Разрешение DHCP Ретранслятора для VPN Клиентов

Все мы знаем, что брандмауэр ISA обеспечивает беспрецедентную брандмауэрную защиту, когда брандмауэр ISA помещен на границу с Интернетом, DMZ или периметр зон безопасности вашей внутренней сети. В дополнение к этому ISA является одним из числа VPN серверов и VPN шлюзов, которые позволяют и удаленный доступ, и соединения VPN шлюза к брандмауэру ISA. Из всех VPN устройств, с которыми я когда-либо работал (а работал я со многими из них), VPN брандмауэр ISA является наиболее легко настраиваемым и наиболее безопасным.

Мы имеем массу документации о том, как инсталлировать и настроить VPN службы брандмауэра ISA здесь, на сайте www.isaserver.org, и есть фантастический VPN Deployment Kit (Набор развертывания VPN) по адресу http://www.microsoft.com/isaserver/techinfo/guidance/2004/configuration.asp. Только используйте возможность Search (Поиска) на этом сайте и ищите VPN или, еще лучше, используйте Google для поиска VPN на сайте www.isaserver.org.

Один вопрос, который я увидел в самое последнее время, это как заставить DHCP агента-ретранслятора на брандмауэре ISA работать корректно. Компании, имеющие DHCP сервер в корпоративной сети, хотят переслать DHCP опцию VPN клиенту. Возможно, наиболее важная опция DHCP, которую вы захотите переслать вашим VPN клиентам, — это добавление (суффикс) в конце первичного доменного имени, так чтобы VPN клиенты могли корректно указывать полные имена в своих запросах. Когда VPN клиенты корректно указывают полностью определенные имена в своих запросах, они способны использовать ваш внутренний DNS сервер для разрешения имен внутренних host’ов. Конечно, вы можете присвоить любую DHCP-опцию, какую вы захотите, такую, как опция WPAD, которая позволит вам настроить VPN клиентов на использование Web прокси в корпоративной сети.

Вам необходимо выполнить следующие шаги для получения работающего DHCP агента-ретранслятора на брандмауэре ISA:

• Разрешить RRAS Службу посредством консоли брандмауэра ISA
• Настроить ISA брандмауэрный VPN компонент на использования DHCP для адресации VPN клиента
• Создать Правило Доступа, требуемое для поддержки DHCP агента-ретранслятора и VPN клиентов для получения IP-адресной информации
• Инсталлировать и настроить протокол маршрутизации DHCP агента-ретранслятора в консоли RRAS
• Перезапустить брандмауэр ISA и протестировать это решение

В следующем обсуждении я принимаю, что вы уже установили и настроили ваш DHCP сервер на внутренней сети и вам только нужно получить DHCP агент-ретранслятор в брандмауэре ISA, пересылающий сообщения DHCP от VPN клиентов на DHCP сервер по корпоративной сети.

Дополнительно, я полагаю, что вы уже установили свой брандмауэр ISA, но не включали VPN компонент. Однако если вы уже включили VPN компонент, это не проблема, просто пропускайте те шаги, которые нужны для включения VPN компонента.

Следующая диаграмма показывает тестовую сеть.

Контекстные опции можно увидеть на этой диаграмме. Одиночный DC является и контроллером домена, и DHCP сервером, а брандмауэр ISA расположен на границе сети. VPN клиенты будут вызывать брандмауэр ISA и получать IP-адресную информацию от брандмауэра ISA для своих VPN связей.

Разрешение RRAS Службы посредством консоли брандмауэра ISA

Первый шаг — это разрешение RRAS через консоль брандмауэра ISA, если вы не имеете его уже включенным. Выполните следующие шаги для разрешения VPN компонента брандмауэра ISA:

1. Откройте консоль управления Microsoft Internet Security and Acceleration Server 2004 и раскройте имя сервера. Щелкните узел Virtual Private Networks (VPN) (Виртуальная частная сеть).
2. Щелкните на вкладке Tasks (Задачи) на Панели Задач. Щелкните на ссылке Enable VPN Client Access (Разрешить Доступ VPN Клиентам).

   
3. Щелкните Apply (Применить) для сохранения изменений и обновления брандмауэрной политики.
4. Нажмите OK в диалоговом окне Apply New Configuration (Применить новую конфигурацию).

Настройка VPN компонента брандмауэра ISA на использование DHCP для адресации VPN клиентов

Вы имеете две возможности для присвоения IP-адресной информации VPN клиентам: DHCP или статический адресный пул. Я предпочитаю DHCP, потому что он позволяет обходить проблемы с необходимостью удаления адресов из Сетевого определения брандмауэра ISA, которые накладываются на адреса, используемые в контексте DHCP.

По умолчанию брандмауэр ISA использует DHCP для присвоения IP-адресной информации клиентам DHCP, но без DHCP агента-ретранслятора, Сервер DHCP только присваивает адрес VPN клиентам. Причина этого в том, что VPN клиенты никогда напрямую не связываются с DHCP сервером. Вместо этого, когда запускается служба RRAS, она получает блок из 10 IP-адресов от DHCP сервера (если DHCP сервер имеет так много для раздачи и если RRAS сервер требует столько). Затем служба RRAS присваивает себе один из этих адресов и присваивает VPN клиентам оставшиеся адреса. Если службе RRAS требуется больше адресов, она получает их от DHCP сервера, но она никогда не получает DHCP опции для VPN клиентов.

Если вы статически настроили адресный пул и хотите переключиться на DHCP, выполните следующие шаги:

1. В консоле брандмауэра ISA щелкните узел Virtual Private Networking (VPN) и затем щелкните вкладку Tasks (Задачи) на Панели Задач.
2. Щелкните ссылку Define Address Assignments (Определение присвоения адресов) на Панели Задач.
3. На вкладке Address Assignment (Присвоение адресов) в диалоговом окне Virtual Private Networks (VPN) Properties (Свойства Виртуальных Частных Сетей) щелкните опцию Dynamic Host Configuration Protocol (DHCP) (Протокол Динамической Конфигурации Host’а).
4. Нажмите Apply (Применить) и затем нажмите OK.
5. Нажмите Apply для сохранения изменений и обновления политики брандмауэра.
6. Нажмите OK в диалоговом окне Apply New Configuration (Применить новую конфигурацию).

Создание Правил Доступа, необходимых для поддержки DHCP агента-ретранслятора и VPN клиентов для получения IP-адресной информации

Нам необходимо сделать два правила для поддержки этой конфигурации. Они показаны в таблицах ниже.

Таблица 1: Установки для Правила DHCP ответа (Внутренний в VPN)

Таблица 2: Установки для Правила DHCP Запроса (VPN в Local Host)

Заметьте, что этот порядок правил только для этого примера. Вы должны поместить правила в соответствующем порядке для вашей конфигурации. Так как они являются неавторизованными Правилами Доступа, убедитесь, что поместите их выше авторизованных правил доступа (это основной практический способ, хотя и не обязательный; если вы уже имеете хорошее понимание обработки Правил Доступа брандмауэра ISA, вы можете поместить их в требуемое место в вашей политике брандмауэра).

Нам необходимо создать правило DHCP Reply (Internal to VPN) (DHCP Ответ (Внутренний в VPN)), потому что DHCP сервер в корпоративной сети видит IP-адрес источника DHCP запроса, как IP-адрес VPN клиента. Брандмауэр ISA выполняется, как прокси ARP сервер для VPN клиентов, и не изменяет IP-адрес источника VPN клиента.

Нам необходимо создать правило DHCP Request (VPN to Local Host) (DHCP Запрос (VPN в Локальный Host)), потому что VPN клиентам нужна возможность посылать их сообщения DHCPINFORM на брандмауэр ISA самостоятельно, так как DHCP агент-ретранслятор расположен на брандмауэре ISA.

Выполните следующие шаги для создания Правила Доступа DHCP Reply (Internal to VPN) (DHCP Ответ (Внутренний в VPN)):

1. В консоле брандмауэра ISA откройте имя сервера и затем щелкните узел Firewall Policy (Политика Брандмауэра).
2. На узле Firewall Policy (Политика Брандмауэра) щелкните вкладку Tasks (Задачи) на Панели Задач и нажмите ссылку Create New Access Rule (Создать Новое Правило Доступа).
3. На странице Welcome to the New Access Rule Wizard (Добро пожаловать в Мастер Нового Правила Доступа) введите название для правила DHCP Reply (Internal to VPN) в поле Access Rule name (Имя Правила Доступа) и нажмите Next (Далее).
4. Выберете опцию Allow (Разрешить) на странице Rule Action (Действие правила) и нажмите Next.
5. На странице Protocols (Протоколы) выберете опцию Selected protocols (Выбранные протоколы) и нажмите Add (Добавить).
6. В диалоговом окне Add Protocols (Добавление протоколов) щелкните узел Infrastructure (Инфраструктура) и затем выполните двойной щелчок на элементе DHCP (reply) (ответ). Нажмите Close (Закрыть).

   
7. Нажмите Next на странице Protocols (Протоколы).
8. Нажмите кнопку Add (Добавить) на странице Access Rule Sources (Источники Правила Доступа).
9. В диалоговом окне Add Network Entities (Добавление Сетевых Объектов) щелкните папку Networks (Сети) и выполните двойной щелчок на элементе Internal (Внутренняя). Нажмите Close.
10. Нажмите Next на странице Access Rule Sources.
11. Нажмите кнопку Add на странице Access Rule Destinations (Получатели Правила Доступа).
12. В диалоговом окне Add Network Entities щелкните папку Networks и выполните двойной щелчок на элементе VPN Clients (Клиенты VPN). Нажмите Close.
13. Нажмите Next на странице Access Rule Destinations.
14. Нажмите Next на странице Users Sets (Множества Пользователей) (принимаем установку по умолчанию).
15. Нажмите Finish на странице Completing the New Access Rule Wizard (Завершение Мастера Нового Правила Доступа).

Выполните следующие шаги для создания Правила Доступа DHCP Request (VPN to Local Host) (Запрос):

1. В консоле брандмауэра ISA раскройте имя сервера и затем щелкните узел Firewall Policy (Политика Брандмауэра).
2. На узле Firewall Policy нажмите вкладку Tasks на Панели Задач и щелкните ссылку Create New Access Rule (Создать Новое Правило Доступа).
3. На странице Welcome to the New Access Rule Wizard введите имя для правила DHCP Request (VPN to Local Host) в поле Access Rule name и нажмите Next.
4. Выберете опцию Allow на странице Rule Action и нажмите Next.
5. На странице Protocols выберете опцию Selected protocols и нажмите Add.
6. В диалоговом окне Add Protocols щелкните узел Infrastructure и затем выполните двойной щелчок на элементе DHCP (request). Нажмите Close.

   
7. Нажмите Next на странице Protocols (Протоколы).
8. Нажмите кнопку Add на странице Access Rule Sources.
9. В диалоговом окне Add Network Entities щелкните папку Networks и выполните двойной щелчок на элементе VPN Clients. Нажмите Close.
10. Нажмите Next на странице Access Rule Sources.
11. Нажмите кнопку Add на странице Access Rule Destinations.
12. В диалоговом окне Add Network Entities щелкните папку Networks и выполните двойной щелчок на элементе Local Host. Нажмите Close.
13. Нажмите Next на странице Access Rule Destinations.
14. Нажмите Next на странице Users Sets (принимаем установку по умолчанию).
15. Нажмите Finish на странице Completing the New Access Rule Wizard.

Ваша политика брандмауэра будет выглядеть как-то похоже на рисунок внизу (Я говорю «как-то похоже на это» потому, что вы обычно имеете другие Правила Доступа в вашей политике брандмауэра):

Инсталляция и настройка протокола маршрутизации DHCP агента-ретранслятора в консоли RRAS

Теперь мы уйдем от консоли брандмауэра ISA и используем консоль RRAS для добавления протокола маршрутизации DHCP агента-ретранслятора. Выполните следующие шаги для добавления Протокола Маршрутизации DHCP агента-ретранслятора и настройки его на использование вашего корпоративного сетевого DHCP сервера:

1. Нажмите Start (Пуск), дойдите до Administrative Tools (Администрирование) и нажмите Routing and Remote Access (Маршрутизация и Удаленный доступ).
2. В консоли Routing and Remote Access раскройте имя сервера и затем раскройте узел IP Routing (IP маршрутизация).
3. Щелкните правой кнопкой на узле General (Основное) и выберете New Routing Protocol (Новый протокол маршрутизации).
4. В диалоговом окне New Routing Protocol (Новый протокол маршрутизации) щелкните протокол DHCP Relay Agent (DHCP агента-ретранслятора) и нажмите OK.

   
5. Щелкните узел DHCP Relay Agent (DHCP агент-ретранслятор) на левой панели консоли, затем нажмите правую кнопку мыши и щелкните Properties (Свойства).
6. В диалоговом окне DHCP Relay Agent Properties (Свойства DHCP агента-ретранслятора) введите IP-адрес вашего DHCP сервера в поле Server address (Адрес сервера) и нажмите Add.

   
7. Щелкните правой кнопкой на узле DHCP Relay Agent (DHCP агент-ретранслятор) в левой панели консоли и нажмите New Interface (Новый интерфейс). То, что вы хотите сделать здесь — это выбрать внутренний интерфейс RRAS; мы не хотим выбирать внутренний интерфейс компьютера брандмауэра ISA. Вот почему я всегда переименовываю интерфейсы на брандмауэре ISA так, чтобы я мог легко определить их. Выберете внутренний интерфейс для службы RRAS и нажмите OK в диалоговом окне New Interface of DHCP Relay Agent (Новый интерфейс DHCP агента-ретранслятора).

   
8. Нажмите OK в диалоговом окне DHCP Relay Properties — Internal Properties (Свойства DHCP ретранслятора — Внутренние свойства).
9. Нажмите Apply и затем нажмите OK.

Перезапуск брандмауэра ISA и тестирование решения

Следующий шаг — это перезапуск брандмауэра ISA. Он может быть не обязателен, если вы уже разрешили VPN компонент брандмауэра ISA и имели его работающим перед конфигурированием DHCP агента-ретранслятора, но я знаю, что он всегда работает после перезагрузки брандмауэра ISA, поэтому, вперед и сделаем это.

Теперь установим соединение VPN клиента на брандмауэр ISA. Когда соединение VPN клиента будет установлено, откроем окно командной строки на устройстве VPN клиента и выполним команду ipconfig /all. Вы увидите что-то, похожее на изображенное внизу.

Вы увидите в разделе PPP adapter VPN (PPP адаптер VPN), что с VPN клиентом связан Connection-specific DNS Suffix (DNS Суффикс, специфичный для соединения) blah.com, DNS Servers (Серверы DNS) и Primary WINS Server (Первичный Сервер WINS) от DHCP сервера через DHCP агент-ретранслятор. Заметьте, что два DNS сервера с одним и тем же IP-адресом связаны с VPN клиентом — один из соединения DHCP агента-ретранслятора и один — из самого DNS брандмауэра ISA. Это может закончиться проблемой, так как запись используемого DHCP агента-ретранслятора присоединяет VPN клиенту уникальную настройку. Однако, хорошая новость — что DHCP передающий DNS сервер помещается наверх списка поиска DNS сервера.

Рисунок ниже показывает соединения, которые «proxied» (подменяет) DHCP агент-ретранслятор, между VPN клиентами и DHCP сервером.

Заметьте, что только DHCPINFORM и DHCPACK вовлечены сюда. DHCP ретранслятор пересылает сообщение DHCPINFORM на DHCP сервер, и DHCP сервер отвечает на IP-адрес VPN клиента с DHCPACK, который включает DHCP опции.

Заключение

В этой статье мы показали, как вы можете использовать брандмауэр ISA и DHCP агент-ретранслятор, установленный на брандмауэре ISA, для разрешения VPN клиентам получать DHCP опции из внутрисетевого DHCP сервера. В будущей статье мы покажем, как настроить брандмауэр ISA с DHCP сервером для поддержки DHCP агента-ретранслятора.

www.isaserver.org

• Пользовательские политики
• Маршрутизация Windows 2008
• Управление папками в Windows vista
• Как выключить службу рабочая станция?
• Sendmail exchange

Tags: accel, dns, nat, ppp, redirect, search, vpn