Настройка VPN L2TP/IPSec от шлюза к шлюзу. Часть 2. Настройка инфраструктуры
Деб и Том Шиндер
Amazon.com
В части 1 этой серии, посвященной настройке шлюза L2TP/IPSec для шлюза VPN, мы рассмотрели, как настроить инфраструктуру сертификатов и назначить сертификаты компьютеров в локальной сети. На этой неделе мы завершим настройку VPN от шлюза к шлюзу.
В этой статье мы рассмотрим следующие шаги:
После завершения этой серии статей о создании шлюза для шлюза L2TP/IPSec VPN у вас больше не будет оправдания для использования шлюзов PPTP! Давайте перейдем к этому.
Установка ISA Server на шлюзы
Давайте установим ISA Server на компьютерах INTERNALVPN и EXTERNALVPN. Настройка не требует ничего особенного. Как всегда убедитесь, что вы правильно настроили LAT!
Выполните следующие шаги на машинах INTERNALVPN и EXTERNALVPN:
- Вставьте компакт-диск ISA Server и дождитесь запуска автозапуска или щелкните программу ISAAutorun.exe на компакт-диске ISA Server.
- Нажмите «Установить ISA-сервер ».
- На странице приветствия нажмите Продолжить.
- Введите ключ компакт-диска и нажмите OK.
- Нажмите OK на странице идентификатора продукта.
- Нажмите «Принимаю» на странице лицензионного соглашения.
- Щелкните Полная установка на странице типа установки.
- Нажмите «Да» на «Я не могу найти объекты схемы ISA Server на странице Active Directory».
- Выберите Интегрированный режим и нажмите Продолжить на странице режима ISA Server.
- Нажмите OK на странице «Я собираюсь остановить IIS».
- Нажмите «Установить», а затем нажмите «ОК» на странице размера и расположения кэша.
- Нажмите кнопку Construct на странице конфигурации LAT.
- Настройте LAT для использования диапазонов адресов, определенных таблицей маршрутизации. Снимите флажок Добавить следующие частные диапазоны. Установите флажок Добавить диапазоны адресов на основе таблицы маршрутизации Windows 2000. Выберите внутренний адаптер для каждой машины, как показано на рисунках ниже. Нажмите ОК.
- Нажмите OK в диалоговом окне Setup Message, информирующем о создании LAT.
- Нажмите OK на странице построения LAT.
- Нажмите OK в диалоговом окне Launch ISA Management Tool.
- Нажмите OK, чтобы подтвердить, что ISA Server был успешно установлен.
- Откроется консоль управления ISA. Быстрый! Измените представление на Расширенный, чтобы вы действительно могли выполнить некоторую работу.
- Перезапустите оба сервера.
Запуск локальных и удаленных мастеров VPN
Одной из замечательных возможностей ISA Server является Мастер VPN. На самом деле существует три Мастера VPN. Они позволяют автоматически включать:
Мастера VPN упрощают сложные конфигурации, выполняемые в консоли RRAS. Все, что вам нужно сделать, это выполнить шаги, представленные Мастером, правильно ответить на вопросы, и все готово. Если у вас сложная VPN-сеть, например ячеистая или концентрирующая VPN-сеть, нет проблем! Просто запустите мастер еще раз, и все заработает.
ПРИМЕЧАНИЕ: ЧТО ЗНАЧИТ ЛОКАЛЬНЫЙ И УДАЛЕННЫЙ?
Локальная и удаленная терминология не сразу очевидна. ЛОКАЛЬНЫЙ VPN — это сервер, который принимает вызовы от УДАЛЕННЫХ серверов VPN. Настройка по умолчанию в Мастере позволяет удаленным VPN-серверам инициировать соединение по требованию с ЛОКАЛЬНЫМ VPN-сервером, но не наоборот. Однако у вас есть возможность разрешить как ЛОКАЛЬНОМУ, так и УДАЛЕННОМУ VPN-серверам инициировать соединения по запросу друг с другом. В большинстве корпоративных сетей это не требуется, потому что на удаленных площадках не так много важных для бизнеса приложений или файлов. Однако в этой лабораторной работе мы рассмотрим, как создать двунаправленный интерфейс вызова по требованию, чтобы вы знали, как работает конфигурация.
Давайте запачкаем руки мастерами ЛОКАЛЬНОЙ и УДАЛЕННОЙ VPN.
Давайте начнем с мастера LOCAL VPN, выполнив следующие действия на компьютере INTERNALVPN:
- Откройте консоль управления ISA.
- Разверните имя своего сервера и щелкните правой кнопкой мыши узел «Конфигурация сети». Нажмите «Настроить локальный сервер ISA VPN».
- Нажмите «Далее» на странице «Добро пожаловать в мастер настройки VPN локального ISA Server».
- Щелкните Да, чтобы мастер мог запустить RRAS.
- Введите имена для локальной и удаленной сетей, как показано на рисунке ниже. Нажмите «Далее».
- Вы получите сообщение об ошибке, информирующее вас о том, что имя слишком длинное. Обратите внимание, что в диалоговом окне ошибки не сообщается, какой длины было ваше имя! Документации об ошибке нет нигде, кроме как в моей книге. Нажмите ОК.
- Переименуйте локальную и удаленную сети, как показано на рисунке ниже. Краткое имя для локальной сети должно быть INTVPN, а короткое имя для внешней сети должно быть EXTVPN. Нажмите «Далее».
- На странице протокола ISA Virtual Private Network (VPN) выберите Use L2TP/IPSec, если доступно. В противном случае используйте опцию PPTP и нажмите «Далее».
- На странице «Двусторонняя связь» установите флажок «И локальный, и удаленный компьютеры ISA VPN могут инициировать связь» и заполните текстовые поля, как показано на рисунке ниже. В текстовом поле Введите полное доменное имя или IP-адрес удаленного компьютера VPN введите 192.168.1.126. В текстовом поле Введите имя удаленного компьютера VPN или имя удаленного домена: введите EXTERNALVPN. Нажмите «Далее».
- На странице Сеть удаленной виртуальной частной сети (VPN) нажмите кнопку Добавить. Введите IP-адреса, как показано на рисунке ниже. В текстовом поле « От» введите 172.16.0.0, а в текстовом поле « Кому» введите 172.31.255.255. Это IP-адреса, с которых вы хотите активировать VPN-подключение по запросу, которое создаст мастер. Нажмите ОК. Затем нажмите «Далее».
- На странице Локальная виртуальная частная сеть (VPN) Сеть убедитесь, что внешний IP-адрес выбран в раскрывающемся списке. (это должно появиться по умолчанию) Убедитесь, что диапазоны IP-адресов для локальной сети включены в список IP-адресов. Нажмите «Далее».
- На странице ISA VPN Computer Configuration File введите имя файла, содержащего информацию о конфигурации, которую вы передадите на удаленный компьютер. Введите пароль и подтвердите пароль. Убедитесь, что вы *не* забыли пароль! Нажмите «Далее».
- На странице «Завершение работы мастера настройки ISA VPN» нажмите кнопку «Подробности». Вы увидите, что следующая информация была добавлена:
Идентификация подключения к виртуальной частной сети (VPN) ISA Server:
INTVPN_EXTVPN будет создан на этом маршрутизаторе.
EXTVPN_INTVPN будет записан в файл.
Тип протокола VPN:
Используйте L2TP через IPSec, если доступно. В противном случае используйте PPTP.
Адрес назначения удаленного компьютера с ISA Server:
192.168.1.126
Учетные данные исходящего вызова, используемые для подключения к удаленному компьютеру, на котором запущен ISA Server:
Учетная запись пользователя: EXTVPN_INTVPN.
Доменное имя: EXTERNALVPN.
Диапазон IP-адресов удаленной сети:
172.16.0.0 — 172.31.255.255.
Конфигурация удаленного компьютера ISA:
IP-адрес этой машины: 192.168.1.125.
Диапазон IP-адресов локальной сети:
10.0.0.0 – 10.0.0.255.
10.255.255.255 – 10.255.255.255.
Файл конфигурации, созданный для удаленного компьютера с ISA Server:
a:localremote.vpc
Учетные данные для подключения созданы:
На этом компьютере была создана учетная запись пользователя INTVPN_EXTVPN с бессрочным паролем.
Примечание:
Для учетной записи пользователя был сгенерирован надежный пароль.
Изменения, внесенные в пароль, необходимо будет применить к учетным данным удаленного компьютера для набора номера по запросу.
- Нажмите «Назад», затем нажмите «Готово».
- Перезагрузите каждый из компьютеров (это делать не обязательно, но после стольких лет с Windows я суеверен)
Теперь у вас есть желанный файл .vpc, который вы можете использовать для настройки VPN-сервера удаленного офиса. Давайте возьмем дискету, посетим удаленный ISA/VPN-сервер EXTERNALVPN и запустим мастер удаленного VPN.
Выполните следующие шаги на компьютере EXTERNALVPN.
- Откройте консоль управления ISA.
- Разверните имя своего сервера и щелкните правой кнопкой мыши узел «Конфигурация сети». Нажмите « Настроить удаленный ISA VPN-сервер ».
- Нажмите «Далее» на странице «Добро пожаловать в мастер настройки VPN удаленного ISA Server ».
- Щелкните Да, чтобы запустить службы маршрутизации и удаленного доступа.
- На странице ISA VPN Computer Configuration File введите путь и имя файла или используйте кнопку Browse. Введите пароль, который вы присвоили файлу. Нажмите «Далее».
- Нажмите кнопку Подробности. Вы увидите, что в компьютер были внесены следующие изменения.
Конфигурация читается из файла:
Идентификация подключения к виртуальной частной сети (VPN) ISA Server:
EXTVPN_INTVPN будет создан на этом маршрутизаторе.
Адрес назначения удаленного компьютера с ISA Server:
192.168.1.125
Учетные данные для подключения созданы:
На этом компьютере была создана учетная запись пользователя INTVPN_EXTVPN с бессрочным паролем.
Примечание:
Для учетной записи пользователя был сгенерирован надежный пароль.
Изменения, внесенные в пароль, необходимо будет применить к учетным данным удаленного компьютера для набора номера по запросу.
Учетные данные исходящего вызова, используемые для подключения к удаленному компьютеру, на котором запущен ISA Server:
Учетная запись пользователя: INTVPN_EXTVPN.
Доменное имя: INTERNALVPN.
Тип протокола VPN:
Используйте L2TP через IPSec, если доступно. В противном случае используйте PPTP.
Подсети, доступные для удаленной сети:
IP: 10.0.0.0, Маска: 255.255.255.0, Метрика: 1
IP: 10.255.255.255, Маска: 255.255.255.255, Метрика: 1
- Нажмите «Назад», а затем нажмите «Готово».
Нам нужно сделать еще одну вещь. Мастер автоматически настраивает интерфейс вызова по требованию VPN. Но Волшебник делает мощное предположение. Это предположение состоит в том, что у нас есть DHCP-сервер в каждой сети, который может выдавать IP-адреса для вызывающего VPN-шлюза. Может быть, мы делаем, может быть, мы не делаем. В этой лаборатории мы этого не делаем. Поэтому нам нужно настроить конфигурацию VPN, чтобы использовать статический пул IP-адресов, а не DHCP.
ПРИМЕЧАНИЕ. КОНФИГУРАЦИЯ LAT И КЛИЕНТЫ БРАНДМАУЭРА
Если вы собираетесь использовать клиенты брандмауэра в своей сети, вам необходимо настроить LAT для включения диапазонов IP-адресов во всех сетях, подключенных через интерфейс VPN. Причина этого в том, что программное обеспечение клиента брандмауэра будет оценивать запрос относительно LAT, чтобы определить, следует ли отправлять запросы службе брандмауэра или шлюзу по умолчанию. Если пункт назначения находится в LAT, пакет будет отправлен на шлюз по умолчанию, настроенный на клиентском компьютере брандмауэра. Это означает, что если вы собираетесь соединять сети через VPN-решение от шлюза к шлюзу, вы должны настроить все машины с адресом шлюза, который направляет пакеты для удаленной сети VPN через внутренний интерфейс ISA Server. Если у вас есть промежуточные маршрутизаторы, убедитесь, что они запрограммированы для поддержки конфигурации VPN от шлюза к шлюзу.
Выполните следующие шаги как для EXTERNALVPN, так и для INTERNALVPN:
- Откройте консоль маршрутизации и удаленного доступа из меню «Администрирование».
- Щелкните правой кнопкой мыши имя вашего сервера и выберите «Свойства».
- Нажмите на вкладку IP. Выберите параметр «Статический пул адресов» и нажмите кнопку «Добавить».
- Сделайте записи на компьютерах INTERNALVPN и EXTERNALVPN, как показано на рисунках ниже. Вы хотите указать диапазоны, действительные для внутренней сети с прямым подключением.
- Убедитесь, что параметр адаптера настроен на использование подключения по локальной сети для серверов имен. Нажмите «Применить», а затем нажмите «ОК».
ХОРОШО! Теперь мы все настроены для запуска PPTP VPN-соединения.
Установите соединение PPTP VPN и получите сертификаты
Теперь конфигурация настроена для поддержки подключений PPTP VPN. Мы не сможем настроить соединение L2TP/IPSec VPN, пока не получим сертификаты для машины EXTERNALVPN.
Выполните следующие действия на компьютере CLIENTDC.
- Откройте окно командной строки.
- В командной строке введите ping -t 172.16.0.2 и нажмите [ENTER]
- Соединение займет несколько секунд, но затем вы должны увидеть ответ.
- Нажмите CTRL-C, чтобы остановить проверку связи.
Теперь, когда у нас есть соединение PPTP VPN, мы можем получить сертификаты для компьютеров EXTERNALVPN и EXTERNALSVR. Процедуры такие же, как те, которые мы выполнили в части 1 этой статьи.
Выполните следующие действия на компьютерах EXTERNALVPN и EXTERNALSVR.
- Откройте браузер и настройте его на использование подключения по локальной сети, как мы это делали в первой части этой статьи.
- В адресной строке Internet Explorer введите http://10.0.0.3/certsrv и нажмите «Перейти».
ПРИМЕЧАНИЕ. Разрешение имени
После создания и настройки инфраструктуры DNS вам не нужно будет использовать IP-адреса для подключения к компьютерам в удаленной сети. В этой лабораторной работе мы не настроили DNS-сервер на компьютере INTERNALSRV для разрешения имен в удаленной сети. Если бы мы настроили DNS, мы могли бы использовать имя хоста удаленной машины, а не ее IP-адрес.
- На странице приветствия выберите «Запросить сертификат» и нажмите «Далее».
- На странице «Тип запроса» выберите «Расширенный запрос» и нажмите «Далее».
- На странице «Расширенные запросы сертификатов» выберите «Отправить запрос сертификата в этот ЦС с помощью формы» и нажмите «Далее».
- Создайте запросы сертификатов на обеих машинах в удаленной сети. На следующих снимках экрана показано, как вводить информацию. Это та же процедура, которую мы прошли в первой части этой статьи.
- Перейдите на компьютер CERTSRV и подтвердите запросы сертификатов, как вы это делали в первой части этой статьи.
- Получите сертификаты с помощью браузера на компьютерах EXTERNALVPN и EXTERNALSRV, как мы это делали в первой части этой статьи.
Теперь сертификат есть у каждого. Перезапустите оба VPN-сервера. (не требуется)
Установите соединение L2TP/IPSec
Мы хотим форсировать L2TP/IPSec через шлюзы. Нет необходимости поддерживать PPTP, поскольку нам не нужны VPN-клиенты для вызова через интерфейсы VPN-шлюза. Вы по-прежнему можете настроить серверы ISA/VPN для приема соединений PPTP от вызывающих абонентов VPN-клиентов, если хотите.
Выполните следующие шаги, чтобы принудительно использовать L2TP/IPSec через интерфейсы шлюза VPN. Сделайте это на обоих компьютерах INTERNALVPN и EXTERNALVPN:
- Откройте консоль маршрутизации и удаленного доступа из меню «Администрирование».
- Разверните имя своего сервера и щелкните узел «Интерфейсы маршрутизации».
- Щелкните правой кнопкой мыши интерфейс вызова по требованию VPN и выберите «Свойства».
- В диалоговом окне « Свойства » интерфейса вызова по требованию щелкните вкладку «Сеть». Щелкните стрелку вниз для списка Тип VPN-сервера, на который я звоню, и выберите запись Протокол туннелирования уровня 2 (L2TP). Нажмите ОК.
- После настройки обоих интерфейсов вызова по требованию для использования L2TP/IPSec вернитесь к компьютеру CLIENTDC и повторите запрос проверки связи, который вы сделали ранее. После того, как вы получите ответы ping, перейдите к одной из консолей RRAS и щелкните узел PORTS. Вы увидите, что ваше соединение L2TP/IPSec установлено успешно!
Примечания к требованиям сертификата
Сертификаты необходимы для работы всего этого L2TP/IPSec. Вопрос, который я задал в первой части этой статьи, заключался в том, какие типы сертификатов требуются. Я собирался рассказать вам о процессе тестирования различных типов сертификатов, но статья стала немного длинной, поэтому я решил не затрагивать эту тему. Как вы видите из того, что мы сделали до сих пор, наличие сертификата сервера на каждом VPN-сервере (и любом другом сервере), кажется, помогает.
Однако чего я не могу сказать вам сейчас, так это того, как вы «должны» это делать. Прямо сейчас я как бы пристрастился к сертификатам, но я работаю над этим. Дайте мне еще месяц, и я дам вам исчерпывающие ответы! Я обновлю эту статью и, возможно, напишу еще одну на основе того, что я узнал о сертификатах Microsoft и PKI в целом в следующем месяце.
Если у вас есть некоторое представление об этом предмете, я был бы рад учиться у вас! Помогите мне и другим участникам ISAserver.org, написав мне на [email protected] и помогите мне узнать, «с какого конца ест».
Примечания о VPN и политике L2TP/IPSec по умолчанию
Эта установка с использованием Wizards и Windows 2000/ISA Server на каждом конце проста. Однако если вам нужно создать настройки VPN от шлюза к шлюзу с помощью сторонних продуктов, вы можете столкнуться с некоторыми проблемами. Несмотря на то, что протоколы являются открытыми стандартами, их реализации различаются. Чаще всего камнем преткновения является разница в политиках IPSec между сервером ISA/VPN и черным ящиком, к которому вы подключаетесь.
Windows 2000 RRAS назначает политику IPSec по умолчанию для соединений L2TP/IPSec. Вы не можете увидеть эту политику в локальных политиках безопасности. или консоли IPSec. Вы можете добиться большего успеха, если измените политику L2TP IPSec по умолчанию на политику, которая соответствует той, которая используется в вашем черном ящике. Ждите следующей статьи на эту тему!
Вывод
Конфигурирование шлюза L2TP/IPSec для VPN-решения легко выполняется с помощью Windows 2000/ISA Server. Волшебники делают большую часть тяжелой работы. Однако вы не сможете заставить его работать, если все стороны, участвующие в создании ссылки, не имеют соответствующих сертификатов. В этой статье мы рассмотрели процедуру, необходимую для настройки L2TP/IPSec между шлюзами.