Использование DHCP с клиентами ISA/VPN Server

Опубликовано: 14 Апреля, 2023

Использование DHCP с клиентами ISA/VPN Server

Томас В. Шиндер, доктор медицины

Одна вещь, которая случается, когда вы говорите (или пишете) слишком много, это то, что вы собираетесь сказать что-то не совсем правильное. На самом деле любимый американский президент Тедди Рузвельт сказал, что мы бы считали себя гением, если бы он был прав в половине случаев. Хотя я думаю, что у меня немного лучше, чем в среднем 0,500, иногда я не попадаю в цель.

Это, безусловно, было в случае с моими работами об использовании DHCP для назначения информации об IP-адресации клиентам VPN. У меня сложилось впечатление (на основе моего тестирования), что вы не можете назначить параметры DHCP клиентам VPN, которые подключаются к серверу ISA/VPN. Угадай, что? Это неправильно, и проблема была связана с моей лабораторной средой. Что действительно неприятно в том, что ошибка появляется на основе лабораторного тестирования, означает, что я даже не буду пытаться реализовать что-то в производственной сети, если это не работает в лаборатории, поэтому я никогда не тратил время на то, чтобы посмотреть, что произойдет в производство.

К счастью, мой хороший друг и MVP Microsoft ISA Server, Кай Уилке, сообщил мне, что параметры DHCP прекрасно работают для клиентов ISA/VPN. Я сказал ему, что очень умный гуру ISA Server рассказал мне, почему он не работает, и что я подтвердил это в своей собственной тестовой лаборатории. Кай сказал: «Том, проверь еще раз, потому что это работает».

Я проверил это снова, и Кай был прав! Вы можете использовать сервер DHCP для назначения параметров DHCP клиентам ISA/VPN. Проблема была связана с тем, что я использовал VMware для построения своей лабораторной сети и настроил все сегменты сети для использования мостовой сети VMware. Проблема с мостовыми сетями заключается в том, что любые широковещательные протоколы не будут ограничены сегментом виртуальной сети; широковещательные передачи будут достигать физической сети. В случае моего тестирования DHCP-сервера сервер ISA/VPN смог связаться с физическим DHCP-сервером в производственной сети. Это привело к тому, что параметры DHCP не были получены с сервера DHCP.

Есть и другие детали, которые объясняют нечестивое стечение факторов, препятствовавших правильной работе, но главный урок состоит в том, что вы должны воспользоваться преимуществами «виртуальной сети» VMware для виртуального сегментирования своих подсетей. Это предотвращает проблемы с неправильной интерпретацией проблем, связанных с широковещательными протоколами, такими как ARP, DHCP и NetBIOS. (Виртуальные сети VMware переходят от VMNet2 к VMNet7.)

Теперь приступим к сегодняшней миссии. В этой статье мы рассмотрим:

  • Как клиенты Windows 2000 RRAS и RRAS получают адресную информацию от DHCP-сервера
  • Установка DHCP-сервера и DHCP Scope
  • Установка ISA-сервера
  • Запуск мастера VPN-сервера и настройка конфигурации

    • На протяжении всей этой статьи мы будем использовать лабораторную конфигурацию сети, как показано на рисунке ниже. Обратите внимание, что внутренний интерфейс ISA Server и интерфейс DHCP-сервера находятся в VMNet2, а VPN-клиент и внешний интерфейс ISA Server находятся в сети с мостом. Это позволяет ISA-серверу подключаться к Интернету через вышестоящий ISA-сервер.

    Как Windows 2000 RRAS получает информацию об IP-адресации для клиентов RAS

    Когда сервер Windows 2000 RAS настроен на использование DHCP для назначения информации об IP-адресации клиентам RAS (включая клиентов VPN), сервер RAS отправляет запрос DHCP-серверу и получает блок IP-адресов. Любые параметры, которые DHCP-сервер отправляет на сервер RAS, игнорируются, и сервер RAS кэширует полученные адреса. По умолчанию служба RRAS Windows 2000 запрашивает блоки из 10 адресов. Вы можете изменить настройки по умолчанию, изменив следующую запись реестра:

    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRemoteAccessParametersIP

    Имя значения: Инициаладдресспулсизе

    Тип данных: REG_DWORD

    По умолчанию: 10

    Если DHCP-сервер недоступен при запуске RRAS, сервер назначит DHCP-клиентам адреса из сети APIPA (169.254.0.0/16). В этом случае VPN-клиенты не смогут получить доступ к внутренней сети, если только ваши маршрутизаторы не настроены на поддержку VPN-клиентов в этом идентификаторе сети «autonet». Я бы посоветовал против такой конфигурации.

    ПРИМЕЧАНИЕ:

    Хотя по умолчанию сервер RAS захватывает блоки из 10 IP-адресов, он будет получать меньше адресов, если вы настроите менее 10 портов RAS. Если серверу RAS требуется только 5 адресов, например, когда у вас есть 2 порта PPTP и 2 порта L2TP/IPSec (сервер берет адрес для себя), то он получит только 5 адресов от DHCP-сервера.

    .

    Как только сервер RAS получает адреса, он отслеживает аренду; когда аренда была получена, когда истечет срок аренды и срок жизни аренды. VPN-клиент никогда напрямую не взаимодействует с DHCP-сервером. VPN-клиенты не могут обмениваться данными с DHCP-сервером, поскольку DHCP — это широковещательный протокол, а широковещательные рассылки не передаются от VPN-клиентов в удаленную сеть.

    Как же тогда клиенты VPN получают адреса серверов имен, таких как WINS и DNS? По умолчанию VPN-клиенты настраиваются с адресами WINS- и DNS-серверов, заданными на одном из интерфейсов RRAS-сервера. Если сервер RRAS имеет несколько адресов серверов DNS или WINS на одном из своих интерфейсов, то клиенту VPN будут назначены все адреса, содержащиеся в списке.

    В зависимости от того, чего вы хотите достичь, это может представлять собой серьезное ограничение. Возможно, вы захотите назначить настраиваемый набор адресов серверов DNS и WINS для клиентов VPN. Что еще более важно, вы можете назначить доменное имя клиентам VPN. Доменное имя имеет решающее значение, так как VPN-клиенты добавляют это имя к неполным запросам разрешения DNS-имен. Поскольку большинство VPN-клиентов не являются членами домена внутренней сети (и, следовательно, им не назначено основное доменное имя), часто возникают проблемы с разрешением имен.

    Решение заключается в настройке агента DHCP-ретрансляции на сервере ISA/VPN. Когда VPN-клиенты, работающие под управлением Windows 2000 и выше, подключаются к ISA/VPN-серверу, клиент отправляет сообщение DHCPInform на VPN-сервер. Агент DHCP-ретрансляции перенаправит сообщение DHCPInform на сервер DHCP, а сервер DHCP ответит параметрами DHCP. Агент DHCP-ретрансляции на ISA/VPN-сервере перенаправляет параметры VPN-клиентам.

    Установите сервер DCHP и настройте область действия

    Теперь, когда вы понимаете, как клиенты DHCP получают параметры DHCP от сервера DHCP, давайте приступим к делу. Первым шагом является установка DHCP-сервера. Мы настроим область для использования VPN-клиентами после установки службы DHCP-сервера.

    Выполните следующие действия на DHCP-сервере:

    1. Нажмите «Пуск», выберите «Настройки» и нажмите «Панель управления».
    2. В Панели управления откройте апплет «Установка и удаление программ».
    3. Нажмите кнопку «Добавить/удалить компоненты Windows» в левой части окна «Установка и удаление программ».
    4. В диалоговом окне «Компоненты Windows» щелкните запись «Сетевые службы» и нажмите кнопку «Подробности».
    5. В диалоговом окне «Сетевые сведения» установите флажок «Протокол динамической конфигурации хоста (DHCP)». Нажмите ОК.
    6. Нажмите «Далее» в диалоговом окне «Компоненты Windows». Нажмите «Готово» на странице «Завершение работы мастера компонентов Windows ».

    Вы можете создать область DHCP для VPN-клиентов после установки службы DHCP-сервера. Клиенты DHCP должны быть настроены с адресом «в подсети». Вы не сможете использовать DHCP для предоставления адреса вне подсети из-за того, как работает DHCP. Вы не можете указать агенту DHCP-ретрансляции «указывать» на конкретную область. Ваша область должна содержать достаточное количество IP-адресов для поддержки всех DHCP-клиентов, которым потребуется адрес из этой области.

    1. Нажмите «Пуск» и выберите «Программы». Укажите на «Администрирование» и нажмите «DHCP».
    2. На левой панели консоли DHCP щелкните правой кнопкой мыши имя вашего сервера и выберите команду «Новая область».
    3. Нажмите «Далее» на первой странице мастера создания новой области.
    4. Введите Имя и Описание для области на странице Имя области. В этом примере мы назовем это VPN-клиентами и не будем давать описания. Нажмите «Далее».
    5. Вы вводите диапазон IP-адресов, используемых областью действия, на странице Диапазон IP-адресов. Введите первый IP-адрес в диапазоне в текстовом поле Начальный IP-адрес и последний IP-адрес в диапазоне в текстовом поле Конечный IP-адрес. Обратите внимание, что маска подсети уже введена для вас. Маску подсети можно изменить в соответствии со своими требованиями к подсети. Обратите внимание, что для VPN-клиентов это не имеет значения, поскольку VPN-клиенты всегда используют полноклассовый адрес. Нажмите «Далее».

    1. В этом примере мы ввели подмножество адресов, а не весь диапазон. Поэтому мы не будем вводить никаких исключений. Нажмите «Далее» на странице «Добавить исключения».
    2. Вы можете установить продолжительность аренды на странице «Длительность аренды». Аренда для VPN-клиентов не важна, так как клиенты сохранят свой IP-адрес на время вызова. Нажмите «Далее».
    3. Выберите Да, я хочу настроить эти параметры сейчас на странице Настройка параметров DHCP. Нажмите «Далее».
    4. Вы можете указать шлюз по умолчанию на странице Маршрутизатор (шлюз по умолчанию). VPN-клиенты не распознают этот параметр, поскольку маршрут по умолчанию определяется тем, как вы настраиваете VPN-клиент. Нажмите «Далее».
    5. Вы можете ввести Родительский домен и адрес DNS-сервера на странице Доменное имя и DNS-серверы. Запись родительского домена очень важна, так как это имя используется для квалификации неквалифицированных запросов, которые клиенты VPN могут отправлять при разрешении имен в вашей частной сети. Всегда указывайте родительский домен. Введите IP-адрес(а) вашего DNS-сервера(ов) в текстовое поле IP-адреса и нажимайте OK после ввода каждого из них. Нажмите «Далее».

    1. Введите IP-адрес своего WINS-сервера в текстовом поле IP-адрес на странице WINS-сервера. Нажмите «Добавить», а затем нажмите «Далее».
    2. На странице «Активировать область» выберите вариант «Да, я хочу активировать область сейчас» и нажмите «Далее».
    3. Нажмите «Готово» на странице « Завершение работы мастера создания новой области».

    Установите ISA-сервер

    Установка ISA Server очень проста. Нет особых требований к конфигурации сервера ISA/VPN во время установки программного обеспечения ISA Server.

    1. Запустите файл ISAAutorun.exe с компакт-диска ISA Server. Нажмите ссылку «Установить ISA Server» на странице-заставке.
    2. Нажмите «Продолжить» на странице приветствия.
    3. Введите свой ключ компакт-диска на странице ключа компакт-диска. Нажмите ОК. Нажмите OK на странице идентификатора продукта.
    4. Нажмите кнопку «Я согласен» на странице EULA.
    5. Нажмите кнопку «Полная установка» на странице типа установки. Вы всегда можете удалить ненужные компоненты позже.
    6. В этом примере мы не работаем с массивом, поэтому мы нажмем кнопку «Да» в диалоговом окне предупреждения о массиве.
    7. На странице режима выберите параметр «Интегрированный режим» и нажмите «Продолжить».
    8. Нажмите OK в диалоговом окне с предупреждением о том, что он должен остановить W3SVC. Обратите внимание, что при перезагрузке компьютера W3SVC перезапустится.
    9. На странице настроек кэша введите размер веб-кэша и нажмите «Установить». Нажмите ОК.
    10. На странице LAT нажмите кнопку «Построить таблицу». Снимите флажок с флажка Добавить следующие частные диапазоны. Поставьте галочку в чекбоксе, соответствующем вашему внутреннему интерфейсу. Нажмите ОК. Нажмите OK в диалоговом окне, информирующем вас о том, как был настроен LAT. Нажмите ОК.
    11. Нажмите OK в диалоговом окне Launch ISA Management Tools. Нажмите OK в диалоговом окне, в котором говорится, что все работает нормально.
    12. Немедленно установите пакет обновления 1 для ISA Server. После установки Service Pack 1 я рекомендую вам установить Feature Pack 1, хотя это и не обязательно.

    Запустите мастер VPN-сервера

    В ISA Server есть мастер VPN-сервера, который упрощает настройку машины в качестве VPN-сервера. Поскольку у нас есть DHCP-сервер, Мастер позаботится почти обо всем. Однако вы увидите, что нам нужно сделать небольшую настройку, чтобы все работало правильно.

    1. Откройте консоль управления ISA, разверните имя своего сервера и щелкните правой кнопкой мыши узел Network Configuration. Нажмите на команду Разрешить подключения VPN-клиентов.
    2. Нажмите «Далее» на странице «Добро пожаловать в мастер настройки виртуальной частной сети ISA ».
    3. Нажмите «Готово» на странице «Завершение работы мастера настройки ISA VPN Server ». Нажмите Да, чтобы запустить службу маршрутизации и удаленного доступа.

    Служба маршрутизации и удаленного доступа запущена, но нам нужно сделать пару вещей, прежде чем подключать VPN-клиенты к сети.

    1. Нажмите «Пуск», выберите «Программы», выберите «Администрирование» и нажмите «Маршрутизация и удаленный доступ».
    2. В консоли маршрутизации и удаленного доступа щелкните правой кнопкой мыши имя сервера на левой панели консоли. Укажите на «Все задачи» и нажмите «Перезагрузить». Это приведет к тому, что сервер RRAS получит IP-адреса, как показано в трассировке пакетов ниже.

    1. Если вы откроете консоль DHCP, вы сможете увидеть аренду, назначенную серверу RRAS.

    1. В консоли «Маршрутизация и удаленный доступ» разверните узел «IP-маршрутизация» на левой панели консоли и щелкните правой кнопкой мыши узел «Общие». Нажмите на команду «Новый протокол маршрутизации».
    2. В диалоговом окне «Новый протокол маршрутизации» щелкните запись «Агент DHCP-ретрансляции» и нажмите «ОК». В диалоговом окне «Свойства агента DHCP-ретрансляции» оставьте записи по умолчанию и нажмите «ОК».
    3. Щелкните правой кнопкой мыши узел «Агент DHCP-ретрансляции» на левой панели консоли и выберите команду « Новый интерфейс». Выберите Внутренний интерфейс (это внутренний интерфейс, используемый сервером RRAS, а не интерфейс LAN сервера ISA). Нажмите ОК.
    4. Щелкните правой кнопкой мыши узел «Агент DHCP-ретрансляции» на левой панели консоли и выберите команду « Свойства». В диалоговом окне «Свойства агента DHCP-ретрансляции» введите IP-адрес DHCP-сервера в текстовом поле «Адрес сервера ». Щелкните Добавить. Нажмите «Применить», а затем нажмите «ОК».

    Настройте VPN-клиент и подключитесь

    Конфигурация VPN-клиента зависит от версии Windows. В этом примере мы используем Windows 2000 SP3. Вы можете настроить VPN-клиент, щелкнув правой кнопкой мыши значок «Мое сетевое окружение» на рабочем столе и выбрав команду «Свойства». В окне «Сетевые и коммутируемые подключения» дважды щелкните значок «Создать новое подключение» и следуйте указаниям мастера.

    Если вы хотите, чтобы все работало прямо из коробки, вы будете использовать PPTP. Если вам нужна дополнительная информация о подключениях L2TP/IPSec, ознакомьтесь с ISA Server and Beyond и моими статьями о подключении к VPN на сайте www.isaserver.org/shinder.

    После установки VPN-соединения откройте командную строку, введите ipconfig /all и нажмите ENTER. Вы увидите распечатку, как показано на рисунке ниже. Обратите внимание, что виртуальному частному соединению адаптера PPP назначается суффикс DNS, адрес WINS, адрес DNS и шлюз по умолчанию. Серверы имен и суффикс DNS соответствуют параметрам DHCP, созданным для области.

    На приведенной ниже трассировке сетевого монитора показаны сообщения DHCP Inform и DHCP ACK. В области сведений вы можете увидеть параметры DHCP, доставляемые сервером DHCP на сервер VPN. Именно агент DHCP-ретрансляции позволяет VPN-клиенту получать эти параметры DHCP.

    Если вы перейдете в консоль RRAS и щелкните узел DHCP Relay Agent, вы увидите, что столбец режима ретрансляции изменится на Enabled после того, как VPN-клиент установит соединение. Вы также увидите изменение значений в столбце Полученные запросы. Обратите внимание, что был получен только один запрос, но ответ от DHCP-сервера интерпретируется консолью как запрос.

    Вывод

    В этой статье мы рассмотрели, как вы можете использовать DHCP для назначения информации об IP-адресах вашим VPN-клиентам, которые подключаются к вашему ISA/VPN-серверу. Преимущество использования DHCP по сравнению со статическим пулом адресов заключается в том, что вы можете назначать параметры DHCP своим VPN-клиентам.

    Надеюсь, вам понравилась эта статья, и вы нашли в ней что-то, что вы можете применить к своей сети. Если у вас есть какие-либо вопросы по поводу того, что я обсуждал в этой статье, зайдите на http://forums.isaserver.org/ultimatebb.cgi?ubb=get_topic;f=13;t=001377 и разместите сообщение. Я буду проинформирован о вашем сообщении и отвечу на ваши вопросы как можно скорее. Спасибо! -Том

    Кибер-безопасность

    РЕКОМЕНДУЕМЫЕ СТАТЬИ

    Информационная безопасность и системная IT-интеграция
    27 Июня, 2024
    Брандмауэр в ИТ-системе
    15 Апреля, 2023
    Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
    15 Апреля, 2023
    Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
    15 Апреля, 2023
    Виртуальная частная сеть
    15 Апреля, 2023
    Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
    15 Апреля, 2023
    Стратегия Microsoft в отношении .NET
    15 Апреля, 2023
    SSH
    15 Апреля, 2023