Публикация сервера Windows Server 2008 SSL VPN с использованием брандмауэров ISA 2006 (часть 1)

Если вы хотите прочитать следующие части этой серии статей, перейдите по ссылке:

• Публикация сервера Windows Server 2008 SSL VPN с использованием брандмауэров ISA 2006 (часть 2)
• Публикация сервера Windows Server 2008 SSL VPN с использованием брандмауэров ISA 2006 (часть 3)

Быть дорожным воином всегда немного дерьмово. Вы почти уверены, что отель, в который вы собираетесь, будет подключен к Интернету. Но будет ли интернет-соединение работать? Сколько раз вам приходилось устранять неполадки с подключением к Интернету в отеле только для того, чтобы обнаружить, что что-то не так с беспроводным подключением или маршрутизатором для вашего сегмента в отеле.

Но работа этого интернет-соединения часто не заканчивается вашими проблемами; Ваше следующее беспокойство: какой брандмауэр установлен в отеле? Поддерживает ли брандмауэр отеля VPN-соединения? Если да, то какие VPN-подключения он поддерживает? Я был в отелях, которые поддерживают только соединения PPTP. Другие отели поддерживают только соединение L2TP/IPSec, а некоторые отели поддерживают и PPTP, и L2TP/IPSec. К сожалению, многие отели не поддерживают ни PPTP, ни L2TP/IPSec. Как сетевому администратору, которому может понадобиться доступ ко многим сетям через VPN-подключение, когда я нахожусь за городом, вот где начинается настоящая боль.

Проблема с гостиничными брандмауэрами или маршрутизаторами заключается в том, что они хотят упростить работу. Они не блокируют ваши VPN-подключения назло или потому, что хотят испортить ваше путешествие. Гораздо проще с точки зрения управления и безопасности разрешить исходящий трафик только HTTP и HTTPS (SSL) — двух простых протоколов, которые используют 99% их пользователей. Это значительно упрощает устранение неполадок для поставщиков сетевых услуг, которые обеспечивают подключение к Интернету для этих отелей.

Конечно, если вам нужно VPN-подключение, и вы останавливаетесь в одном из этих отелей, жизнь становится бесполезным занятием, когда ваша сеть или одна из сетей вашего клиента нуждается в обслуживании, и единственный способ предоставить эту услугу — через VPN-подключение на уровне сети. Что делать? В прошлом я придерживался своей политики никогда не разрешать RDP-подключения к сети только для того, чтобы получить доступ, необходимый мне для исправления проблем, но это всегда неудобно, потому что я прекрасно осознаю риски, связанные с разрешением RDP-доступа из сети. Интернет.

Хорошая новость заключается в том, что теперь у нас есть решение, или, по крайней мере, оно будет у нас, когда в следующем месяце (февраль 2008 г.) будет выпущен Windows Server 2008. Это решение — протокол SSTP VPN, входящий в состав Windows Server 2008. SSTP — это протокол туннелирования защищенных сокетов, который по существу представляет собой протокол PPP через SSL. SSTP позволяет вам подключаться к вашему VPN-серверу через TCP-порт 443, как и любое другое SSL-соединение, а также работает с веб-прокси без аутентификации, поэтому даже если в вашем отеле для исходящего доступа используется брандмауэр ISA (вы будете удивлены, узнав, сколько делают), ваши соединения SSTP будут нормально работать через них.

В этой статье я собираюсь показать вам, как настроить сервер SSTP VPN и как настроить брандмауэр ISA, чтобы разрешить входящие подключения от клиента SSTP VPN к серверу SSTP VPN. ISA Firewall будет настроен с двумя правилами публикации: правило публикации сервера, разрешающее входящие подключения к серверу SSTP, и правило веб-публикации, разрешающее входящие подключения к сайту распространения CRL.

Во-первых, давайте взглянем на наш пример сети для этой конфигурации:

фигура 1

Здесь необходимо принять во внимание два пути передачи данных. Во-первых, есть соединение SSTP, которое должно быть установлено через брандмауэр ISA Firewall, которое заканчивается на сервере SSTP SSL VPN. Второе соединение должно совершать два перехода через нашу сеть: первый переход — это HTTP-соединение, установленное через брандмауэр ISA, а второй — через шлюз SSL VPN к CDP. Чтобы поддерживать это, нам нужно будет настроить шлюз SSL VPN как сервер NAT, который будет выполнять обратный NAT, чтобы разрешить доступ к CDP, расположенному за сервером VPN.

Клиент SSTP VPN должен работать под управлением Vista SP1. Версия клиента Vista RTM не поддерживает SSTP.

В этом примере брандмауэр ISA не является членом домена. Причина этого в том, что членство в домене не является обязательным требованием в этом сценарии. Если вы хотите сделать брандмауэр ISA членом домена, вам придется настроить брандмауэр ISA для использования маршрутизатора за внутренним интерфейсом брандмауэра ISA, поскольку внутридоменная связь не работает с устройствами NAT на пути. Маршрутизатор будет подключен параллельно с VPN-сервером, так что его внутренний и внешний интерфейсы будут иметь сетевые идентификаторы, которые отражают идентификаторы на компьютере шлюза SSTP VPN.

Шлюз SSTP VPN является членом домена. Это сделано для того, чтобы мы могли воспользоваться аутентификацией Windows. Я сделал это для простоты, так как не хотел вдаваться в подробности настройки Network Policy Server в этой статье. Если вы не хотите, чтобы ваш SSTP-шлюз VPN был членом домена, вы можете установить сервер политики сети в корпоративной сети и настроить VPN-сервер для использования его для аутентификации и учета (серверы NPS — это замена Windows 2008 для Windows Server). IAS-сервер 2003 г.).

Компьютер точки распространения CRL во внутренней сети является контроллером домена для домена msfirewall.org. Роли сервера, установленные на этом компьютере, включают службы сертификатов Active Directory, DHCP-сервер, DNS-сервер, доменные службы Active Directory и функцию WINS-сервера.

Нам нужно будет выполнить следующие процедуры, чтобы заставить решение работать:

• Установите IIS на VPN-сервер.
• Запросите сертификат компьютера для VPN-сервера с помощью мастера запроса сертификата IIS.
• Установите роль сервера RRAS на VPN-сервере.
• Включите сервер RRAS и настройте его как сервер VPN и NAT.
• Настройте сервер NAT для публикации CRL.
• Настройте учетную запись пользователя, чтобы разрешить коммутируемое подключение.
• Настройте IIS на сервере сертификатов, чтобы разрешить HTTP-соединения для каталога CRL.
• Настройте брандмауэр ISA с VPN-сервером PPTP, VPN-сервером SSL и правилами веб-публикации CDP.
• Настройте файл HOSTS на VPN-клиенте.
• Используйте PPTP для подключения к VPN-серверу.
• Получите сертификат ЦС от ЦС предприятия.
• Настройте брандмауэр ISA с помощью правил публикации сервера SSL VPN и веб-публикации CDP.
• Настройте клиент для использования SSTP и подключитесь к VPN-серверу с помощью SSTP.

Установите IIS на VPN-сервере

Это может показаться странным способом начать работу, поскольку я обычно советую никогда не размещать веб-сервер на устройстве сетевой безопасности. Хорошая новость заключается в том, что нам не нужно держать веб-сервер на сервере VPN, нам просто нужно использовать его некоторое время. Причина этого в том, что веб-сайт регистрации, включенный в сервер сертификатов Windows Server 2008, больше не используется для запроса сертификатов компьютеров, по крайней мере, в среде Windows Server 2008 и Windows Vista. На самом деле, это вообще бесполезно. Что интересно в этом, так это то, что вы все еще можете попытаться получить сертификат компьютера с помощью веб-сайта регистрации, и он будет выглядеть так, как будто он был установлен, но на самом деле сертификат не установлен.

Чтобы решить эту проблему, мы воспользуемся тем, что используем ЦС предприятия. При использовании Enterprise CA вы можете сделать запрос на онлайн-сервер сертификатов. Онлайн-запрос сертификата компьютера разрешен, когда вы используете мастер запроса сертификата IIS и запрашиваете то, что теперь называется «сертификат домена». Это работает только в том случае, если машина, запрашивающая сертификат, принадлежит к тому же домену, что и ЦС предприятия.

Выполните следующие шаги на VPN-сервере, чтобы установить роль веб-сервера IIS:

1. Откройте диспетчер сервера Windows 2008.
2. В левой панели консоли щелкните узел Роли.

фигура 2

3. Нажмите ссылку «Добавить роли» в правой части правой панели.
4. Нажмите «Далее» на странице «Перед началом работы».
5. Установите флажок Веб-сервер (IIS) на странице Выбор ролей сервера. Нажмите «Далее».

Рисунок 3

6. Прочтите информацию на странице веб-сервера (IIS), если хотите. Это хорошая общая информация об использовании IIS 7 в качестве веб-сервера, но, поскольку мы не собираемся использовать веб-сервер IIS на сервере VPN, эта информация на самом деле не применима к нашему сценарию. Нажмите «Далее».
7. На странице «Выбор служб ролей» уже выбран ряд параметров. Однако, если вы используете параметры по умолчанию, не похоже, что вы получите возможность использовать мастер запроса сертификата. Так было, когда я тестировал. Для мастера запроса сертификата нет службы ролей, поэтому я попытался поставить галочку в каждом из параметров безопасности, и это, похоже, сработало. Сделайте то же самое на своем и нажмите «Далее».

Рисунок 4

8. Просмотрите информацию на странице «Подтверждение выбора установки» и нажмите «Установить».
9. Нажмите «Закрыть» на странице «Результаты установки».

Рисунок 5

Запрос сертификата компьютера для VPN-сервера с помощью мастера запроса сертификата IIS

Следующим шагом является запрос сертификата машины для VPN-сервера. Серверу VPN требуется сертификат компьютера для создания соединения SSL VPN с клиентским компьютером SSL VPN. Общее имя в сертификате должно совпадать с именем, которое VPN-клиент будет использовать для подключения к компьютеру шлюза SSL VPN. Это означает, что вам нужно будет создать общедоступную запись DNS для имени в сертификате, чтобы оно разрешалось во внешний IP-адрес на сервере VPN или IP-адрес устройства NAT перед сервером VPN, который будет перенаправлять соединение. к серверу SSL VPN.

Выполните следующие шаги, чтобы запросить и установить сертификат компьютера на сервере SSL VPN:

1. В диспетчере серверов разверните узел Роли на левой панели, а затем разверните узел Веб-сервер (IIS). Щелкните Диспетчер информационных служб Интернета (IIS).

Рисунок 6

2. В консоли диспетчера служб IIS (IIS), которая отображается справа от левой панели, щелкните имя сервера. В этом примере имя сервера — W2008RC0-VPNGW. Щелкните значок «Сертификаты сервера» на правой панели консоли IIS.

Рисунок 7

3. В правой панели консоли щелкните ссылку Создать сертификат домена.

Рисунок 8

4. Заполните информацию на странице Свойства отличительного имени. Наиболее важной записью на этой странице является запись Common Name. Это имя будет использоваться VPN-клиентами для подключения к VPN-серверу. Вам понадобится общедоступная запись DNS для этого имени, чтобы оно разрешалось либо во внешний интерфейс VPN-сервера, либо в общедоступный адрес устройства NAT перед VPN-сервером. В этом примере мы будем использовать общее имя sstp.msfirewall.org. Позже мы создадим записи файла HOSTS на клиентском компьютере VPN, чтобы он мог разрешить это имя. Нажмите «Далее».

Рисунок 9

5. На странице Online Certification Authority нажмите кнопку Select. В диалоговом окне «Выбор центра сертификации» щелкните имя центра сертификации предприятия и нажмите «ОК». Введите понятное имя для сертификата в текстовом поле Понятное имя. В этом примере мы будем использовать имя SSTP Cert, чтобы знать, что оно используется для шлюза SSTP VPN.

Рисунок 10

6. Нажмите «Готово» на странице «Сетевой центр сертификации».

Рисунок 11

7. Мастер запустится, а затем исчезнет. После этого вы увидите, что сертификат появится в консоли IIS. Дважды щелкните сертификат, и вы увидите общее имя в разделе «Кому выдано», а также то, что у нас есть закрытый ключ, соответствующий сертификату. Нажмите OK, чтобы закрыть диалоговое окно Сертификат.

Рисунок 12

Теперь, когда у нас есть сертификат, мы можем установить роль сервера RRAS. Обратите внимание, что очень важно сначала установить сертификат, прежде чем устанавливать роль сервера RRAS. Если вы этого не сделаете, вы в конечном итоге окажетесь в мире боли, потому что вам придется использовать довольно сложную процедуру командной строки для привязки сертификата к слушателю SSL VPN.

Установите роль сервера RRAS на VPN-сервере.

Чтобы установить роль сервера RRAS, выполните следующие действия:

1. В Диспетчере серверов щелкните узел Роли на левой панели консоли.
2. В разделе «Сводка ролей» нажмите ссылку «Добавить роли».
3. Нажмите «Далее» на странице «Перед началом работы».
4. На странице «Выбор ролей сервера» установите флажок «Сетевая политика и службы доступа». Нажмите «Далее».

Рисунок 13

5. Ознакомьтесь с информацией на странице «Сетевая политика и службы доступа». Большая часть этого касается нового сервера политики сети (который раньше назывался сервером аутентификации в Интернете [IAS], который был сервером RADIUS) и NAP, ни один из которых не применим к нашему текущему сценарию. Нажмите «Далее».
6. На странице «Выбор служб ролей» установите флажок «Службы маршрутизации и удаленного доступа». Это установит галочки в полях Служба удаленного доступа и Маршрутизация. Нажмите «Далее».

Рисунок 14

7. Нажмите «Установить» на странице «Подтверждение выбора установки».
8. Нажмите «Закрыть» на странице «Результаты установки».

Включите сервер RRAS и настройте его как сервер VPN и NAT.

Теперь, когда роль сервера RRAS установлена, нам нужно включить службу RRAS, точно так же, как мы делали это в предыдущих версиях Windows. Нам нужно включить функцию VPN-сервера и службу NAT. Хотя понятно, почему нам нужно включить компонент VPN-сервера, вы можете задаться вопросом, почему нам нужно включить сервер NAT. Причина включения сервера NAT заключается в том, что внешние клиенты могут получить доступ к серверу сертификатов для подключения к CRL. Если клиент SSTP VPN не может загрузить список отзыва сертификатов, подключение SSTP VPN завершится ошибкой.

Чтобы разрешить доступ к CRL, мы настроим VPN-сервер как NAT-сервер и опубликуем CRL, используя обратный NAT. Клиент SSL VPN сначала подключится к ISA Firewall. Брандмауэр ISA будет настроен с правилом веб-публикации, которое разрешает подключения к URL-адресу, необходимому для доступа к CRL. Это правило веб-публикации также настроено для пересылки запроса на внешний интерфейс NAT-сервера. Сервер NAT на сервере VPN будет настроен на пересылку HTTP-запроса на сервер сертификатов, содержащий CRL.

Выполните следующие действия, чтобы включить службу RRAS:

1. В Диспетчере серверов разверните узел Роли в левой панели консоли. Разверните узел «Сетевая политика и службы доступа» и щелкните узел «Маршрутизация и удаленный доступ». Щелкните правой кнопкой мыши узел «Маршрутизация и удаленный доступ» и выберите «Настроить и включить маршрутизацию и удаленный доступ».

Рисунок 15

2. Нажмите «Далее» на странице «Добро пожаловать на страницу мастера настройки сервера маршрутизации и удаленного доступа».
3. На странице «Конфигурация» выберите «Доступ к виртуальной частной сети (VPN) и NAT» и нажмите «Далее».

Рисунок 16

4. На странице VPN-подключение выберите сетевой адаптер в разделе «Сетевые интерфейсы», который представляет собой внешний интерфейс VPN-сервера. Затем нажмите «Далее».
5. На странице «Назначение IP-адреса» выберите параметр « Автоматически ». Мы можем выбрать этот вариант, потому что у нас есть DHCP-сервер, установленный на контроллере домена за VPN-сервером. Если у вас не было DHCP-сервера, вам нужно было выбрать вариант «Из указанного диапазона адресов», а затем предоставить список адресов, которые VPN-клиенты могут использовать при подключении к сети через VPN-шлюз. Нажмите «Далее».

Рисунок 17

6. На странице Управление несколькими серверами удаленного доступа выберите Нет, использовать маршрутизацию и удаленный доступ для проверки подлинности запросов на подключение. Это вариант, который мы используем, когда нет доступных серверов NPS или RADIUS. Поскольку VPN-сервер является членом домена, вы можете аутентифицировать пользователей, используя учетные записи домена. Если бы VPN-сервер не был членом домена, то можно было бы использовать только локальные учетные записи на сервере VPN, если только вы не решите использовать сервер NPS. В будущем я напишу статью о том, как использовать сервер NPS. Нажмите «Далее».

Рисунок 18

7. Прочтите сводную информацию на странице «Завершение работы мастера настройки сервера маршрутизации и удаленного доступа» и нажмите «Готово».
8. Нажмите «ОК» в диалоговом окне «Маршрутизация и удаленный доступ», информируя вас о том, что для ретрансляции сообщений DHCP требуется агент ретрансляции DHCP.
9. В левой панели консоли разверните узел «Маршрутизация и удаленный доступ», а затем щелкните узел «Порты». На средней панели вы увидите, что теперь доступны подключения WAN Miniport для SSTP.

Рисунок 19

Настройте сервер NAT для публикации списка отзыва сертификатов.

Как я упоминал ранее, клиент SSL VPN должен иметь возможность загрузить CRL, чтобы подтвердить, что сертификат сервера на сервере VPN не был отозван. Для этого вам необходимо настроить устройство перед сервером сертификатов для пересылки HTTP-запросов о расположении CRL на сервер сертификатов.

Как узнать, к какому URL-адресу должен подключиться клиент SSL VPN, чтобы загрузить CRL? Эта информация содержится в самом сертификате. Если вы снова зайдете на VPN-сервер и дважды щелкните сертификат в консоли IIS, как делали ранее, вы сможете найти эту информацию.

Перейдите на вкладку «Подробности» сертификата, прокрутите вниз до записи «Точки распространения CRL» и щелкните эту запись. На нижней панели вы увидите различные точки распространения в зависимости от протокола, используемого для доступа к этим точкам. В сертификате, показанном на рисунке ниже, вы можете видеть, что нам нужно разрешить клиенту SSL VPN доступ к CRL через URL-адрес:

Рисунок 20

По этой причине вам необходимо создать общедоступную запись DNS для этого имени, чтобы внешние VPN-клиенты могли преобразовать это имя в IP-адрес на внешнем интерфейсе брандмауэра ISA. В этом примере нам нужно, чтобы win2008rc0-dc.msfirewall.org разрешал IP-адрес на внешнем интерфейсе брандмауэра ISA. Когда соединение достигает внешнего интерфейса брандмауэра ISA, он перенаправляет соединение на сервер NAT на сервере VPN, который затем выполняет обратный NAT и отправляет соединение в центр сертификации, на котором размещен CDP.

Здесь я должен отметить, что использование имени сайта CRL по умолчанию может быть не более безопасным вариантом, поскольку оно открывает доступ к имени частного компьютера в Интернете. Вы можете создать пользовательскую CDP (точку распространения CRL), чтобы предотвратить это, если вы считаете, что раскрытие частного имени вашего ЦС в общедоступном DNS является проблемой безопасности. Некоторую информацию о том, как изменить эти значения, можно найти в разделе Как изменить параметры политики для центра сертификации (ЦС) в Windows 2000.

Выполните следующие шаги, чтобы настроить RRAS NAT для пересылки HTTP-запросов на сервер сертификатов:

1. В левой панели диспетчера серверов разверните узел «Маршрутизация и удаленный доступ», а затем разверните узел IPv4. Нажмите на узел NAT.
2. В узле NAT щелкните правой кнопкой мыши внешний интерфейс в средней панели консоли. В этом примере имя внешнего интерфейса — Local Area Connection. Щелкните Свойства.

Рисунок 21

3. В диалоговом окне «Свойства подключения по локальной сети» установите флажок «Веб-сервер (HTTP)». Это вызывает диалоговое окно «Редактировать службу». В текстовом поле «Частный адрес» введите IP-адрес сервера сертификатов во внутренней сети. Нажмите ОК.

Рисунок 22

4. Нажмите «ОК» в диалоговом окне «Свойства подключения по локальной сети».

Рисунок 23

Теперь, когда сервер NAT установлен и настроен, мы можем переключить внимание на настройку сервера CA, брандмауэра ISA и клиента SSTP VPN.

Резюме

В этой статье мы начали с обсуждения проблем удаленного доступа VPN из отелей и того, как протокол SSTP помогает решить эти проблемы, позволяя устанавливать VPN-подключения через SSL-соединение через TCP-порт 443, который разрешен для всех брандмауэров. в этих средах. Затем мы установили службы сертификации на VPN-сервере, чтобы получить сертификат компьютера. После установки сертификата на сервер SSL VPN мы установили службы RRAS VPN и NAT на шлюз VPN. В завершение мы настроили NAT-сервер на VPN-шлюзе для переадресации входящих HTTP-соединений, перенаправленных брандмауэром ISA Firewall, на завершение в ЦС, на котором размещен CDP. На следующей неделе мы закончим настройку, настроив CA-сервер, ISA Firewall и SSTP VPN-клиент.

Если вы хотите прочитать следующие части этой серии статей, перейдите по ссылке:

• Публикация сервера Windows Server 2008 SSL VPN с использованием брандмауэров ISA 2006 (часть 2)
• Публикация сервера Windows Server 2008 SSL VPN с использованием брандмауэров ISA 2006 (часть 3)