Присоединение к частным сетям через Интернет: ДМЗ ISA Server с обеих сторон вплотную друг к другу, часть 2

Опубликовано: 14 Апреля, 2023

Присоединение к частным сетям через Интернет:


ДМЗ ISA Server с обеих сторон вплотную друг к другу, часть 2


Томас Шиндер, доктор медицины


В части 1 этой статьи, состоящей из двух частей, о том, как присоединиться к частным сетям, где обе стороны используют двойную конфигурацию DMZ, мы обсудили основные принципы проектирования и подробно рассмотрели конфигурацию сети и настройку соединения между внешние VPN-шлюзы брандмауэра ISA Server. В этой статье мы продолжим с того места, на котором остановились.



На этом этапе вы использовали локальный мастер VPN на машине VPN-шлюза внешнего брандмауэра ISA Server. Теперь нам нужно внести пару изменений в конфигурацию RRAS:



  1. Откройте консоль маршрутизации и удаленного доступа из меню «Администрирование».
  2. В левой панели консоли щелкните правой кнопкой мыши имя вашего сервера и выберите «Свойства».
  3. В диалоговом окне свойств сервера щелкните вкладку IP. Поскольку очень маловероятно, что у вас будет DHCP-сервер в вашей демилитаризованной зоне, вам необходимо создать статический пул адресов, чтобы локальный VPN-шлюз и удаленный VPN-шлюз имели IP-адреса для назначения участников в канале шлюз-шлюз.. Вы также можете добавить дополнительные адреса в пул, если планируете использовать машину в качестве VPN-сервера (в дополнение к ее роли VPN-шлюза). В раскрывающемся списке Адаптер выберите внутренний интерфейс ISA Server. Нажмите «Применить», а затем нажмите «ОК» после добавления адресов.



  1. На левой панели консоли «Маршрутизация и удаленный доступ» щелкните узел «Интерфейсы маршрутизации». В правой панели консоли дважды щелкните интерфейс вызова по требованию, созданный мастером. В диалоговом окне свойств интерфейса щелкните вкладку «Параметры». Выберите параметр «Постоянные подключения » и измените значение в текстовом поле «Попытки повторного набора» на 0. Нажмите ОК.



  1. Щелкните правой кнопкой мыши имя вашего сервера, выберите «Все задачи» и нажмите команду «Перезагрузить». Это должно позволить службе маршрутизации и удаленного доступа связать один из IP-адресов, которые мы добавили в статический пул.


Перенесите файл.vpc, созданный Мастером локальной VPN, на внешний ISA-сервер в филиале и выполните следующие действия:



  1. Откройте консоль управления ISA, разверните имя своего сервера и щелкните правой кнопкой мыши узел Network Configuration. Нажмите на команду Set Up Remote ISA VPN Server.
  2. Нажмите «Далее» на странице «Добро пожаловать в мастер настройки VPN удаленного ISA Server ». Нажмите «Да» в диалоговом окне, информирующем вас о том, что вам нужно запустить службу «Маршрутизация и удаленный доступ».
  3. На странице «Файл конфигурации компьютера ISA VPN» нажмите кнопку «Обзор», чтобы найти созданный файл.vpc и введите пароль, назначенный этому файлу. Нажмите «Далее».
  4. Нажмите Готово, чтобы завершить работу мастера на удаленном внешнем VPN-шлюзе.

Теперь нам нужно немного подправить конфигурацию RRAS на удаленном внешнем VPN-шлюзе:



  1. Откройте консоль маршрутизации и удаленного доступа из меню «Администрирование».
  2. В левой панели консоли щелкните правой кнопкой мыши имя вашего сервера и выберите «Свойства».
  3. Нажмите на вкладку IP. Как и в случае с локальным внешним VPN-шлюзом, нам необходимо создать статический пул адресов. Используйте адреса, действующие в удаленной демилитаризованной зоне. Нажмите «Применить», а затем нажмите «ОК» после создания пула и выбора внутреннего адаптера.



  1. На левой панели консоли «Маршрутизация и удаленный доступ» щелкните узел «Интерфейсы маршрутизации». В правой панели консоли дважды щелкните интерфейс вызова по требованию, созданный мастером. В диалоговом окне свойств интерфейса щелкните вкладку «Параметры». Выберите параметр Набор по запросу и измените значение в поле Время простоя перед завершением разговора на никогда. Измените количество попыток повторного набора на 9999 и средние интервалы повторного набора на 3 секунды. Нажмите ОК.


Вы можете проверить целостность соединения шлюз-шлюз между внешними VPN-шлюзами, отправив эхо-запрос на внешний интерфейс локального внутреннего ISA-сервера с удаленного внутреннего ISA-сервера. Это приведет к подключению интерфейса вызова по требованию. Обратите внимание, что вы не получите ответ, пока не создадите фильтр ICMP Ping Query на ISA-сервере, который вы пингуете.



Запустите мастера локального и удаленного VPN на внутренних ISA-серверах.


Теперь, когда мы знаем, что связь между внешними шлюзами работает, мы можем приступить к подключению к внутренним шлюзам VPN. После подключения внутренних VPN-шлюзов клиенты в каждой внутренней сети смогут взаимодействовать друг с другом. На рисунке ниже показано, как создается ссылка между внутренними VPN-шлюзами внутри ссылки, созданной между внешними VPN-шлюзами.



Локальные и удаленные мастера VPN работают на внутренних шлюзах так же, как и на внешних шлюзах. Запустим мастер Local VPN на локальном внутреннем VPN-шлюзе. Затем мы запустим Remote VPN Wizard на удаленном внутреннем VPN-шлюзе.



  1. Откройте консоль управления ISA на локальном внутреннем VPN-шлюзе. Разверните имя своего сервера, а затем щелкните правой кнопкой мыши узел «Конфигурация сети». Нажмите на команду «Настроить локальный ISA VPN сервер ». Нажмите «Далее» на странице «Добро пожаловать в мастер настройки VPN локального ISA Server». Нажмите Да, если вас попросят запустить службу маршрутизации и удаленного доступа.
  2. На странице идентификации виртуальной частной сети (VPN) ISA введите короткие имена для локальной и удаленной сетей. В этом примере я буду использовать localint для локальной сети и remoteint для удаленной сети. Нажмите «Далее».



  1. На странице протокола ISA Virtual Private Network (VPN) выберите Use L2TIP over IPSec, если доступно. В противном случае используйте опцию PPTP и нажмите «Далее».
  2. Не вносите никаких изменений на странице «Двусторонняя связь» и нажмите «Далее».
  3. Мы добавляем IP-адреса, которые могут быть доступны в удаленной сети из локальной сети со страницы сети удаленной виртуальной частной сети (VPN). Скорее всего, вы хотите разрешить доступ ко всем машинам в удаленной сети из локальной сети, поэтому вы должны включить все адреса в удаленной сети. Добавьте диапазон IP-адресов и нажмите «Далее».



  1. Выберите основной адрес на внешнем интерфейсе локального внутреннего VPN-шлюза на странице Локальная виртуальная частная сеть (VPN) Сеть. На этой странице вы также вводите IP-адреса, которые должны быть доступны в вашей внутренней сети. Обратите внимание, что адреса автоматически извлекаются из таблицы маршрутизации на локальном шлюзе VPN. Вы можете добавить больше адресов, но лучше добавить их в таблицу маршрутизации, если вы хотите, чтобы хосты в удаленной сети подключались к ним! При необходимости добавьте адреса, а затем нажмите «Далее».



  1. Введите путь и имя файла vpc. Введите пароль и подтвердите его, затем нажмите «Далее».



  1. Нажмите «Готово» на странице «Завершение работы мастера настройки ISA VPN».

Теперь нам нужно немного изменить настройки RRAS:



  1. Откройте консоль маршрутизации и удаленного доступа из меню «Администрирование».
  2. Щелкните правой кнопкой мыши имя сервера и выберите команду «Свойства».
  3. В диалоговом окне свойств сервера щелкните вкладку IP. Выберите вариант Статический пул адресов. Нажмите кнопку «Добавить», чтобы добавить адреса, которые этот шлюз может назначать себе и удаленному шлюзу. Вы можете добавить дополнительные IP-адреса на тот случай, если вы захотите разрешить подключения VPN-клиентов через сквозную настройку VPN (как я описал на http://www.isaserver.org/tutorials/Configuring_VPN_Access_in_a_Back_to_Back_ISA_Server_Environment.html. Выберите внутренний Адаптер в раскрывающемся списке Адаптер Нажмите Применить, а затем нажмите OK.
  4. На левой панели консоли «Маршрутизация и удаленный доступ» щелкните узел «Интерфейсы маршрутизации». В правой панели консоли дважды щелкните интерфейс вызова по требованию, созданный мастером. В диалоговом окне свойств интерфейса щелкните вкладку «Параметры». Выберите параметр «Постоянные подключения » и измените значение в текстовом поле «Попытки повторного набора» на 0. Нажмите ОК.



  1. Щелкните правой кнопкой мыши имя вашего сервера, выберите «Все задачи» и нажмите команду «Перезагрузить». Это должно позволить службе маршрутизации и удаленного доступа связать один из IP-адресов, которые мы добавили в статический пул.

Перенесите файл.vpc, созданный Мастером локальной VPN, на внутренний ISA-сервер в филиале и выполните следующие действия:



  1. Откройте консоль управления ISA, разверните имя своего сервера и щелкните правой кнопкой мыши узел Network Configuration. Нажмите на команду «Настроить удаленный ISA VPN сервер ».
  2. Нажмите «Далее» на странице «Добро пожаловать в мастер настройки VPN удаленного ISA Server ». Нажмите «Да» в диалоговом окне, информирующем вас о том, что вам нужно запустить службу «Маршрутизация и удаленный доступ».
  3. На странице «Файл конфигурации компьютера ISA VPN» нажмите кнопку «Обзор», чтобы найти созданный файл.vpc и введите пароль, назначенный этому файлу. Нажмите «Далее».
  4. Нажмите Готово, чтобы завершить работу мастера на удаленном внешнем VPN-шлюзе.

Теперь нам нужно немного изменить конфигурацию RRAS на удаленном внутреннем VPN-шлюзе:



  1. Откройте консоль маршрутизации и удаленного доступа из меню «Администрирование».
  2. В левой панели консоли щелкните правой кнопкой мыши имя вашего сервера и выберите «Свойства».
  3. Нажмите на вкладку IP. Как и в случае с локальным внешним VPN-шлюзом, нам необходимо создать статический пул адресов. Используйте адреса, действительные во внутренней удаленной сети. Нажмите «Применить», а затем нажмите «ОК» после создания пула и выбора внутреннего адаптера.



  1. На левой панели консоли «Маршрутизация и удаленный доступ» щелкните узел «Интерфейсы маршрутизации». В правой панели консоли дважды щелкните интерфейс вызова по требованию, созданный мастером. В диалоговом окне свойств интерфейса щелкните вкладку «Параметры». Выберите параметр Дозвон по требованию и измените значение в поле Время простоя перед завершением разговора на никогда. Измените количество попыток повторного набора на 9999 и средние интервалы повторного набора на 3 секунды. Нажмите ОК.



  1. Щелкните правой кнопкой мыши имя вашего сервера, выберите «Все задачи» и нажмите «Перезагрузить».

Вы можете проверить целостность канала VPN-шлюз-шлюз между внутренними VPN-шлюзами, отправив эхо-запрос на внешний интерфейс локального внутреннего VPN-шлюза ISA Server с удаленного внутреннего VPN-шлюза ISA Server. Это приведет к подключению интерфейса вызова по требованию. Обратите внимание, что вы не получите ответ, пока не создадите фильтр ICMP Ping Query на ISA-сервере, который вы пингуете.


Устранение неполадок с подключениями


Как вы можете себе представить, есть много вещей, которые могут пойти не так при соединении шлюза с шлюзом. Если что-то не работает, вот некоторые вещи, которые вы можете проверить:



  • Посмотрите в просмотрщике событий. Средство просмотра событий сообщит об ошибках, связанных с RRAS, и поможет найти решение.
  • Проверьте фильтры пакетов в консоли управления ISA. Убедитесь, что созданы фильтры пакетов PPTP и L2TP/IPSec. Для каждого протокола VPN должно быть два фильтра пакетов (всего 4 фильтра пакетов)
  • Просмотрите диалоговое окно «Свойства» для каждого из интерфейсов вызова по требованию. Убедитесь, что адрес удаленного сервера указан правильно.
  • Проверьте детали статических маршрутов и убедитесь, что маршрут настроен правильно.

    • Я обнаружил, что трудно сделать ошибку при настройке VPN-шлюза на ссылки шлюза. Наиболее частые проблемы связаны с вводом неправильных адресов в Мастере или с забывчивостью изменить поддержку протокола VPN. По умолчанию используется L2TP/IPSec, и если вы его не измените и если вы еще не развернули сертификаты, он не будет работать.


    Наконец, убедитесь, что ваше соглашение об уровне обслуживания с вашим интернет-провайдером поддерживает VPN-соединения. Я знаю многих недовольных администраторов ISA Server, которые потратили дни, пытаясь заставить работать шлюзовые соединения, только для того, чтобы узнать, что его интернет-провайдер не разрешает VPN-соединения или что они не запрограммировали свой маршрутизатор для поддержки соединений.



    Резюме


    В этой статье мы рассмотрели процедуры, которые позволяют вам присоединяться к частным сетям, когда обе частные сети находятся за ISA Server вплотную друг к другу в конфигурации DMZ. Вы видели, что сначала вы настраиваете соединение между внешними шлюзами VPN, а затем, после того как соединение между внешними шлюзами установлено, вы настраиваете соединение шлюза VPN между внутренними шлюзами. Это «туннелирование внутри туннеля» представляет собой специальное применение сквозной передачи VPN. Это объясняет, почему вы можете использовать L2TP/IPSec, если хотите, потому что адреса не транслируются внутри туннеля.


    Надеюсь, вам понравилась эта статья, и вы нашли в ней что-то, что вы можете применить в своей собственной сети. Если у вас есть какие-либо вопросы по поводу того, что я обсуждал в этой статье, зайдите на http://forums.isaserver.org/ultimatebb.cgi?ubb=get_topic;f=13;t=001570 и отправьте сообщение. Я буду проинформирован о вашем сообщении и отвечу на ваши вопросы как можно скорее. Спасибо! -Том

    Кибер-безопасность

    РЕКОМЕНДУЕМЫЕ СТАТЬИ

    Информационная безопасность и системная IT-интеграция
    27 Июня, 2024
    Брандмауэр в ИТ-системе
    15 Апреля, 2023
    Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
    15 Апреля, 2023
    Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
    15 Апреля, 2023
    Виртуальная частная сеть
    15 Апреля, 2023
    Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
    15 Апреля, 2023
    Стратегия Microsoft в отношении .NET
    15 Апреля, 2023
    SSH
    15 Апреля, 2023