандмауэра ISA, на всех промежуточных маршрутизаторах должны быть включена задержка BOOTP или DHCP, так чтобы запросы DHCP от брандмауэра могли достигать удаленных серверов DHCP.

Создание правила доступа, открывающего доступ VPN клиентам во внутренней сети в Интернет

Брандмауэр ISA сможет принимать входящие VPN соединения после перезагрузки. Однако VPN клиенты не имеют доступа к любым ресурсам во внутренней сети или в Интернете, так как не существует правил доступа, позволяющих такой доступ. Вы должны создать правило доступа, которое бы позволяло участникам VPN сетевой доступ к внутренним ресурсам и к Интернету. В отличие от других брандмауэров, брандмауэр ISA/VPN сервер применяет контроль доступа для сетевого доступа клиентов VPN.

Замечание: Клиентам VPN не должно позволяться соединяться напрямую с Интернетом при соединении с корпоративной сетью. По умолчанию ПО Microsoft клиента VPN не разрешает клиентам VPN соединяться с Интернетом иначе, чем через VPN соединение. Отключение настройки безопасности VPN клиента, которая заставляет VPN клиента соединяться с Интернетом через собственное подключение к Интернету, называется split tunneling (туннельное расщепление). Такого нужно избегать из-за серьезных рисков безопасности.

В данном примере мы создадим правило доступа, позволяющего всему трафику проходить от сети VPN клиентов к внутренней сети и к Интернету. В промышленной среде вам будет нужно создавать более строгие правила доступа, так чтобы пользователям были доступны только те ресурсы, в которых они нуждаются.

Выполните следующие действия для создания правила доступа, позволяющего VPN клиентам иметь неограниченный доступ к ресурсам внутренней сети и Интернету на внутреннем брандмауэре:

  1. В ISA Firewall console расширьте серверное имя и щелкните на узле Firewall Policy. Щелкните правой кнопку мыши на Firewall Policy, наведите курсор на New и нажмите Access Rule.
  2. На странице Welcome to the New Access Rule Wizard введите имя для правила в текстовом окне Access Rule name. В данном примере мы назовем правило VPN Client to Internal/Internet. Щелкните Next.
  3. На странице Rule Action выберите опцию Allow и щелкните Next.
  4. На странице Protocols выберите All outbound protocols из списка This rule applies to. Щелкните Next.

    Vpn ipsec через nat

    Рисунок 10

  1. На странице Access Rule Sources щелкните Add. В диалоговом окне Add Network Entities щелкните на папку Networks и сделайте двойной щелчок на VPN Clients. Щелкните Close.

    L2tp ipsec nat

    Рисунок 11

  1. Щелкните Next на странице Access Rule Sources.
  2. На странице Access Rule Destinations щелкните Add. В диалоговом окне Add Network Entities щелкните на папку Networks и затем сделайте двойной щелчок на Internal. Затем, сделайте двойной щелчок на External.. Щелкните Close. Щелкните Next на странице Access Rule Destinations.

    Постоянно рвется l2tp ipsec

    Рисунок 12

  1. На странице User Sets примите настройки по умолчанию, All Users, и щелкните Next.

    Nat isa server

    Рисунок 13

  1. Щелкните Finish на странице Completing the New Access Rule Wizard.
  2. Щелкните Apply, чтобы сохранить все изменения и обновить политику брандмауэра.
  3. Щелкните OK в диалоговом окне Apply New Configuration. Политика VPN клиента теперь находится вверху списка политики доступа.

Включение наборного доступа к аккаунту администратора

В доменах неродного режима Active Directory у всех пользовательских аккаунтов выключен наборный доступ. Вы должны включить наборный доступ для каждого аккаунта этих доменов. А, напротив, в доменах родного режима Active Directory наборный доступ имеется и контролируется по умолчанию политикой удаленного доступа. В доменах Windows NT 4.0 всегда есть наборный доступ, контролируемый по-аккаунтно.

В нашем конкретном примере Active Directory находится в смешанном режиме Windows Server 2003, поэтому нам будет нужно вручную изменить настройки наборного доступа в пользовательском аккаунте домена.

Выполните следующие действия на контроллере домена, чтобы включить наборный доступ для администраторского аккаунта:

  1. Щелкните Start и наведите курсор на Administrative Tools. Щелкните Active Directory Users and Computers.
  2. В консоли Active Directory Users and Computers щелкните на узел Users в левой панели. Сделайте двойной щелчок на аккаунте Administrator в правой панели консоли.
  3. Перейдите на вкладку Dial-in. В рамке Remote Access Permission (Dial-in or VPN) выберите опцию Allow access. Щелкните Apply, а затем OK.

    L2tp через nat

    Рисунок 14

  1. Закройте консоль Active Directory Users and Computers.

Установление L2TP/IPSec VPN соединения с брандмауэром ISA/VPN сервером с внешнего компьютера VPN клиента

Выполните следующие действия, чтобы проверить L2TP/IPSec соединение с внутренним брандмауэром внешнего брандмауэра:

  1. Создайте VPN соединение на компьютере VPN клиента во внешней сети и настройте соединение с IP адресом 192.168.1.71. Установите соединение.
  2. Закройте диалоговое окно Connection Complete после установления соединения, нажав OK.
  3. На внешнем брандмауэре ISA Server 2004 откройте ISA Firewall console и расширьте серверное имя. Щелкните на узел Monitoring.
  4. В панели Details щелкните на вкладку Logging. Перейдите на вкладку Tasks в панели задач. Щелкните на ссылку Start Query. Вы увидите L2TP/IPSec соединение с клиента VPN к внешнему брандмауэру.
  1. На внутреннем брандмауэре откройте ISA Firewall console и расширьте серверное имя. Щелкните на узел Monitoring.
  2. В панели Details щелкните на вкладку Logging. Перейдите на вкладку Tasks в панели задач. Щелкните Start Query.
  3. На компьютере VPN клиента откройте браузер и наберите www.microsoft.com/isaserver в адресной строке и нажмите ENTER.
  4. Вернитесь на внутренний брандмауэр, и вы увидите соединение с Web-сайтом, установленное машиной VPN клиента.
  1. Закройте браузер на машине VPN клиента и щелкните правой кнопкой мыши на иконку соединения в системном трее, а затем щелкните Disconnect.

Заключение

В этой серии статей мы обсудили, как настроить внешний и внутренний брандмауэры с целью разрешить входящие L2TP/IPSec NAT-T VPN соединения с корпоративной сетью. Ключевыми шагами было настроить внешний брандмауэр на перенаправление L2TP/IPSec соединений на внутренний брандмауэр, а затем настроить внутренний брандмауэр завершать L2TP/IPSec соединения. Мы также убедились, что клиент и VPN сервер обеспечены машинными сертификатами, и в том, что на внутреннем брандмауэре было создано правило доступа, которое позволяло VPN клиентам иметь доступ к необходимым внутренним ресурсам и Интернету. Мы завершили работу изучением деталей удаленных VPN соединений.

www.isaserver.org











Смотрите также:

Tags: , , , , , , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)




Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]