Sunday, July 22nd, 2018

Создание VPN по схеме Site-to-Site с помощью Мастера настройки соединения с филиалом сервера ISA 2006 (Часть 4)

Published on Февраль 11, 2009 by   ·   Комментариев нет

В первых трех частях статьи об использовании мастера настройки соединений для связи серверов ISA 2006 филиала и главного офиса мы рассмотрели инфраструктуру тестовой сети, обсудили важные концепции создания VPN-соединений по схеме site-to-site, настроили вспомогательные сетевые службы, установили сервер хранения настроек и ISA-серверы главного офиса и филиала. В конце третьей части ISA-сервер филиала был готов к работе с файлом ответов, который и будет использовать мастер соединения.

Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:

В данной, четвертой, части мы продолжим настройку ISA-сервера главного офиса в сети удаленного узла, которая будет использоваться для создания VPN-соединения по схеме site-to-site между главным офисом и филиалом. После создания сети удаленного узла мы сможем запустить мастер создания файла ответов, который будет использовать мастер соединения для создания VPN-соединения по схеме site-to-site между филиалом и главным офисом. Мастер соединения также позволит нам автоматически присоединить ISA-сервер филиала к домену, что даст нам наивысший уровень безопасности и гибкости работы.

Создание сети удаленного узла для соединения филиала по VPN

Нам необходимо создать сеть удаленного узла, которая будет создавать VPN-соединения из главного офиса в филиал. После того, как настройка VPN-соединения будет закончена, мы сможем создать файл ответов и скопировать его в корень диска C: ISA-сервера филиала. Мастер создания соединения автоматически найдет этот файл и завершит создание VPN-соединения по схеме site-to-site с главным офисом.

Для создания VPN-соединения по схеме site-to-site на ISA-сервере главного офиса выполните следующее:

  1. На сервере хранения настроек раскройте узел Arrays (Массивы), а затем узел Main. Выберите узел VirtualPrivatenetworks (VPN) (Виртуальные частные сети). В средней части консоли ISA-сервера выберите вкладку Remote Sites (Удаленные узлы), а в панели задач выберите вкладку Tasks (Задачи). Щелкните по ссылке CreateVPNSitetoSiteConnection (Создать VPN-соединение по схеме site-to-site).

    L2tp ipsec computer authen одно соединение

    Рисунок 1

  2. На странице Welcome to the Create VPN Site to Site Connection Wizard (Начало работы мастера создания VPN-соединение по схеме site-to-site) введите имя удаленного узла в поле Site to site network name (Имя сети в схемеsite-to-site). Это имя интерфейса соединения по запросу ISA-сервера, который будет принимать входящие соединения ISA-сервера филиала. На данном компьютере вам нужно создать учетную запись пользователя с таким же именем, которая будет обладать правами на входящие соединения. Мастер предупредит нас об этом позже, и мы сможем создать необходимую учетную запись. Нажмите Next (Далее).

    Site to site связь только

    Рисунок 2

  3. На странице VPN Protocol (Протокол VPN) выберите параметр Layer Two Tunneling Protocol (L2TP) over IPSec (L2TP поверх IPSec). Данный вариант предпочтителен при создании VPN-соединения между двумя ISA-серверами. Мастер создания соединения можно использовать только в том случае, если на обоих концах VPN-канала находятся ISA-серверы. Мастер соединения филиала работает только при использовании либо L2TP/IPSec, либо IPSec в туннельном режиме. Избегайте использования IPSec в туннельном режиме, поскольку этот вариант менее защищен и обладает меньшей производительностью в сравнении с L2TP/IPSec из-за отсутствия сжатия заголовков. Если в качестве VPN-протокола вы выберите PPTP, вы не сможете создать файл ответов. Нажмите Next (Далее).

    Site to site связь только

    Рисунок 3

  4. Информационное окно предупредит вас о том, что вам необходимо создать учетную запись пользователя с именем интерфейса соединения по запросу данного компьютера, т.е. с тем же самым именем, которое вы дали сети удаленного узла в начале работы мастера. Мы создадим учетную запись после того, как завершим создание VPN-соединения сети удаленного узла. Нажмите OK.

    Чем организовать site to site

    Рисунок 4

  5. На странице Local Network VPN Settings (НастройкиVPN локальной сети) выберите метод назначения ISA-сервером IP-адресов удаленным VPN-клиентам и VPN-шлюзам. В нашем случае в подсети главного офиса есть DHCP-сервер, поэтому выбираем Dynamic Host Configuration Protocol (DHCP) (Протокол DHCP). Обратите внимание, что протокол DHCP не поддерживается при наличии в массиве ISA-серверов нескольких членов. Нажмите Next (Далее).

    Схема запросов и ответов по vpn

    Рисунок 5

  6. На странице хозяина соединения примите значения по умолчанию. Поскольку мы имеем массив только из одного члена, только один компьютер и может быть хозяином соединения. Если бы у нас было несколько членов и включенная функция балансировки нагрузки сети, тогда бы NLB автоматически назначала хозяина соединения. Нажмите Next (Далее).

    Схема запросов и ответов по vpn

    Рисунок 6

  7. На странице Remote Site Gateway (Шлюз удаленного узла) введите имя FQDN или IP-адрес ISA-сервера филиала. В нашем примере IP-адресом является 192.168.1.73, поэтому в соответствующее текстовое поле введите этот адрес (обратите внимание, что я использую внутренний IP-адрес; в реальных условиях у ISA-сервера, конечно же, будет внешний адрес). Введите в текстовое поле Remote site VPN server (VPN-сервер удаленного узла) IP-адрес ISA-сервера и нажмите Next (Далее).

    L2tp ipsec computer authen одно соединение

    Рисунок 7

  8. На странице Remote Authentication (Удаленная аутентификация) введите учетные данные, которые будет использовать ISA-сервер главного офиса для связи с сервером филиала по каналу VPN. Отметьте параметр Allow the local site to initiate connections to the remote site, using this user account (Разрешить локальному узлу инициирование соединений с удаленным узлом с помощью следующих учетных данных) и в текстовые поля User name (Имя пользователя), Domain (Домен), Password (Пароль) и Confirm Password (Подтверждение пароля) введите соответствующую информацию.
    Я предпочитаю использовать локальную учетную запись вместо доменной учетной записи. На самом деле в данном сценарии мы и не можем использовать доменную учетную запись, поскольку ISA-сервер филиала станет членом домена только после установления первого VPN-соединения по схеме site-to-site. В нашем случае на ISA-сервере филиала ISA2006BRANCH мы создадим учетную запись пользователя с именем main. Это объясняет данные, показанные на рисунке ниже. Нажмите Next (Далее).

    Site to site связь только

    Рисунок 8

  9. На странице L2TP/IPSec Outgoing Authentication (Исходящая аутентификация L2TP/IPSec) выберите, хотите ли вы использовать сертификат или общий ключ. В реальных условиях я обычно использую общий ключ, а затем, после того как все заработает так, как надо, перехожу к использованию сертификатов.
    Выберите параметр Pre-shared key authentication (Аутентификация с помощью общего ключа) и введите ключ. В данном примере для простоты я использую ключ 123. В Реальных условиях используйте сложные ключи, состоящие из более чем 14 символов. Нажмите Next (Далее).

    Site to site связь только

    Рисунок 9

  10. На странице Incoming L2TP/IPSec Authentication (Входящая аутентификация L2TP/IPSec) выберите метод аутентификации, который будет использовать ISA-сервер филиала при создании IPSec-соединений с ISA-сервером главного офиса. В нашем примере мы будет использовать тот же самый метод, что и при исходящих соединениях из главного офиса, т.е. с помощью общего ключа, значение которого 123. Нажмите Next (Далее).

    Чем организовать site to site

    Рисунок 10

  11. На странице Network Addresses (Сетевые адреса) введите диапазон IP-адресов, используемых в сети удаленного узла. Нажмите кнопку Add Range (Добавить диапазон). В диалоговом окне IP Address Range Properties (Свойства диапазона IP-адресов) введите диапазон адресов филиала. В нашем примере все компьютеры филиала расположены в подсети 10.0.1.0/24. В текстовое поле Start address (Начальный адрес) введите 10.0.1.0, а в поле End address (Конечный адрес) введите 10.0.1.255. Нажмите OK.

    Схема запросов и ответов по vpn

    Рисунок 11

  12. Диапазон адресов филиала появился на странице Network addresses (Сетевые адреса). Нажмите Next (Далее).

    Схема запросов и ответов по vpn

    Рисунок 12

  13. На странице Remote NLB (Удаленная балансировка нагрузки сети) уберите отметку с пункта The remote site is enabled for Network Load Balancing (На удаленном узле включена балансировка нагрузки сети): в филиале мы не будем использовать балансировку. Нажмите Next (Далее).

    L2tp ipsec computer authen одно соединение

    Рисунок 13

  14. На странице Site to Site Network Rule (Сетевое правило для схемы site-to-site) вы можете создать правило сетевой маршрутизации между главным офисом и филиалом. Примите значения по умолчанию Create a network specifying a route relationship (Создать сеть, указав отношения маршрутизации) и оставьте имя правила по умолчанию. Нажмите Next (Далее).

    Site to site связь только

    Рисунок 14

  15. На странице Site to Site Network Access Rule (Правило доступа для схемы site-to-site) вы можете создать правило доступа для контроля трафика VPN в главном офисе. В данном случае выберите параметр Create an allow access rule (Создать разрешающее правило доступа). Оставьте имя правила, указанное в поле Access Rule name (Имя правила доступа) по умолчанию. Из выпадающего списка Apply the rule to these protocols (Применить данное правило к следующим протоколам) выберите All outbound traffic (Весь исходящий трафик). Позже мы установим ограничения, но пока нам важно проверить успешное создание VPN-соединения и ввести ISA-сервер филиала в домен. После того, как мы стабилизируем работу VPN. Мы ограничим трафик только необходимыми внутридоменными соединениями и доступом к серверам. Нажмите Next (Далее).

    Site to site связь только

    Рисунок 15

  16. На странице Completing the New VPN Site to Site Network Wizard (Завершение работы мастера создания VPN-соединение по схеме site-to-site) нажмите Finish (Завершить).

    Чем организовать site to site

    Рисунок 16

  17. Вы увидите диалоговое окно Remaining VPN Site to Site Tasks (Оставшиеся задачи по созданию VPN-соединения по схеме site-to-site), которое сообщит вам о том, что вам необходимо создать учетную запись пользователя на ISA-сервер главного офиса, с помощью которой ISA-сервер филиала будет проходить аутентификацию при создании VPN-соединения. Нажмите OK.

    Схема запросов и ответов по vpn

    Рисунок 17

  18. Для сохранения изменений и обновления политики брандмауэра нажмите Apply (Применить). В диалоговом окне Apply New Configuration (Применить новые настройки) нажмите OK.
  19. Из списка узлов выберите запись Branch и щелкните по вкладке Tasks (Задачи). Обратите внимание, что в списке Related Tasks (Соответствующие задачи) появилась новая опция: Create Answer File for Remote VPN Site (Создать файл ответов для удаленного VPN узла). Данный параметр становится доступным только после создания удаленной сети VPN, и доступен только в ISA 2006 Enterprise Edition. Если вы используете ISA 2006 Standard Edition, вам придется проделать всю дальнейшую работу самостоятельно, без использования преимуществ файла ответов.

    Схема запросов и ответов по vpn

    Рисунок18

Теперь нам нужно выполнить задачи, которые от нас требует мастер: нам нужно создать учетную запись пользователя, с помощью которой ISA-сервер филиала будет проходить аутентификацию на ISA-сервере главного офиса. Для создания учетной записи и завершения настройки на ISA-сервере филиала (НЕ на сервере хранения настроек) выполните следующее:

  1. Щелкните правой кнопкой по ярлыку My Computer (Мой компьютер) и выберите Manage (Управление).

    L2tp ipsec computer authen одно соединение

    Рисунок 19

  2. В консоли Computer Management (Управление компьютером) раскройте узел System Tools (Системные средства), далее Local Users and Groups (Локальные пользователи и группы). Щелкните правой кнопкой по пустой области правой части консоли и из контекстного меню выберите пункт New User (Новый пользователь).

    Site to site связь только

    Рисунок 20

  3. В диалоговом окне New User (Новый пользователь) в текстовое поле User name (Имя пользователя) введите Branch. Данная установка крайне важна, поскольку имя пользователя должно совпадать с именем интерфейса соединения по запросу, который ISA-сервер главного офиса будет использовать для соединения с ISA-сервером филиала. Введите и подтвердите пароль. Удалите отметку с параметра User must change password at next logon (Пользователь должен изменить пароль при следующей регистрации) и отметьте параметры User cannot change password (Пользователь не может изменять пароль) и Password next expires (Срок действия пароля не истекает). Нажмите Create (Создать).

    Site to site связь только

    Рисунок 21

  4. В диалоговом окне New User (Новый пользователь) нажмите Close (Закрыть).
  5. Дважды щелкните по пользователю Branch для вызова окна свойств пользователя.

    Чем организовать site to site

    Рисунок 22

  6. Закройте консоль Computer Management (Управление компьютером).
  7. Перезапустите ISA-сервер.

Резюме

В данной, четвертой, части статьи о создании VPN-соединения по схеме site-to-site с помощью мастера создания соединений мы рассмотрели процедуры создания сети удаленного узла, которая разрешает VPN-соединения из главного офиса в филиал. Помимо этого мы создали учетную запись пользователя на ISA-сервере главного офиса для того, чтобы сервер филиала мог устанавливать соединения с главным офисом. В следующей части мы используем мастер файлов ответов для создания файла ответов, который перенесем на ISA-сервер филиала. До встречи!

www.isaserver.org




Смотрите также:

Tags: , , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]