Настройка L2TP/IPSec VPN между шлюзами. Часть 1. Настройка инфраструктуры

Настройка ISA Server 2000: Создание брандмауэров для Windows 2000
Деб и Том Шиндер

Amazon.com

Настроить VPN от шлюза к шлюзу легко с помощью ISA Server. Причина, по которой это так просто, заключается в том, что локальные и удаленные мастера VPN делают настройку практически легкой задачей. Ну, это не проблема, когда вы настраиваете шлюзы PPTP VPN. Но если вы ищете шлюз L2TP/IPSec с высоким уровнем безопасности для шлюза VPN, вы, вероятно, либо пытались избежать его, как чумы, либо рвали на себе волосы, пытаясь понять, как заставить его работать!

Действительно, конфигурация инфраструктуры сертификатов является серьезным препятствием для входа для тех, кто рассматривает L2TP/IPSec VPN. Причина этого в том, что практически невозможно понять, как установить сертификаты! Даже в широко известной книге Fortenberry по VPN не разъясняется, как устанавливать сертификаты машин с помощью веб-интерфейса для машин, не являющихся членами домена. Он фокусируется на использовании веб-интерфейса для получения сертификата пользователя для аутентификации PPP EAP/TLS. Забудь об этом! Мы займемся EAP/TLS в другой раз. Что мы хотим сделать прямо сейчас, так это настроить и запустить канал L2TP/IPSec.

Настоящая хитрость в обеспечении работы инфраструктуры служб сертификатов заключается в возможности назначать сертификаты компьютерам, не входящим в домен. Как вы увидите, назначить сертификаты членам домена совсем несложно. Получение сертификата для не членов домена может вызвать у вас головную боль.

В этой лабораторной работе мы создадим сеть VMware из пяти компьютеров, включающую два VPN-сервера, контроллер домена, автономный корневой ЦС и сервер в удаленной сети. В первой части статьи мы соберем инфраструктуру; установить серверы, настроить серверы сертификатов и установить сертификаты в локальной сети. Во второй части статьи мы установим ISA Server, настроим VPN от шлюза к шлюзу и установим сертификаты на удаленном VPN-сервере и удаленном файловом сервере.

Процедуры в этой лаборатории включают:

К концу этой лабораторной работы, состоящей из двух частей, вы станете мастером шлюза ISA/VPN L2TP/IPSec!

Лабораторная сеть

На рисунке ниже показана лабораторная сеть:

Параметры конфигурации службы и IP на каждой машине:

КЛИЕНТЦДС:

Услуги:

ВЫИГРЫШИ

DNS

– Принимает динамические обновления

– Настраивается вручную, а не с помощью мастера Active Directory.

Активный каталог

Доменное имя: internal.net

[ИЗОБРАЖЕНИЕ ПРЕДОСТАВЛЕНО LAB на DVD]

IP-конфигурация:

IP-конфигурация Windows 2000

Имя хоста............: КЛИЕНТDC

Основной DNS-суффикс.......: внутр.net

Список поиска DNS-суффиксов......: внутр.net

Ethernet-адаптер Подключение по локальной сети:

Айпи адрес............: 10.0.0.2

Маска подсети...........: 255.255.255.0

Шлюз по умолчанию.........: 10.0.0.1

DNS-серверы...........: 10.0.0.2

Основной WINS-сервер.......: 10.0.0.2

Примечания по установке:

Установите Windows 2000 Advanced Server на виртуальную машину. Используйте параметры по умолчанию, за исключением добавления служб WINS и DNS-сервера и настройки параметров IP вручную. Создайте зону DNS, internal.net перед запуском DCPROMO. Убедитесь, что вы создали зоны прямого и обратного просмотра (зона обратного просмотра для идентификатора сети 10.0.0./24).

СЕРЦРВ:

Услуги:

Никаких дополнительных сетевых сервисов при установке

IP-конфигурация:

IP-конфигурация Windows 2000

Имя хоста............: СЕРЦРВ

Основной DNS-суффикс.......: внутр.net

Список поиска DNS-суффиксов......: внутр.net

Ethernet-адаптер Подключение по локальной сети:

Айпи адрес............: 10.0.0.3

Маска подсети...........: 255.255.255.0

Шлюз по умолчанию.........: 10.0.0.1

DNS-серверы...........: 10.0.0.2

Основной WINS-сервер.......: 10.0.0.2

Примечания по установке:

Установите Windows 2000 Advanced Server на виртуальную машину, используя параметры по умолчанию, за исключением ручной настройки параметров IP. Присоедините машину к домену internal.net.

ВНУТРЕННЯЯ VPN:

Услуги:

Никаких дополнительных сетевых сервисов при установке

IP-конфигурация:

IP-конфигурация Windows 2000

Имя хоста............: ВНУТРЕННИЙVPN

Основной DNS-суффикс.......: внутр.net

Список поиска DNS-суффиксов......: внутр.net

Ethernet-адаптер Подключение по локальной сети (внутренний адаптер):

Айпи адрес............: 10.0.0.1

Маска подсети...........: 255.255.255.0

Шлюз по умолчанию.........:

DNS-серверы...........: 10.0.0.2

Основной WINS-сервер.......: 10.0.0.2

Адаптер Ethernet, подключение по локальной сети 2 (внешний адаптер):

Айпи адрес............: 192.168.1.125

Маска подсети...........: 255.255.255.0

Шлюз по умолчанию.........:

DNS-серверы...........:

Примечания по установке:

Эта машина является двухдомной. Используйте параметры по умолчанию во время установки Windows 2000 Advanced Server на виртуальной машине, за исключением ручной настройки IP-адресации и присоединения к домену.

ВНЕШНИЙ VPN:

Услуги:

Никаких дополнительных сетевых сервисов при установке

IP-конфигурация:

IP-конфигурация Windows 2000

Имя хоста............: ВНЕШНИЙVPN

Основной DNS-суффикс.......:

Список поиска DNS-суффиксов......:

Ethernet-адаптер Подключение по локальной сети (внутренний адаптер):

Айпи адрес............: 172.16.0.1

Маска подсети...........: 255.240.0.0

Шлюз по умолчанию.........:

DNS-серверы...........: 172.16.0.2

Основной WINS-сервер.......: 172.16.0.2

Адаптер Ethernet, подключение по локальной сети 2 (внешний адаптер):

Айпи адрес............: 192.168.1.126

Маска подсети...........: 255.255.255.0

Шлюз по умолчанию.........:

DNS-серверы...........:

Примечания по установке:

Эта машина является двухдомной. Используйте параметры по умолчанию во время установки Windows 2000 Advanced Server на виртуальной машине, за исключением ручной настройки IP-адресации и присоединения к домену.

ВНЕШНИЙ СРВ:

Услуги:

Все службы IIS

DNS

– Принимает динамические обновления

ВЫИГРЫШИ

IP-конфигурация:

IP-конфигурация Windows 2000

Имя хоста............: ВНЕШНИЙ СРВ

Основной DNS-суффикс.......:

Список поиска DNS-суффиксов......:

Ethernet-адаптер Подключение по локальной сети:

Айпи адрес............: 172.16.0.2

Маска подсети...........: 255.240.0.0

Шлюз по умолчанию.........: 172.16.0.1

DNS-серверы...........: 172.16.0.2

Основной WINS-сервер.......: 172.16.0.2

Примечания по установке:

Установите Windows 2000 Advanced Server на виртуальную машину, используя параметры по умолчанию, за исключением ручной настройки параметров IP.

Порядок установки должен быть (от первого к последнему):

КЛИЕНТДК

СЕРТСРВ

ВНУТРЕННИЙVPN

ВНЕШНИЙLVPN

EXTERNALSRV

Установка сервера сертификатов на контроллере домена

Чтобы проверить, как получить сертификат машины от корпоративного корневого сервера сертификатов, интегрированного с Active Directory, мы установим сервер сертификатов на контроллере домена ISACLIENTDC.

Выполните следующие шаги, чтобы установить сервер сертификатов на контроллере домена:

1. Нажмите «Пуск», выберите «Настройки», а затем нажмите «Панель управления».
   
2. Откройте апплет «Установка и удаление программ».
   
3. Нажмите кнопку «Добавить/удалить компоненты Windows» в левой части апплета «Установка и удаление программ».

4. В диалоговом окне Мастера компонентов Windows установите флажок в поле Службы сертификации. Вы получите диалоговое окно с предупреждением о том, что вы не можете переименовать компьютер или удалить или присоединиться к домену. Отлично. Нажмите «Да», затем нажмите «Далее».

5. Если машина является сервером терминалов (и она находится в этом лабораторном занятии), вы увидите диалоговое окно «Настройка служб терминалов». Выберите режим удаленного администрирования и нажмите «Далее».

6. На странице Тип центра сертификации выберите параметр Корневой ЦС предприятия. Для этого варианта требуется Active Directory. Это правильный вариант, потому что мы хотим иметь возможность использовать сертификаты MMC и/или автоматическую регистрацию для установки машинного сертификата на наших серверах ISA/VPN. Нажмите «Далее».

7. На странице Идентифицирующая информация ЦС заполните все поля, как показано на рисунке ниже. На самом деле, единственное обязательное поле — это поле имени ЦС. Другие поля необязательны, но рекомендуется заполнить их все, чтобы вы могли легко определить источник и назначение сервера сертификатов. Нажмите «Далее».

8. На странице «Расположение хранилища данных» примите значения по умолчанию для размещения базы данных сертификатов и журнала базы данных сертификатов. У вас есть возможность хранить информацию о конфигурации в общей папке, но это не обязательно, если только вы не хотите, чтобы другие центры сертификации в вашей организации использовали эту информацию. Нажмите «Далее».

9. Вы получите диалоговое окно с предупреждением о том, что IIS необходимо остановить, прежде чем продолжить. Нажмите ОК.

10. Вам будет предложено ввести компакт-диск Windows 2000. Вставьте компакт-диск Windows 2000 в дисковод и нажмите OK.
    
11. По завершении работы мастера нажмите «Готово».

Теперь сервер сертификатов установлен и может назначать сертификаты машин (компьютеров). Теперь давайте посмотрим, как настроить групповую политику для автоматической регистрации компьютеров, являющихся членами домена.

Настройка автоматической регистрации с помощью групповой политики

Выполните следующие шаги, чтобы настроить групповую политику домена для автоматической регистрации членов домена, чтобы они автоматически получали сертификат компьютера:

1. Нажмите «Пуск», выберите «Программы» и выберите «Администрирование». Щелкните Пользователи и компьютеры Active Directory.
   
2. В консоли «Пользователи и компьютеры Active Directory» щелкните правой кнопкой мыши домен и выберите «Свойства».
   
3. В диалоговом окне «Свойства домена» щелкните вкладку «Групповая политика».
   
4. На вкладке «Групповая политика» нажмите «Политика домена по умолчанию» и нажмите «Изменить».
   
5. Разверните узел « Конфигурация компьютера », затем разверните узел «Параметры Windows », затем разверните узел «Параметры безопасности » и, наконец, разверните узел « Политики открытого ключа ».
   
6. Щелкните правой кнопкой мыши узел «Настройки автоматического запроса сертификата», выберите « Создать» и нажмите «Автоматический запрос сертификата».

7. Начнется приветствие мастера настройки автоматического запроса сертификата. Нажмите «Далее».

8. На странице «Шаблон сертификата» выберите шаблон сертификата «Компьютер» и нажмите «Далее».

9. На странице центра сертификации примите значение по умолчанию и нажмите «Далее».

10. На странице «Завершение настройки автоматического запроса сертификата» нажмите «Готово».

После завершения работы мастера сервер сертификатов автоматически назначит сертификаты всем компьютерам в домене. Машины получат сертификат во время следующего обновления политики или при перезагрузке компьютера. Если вы не хотите ждать обновления политики или перезагружать компьютер, вы можете использовать утилиту secedit для принудительного обновления политики. Просто введите следующую команду в командной строке:

удалить /refreshpolicy machine_policy /enforce

Подтверждение установки сертификата машины

Вы хотите убедиться, что все члены домена имеют сертификат компьютера, прежде чем продолжить настройку VPN. Убедитесь, что вы перезагрузили компьютер или использовали команду secedit, а затем выполните следующие действия для просмотра сертификата.

1. Нажмите «Пуск» и выберите команду «Выполнить».
   
2. В диалоговом окне «Выполнить» введите mmc в текстовом поле «Открыть» и нажмите «ОК».
   
3. Щелкните меню «Консоль», а затем выберите команду «Добавить/удалить оснастку».
   
4. В диалоговом окне «Добавить/удалить оснастку» нажмите кнопку «Добавить».
   
5. В диалоговом окне «Добавить автономную оснастку» выберите «Сертификаты» и нажмите «Добавить».

6. В окне Эта оснастка всегда будет управлять сертификатами для страницы выберите параметр Учетная запись компьютера и нажмите кнопку Далее.

7. На странице «Выберите компьютер, которым должна управлять эта оснастка» выберите параметр « Локальный компьютер» и нажмите «Готово».

8. Нажмите «Закрыть » в диалоговом окне «Добавить автономную оснастку».
   
9. Нажмите «ОК» в диалоговом окне «Добавить/удалить оснастку».
   
10. В консоли разверните узел Сертификаты (локальный компьютер), а затем разверните узел Личный. Нажмите на узел Сертификаты. Дважды щелкните сертификат на правой панели, чтобы просмотреть сертификат (это сертификат, назначенный компьютеру CERTSRV ). Закройте диалоговое окно «Сертификат», чтобы вернуться к консоли «Сертификаты».

Использование консоли MMC для запроса сертификата

Поскольку сейчас мы находимся в разделе «Сертификаты mmc», давайте посмотрим, как вы можете запросить сертификат из корневого центра сертификации предприятия с помощью файла mmc. Вы можете использовать этот метод, если вы не хотите или не можете использовать групповую политику автоматической регистрации. Имейте в виду, что машина, делающая запрос, должна быть членом того же домена, что и корпоративный корневой сервер сертификатов. Вы не можете использовать этот метод, если запрашивающая машина не находится в том же домене.

1. В консоли Certificates mmc щелкните правой кнопкой мыши сертификат, полученный с помощью автоматической регистрации, и нажмите Удалить.
   
2. Вы увидите диалоговое окно с предупреждением о том, что вы не сможете расшифровать данные с помощью этого сертификата (если вы его удалите). Щелкните Да.

3. Теперь сертификат должен быть удален. Щелкните правой кнопкой мыши узел «Сертификаты» в левой панели консоли, выберите «Все задачи» и нажмите «Запросить новый сертификат».

4. Появится страница Добро пожаловать в мастер запроса сертификата. Нажмите «Далее».
   
5. На странице «Шаблон сертификата» выберите сертификат компьютера (он должен быть единственным, который вы видите) и нажмите «Далее».
   
6. На странице Понятное имя и описание сертификата вы можете ввести что-то вроде сертификата машины в качестве понятного имени и нажать Далее.

7. Проверьте параметры на странице Завершение работы мастера запроса сертификата и нажмите Готово. Нажмите OK в диалоговом окне, сообщающем об успешном выполнении запроса.
   
8. Закройте сертификаты mmc . В диалоговом окне, если вы хотите сохранить настройки консоли, нажмите Да.
   
9. Сохраните консоль на рабочем столе под именем Certificates.
   

Установка автономного корневого ЦС

В этом разделе мы установим автономный корневой ЦС на компьютер CERTSRV. Причина использования автономного корневого ЦС заключается в том, что нам необходимо установить сертификат на удаленном сервере ISA/VPN. Нам также может понадобиться сертификат, чтобы удаленный файловый сервер мог использовать IPSec через туннель L2TP/IPSec (сквозной VPN IPSec). Нам потребуется использовать веб-интерфейс для получения сертификата для удаленного сервера ISA/VPN, поскольку удаленный сервер ISA/VPN не является членом домена. Удаленный сервер ISA/VPN в этой лабораторной работе настроен как автономный сервер, который является членом рабочей группы.

Обратите внимание, что удаленный сервер ISA/VPN не обязательно должен быть автономным сервером, который является членом рабочей группы и позже получит сертификат машины. Мы могли бы легко сделать удаленный сервер ISA/VPN членом того же домена, что и наш контроллер домена ( CLIENTDC ). Однако нам пришлось бы установить удаленный сервер ISA/VPN, когда он был подключен к локальной сети. Затем мы сделали бы машину членом домена. Сделав машину членом домена, мы могли бы воспользоваться автоматической регистрацией или использовать сертификаты mmc. Затем мы оставляем машину членом того же домена или удаляем машину из домена и перемещаем ее на удаленный сайт. Сертификат будет на месте, даже если машина будет удалена из домена.

На компьютере CERTSRV выполните следующие шаги, чтобы установить автономный сервер сертификатов корневого центра сертификации:

1. Нажмите «Пуск», выберите «Настройки», а затем нажмите «Панель управления».
   
2. Откройте апплет «Установка и удаление программ».
   
3. Нажмите кнопку «Добавить/удалить компоненты Windows» в левой части апплета «Установка и удаление программ».
   
4. В диалоговом окне Мастера компонентов Windows установите флажок в поле Службы сертификации. Вы получите диалоговое окно с предупреждением о том, что вы не можете переименовать компьютер или удалить или присоединиться к домену. Отлично. Нажмите «Да», затем нажмите «Далее».
   
5. Если машина является сервером терминалов (и она находится в этом лабораторном занятии), вы увидите диалоговое окно «Настройка служб терминалов». Выберите режим удаленного администрирования и нажмите «Далее».
   
6. На странице Тип центра сертификации выберите параметр Автономный корневой ЦС. Этот тип ЦС не требует Active Directory. Нажмите «Далее».

7. Введите идентификационную информацию на странице Идентифицирующая информация ЦС. Единственным обязательным полем является имя ЦС, но вы должны указать остальную информацию, чтобы было проще понять, для чего предназначен ЦС. Нажмите «Далее».

8. В месте хранения данных примите значения по умолчанию в этой лабораторной работе. Вам не нужно создавать общую папку для конфигурации хранилища (я делаю это по привычке, но для данной лабы это не требуется). Нажмите «Далее». Нажмите кнопку ОК в диалоговом окне, информирующем о необходимости остановки IIS.

9. Вставьте компакт-диск в дисковод, когда появится соответствующий запрос. Нажмите Готово, когда установка будет завершена. Закрыть Закрыть, чтобы закрыть диалоговое окно «Установка и удаление программ».
   

Получение сертификата из автономного корня с помощью веб-интерфейса

Для компьютеров INTERNALVPN, EXTERNALVPN и EXTERNALSRV потребуется сертификат от автономного корневого ЦС. Мы не сможем получить сертификат для компьютеров EXTERNALVPN и EXTERNALSRV, пока не настроим шлюз для VPN-шлюза. Но теперь мы можем установить сертификат на компьютер INTERNALVPN.

1. На машине INTERNALVPN откройте браузер.
   
2. На странице Добро пожаловать в мастер подключения к Интернету выберите последний вариант, как показано на рисунке.

3. На странице Настройка подключения к Интернету выберите параметр Я подключаюсь через локальную сеть (LAN) и нажмите Далее.

4. На странице Настройка локальной сети Интернет снимите флажок с поля Автоматическое обнаружение. Нажмите «Далее».

5. На странице «Настройка учетной записи электронной почты Интернета» выберите «Нет» и нажмите «Далее».
   
6. На странице «Завершение работы мастера подключения к Интернету» нажмите «Готово».
   
7. В адресной строке Internet Explorer введите http://certsrv/certsrv и нажмите [ENTER].
   
8. На странице приветствия выберите параметр «Запросить сертификат» и нажмите «Далее».

9. На странице «Расширенный запрос» выберите параметр «Расширенный запрос» и нажмите «Далее».

10. На странице «Расширенные запросы сертификатов» выберите «Отправить запрос сертификата в этот ЦС с помощью формы» и нажмите «Далее».

11. На странице Advanced Certificate Request введите идентифицирующую информацию, как показано на рисунке. В качестве «Назначения» выберите вариант «Сертификат аутентификации клиента ». Установите размер ключа на 512, выберите параметры «Отметить ключи как экспортируемые» и «Использовать локальное хранилище компьютеров». Щелкните Отправить. Нажмите OK в разделе Создание нового ключа обмена RSA! диалоговое окно.

ПРИМЕЧАНИЕ:

При тестировании этих конфигураций у меня было чертовски много времени, чтобы все заработало, когда я установил надежную защиту закрытого ключа. вариант. Я не знаю, почему это так, потому что это, безусловно, звучит хорошо, Дж. Если кто-то из вас знает, что происходит с этой настройкой, пришлите мне сообщение по адресу [email protected]. Кроме того, я тестировал только 512-битные ключи. Я предполагаю, что это будет работать также (возможно, с падением производительности) с размером ключа 1024 бит. Если вы настроите размер ключа на 1024 бита и это сработает, дайте мне знать и об этом!

12. Страница Certificate Pending информирует вас о том, что ваш запрос должен быть одобрен. Щелкните ссылку Главная в правом верхнем углу страницы.
    
13. Подойдите к машине CERTSRV. Нажмите «Пуск», выберите «Программы», а затем «Администрирование». Нажмите на запись центра сертификации.
    
14. В консоли Центра сертификации щелкните узел Ожидающие запросы на левой панели консоли. Щелкните правой кнопкой мыши запрос сертификата в правой панели консоли и выберите «Все задачи». Щелкните Выпуск.

15. Вернитесь в браузер на машине INTERNALVPN. На странице приветствия выберите параметр «Проверить ожидающий сертификат» и нажмите «Далее».
    
16. На странице «Проверить ожидающий запрос сертификата» выберите сертификат и нажмите «Далее».

17. На странице «Сертификат выдан» нажмите ссылку «Установить этот сертификат».

18. После получения страницы «Сертификат установлен» закройте браузер.

19. Теперь повторите шаги с 7 по 18, но на этот раз получите сертификат сервера вместо сертификата клиента.
    
20. После получения сертификата клиента и сервера откройте консоль «Сертификаты» и убедитесь, что оба сертификата были установлены в хранилище сертификатов «Локальный компьютер».

Примечания по установке сертификата

Вам нужен сертификат клиента и сервера? Мы проверим позже, чтобы увидеть, требуется ли только сертификат клиента, требуется только сертификат сервера или требуются оба. Поскольку оба маршрутизатора выступают в роли клиента и сервера, вы полагаете, что вам нужны сертификаты как клиента, так и сервера. Тем не менее, вот фрагмент из технического описания Microsoft по настройке шлюза к шлюзу VPN:

«Для стороннего ЦС см. документацию по программному обеспечению ЦС для получения инструкций о том, как создать сертификат с назначением сертификата аутентификации сервера (OID «1.3.6.1.5.5.7.3.1») и экспортировать его, чтобы он мог быть импортированы с помощью оснастки «Диспетчер сертификатов» администратором отвечающего маршрутизатора. Кроме того, сертификат корневого центра сертификации, сертификат выдавшего центра сертификации и сертификаты любых промежуточных центров сертификации должны быть экспортированы и импортированы на вызывающем маршрутизаторе».

В официальном документе не содержится каких-либо конкретных рекомендаций относительно типа сертификата, который необходимо установить на VPN-шлюзе Windows 2000. Но если я правильно понимаю, то, похоже, сертификат с OID 1.3.6.1.5.5.7.3.1 должен быть всем, что нам нужно. Если это так, то нам нужен только сертификат сервера, а не сертификат клиента. Опять же, мы никогда не хотим верить тому, что читаем, поэтому мы проверим эти теории во второй части этой статьи.

Я скажу вам, что это определенно тот случай, когда вы настраиваете VPN-сервер только для работы в качестве VPN-сервера (и не настраиваете его как VPN-шлюз). Все, что вам нужно для этой настройки, — это сертификат сервера на VPN-сервере и клиентский сертификат на VPN-клиенте. Оба эти типа сертификатов можно получить через веб-интерфейс с автономного корневого сервера сертификатов.

Во второй части этой статьи мы установим ISA Server, настроим VPN между шлюзами с помощью мастеров локальной и удаленной VPN, настроим параметры VPN в консоли RRAS, установим PPTP-соединение между сетями, чтобы мы могли получите сертификаты, установленные на удаленных компьютерах, а затем протестируйте L2TP/IPSec шлюз-шлюз VPN. Увидимся на следующей неделе! – Том.