Создание Site-to-Site VPN с использованием брандмауэров ISA 2006 в главном офисе и филиале (часть 2)
Есть вопросы по статье? |
Создание Site-to-Site VPN с использованием брандмауэров ISA 2006 в главном офисе и филиале (Часть 1)
В первой части этой серии из двух частей, посвященной настройке L2TP/IPSec site-to-site VPN-подключения между двумя брандмауэрами ISA, мы подробно рассмотрели пример сети и настроили брандмауэр ISA в главном офисе.
Создайте удаленный сайт в филиале
Теперь, когда главный офис готов, мы можем настроить брандмауэр ISA Server 2006 для филиала. Первым шагом является создание удаленной сети в филиале.
Выполните следующие шаги, чтобы создать удаленную сеть в филиале:
- Откройте консоль управления Microsoft Internet Security and Acceleration Server 2006 и разверните имя сервера. Щелкните узел Виртуальные частные сети (VPN).
- Нажмите на вкладку «Удаленные сайты» на панели «Сведения». Нажмите на вкладку «Задачи» на панели задач. Щелкните Добавить сеть удаленного узла.
- На странице «Вас приветствует мастер создания VPN-подключения между сайтами» введите имя удаленной сети в текстовом поле «Сетевое имя между сайтами». В этом примере введите Main. Щелкните Далее.
фигура 1
- На странице VPN-протокола у вас есть возможность использовать несколько VPN-протоколов. В этом примере мы будем использовать предварительные общие ключи для VPN-соединения между сайтами при подготовке к развертыванию сертификатов после установки туннелей L2TP/IPSec. Выберите протокол туннелирования второго уровня (L2TP) через IPSec. Нажмите «Далее».
фигура 2
- Появится диалоговое окно, информирующее вас о том, что вам необходимо создать учетную запись пользователя на ISA-сервере филиала. Эта учетная запись пользователя будет использоваться брандмауэром ISA главного офиса для аутентификации в брандмауэре ISA филиала, когда брандмауэр ISA главного офиса попытается создать свое VPN-подключение типа site-to-site к брандмауэру ISA филиала.
Учетная запись пользователя должна иметь то же имя, что и сеть удаленных сайтов, которую мы создаем, и это определяется именем, которое мы включили на первой странице мастера. В этом примере мы назвали сетевое соединение между сайтами Main, поэтому учетная запись пользователя, которую мы создаем на брандмауэре ISA филиала, также должна иметь имя Main, и нам нужно будет разрешить удаленный доступ для этой учетной записи. Мы рассмотрим детали создания этой учетной записи позже в этой статье. Нажмите ОК.
Рисунок 3
- На странице «Владелец подключения» вы выбираете, какой компьютер в массиве должен быть владельцем подключения для этого сайта к VPN-соединению сайта. Эта опция доступна только в ISA Enterprise Edition, но не в Standard Edition. Если в массиве включена функция NLB, вам не нужно вручную назначать владельца соединения, так как интегрированный процесс балансировки сетевой нагрузки автоматически назначит владельца соединения, когда в массиве включена функция NLB.
В этом примере мы не используем NLB в массиве главного офиса (в будущем я напишу еще одну статью о том, как это сделать), и в нашем массиве ISA firewall Enterprise Edition для главного офиса есть только один член. Поэтому мы будем использовать запись по умолчанию, которая является именем брандмауэра ISA в главном офисе, и нажмем Next.
Рисунок 4
- На странице Remote Site Gateway введите IP-адрес или полное доменное имя, представляющее внешний интерфейс брандмауэра ISA Server 2006 главного офиса. В этом примере мы будем использовать полное доменное имя main.msfirewall.org, поэтому введите это значение в текстовое поле. Нажмите «Далее».
Рисунок 5
- На странице «Удаленная аутентификация» установите флажок «Локальный сайт может инициировать подключения к удаленному сайту с использованием этих учетных данных». Введите имя учетной записи, которую вы создали на брандмауэре ISA главного офиса, чтобы разрешить доступ к брандмауэру ISA филиала. В этом примере учетная запись пользователя называется Branch (учетная запись пользователя во многом совпадает с именем интерфейса вызова по требованию, созданного на удаленном узле). Брандмауэр ISA филиала будет использовать эту учетную запись для аутентификации в брандмауэре ISA главного офиса, чтобы создать соединение site-to-site VPN.
Имя домена — это имя брандмауэра ISA главного офиса, которым в данном примере является ISA2006SE (если бы удаленный брандмауэр ISA Server 2006 был контроллером домена, вы бы использовали имя домена вместо имени компьютера). Введите пароль для учетной записи и подтвердите пароль. Нажмите «Далее».
Рисунок 6
- На странице исходящей аутентификации L2TP/IPSec вы выбираете метод, которым хотите аутентифицировать свою машину на брандмауэре ISA филиала. В этом примере мы будем использовать параметр проверки подлинности с предварительным общим ключом, а затем введем предварительный общий ключ в текстовое поле Предварительный общий ключ. Убедитесь, что это тот же самый ключ, который используется в брандмауэре ISA в главном офисе. Нажмите «Далее».
Рисунок 7
- Нажмите «Добавить диапазон» на странице «Сетевые адреса». В диалоговом окне «Свойства диапазона IP-адресов» введите 10.0.0.0 в текстовом поле «Начальный адрес». Введите 10.0.0.255 в текстовое поле Конечный адрес. Нажмите ОК.
Рисунок 8
Есть вопросы по статье?
Спросите на веб-доске http://tinyurl.com/nwylg
- Нажмите «Далее» на странице «Сетевые адреса».
- На странице Remote NLB вы сообщаете брандмауэру ISA, используется ли NLB на брандмауэре ISA филиала. Если используется NLB, вы должны поставить галочку в поле «Удаленный сайт включен для балансировки сетевой нагрузки». Затем вы должны добавить выделенные IP-адреса в массив NLB главного офиса, нажав кнопку «Добавить диапазон».
Мы не запускаем NLB в главном офисе, поэтому мы уберем галочку с Удаленный сайт включен для балансировки сетевой нагрузки. В следующей статье я покажу вам, как создавать виртуальные частные сети типа site-to-site с включенной функцией NLB. Нажмите «Далее».
Рисунок 9
- На странице Site to Site Network Rule вы можете настроить сетевое правило, которое соединяет сеть брандмауэра ISA главного офиса и филиала. Помните, что брандмауэр ISA требует, чтобы у вас всегда было сетевое правило для соединения сетей брандмауэра ISA друг с другом. Даже если вы создадите сети и создадите правила доступа, соединения не будут работать, пока вы не создадите сетевое правило.
Выберите параметр «Создать сетевое правило с указанием отношения маршрута» и примите имя по умолчанию. Обратите внимание, что у вас также есть опция Я создам сетевое правило позже, если вы хотите создать сетевое правило вручную. Обратите внимание, что опция по умолчанию – это установка отношения маршрутизации между основной сетью брандмауэра ISA и сетью филиала. Это отличный выбор, потому что у вас есть гораздо более широкий диапазон доступа к протоколу при использовании отношений маршрута.
Отношение маршрутов в филиале должно совпадать с отношением маршрутов в главном офисе.
Нажмите «Далее».
Рисунок 10
- На странице Site to Site Network Access Rule вы можете настроить правило доступа, разрешающее соединения из филиала в главный офис.
У вас также есть возможность не создавать правила доступа в это время, выбрав опцию Я изменю политику доступа позже.
Когда вы выбираете Создать разрешающее правило доступа. Это правило разрешит трафик между внутренней сетью и новой сетью между сайтами для всех пользователей. Вам будет предложено три варианта из раскрывающегося списка Применить правило к этим протоколам. Это включает:
Весь исходящий трафик
Выбранные протоколы
Весь исходящий трафик, кроме выбранного.
В этом примере мы начнем с разрешения всех протоколов. Позже я покажу вам, как вы можете использовать аутентификацию на основе пользователей/групп, чтобы контролировать, каким пользователям в филиале разрешено подключаться к главному офису. Это будет ключевой шаг настройки, так как пользователи филиалов должны иметь очень ограниченный доступ к ресурсам в сети главного офиса и им должен быть разрешен доступ только к серверу и протоколам, необходимым для выполнения их работы, а также они должны быть принудительно аутентифицированы. до получения доступа к сети главного офиса.
Выберите вариант «Весь исходящий трафик» и нажмите «Далее».
Рисунок 11
- Нажмите «Готово» на странице «Завершение работы мастера создания сети Site to Site Network».
Рисунок 12
- В диалоговом окне Remaining VPN Site to Site Tasks сообщается, что вам необходимо создать учетную запись пользователя с именем Branch. Мы сделаем это в следующем разделе. Нажмите ОК.
Запишите политику брандмауэра, созданную мастером VPN, затем нажмите «Применить», чтобы сохранить изменения, и нажмите «ОК» в диалоговом окне «Применить новую конфигурацию».
Рисунок 13
Не забудьте подтвердить настройки назначения адресов для VPN-клиентов и шлюзов точно так же, как вы делали это в главном офисе. Если брандмауэр ISA не может назначить IP-адреса удаленному шлюзу, настройка завершится ошибкой. Кроме того, не забудьте настроить интерфейс вызова по требованию так, чтобы он не регистрировался в DNS, как мы сделали, когда настраивали интерфейс вызова по требованию главного офиса, чтобы он не регистрировался в DNS в части 1 этой серии.
Создайте в филиале учетную запись для подключения к VPN-шлюзу.
Мы должны создать учетную запись пользователя, которую брандмауэр ISA главного офиса может использовать для аутентификации, когда он инициирует VPN-подключение site-to-site. Учетная запись пользователя должна иметь то же имя, что и интерфейс вызова по требованию, созданный на брандмауэре ISA в филиале.
Выполните следующие шаги, чтобы создать учетную запись, которую брандмауэр ISA главного офиса будет использовать для подключения к VPN-шлюзу филиала:
- Щелкните правой кнопкой мыши Мой компьютер на рабочем столе и выберите Управление.
- В консоли «Управление компьютером» разверните узел «Локальные пользователи и группы». Щелкните правой кнопкой мыши узел «Пользователи» и выберите «Новый пользователь».
- В диалоговом окне «Новый пользователь» введите имя интерфейса вызова по требованию главного офиса. В нашем текущем примере интерфейс вызова по требованию называется Main. Войдите в основной в текстовое поле. Введите пароль и подтвердите пароль. Запишите этот пароль, потому что он понадобится вам при настройке удаленного шлюза ISA Server 2006 VPN. Снимите флажок « Пользователь должен сменить пароль при следующем входе в систему». Поставьте галочки в полях «Пользователь не может изменить пароль» и «Срок действия пароля не ограничен». Щелкните Создать.
- Нажмите «Закрыть» в диалоговом окне «Новый пользователь».
- Дважды щелкните главного пользователя на правой панели консоли.
- В диалоговом окне «Основные свойства» щелкните вкладку «Входящие звонки». Выберите Разрешить доступ. Нажмите «Применить», а затем нажмите «ОК».
Рисунок 14
Активируйте межсайтовые ссылки
Теперь, когда брандмауэры ISA Server 2006 главного офиса и филиала настроены как VPN-маршрутизаторы, вы можете проверить соединение между сайтами.
Выполните следующие шаги, чтобы проверить связь между сайтами:
- На удаленном клиентском компьютере за машиной филиала с брандмауэром ISA щелкните Start, а затем щелкните команду Run.
- В диалоговом окне «Выполнить» введите cmd в текстовое поле «Открыть» и нажмите «ОК».
- В окне командной строки введите ping –t 10.0.0.2 и нажмите ENTER.
- Вы увидите, что несколько запросов ping истекли, а затем ответы на запросы ping будут возвращены контроллером домена в сети главного офиса.
- Выполните те же процедуры на контроллере домена в сети главного офиса, но на этот раз пропингуйте 10.0.1.2, который является компьютером REMOTEHOST.
Вы можете увидеть результаты ping-запросов на рисунке ниже:
Рисунок 15
Если вы проверите представление журнала в реальном времени на ISA-сервере филиала, вы увидите строки, подобные тем, что показаны на рисунке ниже.
Рис. 16 (Щелкните изображение, чтобы увеличить его)
Теперь нажмите на вкладку Sessions в брандмауэре ISA филиала. Вы увидите активный сеанс, представляющий VPN-подключение между сайтами. Обратите внимание на фильтр, указывающий на соединение сайта с сайтом.
Рис. 17 (Щелкните изображение, чтобы увеличить его)
Вы можете зайти в главный офис брандмауэра ISA и выполнить аналогичные проверки.
Есть вопросы по статье? |
Вывод
В этой серии статей мы обсудили, как создать L2TP/IPSec site-to-site VPN-соединение между двумя брандмауэрами ISA. Обсуждение ограничивалось использованием общего ключа между брандмауэрами ISA в главном офисе и филиале, но вы должны иметь в виду, что в производственной среде вы должны стремиться использовать аутентификацию машинного сертификата вместо предварительно общего ключа. Я дал ссылку на комплект развертывания ISA Server 2000 VPN, который предоставит вам всю информацию, необходимую для развертывания ваших сертификатов.
В следующей статье мы рассмотрим две вещи, которые вы можете сделать, чтобы помочь защитить и ускорить соединения вашего филиала: заблокировать правила доступа для связи по VPN-каналу между сайтами и использовать цепочку веб-прокси, чтобы филиал Брандмауэр ISA может извлечь выгоду из большего кэша, содержащегося в брандмауэре ISA главного офиса. Тогда увидимся! -Том.
Создание Site-to-Site VPN с использованием брандмауэров ISA 2006 в главном офисе и филиале (Часть 1)