Настройка L2TP/IPSec VPN между шлюзами. Часть 2. Создание шлюзов
В части 1 этой серии, посвященной настройке шлюза L2TP/IPSec для шлюза VPN, мы рассмотрели, как настроить инфраструктуру сертификатов и назначить сертификаты компьютеров в локальной сети. На этой неделе мы завершим настройку VPN от шлюза к шлюзу. В этой статье мы рассмотрим следующие шаги: После завершения этой серии статей о создании шлюза для шлюза L2TP/IPSec VPN у вас больше не будет оправдания для использования шлюзов PPTP! Давайте приступим к делу. | Настройка ISA Server 2000: Создание брандмауэров для Windows 2000 Деб и Том Шиндер Amazon.com |
Давайте установим ISA Server на компьютерах INTERNALVPN и EXTERNALVPN. Настройка не требует ничего особенного. Как всегда убедитесь, что вы правильно настроили LAT! Выполните следующие шаги на машинах INTERNALVPN и EXTERNALVPN:
ВНУТРЕННИЙVPN ВНЕШНИЙLVPN
Запуск локальных и удаленных мастеров VPN Одной из замечательных возможностей ISA Server является Мастер VPN. На самом деле существует три Мастера VPN. Они позволяют автоматически включать: Мастера VPN упрощают сложные конфигурации, выполняемые в консоли RRAS. Все, что вам нужно сделать, это выполнить шаги, представленные Мастером, правильно ответить на вопросы, и все готово. Если у вас сложная VPN-сеть, например ячеистая или концентрирующая VPN-сеть, нет проблем! Просто запустите мастер еще раз, и он заработает. ПРИМЕЧАНИЕ: ЧТО ЗНАЧИТ ЛОКАЛЬНЫЙ И УДАЛЕННЫЙ? Локальная и удаленная терминология не сразу очевидна. ЛОКАЛЬНЫЙ VPN — это сервер, который принимает вызовы от УДАЛЕННЫХ серверов VPN. Настройка по умолчанию в мастере позволяет удаленным VPN-серверам инициировать соединение по требованию с ЛОКАЛЬНЫМ VPN-сервером, но не наоборот. Однако у вас есть возможность разрешить как ЛОКАЛЬНОМУ, так и УДАЛЕННОМУ VPN-серверам инициировать соединения по запросу друг с другом. В большинстве корпоративных сетей это не требуется, поскольку на удаленных сайтах не так много важных для бизнеса приложений или файлов. Однако в этой лабораторной работе мы рассмотрим, как создать двунаправленный интерфейс вызова по требованию, чтобы вы знали, как работает конфигурация. Давайте запачкаем руки мастерами ЛОКАЛЬНОЙ и УДАЛЕННОЙ VPN. Начнем с мастера LOCAL VPN, выполнив следующие действия на компьютере INTERNALVPN:
Идентификация подключения к виртуальной частной сети (VPN) ISA Server: INTVPN_EXTVPN будет создан на этом маршрутизаторе. EXTVPN_INTVPN будет записан в файл. Тип протокола VPN: Используйте L2TP через IPSec, если доступно. В противном случае используйте PPTP. Адрес назначения удаленного компьютера с ISA Server: 192.168.1.126 Учетные данные исходящего вызова, используемые для подключения к удаленному компьютеру с ISA Server: Учетная запись пользователя: EXTVPN_INTVPN. Доменное имя: EXTERNALVPN. Диапазон IP-адресов удаленной сети: 172.16.0.0 — 172.31.255.255. Конфигурация удаленного компьютера ISA: IP-адрес этой машины: 192.168.1.125. Диапазон IP-адресов локальной сети: 10.0.0.0 – 10.0.0.255. 10.255.255.255 – 10.255.255.255. Файл конфигурации, созданный для удаленного компьютера с ISA Server: a:localremote.vpc Учетные данные для подключения созданы: На этом компьютере была создана учетная запись пользователя INTVPN_EXTVPN с бессрочным паролем. Примечание: Для учетной записи пользователя был сгенерирован надежный пароль. Изменения, внесенные в пароль, необходимо будет применить к учетным данным удаленного компьютера для набора номера по запросу.
Теперь у вас есть желанный файл .vpc, который вы можете использовать для настройки VPN-сервера удаленного офиса. Давайте возьмем дискету, посетим удаленный ISA/VPN-сервер EXTERNALVPN и запустим мастер удаленного VPN. Выполните следующие шаги на компьютере EXTERNALVPN.
Конфигурация считывается из файла: Идентификация подключения к виртуальной частной сети (VPN) ISA Server: EXTVPN_INTVPN будет создан на этом маршрутизаторе. Адрес назначения удаленного компьютера с ISA Server: 192.168.1.125 Учетные данные для подключения созданы: На этом компьютере была создана учетная запись пользователя INTVPN_EXTVPN с бессрочным паролем. Примечание: Для учетной записи пользователя был сгенерирован надежный пароль. Изменения, внесенные в пароль, необходимо будет применить к учетным данным удаленного компьютера для набора номера по запросу. Учетные данные исходящего вызова, используемые для подключения к удаленному компьютеру с ISA Server: Учетная запись пользователя: INTVPN_EXTVPN. Доменное имя: INTERNALVPN. Тип протокола VPN: Используйте L2TP через IPSec, если доступно. В противном случае используйте PPTP. Подсети, доступные для удаленной сети: IP: 10.0.0.0, Маска: 255.255.255.0, Метрика: 1 IP: 10.255.255.255, Маска: 255.255.255.255, Метрика: 1
Нам нужно сделать еще одну вещь. Мастер автоматически настраивает интерфейс вызова по требованию VPN. Но Волшебник делает мощное предположение. Это предположение состоит в том, что у нас есть DHCP-сервер в каждой сети, который может выдавать IP-адреса для вызывающего VPN-шлюза. Может быть, мы делаем, может быть, мы не делаем. В этой лаборатории нет. Поэтому нам нужно настроить конфигурацию VPN, чтобы использовать статический пул IP-адресов, а не DHCP. ПРИМЕЧАНИЕ. КОНФИГУРАЦИЯ LAT И КЛИЕНТЫ БРАНДМАУЭРА Если вы собираетесь использовать клиенты брандмауэра в своей сети, вам необходимо настроить LAT для включения диапазонов IP-адресов во всех сетях, подключенных через интерфейс VPN. Причина этого в том, что программное обеспечение клиента брандмауэра будет оценивать запрос относительно LAT, чтобы определить, следует ли отправлять запросы службе брандмауэра или шлюзу по умолчанию. Если пункт назначения находится в LAT, пакет будет отправлен на шлюз по умолчанию, настроенный на клиентском компьютере брандмауэра. Это означает, что если вы собираетесь соединять сети через VPN-решение от шлюза к шлюзу, вы должны настроить все машины с адресом шлюза, который направляет пакеты для удаленной сети VPN через внутренний интерфейс ISA Server. Если у вас есть промежуточные маршрутизаторы, убедитесь, что они запрограммированы для поддержки конфигурации VPN между шлюзами. Выполните следующие шаги как для EXTERNALVPN, так и для INTERNALVPN:
ВНУТРЕННИЙVPN ВНЕШНИЙLVPN
ХОРОШО! Теперь мы все настроены для запуска PPTP VPN-соединения. Установите соединение PPTP VPN и получите сертификаты Теперь конфигурация настроена для поддержки подключений PPTP VPN. Мы не сможем настроить соединение L2TP/IPSec VPN, пока не получим сертификаты для машины EXTERNALVPN. Выполните следующие действия на компьютере CLIENTDC.
Теперь, когда у нас есть соединение PPTP VPN, мы можем получить сертификаты для компьютеров EXTERNALVPN и EXTERNALSVR. Процедуры такие же, как те, которые мы выполнили в части 1 этой статьи. Выполните следующие действия на компьютерах EXTERNALVPN и EXTERNALSVR.
ПРИМЕЧАНИЕ. Разрешение имени После создания и настройки инфраструктуры DNS вам не нужно будет использовать IP-адреса для подключения к компьютерам в удаленной сети. В этой лабораторной работе мы не настроили DNS-сервер на компьютере INTERNALSRV для разрешения имен в удаленной сети. Если бы мы настроили DNS, мы могли бы использовать имя хоста удаленной машины, а не ее IP-адрес.
EXTERNALVPN – верхняя половина
EXTERNALVPN – средняя половина
EXTERNALSRV – верхняя половина
EXTERNALSRV – средняя половина
Теперь сертификат есть у каждого. Перезапустите оба VPN-сервера. (не требуется) Установите соединение L2TP/IPSec Мы хотим форсировать L2TP/IPSec через шлюзы. Нет необходимости поддерживать PPTP, поскольку нам не нужны VPN-клиенты для вызова через интерфейсы шлюза VPN. Вы по-прежнему можете настроить серверы ISA/VPN для приема PPTP-соединений от вызывающих абонентов VPN-клиентов, если хотите. Выполните следующие шаги, чтобы принудительно использовать L2TP/IPSec через интерфейсы шлюза VPN. Сделайте это на обоих компьютерах INTERNALVPN и EXTERNALVPN:
Примечания к требованиям сертификата Сертификаты необходимы для работы всего этого L2TP/IPSec. Вопрос, который я задал в первой части этой статьи, заключался в том, какие типы сертификатов требуются. Я собирался рассказать вам о процессе тестирования различных типов сертификатов, но статья стала немного длинной, поэтому я решил не затрагивать эту тему. Как вы видите из того, что мы сделали до сих пор, наличие сертификата сервера на каждом VPN-сервере (и любом другом сервере), кажется, помогает. Однако чего я не могу сказать вам сейчас, так это того, как вы «должны» это делать. Прямо сейчас я вроде дури с сертификатами, но я работаю над этим. Дай мне еще месяц, и я дам тебе исчерпывающие ответы! Я обновлю эту статью и, возможно, напишу еще одну на основе того, что я узнал о сертификатах Microsoft и PKI в целом в следующем месяце. Если у вас есть какие-то знания в этой области, я был бы рад узнать от вас! Помогите мне и другим участникам ISAserver.org, написав мне на [email protected] и помогите мне узнать, «с какого конца ест». Примечания о VPN и политике L2TP/IPSec по умолчанию Эта установка с помощью Wizards и Windows 2000/ISA Server на каждом конце проста. Однако если вам нужно создать настройки VPN от шлюза к шлюзу с помощью сторонних продуктов, вы можете столкнуться с некоторыми проблемами. Несмотря на то, что протоколы являются открытыми стандартами, их реализации различаются. Чаще всего камнем преткновения является разница в политиках IPSec между сервером ISA/VPN и черным ящиком, к которому вы подключаетесь. Windows 2000 RRAS назначает политику IPSec по умолчанию для соединений L2TP/IPSec. Вы не можете увидеть эту политику в локальных политиках безопасности. или консоли IPSec. Вы можете добиться большего успеха, если измените политику L2TP IPSec по умолчанию на политику, которая соответствует той, которая используется в вашем черном ящике. Ждите следующей статьи на эту тему! Вывод Конфигурирование шлюза L2TP/IPSec для VPN-решения легко выполняется с помощью Windows 2000/ISA Server. Волшебники делают большую часть тяжелой работы. Однако вы не сможете заставить его работать, если все стороны, участвующие в создании ссылки, не имеют соответствующих сертификатов. В этой статье мы рассмотрели процедуру, необходимую для настройки L2TP/IPSec между шлюзами. |