Публикация сервера Windows Server 2008 SSL VPN с использованием брандмауэров ISA 2006 (часть 3)

Опубликовано: 10 Апреля, 2023

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылке:

В первых двух частях этой серии статей о том, как опубликовать сервер SSTP SSL VPN на базе Windows Server 2008, мы рассмотрели проблемы доступа к VPN из гостиничных и других общедоступных сетей, а затем рассмотрели настройку веб-сайта CDP и ISA. Брандмауэр. Мы также включили учетную запись пользователя для телефонного доступа.

В этой, третьей части и части статьи серии, мы настроим клиент SSL VPN, чтобы он мог подключаться к серверу SSTP SSL VPN, а затем протестируем соединение. Мы рассмотрим некоторую подтверждающую информацию о клиенте SSL VPN, брандмауэре ISA и сервере RRAS, чтобы убедиться, что соединение SSTP прошло успешно.

Полное описание того, как получить рабочую конфигурацию, см. в части 1 этой серии.

Настройте файл HOSTS на VPN-клиенте

Теперь мы можем переключить внимание на VPN-клиент. Первое, что нам нужно сделать на клиенте, это настроить файл HOSTS, чтобы мы могли имитировать общедоступную инфраструктуру DNS. Есть два имени, которые нам нужно ввести в файл HOSTS (и то же самое верно для общедоступного DNS-сервера, который вы будете использовать в производственной среде). Первое имя — это имя VPN-сервера, определяемое общим/субъектным именем в сертификате, который мы привязали к серверу SSL VPN. Второе имя, которое нам нужно ввести в файл HOSTS (или общедоступный DNS-сервер), — это URL-адрес CDP, который находится в сертификате. Мы видели расположение информации CDP в части 1 этой серии.

Помните, что эти имена во многом разрешаются в IP-адрес внешнего интерфейса брандмауэра ISA, который прослушивает входящие подключения, как определено настройками правила публикации и прослушивателя.

Два имени, которые нам нужно ввести в файл HOSTS в этом примере:

Выполните следующие шаги на VPN-клиенте Vista SP1, чтобы настроить файл HOSTS:

  1. Нажмите кнопку «Пуск», введите c:windowssystem32driversetchosts в поле поиска и нажмите ENTER.
  2. В диалоговом окне «Открыть с помощью» дважды щелкните «Блокнот».
  3. Введите записи файла HOSTS, используя формат, как показано на рисунке ниже. Убедитесь, что вы нажимаете ввод после последней строки, чтобы курсор появился под последней строкой.


фигура 1

  1. Закройте файл и выберите вариант сохранения при появлении запроса.

Используйте PPTP для подключения к VPN-серверу

Мы приближаемся к созданию соединения SSL VPN! Следующим шагом является создание VPN-коннектоида на клиенте Vista SP1, который позволит нам установить начальное VPN-подключение к VPN-серверу. Нам нужно сделать это в нашем текущем сценарии, потому что клиентский компьютер не является членом домена. Поскольку машина не является членом домена, она не будет иметь автоматически установленный сертификат ЦС в хранилище сертификатов машины доверенных корневых центров сертификации. Если бы машина была членом домена, автоматическая регистрация позаботилась бы об этой проблеме за нас, поскольку мы установили ЦС предприятия.

Самый простой способ сделать это — создать PPTP-соединение между VPN-клиентом Vista SP1 и VPN-сервером Windows Server 2008. По умолчанию VPN-сервер будет поддерживать соединения PPTP, и клиент сначала попробует PPTP, а затем L2TP/IPSec, а затем SSTP. Для этого нам нужно создать VPN-коннектоид или объект подключения.

Выполните следующие шаги на VPN-клиенте, чтобы создать коннектоид:

  1. В VPN-клиенте щелкните правой кнопкой мыши значок сети в трее и выберите Центр управления сетями и общим доступом.
  2. В окне «Центр общего доступа к сети» щелкните ссылку « Настроить подключение или сеть» в левой части окна.
  3. На странице «Выбор варианта подключения» щелкните запись « Подключиться к рабочему месту» и нажмите «Далее».


фигура 2

  1. На странице Как вы хотите подключиться выберите запись Использовать мое подключение к Интернету (VPN).


Рисунок 3

  1. На странице Введите интернет-адрес для подключения введите имя сервера SSL VPN. Убедитесь, что это имя совпадает с общим именем сертификата, используемого сервером SSL VPN. В этом примере имя — sstp.msfirewall.org. Введите имя назначения. В этом примере мы назовем пункт назначения SSL VPN. Нажмите «Далее».


Рисунок 4

  1. На странице Введите имя пользователя и пароль введите Имя пользователя, Пароль и Домен. Щелкните Подключить.


Рисунок 5

  1. Нажмите Закрыть на странице Вы подключены.


Рисунок 6

  1. На странице Выберите расположение для сети «SSL VPN» выберите параметр Работа.


Рисунок 7

  1. Нажмите «Продолжить» в приглашении UAC.
  2. Нажмите «Закрыть» на странице «Настройки сети успешно установлены».


Рисунок 8

  1. В Центре управления сетями и общим доступом щелкните ссылку Просмотр состояния в разделе SSL VPN, как показано на рисунке ниже. В диалоговом окне Состояние SSL VPN вы увидите, что тип VPN-подключения — PPTP. Нажмите «Закрыть» в диалоговом окне «Статус SSL VPN».


Рисунок 9

  1. Откройте командную строку и пропингуйте контроллер домена. В этом примере IP-адрес контроллера домена — 10.0.0.2. Если ваше VPN-подключение установлено успешно, вы получите ответ ping от контроллера домена.


Рисунок 10

Получите сертификат ЦС от ЦС предприятия

Клиент SSL VPN должен доверять ЦС, выдавшему сертификат, используемый сервером SSTP VPN. Чтобы установить это доверие, нам нужно установить сертификат ЦС того ЦС, который выдал сертификат VPN-сервера. Мы можем сделать это, подключившись к веб-сайту регистрации в ЦС во внутренней сети и установив сертификат в хранилище сертификатов доверенных корневых центров сертификации клиента VPN.

Выполните следующие действия, чтобы получить сертификат с веб-сайта регистрации:

  1. На клиенте VPN, подключенном к серверу VPN по каналу PPTP, введите http://10.0.0.2/certsrv в адресной строке Internet Explorer и нажмите клавишу ВВОД.
  2. Введите допустимое имя пользователя и пароль в диалоговом окне учетных данных. В этом примере мы будем использовать имя пользователя и пароль учетной записи администратора домена по умолчанию.
  3. На странице приветствия веб-сайта регистрации щелкните ссылку Загрузить сертификат ЦС, цепочку сертификатов или CRL.


Рисунок 11

  1. Щелкните Разрешить в диалоговом окне с предупреждением о том, что веб-сайт хочет открыть веб-контент с помощью этой программы на вашем компьютере. Затем нажмите «Закрыть» в диалоговом окне «Заметили ли вы панель информации», если оно появилось.


Рисунок 12

  1. Обратите внимание, что панель информации информирует вас о том, что веб-сайт может работать неправильно, поскольку элемент управления ActiveX заблокирован. Это не должно быть проблемой, так как мы будем загружать сертификат ЦС и использовать сертификаты MMC для установки сертификата. Щелкните ссылку Загрузить сертификат ЦС.


Рисунок 13

  1. В диалоговом окне «Загрузка файла — предупреждение системы безопасности» нажмите кнопку «Сохранить». Сохраните сертификат на рабочий стол.


Рисунок 14

  1. Нажмите «Закрыть» в диалоговом окне «Загрузка завершена».
  2. Закройте Internet Explorer.

Теперь нам нужно установить сертификат CA в хранилище сертификатов Trusted Root Certification Authorities на машине VPN-клиента. Для установки сертификата выполните следующие действия:

  1. Нажмите «Пуск», а затем введите mmc в поле поиска. Нажмите Ввод.
  2. Нажмите «Продолжить» в диалоговом окне UAC.
  3. В окне Console1 откройте меню «Файл» и выберите «Добавить/удалить оснастку».
  4. В диалоговом окне «Добавить или удалить оснастки» щелкните запись «Сертификаты» в списке «Доступные оснастки» и нажмите «Добавить».
  5. На странице оснастки «Сертификаты» выберите параметр «Учетная запись компьютера» и нажмите «Готово».
  6. На странице «Выбор компьютера» выберите параметр «Локальный компьютер» и нажмите «Готово».
  7. Нажмите «ОК» в диалоговом окне «Добавить или удалить оснастки».
  8. В левой панели консоли разверните узел Сертификаты (локальный компьютер), а затем разверните узел Доверенные корневые центры сертификации. Нажмите на узел Сертификаты. Щелкните правой кнопкой мыши узел «Сертификаты», выберите «Все задачи» и нажмите «Импорт».


Рисунок 15

  1. Нажмите «Далее» на странице «Добро пожаловать в мастер импорта сертификатов».
  2. На странице «Файл для импорта» нажмите кнопку «Обзор», чтобы найти сертификат, затем нажмите «Далее».


Рисунок 16

  1. На странице Хранилище сертификатов убедитесь, что выбран параметр Поместить все сертификаты в следующее хранилище и что в списке указано хранилище Доверенных корневых центров сертификации. Нажмите «Далее».


Рисунок 17

  1. Нажмите «Готово» на странице «Завершение импорта сертификата».
  2. Нажмите OK в диалоговом окне, сообщающем об успешном импорте.
  3. Теперь сертификат появится в консоли, как показано на рисунке ниже.


Рисунок 18

  1. Закройте консоль ММС.

Настройте клиент для использования SSTP и подключитесь к VPN-серверу с помощью SSTP.

Мы почти на месте! Теперь нам нужно отключить VPN-соединение и настроить VPN-клиент на использование SSTP для своего VPN-протокола. В производственной среде вам не нужно, чтобы пользователи выполняли этот шаг, так как вы будете использовать комплект администрирования диспетчера подключений для создания коннектоида VPN для пользователя, который настроит клиент на использование SSTP, или вы должны настроить только Порты SSTP на сервере VPN.

Это зависит от вашей среды, так как вы хотите рассчитать время, чтобы пользователи могли использовать PPTP некоторое время, пока вы развертываете сертификаты. Конечно, вы всегда можете внедрить сертификаты CA вне диапазона, например, через загрузку с веб-сайта или по электронной почте, и в этом случае вам не нужно будет разрешать PPTP. Но тогда, если у вас есть клиенты нижнего уровня, которые не поддерживают SSTP, вам нужно будет разрешить PPTP или L2TP/IPSec, поэтому вы не сможете отключить все порты, отличные от SSTP. В этом случае вам придется полагаться на ручную настройку или обновленный пакет CMAK.

Другой вариант — привязать прослушиватель SSTP к определенному IP-адресу на сервере RRAS. В этом случае вы можете создать собственный пакет CMAK, который указывает только на IP-адрес на сервере SSL VPN, прослушивающем входящие соединения SSTP. Другие адреса на сервере SSTP VPN будут прослушивать соединения PPTP и/или L2TP/IPSec.

Выполните следующие шаги, чтобы отключить сеанс PPTP и настроить коннектоид VPN-клиента для использования SSTP:

  1. На клиентском компьютере VPN откройте Центр управления сетями и общим доступом, как вы это делали ранее.
  2. В окне «Центр управления сетями и общим доступом» нажмите ссылку «Отключить », которая находится сразу под ссылкой «Просмотреть статус», которую мы использовали ранее. Раздел SSL VPN исчезнет из Центра управления сетями и общим доступом.
  3. В Центре управления сетями и общим доступом щелкните ссылку Управление сетевыми подключениями.
  4. Щелкните правой кнопкой мыши ссылку SSL VPN и выберите команду «Свойства».


Рисунок 19

  1. В диалоговом окне «Свойства SSL VPN» перейдите на вкладку «Сеть». В раскрывающемся списке «Тип VPN» щелкните стрелку вниз, выберите параметр «Протокол защищенного туннелирования сокетов» (SSTP) и нажмите «ОК».


Рисунок 20

  1. Дважды щелкните коннектоид SSL VPN в окне «Сетевые подключения».
  2. В диалоговом окне Подключить SSL VPN нажмите кнопку Подключить.
  3. После завершения подключения щелкните правой кнопкой мыши коннектоид SSL VPN в окне «Сетевые подключения» и выберите «Статус».


Рисунок 21

  1. В диалоговом окне «Статус SSL VPN» вы можете увидеть, что соединение SSTP WAN Miniport установлено.


Рисунок 22

  1. Если вы перейдете на VPN-сервер и откроете консоль маршрутизации и удаленного доступа, вы подтвердите, что соединение SSTP установлено.


Рисунок 23

Если вы посмотрите в консоль ISA Firewall, вы увидите несколько записей в журнале, указывающих на соединение SSL VPN. Интересной находкой является то, что клиент SSTP VPN, кажется, также хочет отправлять соединения LDAP на брандмауэр ISA. Не уверен, почему это так, но я буду продолжать искать в блоге группы RRAS дополнительную информацию об этом, и я напишу об этой ситуации в блоге, когда узнаю ответ. (К сожалению, я не смог зафиксировать это поведение при перезапуске Клиент SSTP VPN, что делает вывод еще более странным.)


Рисунок 24

Если у вас возникли проблемы с конфигурацией сервера SSTP SSL VPN, в блоге команды RRAS есть фантастическое руководство по устранению неполадок, в котором есть множество условий ошибок и возможные исправления для каждого из условий ошибки. Ознакомьтесь с их руководством по устранению неполадок, Как отлаживать определенные сбои соединения SSTP.

Резюме

В этой заключительной части нашей серии статей о том, как опубликовать сервер Windows Server 2008 SSL VPN с помощью брандмауэра ISA 2006, мы завершили настройку учетной записи пользователя, веб-сайта CRL, брандмауэра ISA и клиента SSL VPN. Мы завершили подключение SSTP и подтвердили, что оно прошло успешно. Надеюсь, вам понравилась эта серия, и вы всегда можете написать мне с вопросами по адресу [email protected]. Спасибо! -Том.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023