Создание VPN по схеме Site-to-Site с помощью серверов ISA 2006 в главном офисе и филиале (Часть 2)
Published on Февраль 10, 2009 by Support · Комментариев нет
Во второй части статьи мы настроим ISA-сервер филиала и протестируем соединение.
Если вы пропустили первую часть статьи, воспользуйтесь ссылкой Создание VPN по схеме Site-to-Site с помощью серверов ISA 2006 в главном офисе и филиале (Часть 1) .
В первой части статьи о настройке VPN-соединения на базе протокола L2TP/IPSec между ISA-серверами мы рассмотрели вопросы создания тестовой сети и настроили ISA-сервер главного офиса.
Создание удаленного узла в филиале
С главным офисом работа закончена, переходим к настройке ISA-сервера филиала. Вначале создадим сеть удаленного узла в филиале.
Для создания сети удаленного узла в филиале выполните следующее:
- Откройте консоль управления Microsoft Internet Security and Acceleration Server 2006 и раскройте в ней имя сервера. Щелкните по узлу Virtual Private Networks (VPN).
- Выберите вкладку Remote Sites (Удаленные узлы) панели Details (Подробно). В панели задач выберите вкладку Tasks (Задачи). Нажмите Add Remote Site Network (Добавить сеть удаленного узла).
- На странице Welcome to the Create VPN Site to Site Connection Wizard (Начало работы мастера создания VPN-соединения по схеме Site-to-Site) введите в поле Site to site network name (Имя сети) имя для удаленной сети. В нашем примере это Main. Нажмите Next (Далее).
Рисунок 1
- На странице VPN Protocol (Протокол VPN) вы можете выбрать использование нескольких протоколов VPN. В нашем примере для VPN-соединения мы будем использовать общие ключи, что поможет при внедрении сертификатов после установления туннелей L2TP/IPSec. Выберите Layer Two Tunneling Protocol (L2TP) over IPSec (Протокол L2TP поверх IPSec). Нажмите Next (Далее).
Рисунок 2
- Появится диалоговое окно, в котором сообщается, что вам нужно создать учетную запись пользователя на ISA-сервере филиала. Эта учетная запись будет использоваться ISA-сервером главного офиса для аутентификации ISA-сервера филиала при попытке главного офиса создать VPN-соединение с филиалом.
Учетная запись обязательно должна иметь то же имя, что и сеть удаленного узла, которую мы создаем. Это имя указывается на первой странице мастера, и, поскольку в нашем примере сеть называется Main, то и учетная запись, которую мы создаем на ISA-сервере филиала, должна иметь имя Main. Данная запись должна иметь права на удаленный коммутируемый доступ. Ниже мы разберем процесс создания данной учетной записи более подробно. Нажмите OK.
Рисунок 3
- На странице Connection Owner (Владелец соединения) выберите, какой компьютер из массива будет отвечать за это VPN-соединение. Данный параметр активен только в версии ISA Enterprise Edition, а не в Standard Edition. Если ваш массив использует балансировку нагрузки, то вам не нужно назначать владельца соединения вручную, поскольку встроенный процесс балансировки во включенном состоянии автоматически назначает владельца.
В нашем примере мы не используем балансировку в массиве главного офиса (в одной из будущих статей я расскажу, как это делать), а наш массив состоит только из одного члена – это ISA-сервер версии Enterprise Edition главного офиса. Поэтому, мы используем параметр по умолчанию и нажимаем Next (Далее).
Рисунок 4
- На странице Remote Site Gateway (Шлюз удаленного узла) введите IP-адрес или полностью определенное доменное имя FQDN внешнего интерфейса ISA-сервера главного офиса. В нашем примере мы используем имя FQDN main.msfirewall.org, которое нужно ввести в текстовое поле. Нажмите Next (Далее).
Рисунок 5
- На странице Remote Authentication (Удаленная аутентификация) отметьте параметр Local site can initiate connections to remote site using these credentials (Локальный узел может инициировать соединения с удаленным узлом, используя эти учетные данные). Введите имя учетной записи, которую вы создали на ISA-сервере главного офиса для разрешения доступа ISA-серверу филиала. В нашем примере это учетная запись Branch (имя учетной записи должно совпадать с именем интерфейса по требованию, созданного на удаленном узле). ISA-сервер филиала использует эту запись для аутентификации на ISA-сервере главного офиса при создании VPN-соединения.
Поле Domain (Домен) – это имя ISA-сервера главного офиса, в нашем примере это ISA2006SE (если бы удаленный сервер ISA Server 2006 был контроллером домена, то вместо имени компьютера необходимо было бы использовать имя домена). Введите пароль для учетной записи и подтвердите его. Нажмите Next (Далее).
Рисунок 6
- На странице L2TP/IPSec Outgoing Authentication (Аутентификация L2TP/IPSec) выберите метод аутентификации вашего компьютера на ISA-сервере филиала. В нашем примере мы используем опцию Pre-shared key authentication (Аутентификация с помощью общего ключа). В поле Pre-shared key (Общий ключ) введите общий ключ. Убедитесь, что это тот же самый ключ, который используется на ISA-сервере главного офиса. Нажмите Next (Далее).
Рисунок 7
- На странице Network Addresses (Сетевые адреса) нажмите Add Range (Добавить диапазон). В диалоговом окне IP Address Range Properties (Свойства диапазона IP-адресов) в поле Starting address (Начальный адрес) введите 10.0.0.0. В поле Ending address (Конечный адрес) введите 10.0.0.255. Нажмите OK.
Рисунок 8
- На странице Network Addresses (Сетевые адреса) нажмите Next (Далее).
- На странице Remote NLB (Удаленная балансировка нагрузки) вы указываете, использует ли ISA-сервер главного офиса балансировку нагрузки. Если балансировка используется, отметьте пункт The remote site is enabled for Network Load Balancing (На удаленном узле используется балансировка нагрузки). Затем необходимо добавить выделенные IP-адреса массива балансировки в главном офисе с помощью кнопки Add Range (Добавить диапазон).
Мы не используем балансировку в главном офисе, поэтому снимаем отметку с параметра The remote site is enabled for Network Load Balancing (На удаленном узле используется балансировка нагрузки). В одной из следующих статей я расскажу, как создавать VPN с включенной функцией балансировки нагрузки. Нажмите Next (Далее).
Рисунок 9
- На странице Site to Site Network Rule (Сетевое правило для схемы site-to-site) вы можете настроить сетевое правило, с помощью которого будут соединяться главный офис и филиал. Помните, что ISA-серверу для соединений сетей ISA-серверов всегда требуется сетевое правило. Даже если вы создадите сети и правила доступа, соединения не будут работать до тех пор, пока вы не создадите сетевое правило.
Выберите пункт Create a Network Rule specifying a route relationship (Создать сетевое правило, указав отношения маршрутизации) и примите установки по умолчанию. Обратите внимание, что у вас есть возможность вручную создать сетевое правило позже (опция I’ll create a Network Rule later (Я создам сетевое правило позже)). Заметьте, что по умолчанию отношения маршрутизации устанавливаются между сетями ISA-серверов главного офиса и филиала. Это лучший выбор, поскольку так вы получаете гораздо больший диапазон доступа протоколов при использовании отношений маршрутизации.
Отношения маршрутизации в филиале должны совпадать с отношениями маршрутизации в главном офисе.
Нажмите Next (Далее).
Рисунок 10
- На странице Site to Site Network Access Rule (Сетевое правило доступа для схемы site-to-site) вы можете настроить правило доступа, разрешающее соединения между филиалом и главным офисом.
У вас есть возможность не создавать правило доступа, выбрав параметр I’ll change the Access Policy later (Я изменю политики доступа позже).
При выборе опции Create an allow Access Rule. This rule will allow traffic between the Internal Network and the new site to site Network for all users (Создать разрешающее правило доступа. Это правило будет разрешать трафик между внутренней и новой сетями для всех пользователей) у вас появится три варианта выбора из выпадающего списка Apply the rule to these protocols (Применить правило к этим протоколам). Варианты таковы:
All outbound traffic (Весь исходящий трафик)
Selected protocols (Выбранные протоколы)
All outbound traffic except selected (Весь исходящий трафик, кроме выбранного).
В нашем примере мы разрешим все протоколы. Позже я покажу, как можно использовать аутентификацию на основе пользователей/групп для контроля пользователей филиала, которым разрешено соединяться с главным офисом. Это важный ключевой момент, поскольку пользователи филиала должны иметь крайне ограниченный доступ к ресурсам главного офиса. Им нужен доступ только к серверам и протоколам, необходимым для работы, а также они должны проходить принудительную аутентификацию до того, как получить доступ к сети главного офиса.
Выберите параметр All outbound traffic (Весь исходящий трафик) и нажмите Next (Далее).
Рисунок 11
- На странице Completing the New Site to Site Network Wizard (Завершение работы мастера создания новой сети по схеме Site-to-Site) нажмите Finish (Завершить).
Рисунок 12
- В диалоговом окне Remaining VPN Site to Site Tasks (Оставшиеся задачи по созданию VPN-соединения по схеме Site-to-Site) появится информация о том, что вам нужно создать учетную запись пользователя с именем Branch. Мы сделаем это в следующей главе. Нажмите OK.
Ознакомьтесь с политикой, созданной мастером VPN и нажмите Apply (Применить) для сохранения изменений, а затем в диалоговом окне Apply New Configuration (Применить новые настройки) нажмите OK.
Рисунок 13
Не забудьте подтвердить назначение адресов для клиентов и шлюзов VPN таким же образом, как вы делали в главном офисе. Если ISA-сервер не может назначать IP-адреса удаленному шлюзу, соединение работать не будет. Помимо этого, не забудьте настроить интерфейс входящих соединений по запросу на отключение регистрации в DNS, как мы это делали в первой части для сервера главного офиса.
Создание учетной записи для входящих соединений VPN-шлюза в филиале
Мы должны создать учетную запись пользователя, которую ISA-сервер главного офиса сможет использовать для аутентификации при инициализации VPN-соединения. Данная учетная запись должна иметь то же имя, что и интерфейс входящих соединений по запросу ISA-сервера филиала.
Для создания учетной записи выполните следующее:
- Правой кнопкой щелкните по значку My Computer (Мой компьютер) на Рабочем столе и выберите Manage (Управление).
- В консоли Computer Management (Управление компьютером) раскройте узел Local Users and Groups (Локальные пользователи и группы). Правой кнопкой щелкните по узлу Users (Пользователи) и выберите New User (Новый пользователь).
- В диалоговом окне New User (Новый пользователь) введите имя интерфейса для входящих соединений главного офиса. В нашем примере это имя Main, его и введите в текстовое поле. Введите и подтвердите пароль в поле Password (Пароль). Запишите или запомните этот пароль, поскольку он понадобится при настройке VPN-шлюза. Снимите отметку с поля User must change password at next logon (Пользователь должен изменить пароль при следующей регистрации). Отметьте параметры User cannot change password (Пользователь не может изменять пароль) и Password never expires (Срок действия пароля не истекает). Нажмите Create (Создать).
- В диалоговом окне New User (Новый пользователь) нажмите Close (Закрыть).
- Дважды щелкните по пользователю Main в правой части консоли.
- В диалоговом окне Main Properties (Свойства пользователя Main) выберите вкладку Dial-in (Входящие соединения). Выберите Allow access (Разрешить доступ). Нажмите Apply (Применить), а затем OK.
Рисунок 14
Активация каналов
Теперь оба ISA-сервера, в главном офисе и филиале, настроены в качестве VPN-маршрутизаторов, и мы можем протестировать наше соединение.
Для проверки выполните следующее:
- На компьютере удаленного клиента за ISA-сервером филиала нажмите Start (Пуск), затем Run (Выполнить).
- В диалоговом окне Run (Выполнить) введите команду cmd и нажмите OK.
- в командной строке введите ping –t 10.0.0.2 и нажмите ENTER
- Вы увидите несколько сообщений о превышении периода ожидания, а затем пойдут ответы от контроллера домена сети главного офиса.
- Выполните подобную процедуру на контроллере домена сети главного офиса, но в этот раз проверьте адрес 10.0.1.2 – адрес компьютера REMOTEHOST.
Результаты запросов представлены на Рисунке 15:
Рисунок 15
Если вы просмотрите файлы журналов ISA-сервера филиала, вы увидите такие подобные строки (Рисунок 16).
Рисунок 16
Теперь откройте вкладку Sessions (Сессии) ISA-сервера филиала. Вы увидите активную сессию, представляющую VPN-соединением. Обратите внимание на фильтр, указывающий на соединение.
Рисунок 17
Подобные проверки вы можете выполнить на ISA-сервере главного офиса.
Заключение
В данной статье мы рассмотрели вопросы создания VPN-соединения на базе протокола L2TP/IPSec между двумя ISA-серверами. Мы ограничились использованием общего ключа между ISA-серверами главного офиса и филиала, но вы должны помнить, что вместо ключа лучше всего использовать аутентификацию с помощью сертификатов. Я дал ссылку на руководство по внедрению VPN на базе сервера ISA Server 2000, откуда вы можете получить информацию о внедрении инфраструктуры сертификатов.
В следующей статье мы рассмотрим две вещи, которые можно сделать для повышения безопасность и увеличения скорости соединения: блокирование правила доступа для соединений поверх VPN-канала и использование цепочки web-прокси для того, чтобы ISA-сервер филиала с большей пользой использовал кэш ISA-сервера главного офиса. До встречи!
www.isaserver.org
Смотрите также: Tags: accel, dns, domain, ISA Server, l2tp, traffic, tun, tunnel, vpn
Exchange 2007
Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам:
Проведение мониторинга Exchange 2007 с помощью диспетчера System ...
[+]
Введение
В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ...
[+]
Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ...
[+]
Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ...
[+]
Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам:
Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1)
...
[+]
If you missed the previous parts in this article series please read:
Exchange 2007 Install and Configuration from the command line (Part ...
[+]
Инструмент ExRCA
Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями:
Тест подключения Outlook 2007 Autodiscover
Тест подключения Outlook 2003 RPC ...
[+]
Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам:
Развертывание сервера Exchange 2007 Edge Transport (часть 1)
Развертывание ...
[+]
Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ...
[+]
Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ...
[+]