Настройка брандмауэра/VPN-сервера ISA Server на базе Windows Server 2003 для приема входящих вызовов NAT-T L2TP/IPSec

Настройка брандмауэра/VPN-сервера ISA Server на базе Windows Server 2003 для приема входящих вызовов nat-t L2TP/IPSec

Томас Шиндер, доктор медицины

Существует множество причин, по которым вы захотите запустить брандмауэр ISA Server на машине с Windows Server 2003 вместо Windows 2000. Вот лишь некоторые из них:

Поддержка NAT-T L2TP/IPSec VPN-клиентов является одной из наиболее веских причин для установки вашего брандмауэра ISA Server/VPN-сервера на Windows Server 2003 вместо Windows Server 2003.

Почему? Потому что вы можете разрешить внешним клиентам NAT-T L2TP/IPSec, расположенным за устройством NAT, подключаться к вашему брандмауэру/VPN-серверу ISA Server на базе Windows Server 2003. Обычно любой протокол на основе IPSec не может передаваться через устройство NAT, поскольку NAT и IPSec несовместимы. Либо устройство NAT делает пакет недействительным, либо устройство NAT не может прочитать заголовки пакетов, необходимые для преобразования адресов. Единственный другой вариант, который у вас есть, это PPTP. В то время как некоторые устройства NAT разумно обрабатывают множественные исходящие соединения PPTP, чаще всего ваш исходящий PPTP через конференц-центр отеля будет «поднят» после того, как будет установлено определенное количество других исходящих соединений PPTP.

Примечание:
Отличный обзор проблем, связанных с прохождением протоколов на основе IPSec через устройство NAT, см. в статье Стефана Пуселе «Как передать трафик IPSec через ISA Server».

На рисунке ниже показан типичный сценарий VPN с удаленным доступом. Пользователь находится в гостинице или домашнем офисе, и ему необходимо создать безопасное соединение L2TP/IPSec с корпоративной сетью. У этого пользователя VPN есть два варианта: PPTP или NAT-T L2TP/IPSec. В то время как обычные пакеты IPSec останавливаются устройствами NAT (такими как маршрутизаторы NAT и «интернет-шлюзы»), пакеты NAT-T L2TP/IPSec упаковываются или «инкапсулируются» заголовками UDP. Эти заголовки UDP защищают часть пакета, защищенную IPSec, и позволяют VPN-соединению без вреда проходить через устройство NAT. Обратите внимание, что на рисунке ниже заголовок UDP 1701 инкапсулирован в заголовок UDP 4500. Устройство NAT должно иметь возможность передавать только UDP 500 и UDP 4500.

Преимущество использования клиентского программного обеспечения Windows VPN для подключения к брандмауэру/VPN-серверу ISA Server на базе Windows Server 2003 заключается в том, что и клиент, и сервер совместимы с RFC. В отличие от других крупных поставщиков VPN-серверов, которые используют проприетарные и несовместимые методы NAT Traversal, не относящиеся к RFC, решение Microsoft NAT-T совместимо с черновыми стандартами Интернета IETF.

Примечание:
Подробную информацию о том, как установить клиент Microsoft NAT-T L2TP/IPSec, см. в документе ISA Server 2000 VPN Deployment Kit, применимом к вашей клиентской операционной системе Windows, в разделе Complete List of ISA Server 2000 VPN Deployment Kit Documents. Дополнительные сведения о клиенте Windows NT/9x NAT-T L2TP/IPSec см. в описании клиента Microsoft L2TP/IPSec Virtual Private Networking для более ранних клиентов. Дополнительные сведения о клиенте L2TP/IPSec NAT-T для Windows 2000/Windows XP см. в разделе Обновление L2TP/IPSec NAT-T для Windows XP и Windows 2000.

Пакетные фильтры, необходимые для разрешения входящих вызовов NAT-T VPN

Вам необходимо сделать следующее на брандмауэре/VPN-сервере ISA Server для поддержки входящих вызовов VPN от NAT-T RFC-совместимых клиентов L2TP/IPSec, которые расположены за устройством NAT:

Фильтр приема/отправки пакетов UDP 500 позволяет получать пакеты протокола обмена ключами Интернета (IKE) брандмауэром/VPN-сервером ISA Server. Этот пакетный фильтр требуется как для клиентов NAT-T VPN, так и для клиентов VPN без NAT-T.

Фильтр приема/отправки пакетов UDP 4500 предназначен для клиентов NAT-T VPN. Заголовок IPSec ESP инкапсулируется в заголовок порта UDP 4500. Когда сервер Windows Server 2003 ISA Server/VPN получает пакет, он удаляет заголовок UDP и предоставляет заголовок ESP. Так сервер определяет, что VPN-клиент является клиентом NAT-T.

Фильтр приема/отправки пакетов UDP 1701 позволяет установить и поддерживать канал управления L2TP. Это ряд различных управляющих сообщений, которые отправляются через канал управления L2TP. Целью управляющих сообщений является установление туннеля VPN, поддержание туннеля VPN и демонтаж (закрытие) туннеля упорядоченным образом, когда соединение больше не требуется.

На рисунке ниже показана структура пакета L2TP/IPSec. Обратите внимание, что заголовок IPSec ESP расположен перед заголовком L2TP UDP. Заголовок IPSec ESP не требует открытого порта. Однако для этого требуется, чтобы брандмауэр прослушивал и принимал входящие подключения к протоколу IP 50. Только заголовок IP туннеля, содержащий информацию о конечной точке туннеля, и заголовок уровня канала передачи данных инкапсулируют заголовок IPSec ESP.

Примечание:
Вам не нужно создавать фильтр пакетов, чтобы разрешить входящий IP-протокол 50. Причина этого неизвестна.

Создайте три фильтра пакетов на брандмауэре/VPN-сервере ISA Server, принимающем соединения L2TP/IPSec от клиентов L2TP/IPSec, расположенных за устройством NAT. Если вы не хотите поддерживать клиентов NAT-T L2TP/IPSec, вы можете использовать Мастер ISA Server VPN, и все необходимые фильтры пакетов будут созданы для вас.

Создание фильтра пакетов для UDP-порта 500

Выполните следующие шаги, чтобы создать фильтр пакетов для UDP-порта 500:

1. В консоли управления ISA разверните узел Серверы и массивы, а затем разверните имя своего сервера. Разверните узел Политика доступа. Щелкните правой кнопкой мыши узел «Фильтры пакетов», выберите « Создать» и щелкните «Фильтр».

2. Введите имя фильтра пакетов в текстовом поле Имя фильтра IP-пакетов на странице Добро пожаловать на страницу мастера создания нового фильтра IP-пакетов. Я рекомендую вам назвать его UDP 500 (получение/отправка). Нажмите «Далее».

3. Выберите параметр «Разрешить пакетную передачу» на странице «Режим фильтра». Нажмите «Далее».

4. Выберите параметр «Пользовательский» на странице «Тип фильтра». Нажмите «Далее».

5. Настройте параметры фильтра пакетов на странице «Параметры фильтра». Выберите параметр UDP в раскрывающемся списке IP-протокола. Выберите параметр «Получить отправку» в раскрывающемся списке «Направление». Выберите параметр «Фиксированный порт» в раскрывающемся списке «Локальный порт». Установите номер локального порта на 500. Выберите параметр Все порты в раскрывающемся списке Удаленный порт. Нажмите «Далее».

6. Выберите IP-адреса по умолчанию для каждого внешнего интерфейса на компьютере с ISA Server на странице «Локальный компьютер». IP-адрес по умолчанию — это основной IP-адрес, привязанный к интерфейсу. Первичный адрес — это IP-адрес вверху списка в диалоговом окне Дополнительные свойства TCP/IP. Нажмите «Далее».

7. Выберите параметр «Все удаленные компьютеры» на странице «Удаленные компьютеры». Нажмите «Далее».

8. Проверьте настройки на странице «Завершение работы мастера создания нового фильтра IP-пакетов», затем нажмите «Готово».

Создание фильтра пакетов для UDP 4500

Выполните следующие шаги, чтобы создать фильтр пакетов для UDP 4500:

1. В консоли управления ISA разверните узел Серверы и массивы, а затем разверните имя своего сервера. Разверните узел Политика доступа. Щелкните правой кнопкой мыши узел «Фильтры пакетов», выберите « Создать» и щелкните «Фильтр».
   
2. Введите имя фильтра пакетов в текстовом поле Имя фильтра IP-пакетов на странице Добро пожаловать на страницу мастера создания нового фильтра IP-пакетов. Я рекомендую вам назвать его UDP 4500 (получение/отправка). Нажмите «Далее».
   
3. Выберите параметр «Разрешить пакетную передачу» на странице «Режим фильтра». Нажмите «Далее».
   
4. Выберите «Пользовательский» на странице «Тип фильтра». Нажмите «Далее».
   
5. Настройте параметры фильтра пакетов на странице «Параметры фильтра». Выберите параметр UDP в раскрывающемся списке IP-протокола. Выберите параметр «Получить отправку» в раскрывающемся списке «Направление». Выберите параметр «Фиксированный порт» в раскрывающемся списке «Локальный порт». Установите номер локального порта на 4500. Выберите параметр Все порты в раскрывающемся списке Удаленный порт. Нажмите «Далее».

6. Выберите IP-адреса по умолчанию для каждого внешнего интерфейса на компьютере с ISA Server на странице «Локальный компьютер». IP-адрес по умолчанию — это основной IP-адрес, привязанный к интерфейсу. Первичный адрес — это IP-адрес вверху списка в диалоговом окне Дополнительные свойства TCP/IP. Нажмите «Далее».
   
7. Выберите параметр «Все удаленные компьютеры» на странице «Удаленные компьютеры». Нажмите «Далее».
   
8. Проверьте настройки на странице «Завершение работы мастера создания нового фильтра IP-пакетов», затем нажмите «Готово».

Ни сервер Windows 2000/Windows Server 2003, ни службы ISA Server перезапускать не нужно. Пакетные фильтры начнут работать автоматически. Если у вас очень загруженная машина и вам нужно, чтобы фильтры пакетов сразу же начали работать, вам следует перезапустить службу брандмауэра.

Создание фильтра пакетов для UDP 1701

Выполните следующие шаги, чтобы создать фильтр пакетов для UDP 1701:

1. В консоли управления ISA разверните узел Серверы и массивы, а затем разверните имя своего сервера. Разверните узел Политика доступа. Щелкните правой кнопкой мыши узел «Фильтры пакетов», выберите « Создать» и щелкните «Фильтр».
   
2. Введите имя фильтра пакетов в текстовом поле Имя фильтра IP-пакетов на странице Добро пожаловать на страницу мастера создания нового фильтра IP-пакетов. Я рекомендую вам назвать его UDP 1701 (получение/отправка). Нажмите «Далее».

3. Выберите параметр «Разрешить пакетную передачу» на странице «Режим фильтра». Нажмите «Далее».
   
4. Выберите параметр «Пользовательский» на странице «Тип фильтра». Нажмите «Далее».
   
5. Настройте параметры фильтра пакетов на странице «Параметры фильтра». Выберите параметр UDP в раскрывающемся списке IP-протокола. Выберите параметр «Получить отправку» в раскрывающемся списке «Направление». Выберите параметр «Фиксированный порт» в раскрывающемся списке «Локальный порт». Установите номер локального порта на 1701. Выберите параметр Все порты в раскрывающемся списке Удаленный порт. Нажмите «Далее».

6. Выберите IP-адреса по умолчанию для каждого внешнего интерфейса на компьютере с ISA Server на странице «Локальный компьютер». IP-адрес по умолчанию — это основной IP-адрес, привязанный к интерфейсу. Первичный адрес — это IP-адрес вверху списка в диалоговом окне Дополнительные свойства TCP/IP. Нажмите «Далее».
   
7. На странице «Удаленные компьютеры» выберите параметр «Все удаленные компьютеры» и нажмите «Далее».
   
8. Проверьте настройки на странице Завершение работы мастера создания нового фильтра IP-пакетов и нажмите Готово.

Клиенты L2TP/IPSec NAT-T VPN могут подключаться после создания всех трех фильтров пакетов. Обратите внимание, что хотя мастер ISA Server VPN создает фильтры пакетов L2TP/IPSec, вам следует заново создать фильтры пакетов, как указано в этой статье. Эти фильтры NAT-T L2TP/IPSec немного отличаются от фильтров, созданных Мастером.

Резюме

В этой статье мы обсудили проблему прохождения протоколов на основе IPSec через NAT-устройство. Протоколы NAT-T (NAT Traversal) позволяют клиентам VPN передавать защищенные пакеты IPSec через устройство NAT. Клиентское программное обеспечение Windows L2TP/IPSec NAT-T VPN работает вместе с брандмауэром/VPN-сервером ISA Server на базе Windows Server 2003, позволяя VPN-клиентам, расположенным за устройством NAT, проходить защищенный IPSec через NAT. Мы также прошли подробные пошаговые процедуры, необходимые для создания фильтров пакетов на брандмауэре ISA Server/VPN-сервере, которые позволяют ему принимать входящие вызовы брандмауэра ISA Server/VPN-сервера.

Надеюсь, вам понравилась эта статья, и вы нашли в ней что-то, что вы можете применить в своей собственной сети. Если у вас есть какие-либо вопросы по поводу того, что я обсуждал в этой статье, зайдите на http://forums.isaserver.org/ultimatebb.cgi?ubb=get_topic;f=13;t=001725 и разместите сообщение. Я буду проинформирован о вашем сообщении и отвечу на ваши вопросы как можно скорее. Спасибо! -Том