Разрешение входящих подключений L2TP/IPSec через NAT через DMZ брандмауэра Back-to-Back брандмауэра ISA Server (часть 1)

Если вы хотите прочитать следующую часть этой серии статей, пожалуйста, прочитайте Разрешение входящих подключений L2TP/IPSec через NAT через DMZ брандмауэра Back-to-Back брандмауэра ISA Server (Часть 2)

Вы можете усилить безопасность своих VPN-подключений удаленного доступа, создав конфигурацию брандмауэра ISA firewall с обратной связью. В конфигурации брандмауэра ISA back-to-back внешний брандмауэр ISA имеет интерфейс, напрямую подключенный к Интернету, и второй интерфейс, подключенный к DMZ между внешним и внутренним брандмауэрами ISA. Внутренний брандмауэр ISA имеет интерфейс в DMZ между внешним и внутренним брандмауэрами ISA, а также интерфейс во внутренней сети.

Конфигурация брандмауэра ISA «спина к спине» создает DMZ между двумя брандмауэрами. Вы можете размещать общедоступные серверы в этой демилитаризованной зоне. Внешний брандмауэр ISA разрешает внешним пользователям доступ к серверам в DMZ, в то время как внутренний брандмауэр блокирует доступ внешних пользователей к ресурсам внутренней сети.

Вы можете настроить внешний брандмауэр ISA так, чтобы он принимал входящие соединения L2TP/IPSec VPN и перенаправлял эти соединения на внутренний брандмауэр ISA. Соединения VPN прекращаются на внутреннем брандмауэре ISA. Это означает, что соединение L2TP/IPSec VPN остается зашифрованным и безопасным даже при переходе между внешним и внутренним брандмауэрами ISA.

Мы обсудим следующие процедуры, необходимые для создания успешного VPN-подключения через внешний и внутренний брандмауэры ISA:

• Обзор сетевой топологии Back-to-Back ISA Firewall
• Настройте клиент L2TP/IPSec VPN NAT-T.
• Установите программное обеспечение брандмауэра ISA на внешний брандмауэр.
• Настройте внешний брандмауэр ISA для переадресации подключений L2TP/IPSec NAT-T к внутреннему брандмауэру ISA/VPN-серверу.
• Выдача сертификата машины внутреннему брандмауэру ISA/VPN-серверу
• Настройте внутренний брандмауэр ISA/VPN-сервер, чтобы разрешить подключения удаленного доступа через VPN.
• Установите VPN-подключение L2TP/IPSec к брандмауэру ISA/VPN-серверу с внешнего компьютера-клиента VPN.

Обзор сетевой топологии Back to Back ISA Firewall

Мы настроим лабораторную сеть так, чтобы REMOTEISA действовала в качестве внешнего брандмауэра, а затем настроим информацию об IP-адресации как на компьютерах REMOTEISA, так и на компьютерах ISALOCAL для поддержки конфигурации брандмауэра с обратной связью.

На рисунке ниже показана топология брандмауэра ISA Server 2004 вплотную друг к другу.

фигура 1

В приведенной ниже таблице показана схема IP-адресов для двухсторонней конфигурации брандмауэра ISA Server 2004.

Таблица 1

Эта сетевая топология позволит внешнему клиентскому компьютеру подключаться к внешнему брандмауэру ISA. Соединение с внешним брандмауэром ISA будет перенаправлено на внутренний брандмауэр ISA/VPN-сервер. После того, как VPN-клиент установит соединение с внутренним брандмауэром ISA Firewall, он сможет получить доступ к ресурсам внутренней сети. Кроме того, мы настроим правило доступа, которое позволит членам сети VPN-клиентов подключаться к Интернету. Это предотвращает использование VPN-клиентами собственного подключения к Интернету для доступа к интернет-ресурсам и обеспечивает соблюдение политики корпоративного брандмауэра, когда VPN-клиенты подключены к корпоративной сети.

Настройте VPN-клиент L2TP/IPSec

Если у вас Windows 2000 или любая версия Windows XP до SP2, вам необходимо загрузить и установить обновление L2TP/IPSec NAT-T для Windows XP и Windows 2000. Информацию об обновленном программном обеспечении VPN-клиента можно найти в базе знаний Microsoft. Статья 818043. Используйте каталог Windows, чтобы найти файл. Также имеется обновленный клиент для Windows 98, Windows NT 4.0 и Windows ME.

Учтите, что эти клиенты будут работать автоматически, поскольку они выпущены до Windows XP SP2. Версии более поздние, чем Windows XP SP1, включая Windows XP SP2 и Vista, содержат ошибку, нарушающую обход IPSec NAT. Для Windows XP SP2 и Vista вам не нужно загружать обновленный VPN-клиент, но вам нужно будет внести изменения в реестр, чтобы исправить ошибку обхода NAT.

Чтобы исправить ошибку обхода NAT в Windows Vista и Windows Server 2008, ознакомьтесь с этой статьей базы знаний http://support.microsoft.com/kb/926179 (спасибо «Justme» на форумах ISAserver.org за предоставленную информацию). ссылка на сайт!)

Выполните следующие шаги, чтобы найти и загрузить установочный файл обновления L2TP/IPSec NAT-T для клиентов до Windows XP SP2. В этом примере мы покажем, как загрузить обновление для Windows 2000 SP3.

1. Откройте Internet Explorer, откройте меню «Сервис» и нажмите «Центр обновления Windows».
2. На левой панели веб-страницы Центра обновления Windows найдите ссылку Каталог Центра обновления Windows и щелкните ее.
3. На странице Добро пожаловать в каталог Центра обновления Windows щелкните ссылку Найти обновления для операционных систем Microsoft Windows.
4. На странице Microsoft Windows выберите Windows 2000 SP3 в списке Операционные системы. Нажмите кнопку со стрелкой вниз рядом с параметрами расширенного поиска. В текстовом поле Содержит эти слова введите 818043. Нажмите кнопку «Поиск».

фигура 2

5. Нажмите ссылку «Рекомендовать обновления (1)» на странице «Ваш поиск дал 1 результат».
6. Запись 818043: рекомендуемое обновление для Windows 2000 появится в списке рекомендуемых обновлений (1). Прокрутите описание обновления вниз и нажмите кнопку «Добавить». Теперь нажмите на зеленую стрелку слева от надписи «Перейти к корзине загрузки».

Рисунок 3

7. На странице корзины загрузки введите путь на локальном жестком диске, куда будут загружены обновления. Нажмите кнопку «Загрузить сейчас» после ввода пути.

Рисунок 4

8. Появится диалоговое окно «Центр обновления Microsoft Windows — веб-страница», в котором вас попросят принять лицензионное соглашение. Нажмите кнопку «Принять».
9. Файл загружается в указанное вами место. Когда загрузка будет завершена, на странице истории загрузок будет показано точное местоположение файла. Запишите точное местоположение файла и откройте команду «Выполнить» в меню «Пуск».
10. Нажмите кнопку «Обзор» в диалоговом окне «Выполнить». Перейдите к местоположению файла и щелкните приложение Q818043_W2K_SP5_x86_EN.EXE, чтобы оно появилось в текстовом поле Имя файла. Нажмите кнопку Открыть. Нажмите OK в диалоговом окне «Выполнить », чтобы установить обновление.

Рисунок 5

11. В диалоговом окне «Выберите каталог для извлеченных файлов» введите путь к извлеченным файлам и нажмите «ОК».
12. Щелкните Далее на странице приветствия мастера установки Windows 2000 Q818043.
13. Прочтите Лицензионное соглашение на странице Лицензионное соглашение, а затем выберите вариант Принимаю. Нажмите «Далее».
14. Нажмите «Готово» на странице «Завершение работы мастера установки Windows 2000 Q818043». Компьютер автоматически перезагрузится

Войдите на машину как Администратор. С этого момента VPN-клиент Windows 2000 сможет использовать L2TP/IPSec в режиме NAT Traversal.

Если вы используете клиент Windows XP или клиент Windows Vista, вам нужно отредактировать реестр, прежде чем вы сможете установить соединение L2TP/IPSec с обходом NAT с внутренним брандмауэром ISA Firewall.

Установите программное обеспечение брандмауэра ISA на внешний брандмауэр.

Теперь давайте установим программное обеспечение брандмауэра ISA на внешний брандмауэр ISA. Это может быть ISA 2004 или 2006. В этом примере мы используем ISA 2004, но те же процедуры применимы к 2006. Эта машина будет иметь правило публикации сервера L2TP/IPSec NAT-T, которое перенаправляет соединения L2TP/IPSec на задний сервер. -конечный брандмауэр ISA/VPN-сервер. Обратите внимание, что VPN-подключение фактически заканчивается на внутреннем брандмауэре ISA, а не на внешнем брандмауэре ISA.

Выполните следующие шаги, чтобы установить программное обеспечение ISA Server 2004 на двойной компьютер с Windows Server 2003:

1. Вставьте компакт-диск с ISA Server 2004 в дисковод для компакт-дисков. Появится меню автозапуска.
2. На странице установки Microsoft Internet Security and Acceleration Server 2004 щелкните ссылку « Просмотреть примечания к выпуску» и прочитайте примечания к выпуску. Примечания к выпуску содержат полезную информацию о важных проблемах и параметрах конфигурации. Прочитав примечания к выпуску, закройте окно примечаний к выпуску и щелкните ссылку «Прочитать руководство по установке и функциям». Вам не нужно читать все руководство прямо сейчас, но вы можете распечатать его, чтобы прочитать позже. Закройте окно Руководство по установке и функциям. Щелкните ссылку Установить ISA Server 2004.
3. Нажмите «Далее» на странице «Добро пожаловать в мастер установки Microsoft ISA Server 2004».
4. Выберите параметр Я принимаю условия лицензионного соглашения на странице Лицензионное соглашение. Нажмите «Далее».
5. На странице «Информация о клиенте» введите свое имя и название вашей организации в текстовые поля «Имя пользователя» и «Организация». Введите серийный номер продукта. Нажмите «Далее».
6. На странице «Тип установки» выберите параметр «Пользовательский». Если вы не хотите устанавливать программное обеспечение ISA Server 2004 на диск C:, нажмите кнопку «Изменить», чтобы изменить расположение файлов программы на жестком диске. Нажмите «Далее».

Рисунок 6

7. На странице Custom Setup вы можете выбрать, какие компоненты установить. По умолчанию установлены службы брандмауэра и опции управления ISA Server. Средство проверки сообщений, которое используется для предотвращения входа и выхода спама и файловых вложений из сети, не установлено по умолчанию; также не является общим ресурсом для установки клиента брандмауэра. Вам необходимо установить службу SMTP IIS 6.0 на компьютер с брандмауэром ISA Server 2004 перед установкой Message Screener. Используйте настройки по умолчанию и нажмите «Далее». Обратите внимание, что при установке брандмауэра ISA 2006 средство проверки сообщений больше не является опцией, и что вы не можете установить общий ресурс клиента брандмауэра на компьютер брандмауэра ISA.

Рисунок 7

8. На странице Внутренняя сеть нажмите кнопку Добавить. Внутренняя сеть отличается от LAT, которая использовалась в ISA 2000. В случае ISA 2004 и 2006 внутренняя сеть содержит доверенные сетевые службы, с которыми должен иметь возможность общаться брандмауэр ISA. Примеры таких служб включают контроллеры домена Active Directory, DNS, DHCP, рабочие станции управления клиентами служб терминалов и другие. Системная политика брандмауэра автоматически использует определение внутренней сети для автоматического создания правил системной политики, которые позволяют ISA Firewall взаимодействовать с этими сетевыми службами.

Рисунок 8

9. На странице настройки внутренней сети нажмите кнопку «Выбор сетевого адаптера».

Рисунок 9

10. В диалоговом окне «Выбор сетевого адаптера» снимите флажок «Добавить следующие частные диапазоны …». Оставьте галочку в поле Добавить диапазоны адресов на основе таблицы маршрутизации Windows. Поставьте галочку в чекбоксе рядом с адаптером, подключенным к Внутренней сети. Причина, по которой мы снимаем галочку с флажка добавления диапазонов частных адресов, заключается в том, что вы можете захотеть использовать эти диапазоны частных адресов для демилитаризованной зоны. Внешний брандмауэр использует сеть периметра между собой и внутренним брандмауэром в качестве своей внутренней сети. Нажмите ОК.
11. Нажмите OK в диалоговом окне Setup Message, информирующем вас о том, что внутренняя сеть была определена на основе таблицы маршрутизации Windows.
12. Нажмите «ОК» в диалоговом окне «Диапазоны внутренних сетевых адресов».
13. Нажмите «Далее» на странице «Внутренняя сеть».
14. На странице «Параметры подключения клиента брандмауэра» используйте параметр по умолчанию, требующий зашифрованных подключений клиента брандмауэра, и нажмите «Далее».
15. На странице «Службы» нажмите «Далее».
16. Нажмите «Установить» на странице «Все готово к установке программы».
17. На странице «Завершение работы мастера установки» нажмите «Готово».
18. Нажмите «Да» в диалоговом окне Microsoft ISA Server, информируя вас о том, что компьютер необходимо перезагрузить.

Войдите в систему как администратор после перезагрузки компьютера

Настройте внешний брандмауэр ISA для переадресации соединений L2TP/IPSec на внутренний брандмауэр ISA/VPN-сервер.

Вам необходимо создать правило публикации сервера, которое будет перенаправлять входящие соединения L2TP/IPSec на внутренний брандмауэр. ISA Firewall включает встроенные определения протоколов L2TP/IPSec, которые вы можете использовать для публикации сервера.

Выполните следующие шаги для настройки внешнего компьютера с брандмауэром ISA:

1. В консоли брандмауэра ISA разверните имя сервера и щелкните узел Политика брандмауэра.
2. Щелкните правой кнопкой мыши узел «Политика брандмауэра», выберите « Создать» и щелкните «Правило публикации сервера».
3. На странице Вас приветствует мастер создания нового правила публикации сервера введите имя правила публикации сервера в текстовом поле Имя правила публикации сервера. В этом примере мы назовем правило L2TP/IPSec NAT-T. Нажмите «Далее».
4. На странице Select Server введите IP-адрес внешнего интерфейса внутреннего брандмауэра ISA/VPN-сервера в текстовом поле IP-адрес сервера. В этом примере IP-адрес — 10.0.2.2, поэтому мы введем это значение в текстовое поле. Нажмите «Далее».
5. На странице «Выбор протокола» нажмите «Создать».
6. На странице Добро пожаловать в мастер создания нового определения протокола введите имя определения протокола в текстовом поле Имя определения протокола. В этом примере мы будем называть его L2TP/IPSec NAT-T. Нажмите «Далее».
7. На странице «Информация об основном подключении» нажмите кнопку «Создать».
8. На странице New/Edit Protocol Definition задайте тип протокола как UDP. Установите направление как Receive Send. Установите параметры диапазона портов From 4500 и To 4500. Нажмите ОК.

Рисунок 10

9. На странице «Информация об основном подключении» нажмите кнопку «Создать».
10. На странице New/Edit Protocol Definition установите тип протокола как UDP. Установите направление как Receive Send. Установите параметры диапазона портов From 500 и To 500. Нажмите ОК.
11. Нажмите «Далее» на странице «Мастер определения нового протокола».

Рисунок 11

12. Выберите параметр «Нет» на странице «Вторичные подключения».
13. Нажмите «Готово» на странице «Завершение работы мастера определения нового протокола».
14. Нажмите «Далее» на странице «Выбор протокола».
15. На странице «IP-адреса» поставьте галочку в поле «Внешний» и нажмите «Далее».

Рисунок 12

16. Нажмите «Готово» на странице «Завершение работы мастера создания правила публикации нового сервера».
17. Нажмите «Применить», чтобы сохранить изменения и обновить политику брандмауэра.
18. Нажмите «ОК» в диалоговом окне «Применить новую конфигурацию».

Следующим шагом является создание правила доступа, которое разрешает внутреннему брандмауэру ISA/VPN-серверу исходящий доступ в Интернет. Это правило ограничивает исходящий доступ в Интернет внешним адресом внутреннего брандмауэра. В производственной среде вы должны создать правила доступа на внешнем брандмауэре ISA, которые разрешают только те протоколы, к которым вы разрешили исходящий доступ на внутреннем брандмауэре.

Выполните следующие шаги, чтобы создать правило исходящего доступа:

1. В консоли управления Microsoft Internet Security and Acceleration Server 2004 щелкните вкладку Задачи на панели задач. Щелкните ссылку Создать новое правило доступа.
2. На странице Добро пожаловать на страницу мастера нового правила доступа введите имя правила в текстовом поле Имя правила доступа. В этом примере мы назовем правило Outbound from Back-end Firewall. Нажмите «Далее».
3. На странице «Действие правила» выберите параметр «Разрешить» и нажмите «Далее».
4. На странице Протоколы примите параметр по умолчанию Все исходящие протоколы в списке Это правило применяется к. Нажмите «Далее».

Рисунок 13

5. На странице «Источники правил доступа» нажмите «Добавить». В диалоговом окне «Добавить сетевые объекты» щелкните меню «Создать». Щелкните запись Компьютер в списке. В диалоговом окне «Новый элемент правила для компьютера» введите имя внутреннего брандмауэра в текстовом поле «Имя». В текстовом поле IP-адрес компьютера введите IP-адрес внешнего интерфейса внутреннего брандмауэра. В этом примере IP-адрес — 10.0.2.2, поэтому мы введем этот адрес в текстовое поле. Нажмите ОК.

Рисунок 14

Рисунок 15

6. В диалоговом окне «Добавить сетевые объекты» щелкните папку «Компьютеры». Дважды щелкните запись «Внутренний брандмауэр», затем нажмите «Закрыть». Нажмите «Далее» на странице «Источники правил доступа».
7. На странице «Назначения правил доступа» нажмите «Добавить». В диалоговом окне «Добавить сетевые объекты» щелкните папку «Сети», а затем дважды щелкните «Внешний». Щелкните Закрыть. Нажмите «Далее» в диалоговом окне «Назначения правил доступа».
8. На странице «Наборы пользователей» примите значение по умолчанию « Все пользователи» и нажмите «Далее».
9. Нажмите «Готово» на странице «Завершение работы мастера создания нового правила доступа».
10. Нажмите «Применить», чтобы сохранить изменения и обновить политику брандмауэра.
11. Нажмите «ОК» в диалоговом окне «Применить новую конфигурацию».

Рисунок 16

Резюме

В этой первой части серии из двух частей о том, как настроить внешний и внутренний брандмауэр ISA, чтобы разрешить входящие подключения L2TP/IPSec к внутреннему брандмауэру ISA, мы рассмотрели топологию сети для лабораторной работы., а затем настроил подключение VPN-клиента. Затем мы установили внешнее программное обеспечение ISA Firewall и настроили правило публикации сервера L2TP/IPSec на внешнем ISA Firewall. В следующей статье мы закончим настройку внутреннего брандмауэра ISA Firewall и тестирование VPN-подключения. Тогда увидимся! -Том.