Настройка вызывающего брандмауэра/VPN-шлюза ISA Server для использования аутентификации по сертификату EAP/TLS — часть 3

Настройка вызывающего брандмауэра/VPN-шлюза ISA Server для использования EAP/TLS
Аутентификация сертификата — часть 3

Томас Шиндер, доктор медицины

В первой части этой серии статей, посвященной настройке вызывающего VPN-шлюза для использования аутентификации на основе сертификатов EAP/TLS для аутентификации на отвечающем VPN-шлюзе, мы обсудили процедуры, необходимые для обеспечения работы всего решения, а затем детально рассмотрели, как это сделать. чтобы включить шаблон сертификата маршрутизатора (автономный запрос) и установить сертификат компьютера на отвечающем VPN-шлюзе.

Во второй части этой серии мы обсудили, как получить сертификат пользователя, который вызывающий VPN-шлюз может использовать для предоставления отвечающему VPN-шлюзу для аутентификации. Мы также рассмотрели процедуру экспорта сертификата вызывающего VPN-шлюза, чтобы его можно было скопировать на контроллер домена. После того как сертификат вызывающего VPN-шлюза был скопирован на контроллер домена, вы создали учетную запись пользователя в Active Directory для вызывающего VPN-шлюза. Вы сопоставите сертификат вызывающего VPN-маршрутизатора с этой учетной записью пользователя.

В этой, третьей части серии, мы рассмотрим следующие темы:

После того, как вы получите сертификат, сопоставленный с учетной записью пользователя, и запустите мастера локального и удаленного VPN, вы почти закончили! В следующей части статьи, части 4, будут рассмотрены последние шаги, связанные с настройкой параметров, созданных Мастерами локальной и удаленной VPN.

Давайте начнем!

Сопоставьте сертификат пользователя маршрутизатора с пользователем с тем же именем, что и в интерфейсе вызова по требованию VPN-шлюза.

Следующим шагом является сопоставление учетной записи пользователя, которую вы создали для вызывающего маршрутизатора, с сертификатом маршрутизатора. Выполните следующие шаги, чтобы создать это сопоставление:

1. Нажмите «Пуск», выберите «Администрирование» и щелкните «Пользователи и компьютеры Active Directory». Щелкните правой кнопкой мыши узел Users и выберите View. Нажмите на команду «Дополнительные функции».

2. В консоли «Пользователи и компьютеры Active Directory» разверните имя своего домена и щелкните узел «Пользователи» на левой панели консоли. Щелкните правой кнопкой мыши учетную запись пользователя вызывающего VPN-шлюза и выберите команду «Сопоставление имен».

3. В диалоговом окне Security Identity Mapping щелкните вкладку X.509. На вкладке X.509 нажмите кнопку «Добавить».

4. В диалоговом окне Добавить сертификат выберите сертификат вызывающего VPN-шлюза, который вы скопировали на контроллер домена. Нажмите Открыть после выбора сертификата.

5. В диалоговом окне «Добавить сертификат» установите флажок «Использовать тему для альтернативного удостоверения безопасности ». Нажмите ОК.

6. Сертификат пользователя вызывающего VPN-шлюза теперь отображается в списке сертификатов X-509 в диалоговом окне Security Identity Mapping. Нажмите ОК.

Сертификат пользователя вызывающего VPN-шлюза теперь сопоставлен с учетной записью пользователя в Active Directory. Когда вызывающий VPN-шлюз звонит и представляет свой сертификат отвечающему VPN-шлюзу для аутентификации, имя в сертификате будет сравниваться с именем в Active Directory, чтобы подтвердить, что вызывающий VPN-шлюз имеет разрешение на удаленный доступ.

Запуск локальных и удаленных мастеров VPN на отвечающем и вызывающем VPN-шлюзах.

Вызывающий VPN-шлюз имеет свой сертификат пользователя, и этот сертификат сопоставляется с учетной записью пользователя в Active Directory в том же домене, к которому принадлежит отвечающий VPN-шлюз. Теперь мы готовы объединить интерфейсы вызова шлюза по требованию на вызывающем и отвечающем маршрутизаторах.

Хотя вы можете вручную создать интерфейсы вызова по требованию на вызывающем и отвечающем маршрутизаторах, а затем вручную создать фильтры пакетов на каждом из ISA-серверов для поддержки соединений, я бы не рекомендовал этого делать. Почему? Потому что ваш брандмауэр/VPN-шлюзы ISA Server имеют несколько мощных мастеров, которые вы можете использовать для выполнения большей части грязной работы по настройке отвечающих и вызывающих VPN-шлюзов.

Вы запускаете мастер локальной VPN на отвечающем шлюзе VPN и мастер удаленной VPN на вызывающем шлюзе VPN. Удаленный шлюз VPN всегда вызывает локальный шлюз VPN. Локальный VPN-шлюз никогда не вызывает удаленный VPN-шлюз? Возьми? Хороший!

Выполните следующие действия на отвечающем VPN-шлюзе:

Примечание:
Помните, что отвечающий VPN-шлюз никогда не звонит вызывающему VPN-шлюзу. Отвечающий шлюз VPN также отвечает на вызовы с вызывающего компьютера шлюза VPN.



1. Откройте консоль управления ISA, разверните узел «Серверы и массивы» и щелкните правой кнопкой мыши узел «Конфигурация сети». Нажмите на команду «Настроить локальный ISA VPN сервер ».

2. Нажмите «Далее» на странице «Добро пожаловать в мастер настройки VPN локального ISA Server».

3. Если служба маршрутизации и удаленного доступа еще не запущена, мастер спросит, хотите ли вы запустить ее сейчас. Нажмите «Да» в диалоговом окне мастера ISA Virtual Private Network (VPN) с вопросом, хотите ли вы запустить службу.

4. На странице идентификации виртуальной частной сети (VPN) ISA вы вводите имена для локальной сети и удаленной сети. Эта информация используется для присвоения имени интерфейсу вызова по требованию на отвечающем VPN-шлюзе.

В текстовом поле введите короткое имя для описания локальной сети введите имя локальной сети из пяти или шести символов.

В текстовом поле введите короткое имя для описания удаленной сети введите имя удаленной сети из пяти или шести символов.

Это имя интерфейса вызова по требованию на отвечающем VPN-шлюзе. Это важный шаг, и вы должны правильно назвать локальную и удаленную сети, иначе ваше VPN-соединение между шлюзами не будет работать должным образом.

Вспомните имя учетной записи, которую вы создали для вызывающего VPN-шлюза. В этом примере вызывающий VPN-шлюз использует учетную запись local1_remote1. Вы должны одинаково назвать локальную и удаленную сети в этом диалоговом окне. Поскольку имя учетной записи — local1_remote1, локальная сеть должна называться local1, а удаленная сеть — remote1. Мастер автоматически поставит символ подчеркивания между именами локальной и удаленной сетей.

Давайте рассмотрим еще один пример, чтобы было совершенно ясно. Предположим, локальная сеть называется даллас, а удаленная сеть — хьюстон. Учетная запись пользователя, созданная для использования вызывающим VPN-шлюзом при вызове локального шлюза, — dallas_houston. Это имя в пользовательском сертификате маршрутизатора и это имя учетной записи Active Directory.

Нажмите «Далее».

5. На странице протокола ISA Virtual Private Network (VPN) выберите Use L2TP over IPSec, если доступно. В противном случае используйте PPTP. Это позволяет VPN-шлюзам использовать L2TP/IPSec, если обе стороны имеют сертификат машины. Если у обеих сторон нет машинного сертификата, будет согласован PPTP. Нажмите «Далее».

6. На странице Двусторонняя связь не ставьте галочку в поле И локальный, и удаленный компьютеры ISA VPN могут инициировать связь. Повторяю, не устанавливайте этот флажок. Инициировать вызов должен только вызывающий VPN-шлюз. Если бы вы установили флажок (чего вы никогда не сделали бы), то обе стороны попытались бы инициировать вызов, когда это необходимо, и это может привести к ненадежности соединений вашего VPN-шлюза. Нажмите «Далее».

7. На странице Сеть удаленной виртуальной частной сети (VPN) нажмите кнопку Добавить. Добавьте идентификатор сети, к которой вы хотите получить доступ из локальной сети. Вы должны повторить эту процедуру, чтобы все идентификаторы сети в удаленной сети были включены в список на этой странице.

В этом примере единственный сетевой идентификатор в удаленной сети, к которому мы хотим получить доступ из локальной сети, — это сетевой идентификатор 192.168.10.0/24. Это создает статическую запись в таблице маршрутизации на отвечающем VPN-шлюзе, которая направляет пакеты на этот идентификатор сети через интерфейс вызова по требованию в удаленную сеть через интерфейс VPN-шлюза.

Повторите процесс для каждого идентификатора сети, который вам нужен для доступа из локальной сети в удаленную сеть. Затем нажмите «Далее».

8. На странице Локальная виртуальная частная сеть (VPN) Сеть выберите основной IP-адрес на внешнем интерфейсе компьютера ISA Server/шлюза VPN из списка Выберите IP-адрес локального компьютера ISA VPN. Это IP-адрес, к которому удаленный компьютер ISA VPN будет подключаться из выпадающего списка. Убедитесь, что это первый IP-адрес в списке адресов, привязанных к внешнему интерфейсу.

В нижней части этой страницы вы видите список сетевых идентификаторов в локальной сети. Этот список взят из таблицы локальных адресов (LAT). Это список всех сетевых идентификаторов в локальной сети, к которым можно получить доступ из удаленной сети. Если в локальной сети есть больше сетевых идентификаторов, к которым вы хотите получить доступ из удаленной сети, нажмите кнопку «Добавить» и добавьте их.

Нажмите «Далее» после ввода всех идентификаторов локальной сети, которые вы хотите сделать доступными для пользователей в удаленной сети.

9. На странице ISA VPN Computer Configure File введите путь и имя файла конфигурации в текстовом поле File name. Введите пароль и подтвердите его, чтобы защитить информацию, содержащуюся в этом файле. Нажмите «Далее».

10. Нажмите «Готово» на странице «Завершение работы мастера настройки ISA VPN».

Теперь мы можем перенести этот файл на вызывающий VPN-шлюз и запустить Remote VPN Wizard:

1. На удаленном VPN-шлюзе (вызывающем VPN-шлюзе) откройте консоль управления ISA, разверните узел «Серверы и массивы» и щелкните правой кнопкой мыши узел «Конфигурация сети». Нажмите на команду «Настроить удаленный ISA VPN сервер ».

2. Нажмите «Далее» на странице «Добро пожаловать в мастер настройки VPN удаленного ISA Server ».
   
3. Если служба маршрутизации и удаленного доступа еще не запущена на вызывающем VPN-шлюзе, мастер спросит, хотите ли вы запустить эту службу. Нажмите «Да» в диалоговом окне мастера ISA Virtual Private Network (VPN), которое спросит, хотите ли вы запустить службу.
   
4. На странице Файл конфигурации компьютера ISA VPN используйте кнопку Обзор, чтобы найти файл конфигурации. Если вы не можете его найти, возможно, вы еще не скопировали его на сервер! Дж. Убедитесь, что имя файла отображается в текстовом поле Имя файла. Введите пароль для файла в текстовом поле «Пароль». Нажмите «Далее».

5. Нажмите «Готово» на странице «Завершение работы мастера настройки ISA VPN».

Резюме

В этой части 3 из нашей серии из 4 частей, посвященной использованию аутентификации на основе сертификатов EAP/TLS с VPN от шлюза к шлюзу, мы рассмотрели процедуры, необходимые для сопоставления пользовательского сертификата маршрутизатора с учетной записью в Active Directory. Мы также подробно обсудили Мастера локального и удаленного VPN и способы запуска каждого из них, чтобы убедиться, что интерфейсы вызова по требованию названы правильно и что только вызывающий VPN-шлюз инициирует соединение по запросу.

Надеюсь, вам понравилась эта статья, и вы нашли в ней что-то, что вы можете применить в своей собственной сети. Если у вас есть вопросы по тому, что я обсуждал в этой статье, зайдите на http://forums.isaserver.org/ultimatebb.cgi?ubb=get_topic;f=13;t=001759 и отправьте сообщение. Я буду проинформирован о вашем сообщении и отвечу на ваши вопросы как можно скорее. Спасибо! -Том