Разрешение входящих подключений L2TP/IPSec с обходом NAT через DMZ брандмауэра Back-to-Back брандмауэра ISA Server (часть 2)
В первой части этой серии из двух частей мы начали с описания инфраструктуры, используемой в лабораторной среде, а затем перешли к загрузке и настройке программного обеспечения VPN-клиента. Затем мы установили внешний брандмауэр ISA Firewall и создали правила публикации серверов, необходимые для разрешения соединений L2TP/IPSec с внутренним брандмауэром ISA Firewall.
В этой, второй и последней части серии, мы закончим настройкой клиентских систем с сертификатами машин и настроим внутренний брандмауэр ISA Firewall. Мы заканчиваем тестированием соединения VPN-клиента и просмотром характеристик соединения в файлах журнала ISA Firewall и мониторе сеанса.
Обсудить эту статью |
Выдача сертификата компьютера внутреннему брандмауэру
Теперь мы можем запросить сертификат для внутреннего брандмауэра на веб-сайте регистрации ЦС предприятия. После получения сертификата мы скопируем сертификат ЦС в хранилище сертификатов доверенных корневых центров сертификации машины.
По умолчанию брандмауэр ISA заблокирован с помощью строгого контроля доступа. Вам потребуется включить правило системной политики, которое позволяет внутреннему брандмауэру обмениваться данными с ЦС предприятия во внутренней сети.
Выполните следующие шаги, чтобы включить правило системной политики на внутреннем брандмауэре ISA:
- В консоли брандмауэра ISA разверните имя сервера и щелкните узел «Политика брандмауэра ».
- Щелкните правой кнопкой мыши узел «Политика брандмауэра», выберите « Просмотр» и выберите «Показать правила системной политики».
- В списке «Правила системной политики» дважды щелкните «Разрешить HTTP от ISA Server ко всем сетям для загрузки CRL».
фигура 1
- В диалоговом окне «Редактор системной политики» установите флажок «Включить» на вкладке «Общие». Нажмите ОК.
фигура 2
- Нажмите «Применить», чтобы сохранить изменения и обновить политику брандмауэра.
- Нажмите «ОК» в диалоговом окне «Применить новую конфигурацию».
Выполните следующие шаги на брандмауэре ISA Server 2004 главного офиса, чтобы запросить и установить сертификаты:
- Откройте Internet Explorer. В адресной строке введите http://10.0.0.2/certsrv и нажмите OK.
- В диалоговом окне «Введите сетевой пароль» введите « Администратор» в текстовом поле «Имя пользователя » и введите пароль администратора в текстовом поле «Пароль». Нажмите ОК.
- В диалоговом окне безопасности Internet Explorer нажмите «Добавить». В диалоговом окне «Надежные сайты» нажмите «Добавить», затем нажмите «Закрыть».
- Щелкните ссылку Запросить сертификат на странице приветствия.
- На странице Запрос сертификата щелкните ссылку расширенного запроса сертификата.
- На странице «Расширенный запрос сертификата» нажмите ссылку «Создать и отправить запрос в этот ЦС».
- На странице «Расширенный запрос сертификата» выберите сертификат администратора из списка «Шаблон сертификата». Установите флажок « Хранить сертификат в хранилище сертификатов локального компьютера». Щелкните Отправить.
- Нажмите «Да» в диалоговом окне «Потенциальное нарушение сценариев».
- На странице Сертификат выдан щелкните ссылку Установить этот сертификат.
- Нажмите «Да» на странице «Потенциальное нарушение сценариев».
- Закройте браузер после просмотра страницы «Сертификат установлен».
- Нажмите «Пуск», а затем нажмите « Выполнить ». Введите mmc в текстовое поле «Открыть» и нажмите «ОК».
- В консоли Console1 откройте меню «Файл» и выберите команду «Добавить/удалить оснастку».
- Нажмите «Добавить » в диалоговом окне «Добавить/удалить оснастку».
- Выберите запись «Сертификаты» в списке «Доступные автономные оснастки» в диалоговом окне «Добавить автономную оснастку». Щелкните Добавить.
- Выберите параметр «Учетная запись компьютера» на странице оснастки «Сертификаты».
- Выберите параметр «Локальный компьютер» на странице «Выбрать компьютер».
- Нажмите «Закрыть » в диалоговом окне «Добавить автономную оснастку».
- Нажмите «ОК» в диалоговом окне «Добавить/удалить оснастку».
- В левой панели консоли разверните узел Сертификаты (локальный компьютер) и разверните узел Личный. Щелкните узел PersonalCertificates. Дважды щелкните сертификат администратора на правой панели консоли.
- В диалоговом окне Сертификат щелкните вкладку Путь сертификации. В верхней части иерархии сертификатов, видимой во фрейме Certification path, находится корневой сертификат CA. Щелкните сертификат EXCHANGE2003BE вверху списка. Нажмите кнопку Просмотреть сертификат.
- В диалоговом окне Сертификат сертификата ЦС щелкните вкладку Сведения. Нажмите кнопку Копировать в файл.
- Нажмите «Далее» на странице «Добро пожаловать в мастер экспорта сертификатов».
- На странице «Формат файла экспорта» выберите параметр «Стандарт синтаксиса шифровальных сообщений — сертификаты PKCS #7 (.P7B)» и нажмите «Далее».
- На странице «Файл для экспорта» введите c:cacert в текстовом поле «Имя файла». Нажмите «Далее».
- Нажмите «Готово» на странице «Завершение работы мастера экспорта сертификатов».
- Нажмите «ОК» в диалоговом окне «Мастер экспорта сертификатов».
- Нажмите OK в диалоговом окне Сертификат. Нажмите OK еще раз в диалоговом окне Сертификат.
- В левой панели консоли разверните узел Доверенные корневые центры сертификации и щелкните узел Сертификаты. Щелкните правой кнопкой мыши узел Доверенные корневые центры сертификацииСертификаты, выберите Все задачи и щелкните Импорт.
- Нажмите «Далее» на странице «Добро пожаловать в мастер импорта сертификатов».
- На странице «Файл для импорта» используйте кнопку «Обзор», чтобы найти сертификат ЦС, сохраненный на локальном жестком диске, и нажмите «Далее».
- На странице «Хранилище сертификатов» примите настройки по умолчанию и нажмите «Далее».
- Нажмите «Готово» на странице «Завершение работы мастера импорта сертификатов».
Нажмите «ОК» в диалоговом окне «Мастер импорта сертификатов», информируя вас об успешном импорте.
Настройте внутренний брандмауэр ISA/VPN-сервер, чтобы разрешить подключения удаленного доступа через VPN
По умолчанию компонент VPN-сервера отключен. Первым шагом является включение функции VPN-сервера и настройка компонентов VPN-сервера.
Выполните следующие шаги, чтобы включить и настроить брандмауэр ISA/VPN-сервер:
- Откройте консоль ISA Firewall и разверните имя сервера. Щелкните узел Виртуальные частные сети (VPN).
- Нажмите на вкладку «Задачи» на панели задач. Щелкните ссылку Включить доступ к VPN-клиенту.
Рисунок 3
- Нажмите «Применить», чтобы сохранить изменения и обновить политику брандмауэра.
- Нажмите «ОК» в диалоговом окне «Применить новую конфигурацию».
- Нажмите ссылку «Настроить доступ к VPN-клиенту» на вкладке «Задачи».
- На вкладке «Общие» измените значение параметра «Максимальное количество VPN-клиентов» с 5 на 10.
Рисунок 4
- Нажмите на вкладку Группы. На вкладке «Группы» нажмите кнопку «Добавить».
- В диалоговом окне «Выбор групп» нажмите кнопку «Местоположения». В диалоговом окне Locations щелкните запись msfirewall.org и нажмите OK.
- В диалоговом окне «Выбрать группу» введите «Пользователи домена» в текстовом поле «Введите имена объектов для выбора ». Нажмите кнопку Проверить имена. Имя группы будет подчеркнуто, если оно будет найдено в Active Directory. Нажмите ОК. Обратите внимание, что этот параметр работает, только если вы настраиваете свой домен в режиме Windows Server 2003 через Active Directory. Если вы этого не сделаете, вам придется настраивать каждую учетную запись отдельно, чтобы включить телефонный доступ, а также вам не нужно будет ничего вводить в это диалоговое окно на вкладке «Группы».
Рисунок 5
- Перейдите на вкладку Протоколы. На вкладке «Протоколы» установите флажок «Включить L2TP/IPSec».
Рисунок 6
- На вкладке Задачи щелкните ссылку Выбрать сети доступа.
Рисунок 7
- В диалоговом окне «Свойства виртуальных частных сетей (VPN)» щелкните вкладку Сети доступа. Обратите внимание, что установлен флажок Внешний. Это указывает на то, что внешний интерфейс прослушивает входящие подключения VPN-клиента.
- Перейдите на вкладку Назначение адреса. Выберите внутренний интерфейс из списка в списке Использовать следующую сеть для получения служб DHCP, DNS и WINS. Это критический параметр, так как он определяет сеть, в которой осуществляется доступ к DHCP.
Рисунок 8
Обсудить эту статью |
- Нажмите на вкладку Аутентификация. Обратите внимание, что по умолчанию включена только шифрованная проверка подлинности Майкрософт версии 2 (MS-CHAPv2). В следующих документах этого комплекта развертывания VPN для ISA Server 2004 мы включим опцию EAP, чтобы можно было использовать пользовательские сертификаты с высоким уровнем безопасности для аутентификации на VPN-сервере брандмауэра ISA. Обратите внимание на флажок Разрешить пользовательскую политику IPSec для подключения L2TP. Если вы не хотите создавать инфраструктуру открытого ключа или находитесь в процессе ее создания, но еще не закончили, вы можете установить этот флажок, а затем ввести предварительно общий ключ. В настоящее время мы не будем включать эту опцию.
Рисунок 9
- Щелкните вкладку РАДИУС. Здесь вы можете настроить сервер VPN брандмауэра ISA для использования RADIUS для аутентификации пользователей VPN. Преимущество аутентификации RADIUS заключается в том, что вы можете использовать базу данных пользователей Active Directory (и другие) для аутентификации пользователей без необходимости присоединения к домену Active Directory.
Рисунок 10
- Нажмите «Применить» в диалоговом окне «Свойства виртуальной частной сети (VPN)», а затем нажмите «ОК».
- Нажмите «Применить», чтобы сохранить изменения и обновить политику брандмауэра.
- Нажмите «ОК» в диалоговом окне «Применить новую конфигурацию».
- Перезапустите машину с брандмауэром ISA.
Устройство получит блок IP-адресов от DHCP-сервера во внутренней сети при перезапуске. Обратите внимание, что в производственной сети, где DHCP-сервер расположен в сегменте сети, удаленном от брандмауэра ISA, на всех промежуточных маршрутизаторах необходимо включить BOOTP или ретрансляцию DHCP, чтобы DHCP-запросы от брандмауэра могли достигать удаленных DHCP-серверов.
Создайте правило доступа, разрешающее VPN-клиентам доступ к внутренней сети и Интернету
Брандмауэр ISA сможет принимать входящие VPN-подключения после перезапуска. Однако клиенты VPN не могут получить доступ к каким-либо ресурсам во внутренней сети или в Интернете, поскольку нет правил доступа, разрешающих такой доступ. Вы должны создать правило доступа, которое разрешает членам сети VPN-клиентов доступ к внутренней сети и Интернету. В отличие от других комбинированных решений VPN-сервера с брандмауэром, VPN-сервер брандмауэра ISA применяет контроль доступа к сети для доступа к сети для VPN-клиентов.
Примечание:
Клиентам VPN не должно быть разрешено подключаться напрямую к Интернету, когда они подключены к корпоративной сети. По умолчанию клиентское программное обеспечение Microsoft VPN не позволяет клиенту VPN подключаться к Интернету, кроме как через VPN-подключение. Отключение параметра безопасности VPN-клиента, который заставляет VPN-клиент подключаться к Интернету через собственное интернет-соединение, называется раздельным туннелированием. Следует избегать раздельного туннеля из-за сопутствующих рисков безопасности.
В этом примере вы создадите правило доступа, позволяющее всему трафику проходить из сети VPN-клиентов во внутреннюю сеть и Интернет. В производственной среде вы должны создать более строгие правила доступа, чтобы пользователи в сети VPN-клиентов имели доступ только к тем ресурсам, которые им требуются во внутренней сети и Интернете..
Выполните следующие шаги, чтобы создать правило доступа, которое разрешает VPN-клиентам неограниченный доступ к внутренней сети и Интернету через внутренний брандмауэр ISA:
- В консоли брандмауэра ISA разверните имя сервера и щелкните узел Политика брандмауэра. Щелкните правой кнопкой мыши узел «Политика брандмауэра», выберите « Создать» и щелкните «Правило доступа».
- На странице Добро пожаловать на страницу мастера нового правила доступа введите имя правила в текстовом поле Имя правила доступа. В этом примере мы назовем правило VPN Client to Internal/Internet. Нажмите «Далее».
- На странице «Действие правила» выберите параметр «Разрешить» и нажмите «Далее».
- На странице Протоколы выберите параметр Все исходящие протоколы в списке Это правило применяется к. Нажмите «Далее».
Рисунок 11
- На странице «Источники правил доступа» нажмите кнопку «Добавить». В диалоговом окне «Добавить сетевые объекты» щелкните папку «Сети» и дважды щелкните VPN-клиенты. Щелкните Закрыть.
Рисунок 12
- Нажмите «Далее» на странице «Источники правил доступа».
- На странице «Назначения правил доступа» нажмите кнопку «Добавить». В диалоговом окне «Добавить сетевые объекты» щелкните папку «Сети» и дважды щелкните «Внутренние». Затем дважды щелкните Внешний. Щелкните Закрыть. Нажмите «Далее» на странице «Назначения правил доступа».
Рисунок 13
- На странице «Наборы пользователей» примите значение по умолчанию « Все пользователи» и нажмите «Далее».
Рисунок 14
- Нажмите «Готово» на странице «Завершение работы мастера создания нового правила доступа».
- Нажмите «Применить», чтобы сохранить изменения и обновить политику брандмауэра.
- Нажмите «ОК» в диалоговом окне «Применить новую конфигурацию». Политика клиента VPN теперь является первым правилом доступа в списке политики доступа.
Включить удаленный доступ для учетной записи администратора
В доменах Active Directory, не работающих в собственном режиме, для всех учетных записей пользователей по умолчанию отключен телефонный доступ. Вы должны включить коммутируемый доступ для каждой учетной записи для этих доменов Active Directory не в основном режиме. Напротив, домены Active Directory в собственном режиме по умолчанию имеют коммутируемый доступ, контролируемый политикой удаленного доступа. Домены Windows NT 4.0 всегда имеют коммутируемый доступ, контролируемый для каждой учетной записи пользователя.
В нашем текущем примере Active Directory находится в смешанном режиме Windows Server 2003, поэтому нам потребуется вручную изменить параметры удаленного доступа для учетной записи пользователя домена.
Выполните следующие действия на контроллере домена, чтобы включить удаленный доступ для учетной записи администратора:
- Нажмите «Пуск» и выберите «Администрирование». Щелкните Пользователи и компьютеры Active Directory.
- В консоли «Пользователи и компьютеры Active Directory» щелкните узел «Пользователи» на левой панели. Дважды щелкните учетную запись администратора на правой панели консоли.
- Нажмите на вкладку Dial-in. Во фрейме Разрешение на удаленный доступ (Dial-in или VPN) выберите параметр Разрешить доступ. Нажмите «Применить» и нажмите «ОК».
Рисунок 15
- Закройте консоль «Пользователи и компьютеры Active Directory».
Установите VPN-подключение L2TP/IPSec к брандмауэру ISA/VPN-серверу с внешнего компьютера-клиента VPN.
Выполните следующие шаги, чтобы проверить подключение L2TP/IPSec к внутреннему брандмауэру через внешний брандмауэр:
- Создайте коннектоид VPN на клиентском компьютере VPN во внешней сети и настройте коннектоид для подключения к IP-адресу 192.168.1.71. Установите соединение.
- Закройте диалоговое окно Connection Complete после того, как соединение будет установлено, нажав OK.
- На внешнем брандмауэре ISA Server 2004 откройте консоль ISA Firewall и разверните имя сервера. Нажмите на узел Мониторинг.
- В области сведений щелкните вкладку Ведение журнала. Перейдите на вкладку «Задачи» на панели задач. Щелкните ссылку Начать запрос. Вы увидите соединение L2TP/IPSec от VPN-клиента к внешнему брандмауэру ISA.
Рисунок 16
- На внутреннем брандмауэре откройте консоль ISA Firewall и разверните имя сервера. Нажмите на узел Мониторинг.
- В области сведений щелкните вкладку Ведение журнала. Перейдите на вкладку «Задачи» на панели задач. Щелкните ссылку Начать запрос.
- На клиентском компьютере VPN откройте веб-браузер, введите www.microsoft.com/isaserver в адресную строку и нажмите клавишу ВВОД.
- Вернитесь к внутреннему брандмауэру ISA и просмотрите соединение с веб-сайтом, установленное машиной VPN-клиента.
Рисунок 17
- Закройте браузер на VPN-клиенте, щелкните правой кнопкой мыши значок подключения на панели задач и выберите «Отключить».
Рисунок 18
Обсудить эту статью |
Вывод
В этой статье серии мы обсудили, как настроить внешние и внутренние брандмауэры ISA, чтобы разрешить входящие соединения L2TP/IPSec NAT-T VPN с корпоративной сетью. Ключевыми шагами были настройка внешнего брандмауэра ISA для переадресации соединений L2TP/IPSec на внутренний брандмауэр ISA, а затем настройка внутреннего брандмауэра ISA для прерывания соединений L2TP/IPSec VPN. Мы также убедились, что у клиента и VPN-сервера есть машинные сертификаты, и что на внутреннем брандмауэре ISA создано правило доступа, которое разрешает VPN-клиентам доступ как к сети Интернет по умолчанию, так и к Интернету. Мы закончили изучение деталей подключения VPN-клиента удаленного доступа.
Разрешение входящих соединений L2TP/IPSec NAT Traversal через DMZ брандмауэра Back-to-Back брандмауэра ISA Server (часть 1)