Monday, December 11th, 2017

Разрешение доступа к филиалу VPN-клиентам удаленного доступа по VPN-каналу схемы Site-to-Site

Published on Февраль 13, 2009 by   ·   Комментариев нет

Отдохнем немного от статей, посвященных созданию VPN, поскольку мне надоело видеть каждую неделю один и тот же заголовок, в котором изменяется только номер части статьи. Сегодня мы будем усиливать нашу инфраструктуру VPN по схеме site-to-site, которую мы создавали последнюю пару месяцев, для проверки того, как разрешить VPN-клиентам удаленного доступа соединения с сетью филиала по VPN-каналу схемы site-to-site. Я решил рассказать об этом, поскольку за последний месяц я получил уже полдесятка вопросов, касающихся этой темы.

Сначала решение данной проблемы мне показалось достаточно легким. Конечно, для меня это легко, поскольку я работаю с ISA-серверами каждый день по несколько часов в сутки. Но для обычных администраторов ISA-серверов эти вещи не кажутся такими очевидными. Главная проблема состоит в определениях сетей ISA-серверов и сетевых правил, которых соединяют нужные сети ISA-серверов.

При первой установке ISA-сервера по умолчанию для вас создается несколько сетей ISA-сервера. Среди них самыми важными являются:

  • Сеть локального узла – определяется всеми IP-адресами, привязанными ко всем интерфейсам ISA-сервера
  • Внутренняя сеть по умолчанию – сеть ISA-сервера, которую вы определяете при установке ISA-сервера. Обычно представлена интерфейсом, ближайшим к ключевым сетевым службам, от которых зависит работа ISA-сервера. Это контроллер домена Active Directory, DNS-сервер, DHCP-сервер и служба сертификатов
  • Внешняя сеть по умолчанию – определяется всеми IP-адресами, которые не включены в определения других сетей ISA-сервера. Вам не нужно добавлять IP-адреса к этой сети, поскольку по определению в нее входят все IP-адреса, не включенные в другие сети ISA-сервера
  • Сеть VPN-клиентов – содержит IP-адреса VPN-клиентов удаленного доступа и VPN-шлюзов, соединяющихся с ISA-сервером. Определение этой сети меняется динамически. Как только VPN-клиент или шлюз соединяется с ISA-сервером, адрес их VPN-интерфейса автоматически добавляется в определение сети VPN-клиентов. При отсоединении VPN-клиентов или шлюзов от ISA-сервера их адреса удаляются автоматически

Сети ISA-сервера связаны с сетевым интерфейсом, ближайшим к адресам, определенным сетью ISA-сервера. Т.е. сетевой интерфейс является «корнем» любой сети ISA-сервера.

Например, если подсети 192.168.1.0/24, 192.168.2.0/24 и 192.168.3.0/24 расположены за интерфейсом А (т.е. интерфейс А – ближайший к этим подсетям), то интерфейс А – корень сети ISA-сервера, которая определена для этих подсетей. Это помогает предотвратить атаки спуфинга. Если ISA-сервер видит адрес источника исходящего соединения от узла, не принадлежащего ни к одной из этих подсетей, он обрывает соединение, поскольку IP-адрес не является частью определения сети ISA-сервера, из которой должно идти соединение.

Ниже на рисунке вы можете увидеть список сетей ISA-сервера. В консоли ISA-сервера раскройте имя массива (или имя сервера в версии Standard Edition), а затем раскройте узел Configuration (Настройки) и выберите узел Networks (Сети). Нажмите вкладку Networks (Сети) в средней панели и вы увидите список сетей ISA-сервера.

Vpn соединение как разрешить

Рисунок 1

Для того, чтобы узлы разных сетей ISA-сервера могли соединяться друг с другом, должны быть созданы сетевые правила. Если сетевых правил, соединяющих две сети ISA-сервера, не существует, то никакие соединения между узлами этих двух сетей невозможны.

Сетевые правила могут определять либо отношения NAT, либо отношения маршрутизации между сетью-источником и сетью-назначением. Отношения маршрутизации позволяют узлам на обоих сторонах отношения создавать соединения друг с другом с помощью правил доступа. При отношениях NAT только исходящие NAT-соединения могут инициировать соединения через правила доступа. Входящие, или обратные, NAT-соединения зависят от правил web- или серверной публикации. Программа установки ISA-сервера создает несколько сетевых правил. В узле Networks (Сети) щелкните по вкладке Network Rules (Сетевые правила) в средней части консоли ISA-сервера. На рисунке ниже показаны три сетевые правила по умолчанию (обратите внимание, что на рисунке определения по умолчанию этих правил изменены). Эти правила таковы:

  • Local Host Access (Доступ локального узла) – определяет отношения маршрутизации между сетью локального узла и другими сетями
  • VPN Clients to Internal (VPN-клиенты к внутренней сети) – определяет отношения маршрутизации между сетью VPN-клиентов и внутренней сетью по умолчанию
  • Internet Access (Внешний доступ) – определяет NAT-отношения между соединениям из внутренней сети по умолчанию во внешнюю сеть по умолчанию

    Vpn доступ в локальную сеть

    Рисунок 2

Теперь рассмотрим ситуацию, в которой мы разрешим VPN-клиентам удаленного доступа соединения с ресурсами филиала при установлении соединений с главным офисом. Ниже на рисунке показана схема сетей ISA-сервера, задействованных в соединении:

  • Сеть VPN-клиентов – сеть ISA-сервера, которой принадлежат все VPN-клиенты при соединении с ISA-сервером
  • Внутренняя сеть по умолчанию для главного офиса – сеть, расположенная за ISA-сервером главного офиса. Обратите внимание, что имя этой сети ISA-сервера связано с местом расположения клиентов, соединяющихся с этой сетью. Когда VPN-клиенты удаленного доступа соединяются с ISA-сервером главного офиса, это будет внутренняя сеть по умолчанию для членов сети VPN-клиентов. Однако, если узел из филиала соединяется с этой сетью, то это все равно будет сеть главного офиса. Ниже мы рассмотрим такой пример.
  • Удаленная сеть филиала – удаленные сети определяются при создании VPN-соединения по схеме site-to-site. С точки зрения узлов, соединяющихся с ISA-сервером главного офиса, соединения с сетью филиала считаются соединениями с удаленной сетью филиала. Однако, если клиент соединяется с ISA-сервером филиала, каким будет имя сети, с которой соединяются VPN-клиенты? Правильно, это будет внутренняя сеть по умолчанию, поскольку в схеме site-to-site имя сети-получателя соответствует тому ISA-серверу, с которым соединяется VPN-клиент удаленного доступа.

    Vpn

    Рисунок 3

Ниже на рисунке представлены отношения маршрутизации, определенные сетевыми правилами и соединяющие все эти сети:

  • Сетевое правило, соединяющее сеть VPN-клиентов с внутренней сетью по умолчанию. Данное правило устанавливает отношения маршрутизации между VPN-клиентами и внутренней сетью по умолчанию для лавного офиса.
  • Сетевое правило, соединяющее внутреннюю сеть по умолчанию для главного офиса и сеть филиала. Это правило устанавливает отношения маршрутизации между этими сетями.

Данные сетевые правила позволяют VPN-клиентам получить доступ к ресурсам, находящимся во внутренней сети по умолчанию для главного офиса, а также дают доступ членам внутренней сети по умолчанию к ресурсам в сети филиала. Однако, есть ли правило, разрешающее членам сети VPN-клиентов соединяться с сетью филиала? Нет, его нужно создать.

Доступ по vpn

Рисунок 4

Ниже на рисунке показано, что происходит при создании сетевого правила, соединяющего сеть VPN-клиентов для главного офиса с сетью филиала. Красные стрелки показывают, что у нас есть сетевое правило, определяющее отношения маршрутизации между сетью VPN-клиентов и сетью филиала. Теперь, поскольку у нас есть сетевое правило, соединяющее сеть VPN-клиентов для главного офиса, мы можем создать правила доступа, разрешающие соединения между этими двумя сетями (VPN-клиентов и филиала).

Удаленная работа по vpn

Рисунок 5

Ниже на рисунке показана ситуация, немного отличающаяся от предыдущей. Предположим, что вы решили разрешить VPN-соединения удаленного доступа с ISA-сервером филиала. В этом случае вам необходимо сетевое правило, соединяющее сеть VPN-клиентов для филиала с внутренней сетью по умолчанию для филиала. Обратили внимание на разницу в месте расположения? Когда VPN-клиенты соединятся с ISA-сервером главного офиса, они должны вначале соединиться с сетью ISA-сервера филиала. Когда они соединяются с ISA-сервером филиала, она должны соединиться с внутренней сетью по умолчанию (для ISA-сервера филиала).

Заметьте, что имена сетей ISA-сервера изменились в зависимости от цели узлов, соединяющихся с ISA-сервером филиала. Для того, чтобы соединиться с главным офисом узлы, соединяющиеся через ISA-сервер филиала, должны соединиться с сетью удаленного узла с именем Main.

Связь exchange по vpn

Рисунок 6

Зная все это, теперь вы можете понять, почему у администраторов ISA-сервера возникают проблемы с разрешением соединения VPN-клиентам удаленного доступа с ISA-сервером главного офиса для доступа к ресурсам в сети филиала: им необходимо создать сетевое правило, соединяющее сеть VPN-клиентов главного офиса и сеть филиала. На самом деле, нужно сделать еще одно: создать правило доступа, разрешающее необходимые соединения из сети VPN-клиентов главного офиса в сеть филиала. Даже если существует сетевое правило, соединяющее сети, все равно для разрешения соединений необходимо наличие правила доступа.

Давайте используем нашу VPN-сеть, создававшуюся в течение последних двух месяцев, чтобы посмотреть, как все это работает. Для создания сетевого правила выполните следующее:

  1. На сервере хранения настроек откройте консоль ISA-сервера. Раскройте узел Arrays (Массивы), затем узел массива Main. Раскройте узел Configuration (Настройки) и щелкните по узлу Networks (Сети).
  2. В узле Networks (Сети) выберите в средней части консоли вкладку Network Rules (Сетевые правила). На вкладке Tasks (Задачи) панели задач нажмите ссылку Create a Network Rule (Создать сетевое правило).
  3. На странице Welcome to the New Network Rule Wizard (Начало работы мастера создания нового сетевого правила) введите имя правила в текстовое поле Network Rule name (Имя сетевого правила). В нашем примере мы назовем правило VPN Clients to Branch. Нажмите Next (Далее).
  4. На странице Network Traffic Sources (Источник сетевого трафика) нажмите кнопку Add (Добавить). В диалоговом окне Add Network Entities (Добавить сетевые объекты) щелкните по папке Networks (Сети), а затем дважды щелкните по сети VPN Clients (VPN-клиенты). Нажмите Close (Закрыть).

    Канали доступу до клієнтів

    Рисунок 7

  1. На странице Network Traffic Sources (Источник сетевого трафика) нажмите Next (Далее).
  2. На странице Network Traffic Destinations (Получатели сетевого трафика) нажмите кнопку Add (Добавить). В диалоговом окне Add Network Entities (Добавить сетевые объекты) щелкните по папке Networks (Сети), а затем дважды щелкните по сети Branch. Нажмите Close (Закрыть).

    Впн доступ

    Рисунок 8

  1. На странице Network Relationship (Сетевые отношения) выберите параметр Route (Маршрутизация). В плане безопасности данная опция немногим более предпочтительна, чем использование NAT, поэтому мы и выбираем параметр Route (Маршрутизация). Нажмите Next (Далее).

    Vpn не соединяется из интернета

    Рисунок 9

  1. На странице Completing the New Network Rule Wizard (Завершение работы мастера создания нового сетевого правила) нажмите Finish (Завершить)

Нам необходимо создать два правила доступа, одно в массиве главного офиса, а другое в массиве филиала. Правило главного офиса будет разрешать пакеты PING от сети VPN-клиентов в филиал, а правило доступа филиала будет разрешать пакеты PING из главного офиса во внутреннюю сеть по умолчанию. Вначале создадим первое правило в массиве главного офиса:

  1. На сервере хранения настроек главного офиса в консоли ISA-сервера щелкните по узлу Firewall Policy (main) (Политика сервера (массив main)).
  2. На вкладке Tasks (Задачи) панели задач выберите ссылку Create Access Rule (Создать правило доступа).
  3. На странице Welcome to the New Access Rule Wizard (Начало работы мастера создания нового правила доступа) в текстовое поле Access Rule name (Имя правила доступа) введите наименование правила. В нашем примере мы назовем правила Ping VPN Clients to Branch. Нажмите Next (Далее).
  4. На странице Rule Action (Действие правила) выберите Allow (Разрешить). Нажмите Next (Далее).
  5. На странице Protocols (Протоколы) из выпадающего списка This rule applies to (Данной правило применяется к) выберите опцию Selected protocols (Выбранные протоколы). Нажмите кнопку Add (Добавить). В диалоговом окне Add Protocols (Добавить протокол) щелкните по папке Infrastructure (Инфраструктура), а затем дважды щелкните по протоколу PING. Нажмите Close (Закрыть).

    Vpn доступ

    Рисунок 10

  1. На странице Access Rule Sources (Источник правила доступа) нажмите кнопку Add (Добавить). В диалоговом окне Add Network Entities (Добавить сетевые элементы) щелкните по папке Networks (Сети), а затем дважды щелкните по сети VPN Clients (VPN-клиенты). Нажмите Close (Закрыть).

    Ljcneg gj vpn

    Рисунок 11

  1. На странице Access Rule Sources (Источник правила доступа) нажмите Next (Далее).
  2. На странице Access Rule Destinations (Получатели для правила доступа) нажмите кнопку Add (Добавить). В диалоговом окне Add Network Entities (Добавить сетевые элементы) щелкните по папке Networks (Сети), а затем дважды щелкните по сети Branch. Нажмите Close (Закрыть).
  3. На странице User Sets (Пользователи) примите установки по умолчанию, All Users (Все пользователи), и нажмите Next (Далее).
  4. На странице Completing the New Access Rule Wizard (Завершение работы мастера создания нового правила доступа) нажмите Finish (Завершить).
  5. Нажмите Apply (Применить) для сохранения изменений и обновления политики сервера. Нажмите OK в диалоговом окне Apply New Configuration (Применение новых установок).

Теперь создадим второе правило, разрешающее пакеты ping из сети ISA-сервера главного офиса во внутреннюю сеть по умолчанию филиала:

  1. На сервере хранения настроек главного офиса в консоли ISA-сервера щелкните по узлу Firewall Policy (main) (Политика сервера (массив branch)).
  2. На вкладке Tasks (Задачи) панели задач выберите ссылку Create Access Rule (Создать правило доступа).
  3. На странице Welcome to the New Access Rule Wizard (Начало работы мастера создания нового правила доступа) в текстовое поле Access Rule name (Имя правила доступа) введите наименование правила. В нашем примере мы назовем правила Ping Main to Branch. Нажмите Next (Далее).
  4. На странице Rule Action (Действие правила) выберите Allow (Разрешить). Нажмите Next (Далее).
  5. На странице Protocols (Протоколы) из выпадающего списка This rule applies to (Данной правило применяется к) выберите опцию Selected protocols (Выбранные протоколы). Нажмите кнопку Add (Добавить). В диалоговом окне Add Protocols (Добавить протокол) щелкните по папке Infrastructure (Инфраструктура), а затем дважды щелкните по протоколу PING. Нажмите Close (Закрыть).

    Доступ по vpn

    Рисунок 12

  1. На странице Access Rule Sources (Источник правила доступа) нажмите кнопку Add (Добавить). В диалоговом окне Add Network Entities (Добавить сетевые элементы) щелкните по папке Networks (Сети), а затем дважды щелкните по сети Internal (Внутренняя сеть). Нажмите Close (Закрыть).
  2. На странице Access Rule Sources (Источник правила доступа) нажмите Next (Далее).
  3. На странице Access Rule Destinations (Получатели для правила доступа) нажмите кнопку Add (Добавить). В диалоговом окне Add Network Entities (Добавить сетевые элементы) щелкните по папке Networks (Сети), а затем дважды щелкните по сети Branch. Нажмите Close (Закрыть).
  4. На странице User Sets (Пользователи) примите установки по умолчанию, All Users (Все пользователи), и нажмите Next (Далее).
  5. На странице Completing the New Access Rule Wizard (Завершение работы мастера создания нового правила доступа) нажмите Finish (Завершить).
  6. Нажмите Apply (Применить) для сохранения изменений и обновления политики сервера. Нажмите OK в диалоговом окне Apply New Configuration (Применение новых установок).

Еще один момент. Даже после того, как мы создали VPN по схеме site-to-site VPN, мы еще не установили ISA-сервер главного офиса в качестве VPN-сервера удаленного доступа. Для активации VPN-сервера выполните следующее:

  1. На сервере хранения настроек щелкните по узлу Virtual Private Networking (VPN) (Виртуальные частные сети) в дереве массива Main.
  2. В узле Virtual Private Networking (VPN) (Виртуальные частные сети) щелкните по вкладке Tasks (Задачи) панели задач. Выберите ссылке Enable VPN Client Access (Включить доступ VPN-клиентов).
  3. Нажмите OK в диалоговом окне, сообщающем о необходимости перезапуска службы RRAS.
  4. Для сохранения изменений и обновления политики сервера нажмите Apply (Применить). Нажмите OK в диалоговом окне Apply New Configuration (Применение новых установок).

Теперь запустим VPN-соединения от нашего VPN-клиента (с помощью протокола PPTP, который является протоколом по умолчанию для VPN-соединений после включения VPN-сервера на ISA-сервере). После установления соединения запустите команду ping –t 10.0.1.2 (адрес контроллера домена филиала). После нескольких превышений интервала ожидания вы увидите, что команда выполняется успешно (Рисунок 13).

Создание доступа по vpn

Рисунок 13

Если мы посмотрим журнал массива филиала, мы увидим, что наше правило Ping Main to Branch разрешает соединения (Рисунок 14).

Сайты по vpn

Рисунок 14

А если мы запустим команду tracert от VPN-клиента к контроллеру домена филиала, мы увидим, что ISA-сервер главного офиса используется как шлюз (Рисунок 15).

Доступ пользователю на папку по vpn

Рисунок 15

Резюме

В данной статье мы развили нашу VPN-сеть, созданную по схеме site-to-site в течение последних двух месяцев, для того, чтобы показать, как разрешить VPN-клиентам удаленного доступа соединения с удаленными сетями по VPN-каналу. Для этого нам необходимо две вещи: сетевое правило, соединяющее сети, и правила доступа на ISA-серверах главного офиса и филиала, разрешающее прохождение трафика. После настройки сетевых правил и правила доступа все необходимые соединения от удаленных VPN-клиентов к удаленным сетям будут разрешены.

www.isaserver.org


Смотрите также:

Tags: , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]