Thursday, October 18th, 2018

Настройка удаленного доступа к VPN серверам в каскадном режиме брандмауэра ISA

Published on Февраль 6, 2009 by   ·   Комментариев нет

Хотите опубликовать ваши VPN сервера по протоколам PPTP, L2TP/IPSec, и IPSec в туннельном режиме, используя новый брандмауэр ISA? Нет проблем! Детально прочтите эту статью и узнайте, как сделать это сегодня. Знаете что? Сервер VPN, который вы публикуете, даже не должен быть Windows VPN сервером! Прочтите, как сделать это, здесь.

Как я отмечал в предыдущих статьях о новом брандмауэре ISA (ISA Server 2004), одним из ключевых расширений, сделанных в брандмауэре ISA являются — впечатляющий VPN сервер и VPN шлюз. VPN сервер брандмауэра ISA позволяет вам следующее:

  • Вынуждает пользователей VPN использовать только определенные серверы
  • Вынуждает пользователей VPN использовать только разрешенные протоколы при подключении к определенным серверам
  • Регистрирует имена пользователей для всех соединений VPN
  • Наряду с регистрацией имен пользователей, протоколов, и доступных по этим протоколам серверов, вы так же можете регистрировать приложения использованные пользователями при подключении к этим серверам
  • Пользователи VPN могут сейчас получить доступ в Интернет через тот же брандмауэр ISA, к которому они подключены, и вам не нужно включать раздельное туннелирование; так же, вы можете использовать настройки клиента в брандмауэре и прокси сервере, чтобы разрешить клиенту VPN выйти в Интернет через альтернативные Интернет шлюзы вашей сети.
  • Присоединяться к сетям, используя IPSec в туннельном режиме, PPTP или L2TP/IPSec.
  • Выполнять такое же строгое управление доступом над удаленными сотрудниками офиса, соединенными с произвольного места VPN соединением, какое вы можете осуществлять с удаленными клиентами VPN.
  • Публиковать VPN сервера используя протоколы PPTP и L2TP/IPSec, когда брандмауэры ISA настроены в каскадном режиме (вы можете публиковать не-Windows серверы VPN, если хотите, и вы можете публиковать серверы, используя протокол IPSec в туннельном режиме, когда используете маршрутизацию между внешним интерфейсом брандмауэров ISA и интерфейсом DMZ (неконтролируемая зона))

В каскадном режиме, внешний брандмауэр ISA имеет прямое соединение с Интернетом. Поэтому вы можете использовать NAT-соединение или маршрутизацию между Интернетом и DMZ за внешним брандмауэром ISA. Если вы будете использовать публичные адреса в DMZ, то вы можете использовать NAT-соединение или маршрутизацию. Если же вы используете приватные адреса, то вы можете использовать только NAT-соединения.

Если вы используете маршрутизацию и публичные адреса в сегменте DMZ, вы можете публиковать VPN серверы, используя протоколы PPTP, L2TP/IPSec и IPSec в туннельном режиме, находящиеся позади внешнего брандмауэра. Если вы используете NAT-соединение, вы можете публиковать VPN серверы, используя протоколы PPTP или L2TP/IPSec, находящиеся позади внешнего брандмауэра. Вы не сможете опубликовать VPN серверы, используя протокол IPSec в туннельном режиме, если ваш VPN сервер не поддерживает NAT-T (сервер VPN может использовать IETF NAT-T так же, как сервер VPN в Windows 2003 Server или вы можете опубликовать собственные VPN серверы поддерживающие NAT-T).

Причина, по которой вы не можете опубликовать серверы VPN, используя протокол IPSec в туннельном режиме позади внешнего брандмауэра ISA, в том, что NAT портит протокол IPSec. Вот почему вы можете опубликовать VPN серверы, используя протокол IPSec в туннельном режиме, позади внешнего брандмауэра ISA, когда установлена маршрутизация между Интернетом и DMZ позади внешнего брандмауэра ISA — нет никакого NAT, который бы портил IPSec соединения.

Обходящий NAT (NAT-T) позволяет VPN туннелям, зашифрованным IPSec, проходить NAT устройства. Заголовки IPSec скрыты заголовком TCP или UDP, а этот заголовок имеет специфический порт назначения. Сервер VPN брандмауэра ISA (когда он установлен под Windows Server 2003) использует IETF NAT-T спецификацию, которая использует заголовки UDP с 4500 портом назначения.

VPN сервер брандмауэра ISA/Windows 2003 сервера получает соединения по UDP порту 4500 и удаляет заголовок UDP, чтобы выставить зашифрованное IPSec соединение, которое затем расшифровывается и передается получателю. Этот метод, используется NAT-T соединением Windows клиентов VPN, при удаленном подключении к VPN посредством Windows Server 2003/ISA и подключении к серверам посредством VPN шлюзов.

Другие поставщики серверов VPN используют альтернативные номера портов для получения скрытых NAT-T пакетов. Например, Cisco использует UDP порт 10000. Cisco так же имеет настройку, позволяющую использовать TCP вместо UDP, хотя этот метод не является таким же универсальным и стабильным как IETF NAT-T. Независимо от исполнения, до тех пор, пока заголовки IPSec скрыты заголовком TCP или UDP, эти соединения могут пройти через NAT устройство.

Одно из главных усовершенствований нового брандмауэра ISA по сравнению с ISA Server 2000 — это возможность публиковать серверы VPN, используя протокол PPTP. Пока еще PPTP не обеспечивает тот же уровень безопасности как шифрованное IPSec соединение VPN, но уровень безопасности, обеспечиваемый PPTP соединением, достаточен при использовании длинных паролей. Множество больших компаний используют только PPTP соединения VPN и когда комбинируют их с длинными и сложными паролями, уровень безопасности фактически находится на уровне IPSec VPN.

ОБРАТИТЕ ВНИМАНИЕ:
Я знаю о преимуществах безопасности IPSec. В них входит защита от таких атак как: переигровка, человек в середине, и отсутствие отказа. IPSec также требует идентификации и человека и машины. Даже с этими преимуществами, PPTP совершенно приемлем для большинства видов коммерческой деятельности и только очень сильно открытые виды деятельности с исключительными требованиями к безопасности обязаны использовать L2TP/IPSec. Обратите внимание, что туннельный режим IPSec использующий pre-share ключи НЕ БОЛЕЕ безопасен, чем PPTP из-за нескольких хорошо известных и опубликованных атак, при использовании pre-share ключей. Если у вас есть выбор, вы должны всегда использовать L2TP/PPTP вместо IPSec в туннельном режиме и вы должны всегда использовать сертификаты вместо pre-share ключей. Несмотря на вышесказанное, для простоты, на текущей демонстрации я буду использовать pre-share ключи для L2TP/PPTP соединений VPN. Пожалуйста, рассмотрите комплект разработчика VPN для ISA 2004, для изучения деталей того, как назначать сертификаты машинам и пользователям для удаленного соединения посредством протокола L2TP/IPSec.

Одно из главных изменений в поддержке PPTP по сравнению с тем, что было в ISA server 2000 в том, что новый брандмауэр поддерживает публикацию серверов с помощью протокола PPTP. В ISA Server 2000, фильтр PPTP работал только для исходящих VPN соединений. PPTP фильтр брандмауэра ISA теперь поддерживает как входящие, так и исходящие VPN соединения. Входящие PPTP соединения — от внешних PPTP клиентов VPN.

Публикация PPTP VPN сервера требует только создания Правила Публикации Сервера, используя PPTP Определение Протокола Сервера. Публикация L2TP/IPSec VPN сервера требует, чтобы вы опубликовали IKE (UDP 500), L2TP (UDP 1701) и NAT-T (UDP 4500). Если вы используете NAT-T, то вам не нужно публиковать протокол L2TP, потому что заголовок L2TP скрывается в UDP заголовке протокола NAT-T.

Для публикации брандмауэра ISA/сервера VPN, расположенного позади внешнего брандмауэра ISA, вам нужно проделать следующие шаги:

  • Установить и настроить внешний брандмауэр ISA
  • Установить и настроить внутренний брандмауэр ISA
  • Настроить внутренний брандмауэр ISA как PPTP и L2TP/IPSec VPN сервер
  • Настроить внутренний брандмауэр ISA на публикацию VPN серверов внутреннего брандмауэра ISA
  • Установить удаленное соединение

Установка и настройка внешнего брандмауэра ISA

Мы установим внешний брандмауэр ISA так, чтобы он имел интерфейс в публичной сети и интерфейс в сегменте DMZ между внешним и внутренним брандмауэром ISA. Внешний брандмауэр ISA — не является членом домена, потому что он не должен им быть. Хотя вы можете сделать внешний брандмауэр ISA членом домена, есть причины по которым вам не следует открывать внутридоменные протоколы на сегменте от DMZ до внутренней сети.

В этом примере, внешний интерфейс внешнего брандмауэра ISA имеет IP адрес 192.168.1.71, а внутренний интерфейс — 10.0.1.1. Внешний интерфейс внешнего брандмауэра ISA настроен так, что шлюз по умолчанию разрешает доступ в Интернет. Мы создадим правило доступа дающее внешнему интерфейсу внутреннего брандмауэра ISA полный доступ в Интернет. Это позволит клиенту VPN соединиться с внутренним брандмауэром ISA и получить доступ в Интернет через VPN соединение, созданное c внутренним брандмауэром ISA. Чтобы создать, Правило Доступа, вам нужно знать, что IP адрес внешнего интерфейса внутреннего брандмауэра ISA — 10.0.1.2. Это правило доступа также позволяет DNS серверу внутренней сети получать имена Интернет хостов.

Предполагаю, что вы уже знаете как установить брандмауэр ISA и настроить интерфейсы сети на внешнем брандмауэре. Сделаем следующие шаги, чтобы создать Правило Доступа:

  1. В менеджере Microsoft Internet Security and Acceleration Server 2004, раскроем ветку с именем сервера и затем нажмем на узел (Политики брандмауэра) Firewall Policy. В панели задач, щелкнем закладку (Задачи)Tasks и затем на ссылку (Создать новое правило доступа) Create a New Access Rule.
  2. В Окне приветствия Мастера нового правила введите имя правила в поле Название правила доступа. В этом примере мы назовем его All Open from Back-end Firewall (Все открыто с внутреннего брандмауэра). Нажмите Next (Далее).
  3. На странице Rule Action (Действия правила), поставьте галочку Allow (Разрешить) и нажмите Next (Далее).
  4. На странице Protocols (Протоколы), поставьте галочку All outbound traffic (Весь исходящий трафик) из списка This rule applies to (Это правило действует для). Нажмите Next (Далее).
  5. На странице Access Rule Sources (Источник правила доступа), нажмите кнопку Add(Добавить).
  6. В диалоговом окне Add Network Entities (Добавьте сетевые объекты), нажмите меню New(Новый) и затем нажмите Computer (Компьютер).
  7. В диалоговом окне New Computer Rule Element (Новый элемент правила — компьютер), введите имя компьютера в поле Name(Имя). Мы будем использовать имя Back End ISA Firewall (Внутренний брандмауэр ISA). В поле Computer IP Address(IP адрес компьютера), введите IP адрес внешнего интерфейса внутреннего брандмауэра ISA. В нашем примере мы использовали 10.0.1.2. Нажмите OK.

    Что такое режим vpn?

  8. В диалоговом окне Add Network Entities (Добавить элементы сети), нажмите на папке Computers (Компьютеры) и затем дважды щелкните на элементе Back End ISA Firewall(Внутренний брандмауэр ISA). Нажмите Close(Закрыть).

    Pptp isa terminate 807

  9. Нажмите Next (Далее) на странице Access Rule Sources(Источники правила доступа).
  10. На странице Access Rule Destinations (Получатели правила доступа), нажмите Add (Добавить).
  11. В диалоговом окне Add Network Entities (Добавить элементы сети), выберите папку Networks (Сети) и затем дважды нажмите на элементе External (Внешняя). Нажмите Close(Закрыть).
  12. Нажмите Next (Далее) на странице Access Rule Destinations (Получатели правила доступа).
  13. Согласитесь с настройками по умолчанию на странице User Sets (Пользовательские настройки) и нажмите Next(Далее).
  14. Нажмите Finish (Завершить) на странице Completing the New Access Rule Wizard (Завершение мастера создания нового правила доступа).
  15. Нажмите Apply (Применить), чтобы сохранить изменения и обновить политики брандмауэра.
  16. Нажмите OK в диалоговом окне Apply New Configuration (Применить новые настройки).

Обратите внимание, что это правило пропускает весь трафик внешнего интерфейса внутреннего брандмауэра ISA, но не пропускает трафик, исходящий из любых других точек сегмента DMZ. Вы должны создать отдельные правила, позволяющие другим компьютерам, находящимся в сегменте DMZ, получать доступ в Интернет через внешний брандмауэр ISA.

Установка и настройка внутреннего брандмауэра ISA

Внутренний брандмауэр ISA будет точкой прерывания VPN соединения. Удаленный VPN пользователь соединится с внутренним брандмауэром ISA/сервером VPN, проходя через внешний брандмауэр ISA. Внутренний брандмауэр ISA имеет интерфейс на сегменте DMZ между внешним и внутренним брандмауэром ISA и интерфейс на внутренней сети. Внутренний брандмауэр ISA является также членом домена внутренней сети. Это позволяет внутреннему брандмауэру ISA использовать Windows идентификацию для идентификации пользователей вместо базы данных пользователей домена внутренней сети.

Нам нужно создать правило доступа позволяющее клиентам VPN выходить в Интернет и во внутреннюю сеть. В отличие от брандмауэра ISA 2000, где только клиенты прокси сервера и брандмауэра могут получить доступ в Интернет через тот же брандмауэр ISA, через который они соединились, брандмауэр ISA 2004 позволяет не только клиентам прокси сервера и брандмауэра получить доступ в Интернет через тот же брандмауэр, к которому они подключены. В действительности, VPN клиенты — являются клиентами SecureNAT (безопасный NAT) брандмауэра ISA к которому они соединены. Новый брандмауэр ISA позволяет VPN клиентам SecureNAT выходить в Интернет.

ИМЕЙТЕ ВВИДУ: Брандмауэр ISA позволяет вам осуществлять очень сильный контроль доступа над VPN клиентами. Для простоты демонстрации, мы создадим нереально свободные политики безопасности. В вашем случае, вам нужно будет оставить открытыми VPN пользователям только те сервера и протоколы, которыми вы хотели бы, чтобы они пользовались при соединении к этим серверам и закрыть все остальные.

Мы так же создадим правило доступа, позволяющее DNS серверу внутренней сети получать имена Интернет узлов. Я полагаю, большинство организаций используют внутренний DNS сервер, и внутренний DNS сервер настроен на получение имен Интернет узлов выполняя рекурсию. В настройках будет много опций, когда вы будете разрешать DNS получать имена Интернет узлов, но большинство заграждающих опций будут для использования внутренним DNS сервером.

Я допускаю, что вы знаете, как устанавливать ПО брандмауэра ISA и знаете, как настроить сетевые интерфейсы с соответствующей IP адресацией. Сделайте следующие шаги, чтобы создать правила доступа:

  1. В менеджере Microsoft Internet Security and Acceleration Server 2004 (Сервер Microsoft интернет безопасности и увеличения скорости), раскройте ветвь с именем сервера и затем нажмите на узел Firewall Policy (Политики брандмауэра). В панели Задач, выберите закладку Tasks (Задачи) и нажмите ссылку Create a New Access Rule (Создать новое правило доступа).
  2. В окне Welcome to the New Access Rule Wizard (Добро пожаловать в мастер создания нового правила доступа) введите название правила в поле Access Rule name (Название правила доступа). В нашем примере мы будем использовать All Open to Internet and Internal — VPN Clients (Все открыто для Интернета и внутренних клиентов VPN). Нажмите Next (Далее).
  3. На странице Rule Action (Действия правила), поставьте галочку Allow (Разрешить) и нажмите Next (Далее).
  4. На странице Protocols (Протоколы), поставьте галочку All outbound traffic (Весь исходящий трафик) из списка This rule applies to (Это правило действует для). Нажмите Next (Далее).
  5. На странице Access Rule Sources (Источник правила доступа), нажмите кнопку Add(Добавить).
  6. В диалоговом окне Add Network Entities (Добавить сетевые объекты), нажмите папку Networks (Сети) и затем дважды щелкните на элементе VPN Clients (VPN клиенты). Нажмите Close (Закрыть).
  7. Нажмите Next (Далее) на странице Access Rule Sources (Источники правил доступа).
  8. На странице Access Rule Destinations (Получатели правила доступа) нажмите Add (Добавить).
  9. В диалоговом окне Add Network Entities (Добавьте сетевые объекты), нажмите папку Networks (Сети) и затем дважды щелкните на элементах External (Внешний) и Internal (Внутренний). Нажмите Close (Закрыть).
  10. Нажмите Next (Далее) на странице Access Rule Destinations (Получатели правила доступа).

    Брандмауэр настроить vpn

  11. Согласитесь с настройками по умолчанию на странице User Sets (Пользовательские настройки) и нажмите Next (Далее).
  12. Нажмите Finish (Завершить) на странице Completing the New Access Rule Wizard (Завершение мастера создания нового правила доступа).
  13. Нажмите Apply (Применить), чтобы сохранить изменения и обновить политики брандмауэра.
  14. Нажмите OK в диалоговом окне Apply New Configuration (Применить новые настройки).

Теперь, мы создадим правило, позволяющее DNS серверу внутренней сети соединяться с DNS серверами Интернета. Мы будем использовать другой метод при создании этого правила, что вы увидите, когда будете делать следующие шаги:

  1. Нажмите правую кнопку мыши на правиле All Open to Internal and Internet — VPN Clients (Все открыто для Интернета и внутренних клиентов VPN), находящемся в узле Firewall Policy (политики брандмауэра) и нажмите Copy (Копировать).
  2. Нажмите правую кнопку на правиле еще раз и выберите Paste (Вставить).
  3. Два раза щелкните на правиле All Open to Internal and Internet — VPN Clients (1), чтобы открыть окно Properties (Свойства) этого правила.
  4. На закладке General (Общее), переименуйте правило в Outbound DNS for DNS Server (Исходящий DNS для сервера DNS) и нажмите Apply (Применить).
  5. Выберите закладку Protocols (Протоколы) и на ней выберите значение Selected protocols (Выбранные протоколы) из списка This rule applies to (Это правило применяется к). Нажмите Add (Добавить).
  6. В диалоговом окне Add Protocols (Добавить протоколы), раскройте папку Common Protocols (Общие протоколы) и дважды щелкните на DNS. Нажмите Close (Закрыть).
  7. Нажмите Apply (Применить).

    Настроить удаленный доступ к серверу

  8. Выберите закладку From (От) и на ней выберите элемент VPN Clients (VPN клиенты) и нажмите Remove (Убрать). Нажмите Add (Добавить).
  9. В диалоговом окне Add Network Entities (Добавить сетевые объекты), выберите меню New (Новый) и нажмите Computer (Компьютер).
  10. В диалоговом окне New Computer Rule Element (Новый элемент правила для компьютера), введите DNS Server (Сервер DNS) в поле Name (Имя). Введите IP адрес DNS сервера в поле Computer IP Address (IP адрес компьютера). В этом примере, DNS сервер внутренней сети использует адрес 10.0.0.2. Нажмите OK.
  11. В диалоговом окне Add Network Entities (Добавить сетевые объекты), раскройте папку Computers (Компьютеры) и дважды щелкните на элементе DNS Server (DNS сервер). Нажмите Close (Закрыть).

    Общий доступ к vpn

  12. Нажмите Apply (Применить).
  13. Выберите закладку To (К) и на этой закладке выберите элемент Internal (Внутренний) и нажмите Remove (Убрать).
  14. Нажмите Apply (Применить) и затем нажмите OK.
  15. Нажмите Apply (Применить), чтобы сохранить изменения и обновить политики брандмауэра.
  16. Нажмите OK в диалоговом окне Apply New Configuration (Применить новые настройки).

Настройка внутреннего брандмауэра ISA как PPTP и L2TP/IPSec VPN сервера

Теперь, когда мы имеем правила доступа на своем месте, мы можем приступить к настройке VPN сервера на внутреннем брандмауэре ISA. У нас есть сервер DHCP установленный во внутренней сети, поэтому мы будем использовать настройки по умолчанию, где VPN сервер использует DHCP, чтобы получить адреса клиентов DHCP.

Запомните, что VPN клиенты никогда напрямую не соединяются с DHCP сервером. Если вы хотите передать опции DHCP, вы должны настроить Агента Передачи DHCP на брандмауэре ISA. Вам также понадобится Агент Передачи DHCP, если сервер DHCP является удаленным сетевым сегментом.

Проделаем следующие шаги, чтобы включить и настроить VPN сервер на внутреннем брандмауэре ISA:

  1. В менеджере Microsoft Internet Security and Acceleration Server 2004 (Сервер Microsoft Интернет безопасности и увеличения скорости), раскройте ветвь с именем сервера и затем нажмите на узел Virtual Private Networks (VPN) (Виртуальная частная сеть) в левой панели.
  2. В панели задач нажмите ссылку Configure VPN Client Access (Настройка доступа клиента VPN) на закладке Tasks (Задачи).
  3. В диалоговом окне VPN Clients Properties (Свойства клиента VPN), поставьте галочку на опции Enable VPN client access (Включить доступ клиенту VPN). Обратите внимание, что количество соединений по умолчанию установлено в 5. Вы можете увеличить это значение до 1000 в стандартной поставке брандмауэра ISA (вы не ограничены количеством соединений в поставке для предприятий). Мы будем использовать значение по умолчанию в этом примере. Не забудьте включить достаточно адресов в настройках DHCP, чтобы поддержать то количество, которое вы указали здесь.
  4. Выберете закладку Protocols (Протоколы). Поставьте галочки у опций Enable PPTP (Включить PPTP) и Enable L2TP/IPSec (Включить L2TP/IPSec).
  5. Нажмите Apply (Применить) и затем нажмите OK.
  6. Нажмите ссылку Select Authentication Methods (Выберите метод идентификации) на панели задач.
  7. В диалоговом окне Virtual Private Network (VPN) Properties (Свойства VPN), выберите закладку Authentication (Идентификация). Поставьте галочку на опции Pre-shared key (Пре ключи). Эта опция позволяет вам использовать pre-shared ключи для удаленного клиента, использующего протокол L2TP/IPSec, и для соединений шлюз-шлюз. Я определенно не способствую использованию pre-shared ключей в промышленных условиях. Использование pre-shared ключей понижает уровень безопасности ваших VPN соединений к уровню, который вы могли получить с не-ISA брандмауэром/VPN сервером. Основная причина использования нами брандмауэра ISA — получить наивысшую безопасность. Тем не менее, в этом примере мы будем использовать pre-shared ключи, но только с целью демонстрации. Я буду использовать ключ 123. Позднее мы настроим клиента VPN на использование этого же ключа.

    Сервер удаленного доступа к vpn

  8. Нажмите Apply (Применить) и затем нажмите OK.
  9. Нажмите Apply (Применить), чтобы сохранить изменения и обновить политики брандмауэра.
  10. Click OK in the Apply New Configuration dialog box.
  11. Перезагрузите компьютер с брандмауэром ISA.

Внутренний брандмауэр ISA готов к приему входящих PPTP и L2TP/IPSec соединений после загрузки.

Настройка внешнего брандмауэра ISA для публикации VPN сервера внутреннего брандмауэра ISA

Нам нужно создать три Правила Публикации Сервера, чтобы опубликовать VPN сервер внутреннего брандмауэра ISA. Это:

  • IPSec NAT-T Server Publishing Rule
  • IKE Server Publishing Rule
  • PPTP Server Publishing Rule

Мы используем правило IPSec NAT-T Server Publishing Rule для публикации протокола L2TP/IPSec. L2TP/IPSec также требует, чтобы вы опубликовали протокол IKE. Правило PPTP Server Publishing Rule вызывает PPTP фильтр, который обрабатывает входящие PPTP соединения.

Проделайте следующие шаги, чтобы создать правило PPTP Server Publishing Rule на внешнем брандмауэре ISA:

  1. В менеджере Microsoft Internet Security and Acceleration Server 2004 (Сервер Microsoft Интернет безопасности и увеличения скорости), раскройте ветвь с именем сервера и затем раскройте узел Firewall Policy (Политики брандмауэра). На панели задач, выберите закладку Tasks (Задачи) и в ней нажмите ссылку Create New Server Publishing Rule (Создать новое правило публикации сервера).
  2. На странице Welcome to the New Server Publishing Rule (Добро пожаловать в новое правило публикации сервера), введите PPTP Server (Сервер PPTP) в поле Server Publishing Rule name (Наименование правила публикации сервера) и нажмите Next (Далее).
  3. На странице Select Server (Выбор сервера), введите IP адрес внешнего интерфейса внутреннего брандмауэра ISA. В данном примере мы введем 10.0.1.2. Нажмите Next (Далее).
  4. На странице Select Protocol (Выбор протокола), выберите протокол PPTP Server из списка Selected protocol (Выбранный протокол) и нажмите Next (Далее).
  5. На странице IP Addresses (IP адреса), поставьте галочку в поле External (Внешние). Нажмите Next (Далее).
  6. Нажмите Finish (Завершить) на странице Completing the New Server Publishing Rule Wizard (Завершение мастера создания нового правила опубликования сервера).

Проделайте следующие шаги на внешнем брандмауэре ISA, чтобы создать правило IPSec NAT-T Server Publishing Rule:

  1. В менеджере Microsoft Internet Security and Acceleration Server 2004 (Сервер Microsoft Интернет безопасности и увеличения скорости), раскройте ветвь с именем сервера и затем раскройте узел Firewall Policy (Политики брандмауэра). На панели задач, выберите закладку Tasks (Задачи) и в ней нажмите ссылку Create New Server Publishing Rule (Создать новое правило публикации сервера).
  2. На странице Welcome to the New Server Publishing Rule (Добро пожаловать в новое правило публикации сервера), введите NAT-T Server (Сервер NAT-T) in в поле Server Publishing Rule name (Наименование правила публикации сервера) и нажмите Next (Далее).
  3. На странице Select Server (Выбор сервера), введите IP адрес внешнего интерфейса внутреннего брандмауэра ISA. В данном примере мы введем 10.0.1.2. Нажмите Next (Далее).
  4. На странице Select Protocol (Выбор протокола), выберите протокол IPSec NAT-T Server из списка Selected protocol (Выбранный протокол) и нажмите Next (Далее).
  5. На странице IP Addresses (IP адреса), поставьте галочку в поле External (Внешние). Нажмите Next (Далее).
  6. Нажмите Finish (Завершить) на странице Completing the New Server Publishing Rule Wizard (Завершение мастера создания нового правила опубликования сервера).

Проделайте следующие шаги на внешнем брандмауэре ISA, чтобы создать правило IKE Server Publishing Rule:

  1. В менеджере Microsoft Internet Security and Acceleration Server 2004 (Сервер Microsoft Интернет безопасности и увеличения скорости), раскройте ветвь с именем сервера и затем раскройте узел Firewall Policy (Политики брандмауэра). На панели задач, выберите закладку Tasks (Задачи) и в ней нажмите ссылку Create New Server Publishing Rule (Создать новое правило публикации сервера).
  2. На странице Welcome to the New Server Publishing Rule (Добро пожаловать в новое правило публикации сервера), введите IKE Server (Сервер IKE) в поле Server Publishing Rule name (Наименование правила публикации сервера) и нажмите Next (Далее).
  3. На странице Select Server (Выбор сервера), введите IP адрес внешнего интерфейса внутреннего брандмауэра ISA. В данном примере мы введем 10.0.1.2. Нажмите Next (Далее).
  4. На странице Select Protocol (Выбор протокола), выберите протокол IKE Server из списка Selected protocol (Выбранный протокол) и нажмите Next (Далее).

    Удаленнай папка по vpn брендмауэр

  5. На странице IP Addresses (IP адреса), поставьте галочку в поле External (Внешние). Нажмите Next (Далее).
  6. Нажмите Finish (Завершить) на странице Completing the New Server Publishing Rule Wizard (Завершение мастера создания нового правила опубликования сервера).

Ваши политики брандмауэра должны выглядеть также как на картинке внизу.

Isa vpn 807

Установка удаленного соединения

Для того, чтобы поддерживать соединения VPN от внешних VPN клиентов, вам нужно настроить на клиенте использование корректного протокола. Если вы хотите использовать PPTP, тогда вы уже готовы. Клиент Windows VPN будет соединяться с использованием PPTP по умолчанию. PPTP использует 128-битное шифрование и достаточно безопасен. Если вы используете сложные пароли или сертификаты для идентификации, тогда PPTP это все что вам нужно.

Если вы запускаете сайт с высокой безопасностью, где кто-нибудь пытается использовать суперкомпьютерные технологии, чтобы взломать ваше VPN шифрование и схему идентификации, то вы должны решить использовать L2TP/IPSec. Вам нужно скачать и установить IPSec NAT-T VPN клиента с момента использования нами NAT соединений между Интернетом и DMZ сегментом, между внешним и внутренним брандмауэрами. Вы можете получить информацию об этих клиентах и инструкциях, о том как их скачать и установить по ссылке http://support.microsoft.com/default.aspx?scid=kb;en-us;818043

Вам нужно настроить L2TP/IPSec VPN NAT-T VPN клиента на использование того же pre-shared ключа, который вы настроили на внутреннем брандмауэре ISA. Создайте VPN подключение и нажав на нем правую кнопку мыши вызовите Свойства. На закладке Безопасность, нажмите кнопку Настройки IPSec.

Брандмауэр настроить vpn

Введите pre-shared ключ в диалоговом окне IPSec Settings.

Как открыть удаленный доступ isa 2000?

Теперь вы можете установить соединение. Настройки по умолчанию создадут PPTP соединение, что видно на картинке внизу.

Настройку vpn и межсетевых экранов

После создания PPTP соединения, отключите его. Затем зайдите в Свойства VPN подключения на вкладку Связь и выберите там опцию L2TP IPSec VPN и нажмите OK. Установите VPN соединение снова и вы увидите нечто похожее на это:

Получить доступ из интернет к vpn

Если вы просмотрите журнал внутреннего брандмауэра ISA, вы увидите, как были установлены VPN соединения. Вы можете посмотреть IKE (Порт назначения 500) и NAT-T (Порт назначения 4500) соединения на картинке внизу.

Удаленнай папка по vpn брендмауэр

Попробуйте открыть веб сайт с машины VPN клиента. Вы увидите в журнале внутреннего брандмауэра ISA, что пользователь подключился из сети клиентов VPN к внешней сети. Соединение переправлено от внутреннего брандмауэра ISA к внешнему брандмауэру ISA.

Шыф настройки шзыус

Подводя итоги

В этой статье мы исследовали методы, используемые для публикации обоих PPTP и L2TP/IPSec протоколов на внешнем брандмауэре ISA, для разрешения входящих VPN соединений к внутреннему брандмауэру ISA/VPN серверу. Мы установили и настроили внешний брандмауэр ISA так, чтобы разрешенным протоколам позволялось выходить из внутреннего брандмауэра. Внутренний брандмауэр ISA был установлен и настроен, чтобы разрешить VPN клиентам получать доступ в Интернет и внутреннюю сеть. Правила свободного доступа были настроены для этой демонстрации. В промышленной среде вы должны всегда создавать политику ограниченного доступа для VPN клиентов — они могут соединиться только к серверам, нужным им, и с использованием только тех протоколов, которые им нужны, при соединении к серверу.

Источник www.isaserver.org



Смотрите также:

Tags: , , , , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]