Настройка VPN-доступа в среде Back-to-Back ISA Server

Настройка ISA Server 2000: Создание брандмауэров для Windows 2000

Деб и Том Шиндер

Amazon.com

За последние пару лет VPN стали предметом растущего интереса. Однако, после трагических событий в Нью-Йорке в сентябре 2001 года, эта тема накалилась докрасна. Почему? Бизнес-менеджеры и сетевые менеджеры теперь лучше понимают, что самым слабым звеном в любой структуре, будь то сеть или бизнес, является слишком высокий уровень централизации. Распределенные системы обладают высокой отказоустойчивостью и их трудно вывести из строя, в то время как централизованные системы можно поставить на колени одним ударом.

Виртуальные частные сети позволяют распределять корпоративную рабочую силу по всему миру и при этом оставаться на связи с корпоративной сетью. Экономия на хорошо спроектированном VPN-решении может быть огромной. Благодаря хорошо разработанному и внедренному VPN-решению компаниям не нужно выкладывать огромные суммы денег за офисные помещения в очень дорогих местах в центре города для каждого сотрудника. Лучшие и наиболее продуктивные сотрудники могут выполнять свою работу дома быстрее и эффективнее, чем когда-либо в напряженной и социально дезорганизованной офисной среде.

К счастью, для нас, администраторов ISA Server, ISA Server может справиться с задачей управления сетевыми соединениями VPN. Мастера VPN, входящие в состав ISA Server, упрощают настройку VPN-сервера. Мастер выполняет работу по настройке фильтров пакетов и службы маршрутизации и удаленного доступа (RRAS) за вас. Может потребоваться всего пара настроек RRAS, и все готово к работе.

Одна из проблем с VPN, которая, кажется, беспокоит многих посетителей нашего сайта www.isaserver.org, заключается в том, как разрешить VPN-клиентам из внешней сети доступ к внутренней сети. В этой статье мы рассмотрим эту проблему и рассмотрим следующие вопросы:

Как вы увидите, разрешить вашим VPN-клиентам из внешней сети доступ к вашей внутренней сети через параллельную конфигурацию ISA Server довольно просто; раз знаешь как.

Настройка внутреннего ISA-сервера

В конфигурации с ISA-сервером «спина к спине» ISA-сервер с интерфейсом в DMZ и интерфейсом во внутренней корпоративной сети считается внутренним ISA-сервером. Этот ISA-сервер будет выступать в качестве конечной точки для конечного VPN-канала для VPN-клиентов внешней сети и предоставлять им доступ к ресурсам внутренней сети.

Конфигурация интерфейса проста:

Внутренний интерфейс:

IP-адрес: действительный адрес в сегменте сети, к которому подключен интерфейс.

Маска подсети: маска, подходящая для сегмента сети, к которому подключен интерфейс.

Шлюз по умолчанию: НЕТ!

DNS-сервер: адрес DNS-сервера во внутренней сети.

WINS-сервер: адрес WINS-сервера во внутренней сети.

Примечание. Адаптер будет динамически регистрироваться на внутреннем DNS-сервере.

NetBIOS через TCP/IP включен

Внешний интерфейс:

IP-адрес: действительный адрес в сегменте сети, к которому подключен интерфейс.

Маска подсети: маска, подходящая для сегмента сети, к которому подключен интерфейс.

Шлюз по умолчанию: IP-адрес внутреннего интерфейса внешнего ISA-сервера.

DNS-сервер: адрес DNS-сервера во внутренней сети.

WINS-сервер: НЕТ!

Примечание. Адаптер НЕ будет динамически регистрироваться на внутреннем DNS-сервере.

NetBIOS через TCP/IP отключен

Хотя конфигурация интерфейса проста, вам необходимо подготовить сеть для поддержки серверов и клиентов VPN. Я рекомендую вам установить один или несколько DNS-серверов во внутренней сети, которые могут разрешать имена хостов в Интернете. Это может быть достигнуто путем обеспечения того, чтобы файл Root Hints был загружен на DNS-сервере, и чтобы на ISA-серверах на пути к Интернету были включены политики доступа, чтобы DNS-сервер имел доступ как к TCP-, так и к UDP-порту 53 для исходящего трафика. У Джима Харрисона есть несколько отличных статей в Learning Zone, которые помогут вам в настройке сети. Кроме того, ознакомьтесь с моей статьей о простой работе с ISA Server.

Примечание:

Я рекомендую вам отключить рекурсию на DNS-серверах вашей внутренней сети и вместо этого настроить DNS-серверы на использование DNS-сервера вашего интернет-провайдера в качестве сервера пересылки. Причина этого в том, что DNS-серверы вашего интернет-провайдера имеют гораздо больший кэш, чем ваш собственный DNS-сервер. Использование DNS-сервера вашего интернет-провайдера значительно улучшит производительность DNS-запросов.

Хотя во многих текстах и советах говорится, что вам не нужен WINS-сервер во внутренней сети, вы, вероятно, захотите установить его и настроить свои серверы в качестве WINS-клиентов, если хотите поддерживать службу браузера для своих VPN-клиентов.. Однако, если вам не нужно поддерживать ужасную службу браузера для ваших VPN-клиентов, то нет веских причин устанавливать сервер WINS во внутренней сети (за исключением того, что у вас есть приложения или службы, зависящие от NetBIOS).

В рассматриваемой нами среде внутренний ISA Server является членом домена Windows 2000 внутренней сети. Мы не будем рассматривать вопросы, связанные с превращением внутреннего ISA-сервера в контроллер домена, потому что предполагается, что если вы потратили время и деньги на сборку конфигурации ISA-сервера вплотную, то вы не хотите испортить свою конфигурацию, сделать внутренний ISA Server контроллером домена. Если вы хотите узнать больше о настройке ISA Server в качестве контроллера домена, ознакомьтесь с этой статьей.

Настройка VPN-сервера

ISA Server упрощает настройку VPN-сервера. Просто выполните следующие шаги:

1. Откройте консоль управления ISA и перейдите к узлу Network Configuration.

2. Щелкните правой кнопкой мыши узел «Конфигурация сети» и выберите «Все подключения VPN-клиентов».

3. Появится окно Добро пожаловать в мастер настройки виртуальной частной сети ISA. Нажмите «Далее».

4. На странице Completing the ISA VPN Server Configuration Wizard нажмите кнопку Details и прочитайте, что мастер сделает с вашей машиной. Прочитав подробности, нажмите «Назад». Затем нажмите кнопку Готово.

5. Если RRAS еще не запущен, мастер запустит сервер за вас. Он также настроит фильтры пакетов, чтобы разрешить входящие соединения PPTP и L2TP/IPSec.

Вот и все! Мастер быстро и безболезненно настроил и RRAS, и ISA Server, чтобы разрешить входящие вызовы VPN. Однако ваша работа не полностью завершена с точки зрения VPN/RRAS. Хотя мастер выполняет замечательную работу, он может не все сделать правильно или так, как вы хотите, когда дело доходит до настройки VPN-сервера. Вы должны перейти в консоль RRAS и проверить свою конфигурацию. Если вам нужна помощь, посетите http://www.isaserver.org/shinder/tutorials/configuring_ISA_for_inbound_VPN.htm.

Еще одна вещь, которую вы, возможно, захотите сделать, это настроить правило публикации DNS-сервера на внутреннем ISA-сервере, если вы хотите, чтобы хосты DMZ использовали DNS-сервер в вашей внутренней сети. Этого не требуется для конфигурации VPN с параллельным подключением ISA Server, но об этом следует подумать.

Еще одним важным соображением является то, как вы настраиваете разрешения на удаленный доступ для вашего VPN-сервера. Будет ли доступ контролироваться политикой или конфигурацией учетной записи? Если у вас есть домен Active Directory смешанного режима, у вас нет возможности разрешить доступ с помощью политики, и вы должны настроить учетные записи, чтобы получить доступ. Если у вас есть домен основного режима, вы можете использовать политику RRAS для управления доступом. Помните, что единственная причина запуска в смешанном режиме — это наличие в вашем домене Windows NT 4.0 BDC. Если вы этого не сделаете, немедленно переключитесь в собственный режим!

Настройка внешнего ISA-сервера

ISA-сервер, который взаимодействует с ненадежной сетью (Интернетом) и сегментом DMZ, является внешним ISA-сервером. Внешний ISA-сервер является первой точкой атаки для злоумышленников из Интернета, как и для всех остальных. Эта машина должна быть настроена либо как автономный сервер в рабочей группе, либо как член домена, доступного из сегмента DMZ. Вы хотите, чтобы эта машина не имела ничего общего со средой аутентификации для вашей внутренней сети.

Как и для внутреннего ISA-сервера, настройка интерфейса проста:

Внутренний интерфейс:

IP-адрес: адрес действителен в сегменте DMZ.

Маска подсети: маска, подходящая для сегмента DMZ.

Шлюз по умолчанию: НЕТ!

DNS-сервер: переменная

WINS-сервер: переменная

Примечание. Адаптер НЕ будет динамически регистрироваться на DNS-сервере.

NetBIOS через TCP/IP включен или отключен — зависит от требований

Внешний интерфейс:

IP-адрес: согласно вашему провайдеру

Маска подсети: согласно вашему провайдеру.

Шлюз по умолчанию: назначается вашим интернет-провайдером или маршрутизатором, подключенным к Интернету.

DNS-сервер: адрес DNS-сервера вашего интернет-провайдера.

WINS-сервер: НЕТ!

Примечание. Адаптер НЕ будет динамически регистрироваться на внутреннем DNS-сервере.

NetBIOS через TCP/IP отключен

Обратите внимание, что некоторые параметры внутреннего интерфейса внешнего ISA Server являются переменными. Причина этого в том, что у вас может быть или не быть выделенной схемы разрешения имен, которую вы используете для своего сегмента DMZ. Если у вас есть общедоступный DNS-сервер, велика вероятность, что вы используете DNS-сервер в демилитаризованной зоне. Если это так, вы можете включить адрес этого DNS-сервера во внутренний интерфейс ISA-сервера. Если вы размещаете общедоступные службы DNS во внутренней сети, введите адрес IP-адреса внешнего интерфейса на внутреннем ISA-сервере. Интерфейс NetBIOS обычно должен быть отключен на обоих интерфейсах внешнего ISA Server. Однако, если вам требуется общий доступ к файлам и принтерам, а также клиент Microsoft на внутреннем интерфейсе, вам придется оставить это включенным. Я рекомендую отключить его, чтобы защитить внешний ISA-сервер.

Примечание:

Имейте в виду, что когда пользователь подключается к внешнему ISA-серверу через VPN, это использование будет напрямую подключено к вашему сегменту DMZ. Вы хотите убедиться, что у пользователя нет разрешений на доступ к чему-либо в сегменте DMZ с использованием учетных данных, предоставленных VPN-клиентом. Создайте группу на внешнем ISA Server с очень ограниченными правами доступа.

Примечания по настройке VPN-сервера

Вы можете прочитать подробности о том, как настроить VPN-сервер по ссылке вверху этой статьи, но я думаю, что есть некоторые вещи, на которые стоит обратить внимание. Во-первых, убедитесь, что вы настроили диапазон IP-адресов для использования VPN-клиентами на внешнем ISA-сервере. Очень маловероятно, что в сегменте DMZ будет DHCP-сервер, поэтому вам необходимо создать пул адресов для VPN-клиентов. Внутренний сервер ISA/VPN может назначать адреса, полученные от DHCP-сервера, так как вполне вероятно, что вы будете использовать DHCP во внутренней сети.

У вас есть возможность оставить параметр «назначать через DHCP» без изменений. Если у вас нет DHCP-сервера, клиентам VPN будут назначены адреса автосети в диапазоне 169.254.0.0/16. Однако это может испортить вашу конфигурацию маршрутизации, особенно когда клиенты создают соединение с внутренним ISA Server. Я рекомендую вам не зависеть от адресов автосети.

Если вы хотите использовать L2TP/IPSec, все машины, участвующие в VPN-канале, должны иметь сертификат машины, которому доверяют обе машины. Самый простой способ сделать это — включить все машины в один и тот же домен и настроить групповую политику, которая автоматически регистрирует членов домена и назначает им сертификат машины.

Если у вас есть компьютеры, не являющиеся членами домена (например, ноутбуки), им можно назначить сертификаты компьютеров, используя интерфейс веб-браузера для сервера сертификатов Microsoft. Когда вы устанавливаете сервер сертификатов Microsoft, убедитесь, что вы устанавливаете его как автономный корневой сервер, иначе у вас не будет возможности использовать браузер для назначения сертификатов клиентских компьютеров.

Конечно, у вас всегда есть возможность использовать ^{сторонний} клиентский сертификат. Вы можете установить ^{сторонние} сертификаты на клиентах, используя метод, описанный поставщиком.

Примечание:

Серверы PPTP VPN не требуют сертификатов, но есть важные параметры конфигурации, касающиеся аутентификации. Для обеспечения высокого уровня безопасности следует включить только протоколы EAP/TLS и Microsoft CHAP v2. Это может создать проблемы с вашими клиентами Windows нижнего уровня, поэтому обязательно проверьте наличие последних обновлений DUN для ваших клиентов Windows нижнего уровня. Кроме того, имейте в виду, что ни один клиент Windows, кроме Windows 2000 и Windows XP, не может использовать L2TP/IPSec.

Настройка клиентских подключений

Когда вы настраиваете подключения VPN-клиента, помните о том, чего вы пытаетесь достичь. Цель состоит в том, чтобы создать сквозной канал VPN. Первое подключение к внешнему серверу ISA/VPN, а второе подключение проходит через первое подключение VPN для создания ссылки на внутренний сервер VPN. Вот почему это называется сквозной VPN-связью!

Перейдите на клиентский компьютер VPN, чтобы создать первую ссылку (в этом примере используется клиент Windows 2000):

1. Щелкните правой кнопкой мыши значок «Мое сетевое окружение» на рабочем столе и выберите «Свойства».

2. В окне «Сетевые и коммутируемые подключения» дважды щелкните значок «Создать новое подключение».

3. Нажмите «Далее» на странице «Добро пожаловать в мастер сетевых подключений».

4. На странице Тип сетевого подключения выберите параметр Подключиться к частной сети через Интернет. Нажмите «Далее».

5. На странице Общедоступная сеть выберите соответствующий параметр для вашей среды. Если клиент использует постоянно активную прямую связь с Интернетом, используйте параметр Не набирать исходное соединение. Если клиенту необходимо установить модемное коммутируемое соединение, выберите параметр Автоматически набирать это начальное соединение и выберите коннектоид DUN интернет-провайдера/модема из списка. В этом примере клиент напрямую подключен к Интернету. Нажмите «Далее».

6. На странице Адрес назначения введите полное доменное имя или IP-адрес внешнего интерфейса внешнего ISA-сервера. Нажмите «Далее». (обратите внимание, что в этом примере я использую частный адрес только в демонстрационных целях. Вы будете использовать общедоступный адрес в своей производственной среде).

7. На странице «Доступность подключения» выберите параметр, который лучше всего подходит для вашей среды безопасности. Я всегда использую Только для себя из соображений безопасности. Нажмите «Далее».

8. На странице «Завершение работы мастера сетевого подключения» укажите имя подключения. В этом примере мы назовем его VPNEXTERNAL.

Теперь давайте настроим вторую ссылку VPN, которая соединяет клиента с внутренним сервером VPN:

1. Щелкните правой кнопкой мыши значок «Мое сетевое окружение» на рабочем столе и выберите «Свойства».

2. В окне «Сетевые и коммутируемые подключения» дважды щелкните значок «Создать новое подключение».

3. Нажмите «Далее» на странице «Добро пожаловать в мастер сетевых подключений».

4. На странице Тип сетевого подключения выберите параметр Подключиться к частной сети через Интернет. Нажмите «Далее».

5. На странице Public Network выберите Automatically dial this initial connection и выберите имя коннектоида DUN, используемого для подключения к внешнему серверу ISA/VPN. Нажмите «Далее».

6. На странице Адрес назначения введите IP-адрес внешнего интерфейса внутреннего ISA-сервера. Нажмите «Далее». (Обратите внимание, что в этом примере я использую частный адрес, потому что DMZ — это сегмент DMZ с частным адресом. Хотя у вас есть возможность создать сегмент DMZ с публичным адресом во взаимной конфигурации, DMZ с публичным адресом не являются предпочтительными. для поддержки конфигурации DMZ с использованием двух серверов ISA).

7. На странице «Доступность подключения» выберите параметр, который лучше всего подходит для вашей среды безопасности. Я всегда использую Только для себя из соображений безопасности. Нажмите «Далее».

8. На странице «Завершение работы мастера сетевого подключения» укажите имя подключения. В этом примере мы назовем его VPNINTERNAL.

Вот и все! Вы увидите свои ссылки в окне «Сетевые и удаленные подключения».

Дважды щелкните ссылку VPNINTERNAL. В диалоговом окне «Подключение» нажмите «Подключить». После того, как вы установите первое соединение, вы увидите диалоговое окно для второго соединения VPN. Нажмите введите соответствующие учетные данные и нажмите Подключить.

После того, как вторая ссылка VPN будет установлена, вы будете проинформированы об успехе:

Вы можете зайти в консоли RRAS обеих машин ISA/VPN и посмотреть соединения:

VPNВНЕШНЯЯ консоль RRAS

VPN ВНУТРЕННЯЯ Консоль RRAS

Вы заметите, что здесь у нас есть соединения L2TP/IPSec. VPN-сервер всегда согласовывает с VPN-клиентом тип создаваемой VPN-ссылки. Предпочтительно используется L2TP/IPSec, но если такую ссылку создать невозможно, вместо нее будет использоваться PPTP.

В Windows 2000 вы можете выполнять очень грубый мониторинг соединений L2TP/IPSec с помощью консоли ipsecmon. В команде «Выполнить» введите ipsecmon и нажмите «ОК». Вы увидите, что ваши подключения появятся в консоли. Обратите внимание, что используемая политика является политикой L2TP/IPSec по умолчанию. Эта политика создается автоматически, и вы не можете просмотреть ее в консоли MMC политик IPSec. Есть несколько приемов, которые можно использовать для создания других политик IPSec, но мы обсудим их в другой раз J.

Примечания по настройке VPN-клиента

Хотя настроить соединения VPN-клиентов несложно, с этими соединениями возникают некоторые проблемы, о которых вам следует знать. Самая большая проблема, с которой вы столкнетесь, — это ужасная служба браузера. Эта служба позволяет пользователям просматривать внутренние сетевые ресурсы с помощью апплета My Network Places.

Если клиентский компьютер VPN не является членом домена внутренней сети, вы можете забыть о появлении домена в списке просмотра. Я пробовал все возможные способы, включая серверы WINS и записи LMHOSTS с записью dom:domainname, но это просто не работает! Это довольно странно, потому что VPN-клиенту будет назначен адрес WINS-сервера для запроса сегмента и главного браузера домена, поэтому он должен работать. Вы можете подтвердить назначение WINS-сервера, выполнив команду ipconfig /all на клиенте после установления связи.

Вы увидите, что домен появится в списке просмотра, если вы настроите клиент как член домена. Однако, чтобы это работало, вы должны войти в домен. Пользователям необходимо выбрать параметр «Вход в систему с использованием коммутируемого подключения »:

После того, как они нажмут OK, им нужно выбрать ссылку, используемую для подключения к внутренней сети. Они увидят следующее, и им нужно выбрать коннектоид DUN, который ссылается на внутренний VPN-сервер:

У пользователя запрашиваются учетные данные. Они должны ввести учетные данные для подключения и нажать «Подключиться». Вы можете упростить эту задачу, если машина запомнит учетные данные. У них во второй или третий раз будут запрошены учетные данные, в зависимости от того, нужно ли им установить коммутируемое соединение со своим интернет-провайдером. Как только связь с внутренним сервером ISA/VPN будет установлена, они войдут в систему и получат доступ к рабочему столу.

Как бы вы ни обрезали, доступ к ресурсам через службу браузера будет медленным. Если есть способ оптимизировать эту услугу, это вне меня. Однако это не так уж и плохо, потому что служба браузера может представлять огромную угрозу безопасности, поскольку позволяет любому искать «интересные вещи» в вашей внутренней сети. Лучше всего отключить службу браузера, если вы можете, и заставить пользователей подключаться к ресурсам, используя путь UNC.

Вывод

Настройка параллельного сервера ISA/VPN относительно проста, если вы выполните все шаги. Самые большие проблемы связаны с назначением сертификатов и службой браузера. Процесс назначения сертификата может быть решен, но, похоже, нет никаких исправлений для проблем с производительностью службы браузера. Как и в случае любого развертывания VPN, убедитесь, что у вас есть инфраструктура маршрутизации, конфигурации WINS и DNS и они работают , прежде чем приступать к настройке VPN. Если вы считаете, что инфраструктура разрешения и маршрутизации не работает, у вас будет много необъяснимых проблем, которые будет трудно устранить, и мы с Джимом посоветуем вам исправить это в первую очередь J.

Для получения более подробной информации о настройке ISA Server обязательно ознакомьтесь с Learning Zone. Кроме того, вы должны получить книгу! Спасибо! -Том.