Настройка Windows Server 2008 в качестве SSL VPN-сервера с удаленным доступом (часть 3)

Опубликовано: 10 Апреля, 2023

Если вы пропустили предыдущие части этой серии статей, прочтите:

В первых двух частях этой серии статей о том, как создать сервер SSL VPN на Windows Server 2008, мы рассмотрели основы организации сети VPN, а затем углубились в настройку сервера. На данный момент мы готовы завершить работу, внеся небольшие изменения в конфигурацию Active Directory и на веб-сайте ЦС. После внесения этих изменений мы сосредоточимся на настройке VPN-клиента и закончим установкой соединения SSL VPN.

Настройте учетную запись пользователя, чтобы разрешить коммутируемые подключения

Учетным записям пользователей требуется разрешение на коммутируемый доступ, прежде чем они смогут подключиться к серверу Windows VPN, который является членом домена Active Directory. Лучший способ сделать это — использовать сервер политики сети (NPS) и использовать разрешение учетной записи пользователя по умолчанию, которое разрешает удаленный доступ на основе политики NPS. Однако в этом сценарии мы не устанавливали NPS-сервер, поэтому нам придется вручную настраивать разрешение пользователя на подключение.

Я напишу будущую статью о том, как вы можете использовать сервер NPS и аутентификацию сертификата пользователя EAP для установки соединения с сервером SSL VPN.

Выполните следующие шаги, чтобы включить разрешение на телефонный доступ для учетной записи пользователя, которую вы хотите подключить к серверу SSL VPN. В этом примере мы включим телефонный доступ для учетной записи администратора домена по умолчанию:

  1. На контроллере домена откройте консоль «Пользователи и компьютеры Active Directory» из меню «Администрирование».
  2. В левой панели консоли разверните имя домена и щелкните узел Пользователи. Дважды щелкните Администратор учетная запись.
  3. Нажмите на вкладку Dial-in. По умолчанию установлено значение «Управление доступом через сетевую политику NPS ». Поскольку в этом сценарии у нас нет NPS-сервера, мы изменим параметр на Разрешить доступ, как показано на рисунке ниже. Нажмите ОК.

Изображение 24550
фигура 1

Настройте IIS на сервере сертификатов, чтобы разрешить HTTP-соединения для каталога CRL.

По какой-то причине, когда мастер установки устанавливает веб-сайт служб сертификации, он настраивает каталог CRL так, чтобы требовалось соединение SSL. Хотя это кажется хорошей идеей с точки зрения безопасности, проблема заключается в том, что URI сертификата не настроен на использование SSL. Я полагаю, вы могли бы создать пользовательскую запись CDP для сертификата, чтобы он использовал SSL, но вы можете поспорить на доллары с пончиками, что Microsoft нигде не документировала эту проблему. Поскольку в этой статье мы используем настройки CDP по умолчанию, нам необходимо отключить требование SSL на веб-сайте ЦС для пути к каталогу CRL.

Выполните следующие шаги, чтобы отключить требование SSL для каталога CRL:

  1. В меню «Администрирование» откройте диспетчер информационных служб Интернета (IIS).
  2. На левой панели консоли IIS разверните имя сервера, а затем разверните узел Сайты. Разверните узел Веб-сайт по умолчанию и щелкните узел CertEnroll, как показано на рисунке ниже.

Изображение 24551
фигура 2

  1. Если вы посмотрите на среднюю панель консоли, то увидите, что CRL находится в этом виртуальном каталоге, как показано на рисунке ниже. Чтобы просмотреть содержимое этого виртуального каталога, вам нужно нажать кнопку «Просмотр содержимого» в нижней части средней панели.

Изображение 24552
Рисунок 3

  1. Нажмите кнопку «Просмотр функций» в нижней части средней панели. В нижней части средней панели дважды щелкните значок Настройки SSL.

Изображение 24553
Рисунок 4

  1. На средней панели появится страница настроек SSL. Снимите флажок с поля Требовать SSL. Нажмите ссылку «Применить» на правой панели консоли.

Изображение 24554
Рисунок 5

  1. Закройте консоль IIS после того, как увидите сообщение Изменения были успешно сохранены.

Изображение 24555
Рисунок 6

Настройте файл HOSTS на VPN-клиенте

Теперь мы можем переключить внимание на VPN-клиент. Первое, что нам нужно сделать на клиенте, это настроить файл HOSTS, чтобы мы могли имитировать общедоступную инфраструктуру DNS. Есть два имени, которые нам нужно ввести в файл HOSTS (и то же самое верно для общедоступного DNS-сервера, который вы будете использовать в производственной среде). Первое имя — это имя VPN-сервера, определяемое общим/субъектным именем в сертификате, который мы привязали к SSL-серверу VPN. Второе имя, которое нам нужно ввести в файл HOSTS (и общедоступный DNS-сервер), — это URL-адрес CDP, который находится в сертификате. Мы видели расположение информации CDP во второй части этой серии.

Два имени, которые нам нужно ввести в файл HOSTS в этом примере:

Выполните следующие шаги на VPN-клиенте Vista SP1, чтобы настроить файл HOSTS:

  1. Нажмите кнопку «Пуск», введите c:windowssystem32driversetchosts в поле поиска и нажмите ENTER.
  2. В диалоговом окне «Открыть с помощью» дважды щелкните «Блокнот».
  3. Введите записи файла HOSTS, используя формат, как показано на рисунке ниже. Убедитесь, что вы нажимаете ввод после последней строки, чтобы курсор появился под последней строкой.

Изображение 24556
Рисунок 7

  1. Закройте файл и выберите вариант сохранения при появлении запроса.

Используйте PPTP для подключения к VPN-серверу

Мы приближаемся к созданию соединения SSL VPN! Следующим шагом является создание VPN-коннектоида на клиенте Vista SP1, который позволит нам установить начальное VPN-подключение к VPN-серверу. Нам нужно сделать это в нашем текущем сценарии, потому что клиентский компьютер не является членом домена. Поскольку машина не является членом домена, она не будет иметь автоматически установленный сертификат ЦС в хранилище сертификатов машины доверенных корневых центров сертификации. Если бы машина была членом домена, автоматическая регистрация позаботилась бы об этой проблеме за нас, поскольку мы установили ЦС предприятия.

Самый простой способ сделать это — создать PPTP-соединение между VPN-клиентом Vista SP1 и VPN-сервером Windows Server 2008. По умолчанию VPN-сервер будет поддерживать соединения PPTP, и клиент сначала попробует PPTP, а затем L2TP/IPSec и SSTP. Для этого нам нужно создать VPN-коннектоид или объект подключения.

Выполните следующие шаги на VPN-клиенте, чтобы создать коннектоид:

  1. В VPN-клиенте щелкните правой кнопкой мыши значок сети в трее и выберите Центр управления сетями и общим доступом.
  2. В окне Центра общего доступа к сети щелкните ссылку Установить соединение или сеть в левой части окна.
  3. На странице «Выбор варианта подключения» щелкните запись « Подключиться к рабочему месту» и нажмите «Далее».

Изображение 24557
Рисунок 8

  1. На странице Как вы хотите подключиться выберите запись Использовать мое подключение к Интернету (VPN).

Изображение 24558
Рисунок 9

  1. На странице Введите интернет-адрес для подключения введите имя сервера SSL VPN. Убедитесь, что это имя совпадает с общим именем сертификата, используемого сервером SSL VPN. В этом примере имя — sstp.msfirewall.org. Введите имя назначения. В этом примере мы назовем пункт назначения SSL VPN. Нажмите «Далее».

Изображение 24559
Рисунок 10

  1. На странице Введите имя пользователя и пароль введите Имя пользователя, Пароль и Домен. Щелкните Подключить.

Изображение 24560
Рисунок 11

  1. Нажмите Закрыть на странице Вы подключены.

Изображение 24561
Рисунок 12

  1. На странице Выберите расположение для сети «SSL VPN» выберите параметр Работа.

Изображение 24562
Рисунок 13

  1. Нажмите «Продолжить» в приглашении UAC.
  2. Нажмите «Закрыть» на странице «Настройки сети успешно установлены».

Изображение 24563
Рисунок 14

  1. В Центре управления сетями и общим доступом щелкните ссылку Просмотр состояния в разделе SSL VPN, как показано на рисунке ниже. В диалоговом окне Состояние SSL VPN вы увидите, что тип VPN-подключения — PPTP. Нажмите «Закрыть» в диалоговом окне «Статус SSL VPN».

Изображение 24564
Рисунок 15

  1. Откройте командную строку и пропингуйте контроллер домена. В этом примере IP-адрес контроллера домена — 10.0.0.2. Если ваше VPN-соединение установлено успешно, вы получите ответ ping от контроллера домена.

Изображение 24565
Рисунок 16

Получите сертификат ЦС от ЦС предприятия

Клиент SSL VPN должен доверять ЦС, выдавшему сертификат, используемый VPN-сервером. Чтобы установить это доверие, нам нужно установить сертификат ЦС того ЦС, который выдал сертификат VPN-сервера. Мы можем сделать это, подключившись к веб-сайту регистрации в ЦС во внутренней сети и установив сертификат в хранилище сертификатов доверенных корневых центров сертификации клиента VPN.

Выполните следующие действия, чтобы получить сертификат с веб-сайта регистрации:

  1. На клиенте VPN, подключенном к серверу VPN по каналу PPTP, введите http://10.0.0.2/certsrv в адресной строке Internet Explorer и нажмите клавишу ВВОД.
  2. Введите допустимое имя пользователя и пароль в диалоговом окне учетных данных. В этом примере мы будем использовать имя пользователя и пароль учетной записи администратора домена по умолчанию.
  3. На странице приветствия веб-сайта регистрации щелкните ссылку Загрузить сертификат ЦС, цепочку сертификатов или CRL.

Изображение 24566
Рисунок 17

  1. Щелкните Разрешить в диалоговом окне с предупреждением о том, что веб-сайт хочет открыть веб-контент с помощью этой программы на вашем компьютере. Затем нажмите «Закрыть» в диалоговом окне «Заметили ли вы панель информации», если оно появилось.

Изображение 24567
Рисунок 18

  1. Обратите внимание, что панель информации информирует вас о том, что веб-сайт может работать неправильно, поскольку элемент управления ActiveX заблокирован. Это не должно быть проблемой, так как мы будем загружать сертификат ЦС и использовать сертификаты MMC для установки сертификата. Щелкните ссылку Загрузить сертификат ЦС.

Изображение 24568
Рисунок 19

  1. В диалоговом окне «Загрузка файла — предупреждение системы безопасности» нажмите кнопку «Сохранить». Сохраните сертификат на рабочий стол.

Изображение 24569
Рисунок 20

  1. Нажмите «Закрыть» в диалоговом окне «Загрузка завершена».
  2. Закройте Internet Explorer.

Теперь нам нужно установить сертификат CA в хранилище сертификатов Trusted Root Certification Authorities на машине VPN-клиента. Для установки сертификата выполните следующие действия:

  1. Нажмите «Пуск», а затем введите mmc в поле поиска. Нажмите Ввод.
  2. Нажмите «Продолжить» в диалоговом окне UAC.
  3. В окне Console1 откройте меню «Файл» и выберите «Добавить/удалить оснастку».
  4. В диалоговом окне «Добавить или удалить оснастки» щелкните запись «Сертификаты» в списке «Доступные оснастки» и нажмите «Добавить».
  5. На странице оснастки «Сертификаты» выберите параметр «Учетная запись компьютера» и нажмите «Готово».
  6. На странице «Выбор компьютера» выберите параметр «Локальный компьютер» и нажмите «Готово».
  7. Нажмите «ОК» в диалоговом окне «Добавить или удалить оснастки».
  8. В левой панели консоли разверните узел Сертификаты (локальный компьютер), а затем разверните узел Доверенные корневые центры сертификации. Нажмите на узел Сертификаты. Щелкните правой кнопкой мыши узел «Сертификаты», выберите «Все задачи» и нажмите «Импорт».

Изображение 24570
Рисунок 21

  1. Нажмите «Далее» на странице «Добро пожаловать в мастер импорта сертификатов».
  2. На странице «Файл для импорта» нажмите кнопку «Обзор», чтобы найти сертификат, затем нажмите «Далее».

Изображение 24571
Рисунок 22

  1. На странице « Хранилище сертификатов» убедитесь, что выбран параметр «Поместить все сертификаты в следующее хранилище» и что в списке указано хранилище «Доверенные корневые центры сертификации». Нажмите «Далее».

Изображение 24572
Рисунок 23

  1. Нажмите «Готово» на странице «Завершение импорта сертификата».
  2. Нажмите OK в диалоговом окне, сообщающем об успешном импорте.
  3. Теперь сертификат появится в консоли, как показано на рисунке ниже.

Изображение 24573
Рисунок 24

  1. Закройте консоль ММС.

Настройте клиент для использования SSTP и подключитесь к VPN-серверу с помощью SSTP.

Мы почти на месте! Теперь нам нужно отключить VPN-соединение и настроить VPN-клиент на использование SSTP для своего VPN-протокола. В производственной среде пользователям не следует выполнять этот шаг, так как вы будете использовать комплект администрирования диспетчера подключений для создания коннектоида VPN для пользователя, который настроит клиента на использование SSTP, или вы настроите только порты SSTP. на VPN-сервере.

Это зависит от вашей среды, так как вы хотите рассчитать время, чтобы пользователи могли использовать PPTP какое-то время, пока вы развертываете сертификаты. Конечно, вы всегда можете внедрить сертификаты CA вне диапазона, например, через загрузку с веб-сайта или по электронной почте, и в этом случае вам не нужно будет разрешать PPTP. Но тогда, если у вас есть клиенты нижнего уровня, которые не поддерживают SSTP, вам нужно будет разрешить PPTP или L2TP/IPSec, поэтому вы не сможете отключить все порты, отличные от SSTP. В этом случае вам придется полагаться на ручную настройку или обновленный пакет CMAK.

Другой вариант — привязать прослушиватель SSTP к определенному IP-адресу на сервере RRAS. В этом случае вы можете создать собственный пакет CMAK, который указывает только на IP-адрес на сервере SSL VPN, прослушивающем входящие соединения SSTP. Другие адреса на сервере SSTP VPN будут прослушивать соединения PPTP и/или L2TP/IPSec.

Выполните следующие шаги, чтобы отключить сеанс PPTP и настроить коннектоид VPN-клиента для использования SSTP:

  1. На клиентском компьютере VPN откройте Центр управления сетями и общим доступом, как вы это делали ранее.
  2. В окне «Центр управления сетями и общим доступом» нажмите ссылку «Отключить », которая находится сразу под ссылкой «Просмотреть статус», которую мы использовали ранее. Раздел SSL VPN исчезнет из Центра управления сетями и общим доступом.
  3. В Центре управления сетями и общим доступом щелкните ссылку Управление сетевыми подключениями.
  4. Щелкните правой кнопкой мыши ссылку SSL VPN и выберите команду «Свойства».

Изображение 24574
Рисунок 25

  1. В диалоговом окне «Свойства SSL VPN» перейдите на вкладку «Сеть». В раскрывающемся списке «Тип VPN» щелкните стрелку вниз, выберите параметр «Протокол защищенного туннелирования сокетов» (SSTP) и нажмите «ОК».

Изображение 24575
Рисунок 26

  1. Дважды щелкните коннектоид SSL VPN в окне «Сетевые подключения».
  2. В диалоговом окне Подключить SSL VPN нажмите кнопку Подключить.
  3. После завершения подключения щелкните правой кнопкой мыши коннектоид SSL VPN в окне «Сетевые подключения» и выберите «Статус».

Изображение 24576
Рисунок 27

  1. В диалоговом окне «Статус SSL VPN» вы можете увидеть, что соединение SSTP WAN Miniport установлено.

Изображение 24577
Рисунок 28

  1. Если вы перейдете на VPN-сервер и откроете консоль маршрутизации и удаленного доступа, вы подтвердите, что соединение SSTP установлено.

Изображение 24578
Рисунок 29

Резюме

В этой заключительной части нашей серии статей о том, как собрать сервер SSL VPN с помощью Windows Server 2008, мы завершили настройку учетной записи пользователя, веб-сайта CRL и клиента SSL VPN. Мы завершили подключение SSTP и подтвердили, что оно прошло успешно. Надеюсь, вам понравилась эта серия, и вы всегда можете написать мне с вопросами по адресу [email protected]. Спасибо! -Том.

Если вы пропустили предыдущие части этой серии статей, прочтите:

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023