Создание Site-to-Site VPN с использованием брандмауэров ISA 2006 в главном офисе и филиале (часть 1)

VPN-подключение «сеть-сеть» соединяет две или более сетей с помощью VPN-канала через Интернет. Конфигурация VPN site-to-site работает так же, как маршрутизатор локальной сети; пакеты, предназначенные для IP-адресов на удаленном сайте, направляются через брандмауэр ISA Server 2006. Брандмауэр ISA действует как VPN-шлюз, соединяющий две сети через Интернет.

Каждая связь между сайтами может использовать один из следующих протоколов VPN:

• РРТР
• L2TP/IPSec
• Туннельный режим IPSec

PPTP — это протокол туннелирования «точка-точка», который может обеспечить хороший уровень безопасности в зависимости от сложности пароля, используемого для аутентификации соединения PPTP. Вы можете повысить уровень безопасности, применяемый к каналу PPTP, используя методы проверки подлинности на основе EAP/TLS. Для получения информации о том, как использовать аутентификацию EAP/TLS для ссылок между сайтами VPN, перейдите по этой ссылке.

Протокол L2TP/IPSec VPN обеспечивает более высокий уровень безопасности, поскольку он использует протокол шифрования IPSec для защиты соединения и принудительной аутентификации компьютера, а также аутентификации пользователя. Вы можете использовать компьютерные и пользовательские сертификаты, чтобы обеспечить еще более высокий уровень безопасности соединения L2TP/IPSec. Если вы не готовы развернуть инфраструктуру сертификатов, вы можете использовать общий ключ для создания VPN-подключения L2TP/IPSec типа «сеть-сеть».

Брандмауэр ISA 2006 поддерживает туннельный режим IPSec для VPN-подключений типа «сеть-сеть». Используйте режим туннеля IPSec только тогда, когда вам нужно создать связь между сайтами со сторонними VPN-шлюзами. Есть три основные причины избегать туннельного режима IPSec:

• Туннельный режим IPSec менее безопасен
• Туннельный режим IPSec имеет ограниченные возможности маршрутизации на компьютерах с Windows Server 2003.
• Туннельный режим IPSec может снизить эффективную пропускную способность через туннель VPN на целых 50%. Вы можете убедиться в этом, прочитав технический документ по производительности ISA 2004.

На рисунке ниже показано, как работает такая межсайтовая VPN:

фигура 1

В этой серии статей, состоящей из двух частей, мы рассмотрим процедуры, необходимые для создания канала L2TP/IPSec site-to-site между двумя брандмауэрами ISA Server 2006. Машина ISALOCAL будет имитировать брандмауэр главного офиса, а ISA2005BRANCH — брандмауэр филиала. Мы будем использовать протокол L2TP/IPSec VPN для создания связи между сайтами, а также сертификатов компьютеров и предварительных общих ключей для поддержки протокола шифрования IPSec.

Вы выполните следующие процедуры для создания VPN-подключения типа "сеть-сеть":

• Создайте удаленную сеть в главном офисе
• Создайте учетную запись VPN-шлюза с телефонным подключением в главном офисе.
• Создайте удаленную сеть в филиале
• Создайте сетевое правило в филиале
• Создание правил доступа в филиале
• Создайте в филиале учетную запись VPN-шлюза с телефонным подключением.
• Активируйте межсайтовые ссылки

Лабораторная сеть включает в себя два брандмауэра ISA, один в главном офисе и один в филиале, контроллер домена, на котором также работает Exchange 2003, и клиентскую машину, расположенную за брандмауэром ISA филиала, которым в данном случае является Windows Server 2003. СП1. На рисунке ниже показаны машины в этой статье и их IP-адреса.

фигура 2

Примечание:
Важно отметить, что и компьютер EXCHANGE2003BE, и компьютер REMOTEHOST являются DHCP-серверами. Это необходимо для предоставления IP-адресов службы маршрутизации и удаленного доступа для назначения вызывающих шлюзов VPN. Если в вашей сети нет DHCP-сервера, вы можете использовать пулы статических адресов, настроенные на каждом из брандмауэров/VPN-шлюзов ISA Server 2006. Я предпочитаю использовать DHCP, потому что это упрощает назначение адресов внутри подсети виртуальным интерфейсам VPN-шлюзов.

В этой статье я не буду описывать процесс развертывания сертификатов и буду использовать общий ключ для нашего VPN-подключения L2TP/IPSec между сайтами. Здесь я должен отметить, что это не лучшая практика, и что вы должны использовать сертификаты для аутентификации компьютера для VPN между вашими сайтами. Существует ряд методов, которые можно использовать для получения и установки сертификатов машин, и я много раз выполнял эту процедуру на веб-сайте ISAserver.org.

Для подробного ознакомления с тем, как получить и установить машинные сертификаты для брандмауэров ISA в сценарии site-to-site VPN, я настоятельно рекомендую вам ознакомиться с комплектом развертывания ISA Server 2000 VPN. Хотя конфигурация брандмауэра ISA сильно отличается, проблемы развертывания сертификатов остаются неизменными. Ознакомьтесь с комплектом развертывания ISA Server 2000 VPN.

Создайте удаленный сайт в главном офисе ISA Firewall

Мы начнем с настройки брандмауэра ISA в главном офисе. Первым шагом является настройка сети удаленного узла в консоли управления Microsoft Internet Security and Acceleration Server 2006.

Выполните следующие шаги, чтобы создать удаленную сеть на брандмауэре ISA в главном офисе:

1. Откройте консоль управления Microsoft Internet Security and Acceleration Server 2006 и разверните имя сервера. Щелкните узел Виртуальные частные сети (VPN).
2. Нажмите на вкладку «Удаленные сайты» на панели «Сведения». Нажмите на вкладку Задачи на панели задач. Щелкните Добавить сеть удаленного узла.

Рисунок 3

3. На странице «Вас приветствует мастер создания VPN-подключения между сайтами» введите имя удаленной сети в текстовом поле «Сетевое имя между сайтами». В этом примере введите Branch. Нажмите «Далее».

Рисунок 4

4. На странице протокола VPN у вас есть возможность использовать

   Протокол защиты IP (туннельный режим IPSec,

   Протокол туннелирования второго уровня (L2TP) через IPSec или

   Туннельный протокол точка-точка.

   
   Если у вас не установлены сертификаты на машинах Главного офиса и Филиала и вы не планируете развертывать их в будущем, выберите вариант PPTP. Если у вас есть сертификаты, установленные на брандмауэрах главного офиса и филиала, или если вы планируете установить их в будущем, выберите вариант L2TP/IPSec (вы можете использовать предварительный общий ключ до установки сертификатов).

   Не используйте параметр IPSec, если только вы не подключаетесь к стороннему VPN-серверу (из-за низкой безопасности, обеспечиваемой ссылками между сайтами в туннельном режиме IPSec, и гораздо меньшей пропускной способности).

   В этом примере мы будем использовать предварительные общие ключи для VPN-соединения между сайтами при подготовке к развертыванию сертификатов после установки туннелей L2TP/IPSec. Выберите протокол туннелирования второго уровня (L2TP) через IPSec. Нажмите «Далее».
   
   
   
   
   
   
   
   
   
   

Рисунок 5

5. Появится диалоговое окно, информирующее вас о том, что вам необходимо создать учетную запись пользователя на ISA-сервере главного офиса. Эта учетная запись пользователя будет использоваться брандмауэром ISA филиала для аутентификации на брандмауэре ISA главного офиса, когда брандмауэр ISA филиала попытается создать свое VPN-подключение site-to-site к брандмауэру ISA главного офиса.

   Учетная запись пользователя должна иметь то же имя, что и сеть удаленных сайтов, которую мы создаем, и это определяется именем, которое мы включили на первой странице мастера. В этом примере мы назвали сайт для сетевого подключения Branch, поэтому учетная запись пользователя, которую мы создаем на брандмауэре ISA главного офиса, также должна иметь имя Branch, и нам нужно будет разрешить удаленный доступ для этой учетной записи. Мы рассмотрим детали создания этой учетной записи позже в этой статье. Нажмите ОК.
   
   

Рисунок 6

6. На странице «Владелец подключения» вы выбираете, какой компьютер в массиве должен быть владельцем подключения для этого сайта к VPN-соединению сайта. Эта опция доступна только в ISA Enterprise Edition, но не в Standard Edition. Если в массиве включена функция NLB, вам не нужно вручную назначать владельца соединения, так как интегрированный процесс балансировки сетевой нагрузки автоматически назначит владельца соединения, когда в массиве включена функция NLB.

   В этом примере мы не используем NLB в массиве главного офиса (в будущем я напишу еще одну статью о том, как это сделать), и в нашем массиве ISA firewall Enterprise Edition для главного офиса есть только один член. Поэтому мы будем использовать запись по умолчанию, которая является именем брандмауэра ISA в главном офисе, и нажмем Next. (обратите внимание, имя сервера на графике предполагает, что эта машина Standard Edition, но на самом деле это Enterprise Edition).
   
   

Рисунок 7

7. На странице Remote Site Gateway введите IP-адрес или полное доменное имя, представляющее внешний интерфейс удаленного компьютера с брандмауэром ISA Server 2006. Обратите внимание, что это новая функция брандмауэра ISA 2006, поскольку раньше вы не могли использовать полное доменное имя. Это полезно, так как многие филиалы должны использовать динамические адреса, поэтому единственным способом надежного подключения к филиалу был сервис DDNS.

   В этом примере мы будем использовать полное доменное имя branch.msfirewall.org, поэтому введите это значение в текстовое поле. Нажмите «Далее».
   
   

Рисунок 8

8. На странице «Удаленная аутентификация» установите флажок «Локальный сайт может инициировать подключения к удаленному сайту с использованием этих учетных данных». Введите имя учетной записи, которую вы создадите на брандмауэре ISA Server 2006 филиала, чтобы разрешить доступ брандмауэру ISA главного офиса. В этом примере учетная запись пользователя будет называться Main (учетная запись пользователя во многом совпадает с именем интерфейса вызова по требованию, созданного на удаленном узле). Когда мы приступим к настройке брандмауэра ISA филиала, мы создадим удаленную сеть с именем Main, а затем создадим учетную запись пользователя с именем Main в брандмауэре ISA филиала. Брандмауэр ISA главного офиса будет использовать эту учетную запись для аутентификации в брандмауэре ISA филиала для создания VPN-подключения типа site-to-site.

   Имя домена — это имя брандмауэра ISA Server 2006 филиала, в данном примере это ISA2006BRANCH (если бы удаленный брандмауэр ISA Server 2006 был контроллером домена, вы должны использовать доменное имя вместо имени компьютера). Введите пароль для учетной записи и подтвердите пароль. Запишите пароль, чтобы помнить его при создании учетной записи на брандмауэре ISA 2006 филиала. Нажмите «Далее».
   
   

Рисунок 9

9. На странице L2TP/IPSec Outgoing Authentication вы выбираете метод, которым хотите аутентифицировать вашу машину на брандмауэре ISA филиала. В этом примере мы будем использовать параметр проверки подлинности с предварительным общим ключом, а затем введем предварительный общий ключ в текстовое поле Предварительный общий ключ. Убедитесь, что вы записали это, так как нам понадобится эта информация при настройке параметров аутентификации машины в филиале. Нажмите «Далее».

Рисунок 10

10. Нажмите «Добавить диапазон» на странице «Сетевые адреса». В диалоговом окне «Свойства диапазона IP-адресов» введите 10.0.1.0 в текстовом поле «Начальный адрес». Введите 10.0.1.255 в текстовое поле Конечный адрес. Нажмите ОК.

Рисунок 11

11. Нажмите «Далее» на странице «Сетевые адреса».
12. На странице Remote NLB вы сообщаете брандмауэру ISA, используется ли NLB на брандмауэре ISA филиала. Если используется NLB, вы должны поставить галочку в поле «Удаленный сайт включен для балансировки сетевой нагрузки». Затем вы должны добавить выделенные IP-адреса в массив NLB филиала, нажав кнопку «Добавить диапазон».

    Мы не запускаем NLB в филиале, поэтому мы удалим галочку с Удаленный сайт включен для балансировки сетевой нагрузки. В следующей статье я покажу вам, как создавать виртуальные частные сети типа site-to-site с включенной функцией NLB. Нажмите «Далее».
    
    

Рисунок 12

13. На странице Site to Site Network Rule вы можете настроить сетевое правило, которое соединяет сеть брандмауэра ISA главного офиса и филиала. Помните, что брандмауэр ISA требует, чтобы у вас всегда было сетевое правило для соединения сетей брандмауэра ISA друг с другом. Даже если вы создадите сети и создадите правила доступа, соединения не будут работать, пока вы не создадите сетевое правило.

    Новый брандмауэр ISA устраняет проблему, с которой люди сталкивались при создании VPN типа site-to-site с помощью ISA 2004, заключающуюся в том, что большинство людей забывают или не знают, что им нужно сетевое правило, чтобы оно работало. Брандмауэр ISA 2006 спросит вас, хотите ли вы создать сетевое правило, пока еще находитесь в мастере, что очень удобно и значительно улучшает удобство использования. Ясно, что команда разработчиков брандмауэра ISA больше заботится о простоте использования, чем команда разработчиков бета-версии Exchange 2007!

    Выберите параметр «Создать сетевое правило с указанием отношения маршрута» и примите имя по умолчанию. Обратите внимание, что у вас также есть опция Я создам сетевое правило позже, если вы хотите создать сетевое правило вручную. Обратите внимание, что опция по умолчанию – это установка отношения маршрутизации между основной сетью брандмауэра ISA и сетью филиала. Это отличный выбор, потому что у вас есть гораздо более широкий диапазон доступа к протоколу при использовании отношений маршрута.

    Нажмите «Далее».
    
    
    
    
    
    

Рисунок 13

14. Еще одна новая функция брандмауэра ISA 2006 — страница Site to Site Network Access Rule. Здесь вы можете настроить правило доступа, разрешающее соединения из главного офиса в филиал. С брандмауэром ISA 2004 вам приходилось делать это вручную после завершения работы мастера, еще один плюс разработчикам VPN из команды ISA!

    У вас также есть возможность не создавать правила доступа в это время, выбрав опцию Я изменю политику доступа позже.

    Когда вы выбираете Создать разрешающее правило доступа. Это правило разрешит трафик между внутренней сетью и новой сетью между сайтами для всех пользователей. Вам будет предложено три варианта из раскрывающегося списка Применить правило к этим протоколам. Это включает:

    Весь исходящий трафик: используйте этот параметр, если вы хотите разрешить весь трафик из главного офиса в филиал.

    Выбранные протоколы: используйте этот параметр, если хотите контролировать, какой трафик может перемещаться из главного офиса в филиал. Если вы хотите ограничить соединения выбранным списком протоколов, выберите этот параметр и нажмите кнопку «Добавить» для всех протоколов. Обратите внимание, что на данный момент вы не можете заблокировать использование протокола для каждого пользователя/группы. Вам придется дождаться завершения работы мастера, а затем войти в политику брандмауэра, чтобы внести это изменение.

    Весь исходящий трафик, кроме выбранного: выберите этот параметр, если хотите разрешить весь трафик, кроме нескольких протоколов. Опять же, вы используете кнопку «Добавить», чтобы указать, какие протоколы вы хотите заблокировать.

    В этом примере мы разрешим все протоколы. Позже я покажу вам, как вы можете использовать аутентификацию на основе пользователей/групп, чтобы контролировать, каким пользователям в главном офисе разрешено подключаться к филиалу. Это важно, так как обычно вы не хотите, чтобы обычные пользователи имели доступ к филиалу, вы просто хотите, чтобы туда попали администраторы. Мы также увидим, как вы можете использовать элементы управления доступом на основе пользователей/групп в филиале, чтобы предотвратить авантюры пользователей филиала.

    Выберите вариант «Весь исходящий трафик» и нажмите «Далее».
    
    
    
    
    
    
    
    
    
    
    
    
    
    

Рисунок 14

15. Нажмите «Готово» на странице «Завершение работы мастера создания сети Site to Site Network».

Рисунок 15

16. В диалоговом окне Remaining VPN Site to Site Tasks сообщается, что вам необходимо создать учетную запись пользователя с именем Branch. Мы сделаем это в следующем разделе. Нажмите ОК.

Вы можете увидеть новую удаленную сеть брандмауэра ISA в консоли брандмауэра ISA, как показано на рисунке ниже.

Рисунок 16

Выберите Сеть удаленного узла и щелкните ссылку Изменить выбранную сеть на панели задач.

Рисунок 17

В диалоговом окне «Свойства филиала» на вкладке «Общие» представлена информация о сети удаленного сайта. Вы также можете включить или отключить VPN-подключение между сайтами на этой вкладке.

Рисунок 18

На вкладке Сервер вы можете изменить владельца подключения для сайта к сайту VPN. Вам нужно только назначить владельца соединения, когда балансировка сетевой нагрузки не включена на внешнем интерфейсе брандмауэра ISA. Если NLB включен на внешнем интерфейсе брандмауэра ISA, то NLB автоматически назначит вам собственное соединение. Имейте в виду, что вы можете создавать массивы VPN-шлюзов брандмауэра ISA без включенной NLB на внешнем интерфейсе. Однако в большинстве случаев вы захотите использовать NLB. В этой статье мы не используем NLB на внешнем интерфейсе, потому что в нашей текущей конфигурации есть один брандмауэр ISA Enterprise Edition.

Рисунок 19

На вкладке «Адреса» вы можете изменить или добавить адреса в определение удаленной сети.

Рисунок 20

На вкладке Remote NLB вы указываете выделенные IP-адреса на VPN-шлюзе удаленного сайта. Эти адреса необходимо настраивать только в том случае, если VPN-шлюз удаленной сети использует NLB. Мы не будем добавлять адреса в нашем примере, потому что балансировка сетевой нагрузки не будет включена в брандмауэре ISA филиала.

Рисунок 21

На вкладке Аутентификация вы выбираете протокол аутентификации, который вы хотите, чтобы брандмауэр ISA главного офиса использовал при аутентификации на VPN-шлюзе филиала. По умолчанию используется Microsoft CHAP версии 2. Наиболее безопасным вариантом является EAP, но для этого необходимо назначить пользовательские сертификаты учетным записям, используемым для аутентификации на каждом шлюзе. Возможно, в будущем я покажу вам, как это сделать с брандмауэром ISA 2006, но процедура очень похожа на то, как вы это делаете в ISA 2004, как показано на http://www.isaserver.org/articles/2004s2seapauth. HTML.

Рисунок 22

На вкладке «Протокол» вы настраиваете, какой протокол VPN вы хотите использовать для создания VPN-туннеля «сайт-сайт». Вы также можете изменить предварительно общий ключ здесь.

Рисунок 23

На вкладке «Подключение» вы можете изменить учетные данные, используемые для аутентификации на шлюзе VPN удаленной сети. Вы также можете настроить, как долго вы хотите, чтобы сайт-сайт VPN не работал в периоды простоя. По умолчанию установлено значение Никогда не разрывать соединение.

Рисунок 24

Закройте диалоговое окно «Свойства ветви».

Щелкните правой кнопкой мыши сеть удаленного сайта и выберите команду Site to Site Summary. В диалоговом окне Site to Site Summary вы увидите сводную информацию о параметрах локального соединения между сайтами и требуемых параметрах Site to Site для другого конца этого туннеля.

Рисунок 25

Вы можете щелкнуть правой кнопкой мыши в нижнем фрейме и выбрать «Все», а затем «Копировать», чтобы получить информацию о том, как настроить VPN-шлюз удаленного сайта.

Общие настройки VPN Протоколы аутентификации (один или несколько из следующих):

MS-ЧАП v2

Протоколы сетевой аутентификации VPN (один или несколько из следующих):

MS-ЧАП v2

Метод исходящей аутентификации: Предварительно общий секрет (здесь появится предварительный общий ключ)

Входящий метод аутентификации: сертификат и общий секрет (здесь появится предварительный общий ключ)

Адрес удаленного шлюза:

IP-адрес или DNS-разрешимое имя.

Если включена балансировка сетевой нагрузки, следует использовать виртуальный IP-адрес удаленного массива.

Локальный пользователь: ISA2006BRANCHmain

Пользователь удаленного сайта: Филиал

IP-адреса сети Site-to-Site: 10.0.0.0-10.0.0.255, 10.255.255.255

Маршрутизируемые локальные IP-адреса: 10.0.1.0-10.0.1.255

Завершите настройку, нажав «Применить», чтобы сохранить изменения, а затем нажмите «ОК» в диалоговом окне «Применить новую конфигурацию».

DHCP-конфигурация

И последнее, что вам нужно подтвердить, это ваша адресная информация для VPN-шлюза site-to-site. У вас есть два варианта назначения IP-адресов:

• DHCP

• Статический пул адресов

Я предпочитаю использовать DHCP, потому что он позволяет назначать VPN-клиентам и шлюзам адреса внутри подсети без необходимости вручную удалять эти адреса из определения Интернет-сети по умолчанию, к которой принадлежит внутренний интерфейс брандмауэра ISA.

Например, предположим, что внутренний интерфейс брандмауэра ISA имеет IP-адрес 192.168.1.1. Определение внутренней сети по умолчанию: 192.168.1.0-192.168.1.255. Если бы мы хотели использовать статический пул адресов для назначения адресов в подсети, таких как 192.168.1.10-192.168.1.20, нам пришлось бы изменить определение внутренней сети по умолчанию, потому что эти адреса, которые мы хотим назначить клиентам VPN, пересекаются с определение внутренней сети по умолчанию. В этом случае определение внутренней сети по умолчанию изменится на:

192.168.1.0-192.168.1.9

192.168.1.21-192.168.1.255

С другой стороны, если мы использовали DHCP для назначения VPN-клиентам адресов внутри подсети, брандмауэр ISA автоматически удалит любой адрес, назначенный VPN-клиенту или VPN-шлюзу, из определения внутренней сети по умолчанию и динамически назначит их определению. сети VPN-клиентов. Это предотвращает перекрытие между сетью VPN-клиентов и внутренней сетью по умолчанию.

Вы можете проверить метод назначения IP-адреса, щелкнув узел «Виртуальные частные сети (VPN)» на левой панели консоли, а затем щелкнув ссылку «Назначения адресов Defiane» на вкладке «Задачи» на панели задач. Вы увидите, что показано на рисунке ниже.

Рисунок 26

Обратите внимание, что опция Dynamic Host Configuration Protocol (DHCP) доступна только в массивах ISA Standard Edition или одноэлементных массивах ISA Enterprise Edition. Если вы решите не использовать DHCP, вы должны нажать кнопку «Добавить», чтобы вручную добавить IP-адреса, назначенные клиентам и шлюзам VPN.

Если вы используете статический пул адресов, вы можете рассмотреть возможность использования IP-адресов вне подсети. В этом нет проблем, но вы должны сообщить своей инфраструктуре маршрутизации, что для достижения идентификатора сети, используемого для сети VPN-клиентов, они должны перенаправить эти соединения на интерфейс брандмауэра ISA, с которого было получено соединение.

В простой конфигурации с двумя сетевыми картами это будет внутренний интерфейс. В конфигурации с 3+ сетевыми адаптерами вы должны настроить маршрутизаторы для пересылки запросов к идентификатору сети VPN-клиентов на ближайший к маршрутизаторам интерфейс брандмауэра ISA.

Настройте интерфейс вызова по требованию брандмауэра главного офиса, чтобы он не регистрировался в DNS.

Распространенная проблема, с которой сталкиваются многосетевые компьютеры, заключается в том, что они регистрируют несколько интерфейсов в DNS. Это особенно проблематично, когда машины создают соединения между сайтами и регистрируют IP-адрес своего интерфейса вызова по требованию. Это может привести к трудностям в устранении неполадок, таких как невозможность подключения клиентов веб-прокси и брандмауэра к Интернету. Причина, по которой клиенты веб-прокси и брандмауэра не могут подключиться к Интернету в этом сценарии, заключается в том, что интерфейс вызова по требованию брандмауэра ISA Server 2004 зарегистрировался в DNS, а клиенты веб-прокси и брандмауэра пытаются подключиться к брандмауэру ISA Server 2004. через этот адрес.

Выполните следующие шаги, чтобы отключить динамическую регистрацию DNS для интерфейса вызова по требованию брандмауэра ISA Server 2004:

1. В брандмауэре ISA Server 2004 главного офиса нажмите «Пуск» и выберите «Администрирование». Щелкните Маршрутизация и удаленный доступ.
2. В консоли маршрутизации и удаленного доступа разверните имя сервера на левой панели консоли. Щелкните узел Сетевые интерфейсы.
3. На правой панели узла «Сетевые интерфейсы» щелкните правой кнопкой мыши «Ветвь» и выберите «Свойства».
4. В диалоговом окне «Свойства филиала» щелкните вкладку «Сеть».

Рисунок 27

5. На вкладке «Сеть» выберите «Протокол Интернета (TCP/IP)» в списке «Это подключение использует следующие элементы» и нажмите «Свойства».
6. В диалоговом окне «Свойства протокола Интернета (TCP/IP)» нажмите «Дополнительно».

Рисунок 28

7. В диалоговом окне Дополнительные параметры TCP/IP щелкните вкладку DNS. На вкладке DNS снимите флажок «Зарегистрировать адреса этого подключения в DNS» и нажмите «ОК».

Рисунок 29

8. Нажмите «ОК» в диалоговом окне «Свойства протокола Интернета (TCP/IP)».
9. Нажмите «ОК» в диалоговом окне «Свойства ветки ».
10. Закройте консоль маршрутизации и удаленного доступа.

Создайте учетную запись VPN-шлюза с телефонным подключением в главном офисе.

В брандмауэре ISA главного офиса должна быть создана учетная запись пользователя, которую брандмауэр филиала может использовать для аутентификации при создании соединения «сеть-сеть». Имя этой учетной записи пользователя должно совпадать с именем интерфейса вызова по требованию на компьютере в главном офисе. Позже вы настроите брандмауэр ISA филиала для использования этой учетной записи, когда он подключается к VPN-каналу site-to-site.

Выполните следующие шаги, чтобы создать учетную запись, которую удаленный брандмауэр ISA Server 2006 будет использовать для подключения к VPN-шлюзу главного офиса:

1. Щелкните правой кнопкой мыши Мой компьютер на рабочем столе и выберите Управление.
2. В консоли «Управление компьютером» разверните узел «Локальные пользователи и группы». Щелкните правой кнопкой мыши узел «Пользователи» и выберите «Новый пользователь».
3. В диалоговом окне «Новый пользователь» введите имя интерфейса вызова по требованию главного офиса. В нашем текущем примере интерфейс вызова по требованию называется Branch. Введите Филиал в текстовое поле. Введите пароль и подтвердите пароль. Запишите этот пароль, так как он понадобится вам при настройке удаленного шлюза ISA Server 2006 VPN. Снимите флажок « Пользователь должен сменить пароль при следующем входе в систему». Поставьте галочки в полях «Пользователь не может изменить пароль» и «Срок действия пароля не ограничен». Щелкните Создать.
4. Нажмите «Закрыть» в диалоговом окне «Новый пользователь».
5. Дважды щелкните пользователя Branch на правой панели консоли.
6. В диалоговом окне «Свойства филиала» щелкните вкладку «Входящие звонки». Выберите Разрешить доступ. Нажмите «Применить», а затем нажмите «ОК».

Рисунок 30

Есть вопросы по статье? Задайте вопрос на веб-доске по адресу http://tinyurl.com/nwylg.

Резюме

В этой части, состоящей из двух частей, посвященной созданию VPN типа site-to-site с использованием нового брандмауэра ISA, мы рассмотрели базовую конфигурацию сети, а затем начали настройку VPN типа site-to-site на брандмауэре ISA в главном офисе. Мы создали сеть удаленных сайтов в брандмауэре ISA главного офиса и создали учетную запись пользователя, которую брандмауэр ISA филиала будет использовать при вызове брандмауэра ISA главного офиса.

Во второй и последней части серии Site-to-Site VPN мы перенесем наше внимание на брандмауэр ISA филиала и настроим его для подключения к брандмауэру ISA главного офиса. Мы также создадим учетную запись пользователя, которую брандмауэр главного офиса сможет использовать при вызове брандмауэра ISA филиала. Затем мы протестируем решение, активировав ссылку site-to-site VPN и проверив файлы журналов и информацию о сессиях, чтобы увидеть, как все выглядит в консоли брандмауэра ISA, когда site-to-site VPN успешно установлено.