Создание Site-to-Site VPN с использованием брандмауэров ISA 2006 в главном офисе и филиале (часть 2)

Создание Site-to-Site VPN с использованием брандмауэров ISA 2006 в главном офисе и филиале (Часть 1)

В первой части этой серии из двух частей, посвященной настройке L2TP/IPSec site-to-site VPN-подключения между двумя брандмауэрами ISA, мы подробно рассмотрели пример сети и настроили брандмауэр ISA в главном офисе.

Создайте удаленный сайт в филиале

Теперь, когда главный офис готов, мы можем настроить брандмауэр ISA Server 2006 для филиала. Первым шагом является создание удаленной сети в филиале.

Выполните следующие шаги, чтобы создать удаленную сеть в филиале:

1. Откройте консоль управления Microsoft Internet Security and Acceleration Server 2006 и разверните имя сервера. Щелкните узел Виртуальные частные сети (VPN).
2. Нажмите на вкладку «Удаленные сайты» на панели «Сведения». Нажмите на вкладку «Задачи» на панели задач. Щелкните Добавить сеть удаленного узла.
3. На странице «Вас приветствует мастер создания VPN-подключения между сайтами» введите имя удаленной сети в текстовом поле «Сетевое имя между сайтами». В этом примере введите Main. Щелкните Далее.

фигура 1

4. На странице VPN-протокола у вас есть возможность использовать несколько VPN-протоколов. В этом примере мы будем использовать предварительные общие ключи для VPN-соединения между сайтами при подготовке к развертыванию сертификатов после установки туннелей L2TP/IPSec. Выберите протокол туннелирования второго уровня (L2TP) через IPSec. Нажмите «Далее».

фигура 2

5. Появится диалоговое окно, информирующее вас о том, что вам необходимо создать учетную запись пользователя на ISA-сервере филиала. Эта учетная запись пользователя будет использоваться брандмауэром ISA главного офиса для аутентификации в брандмауэре ISA филиала, когда брандмауэр ISA главного офиса попытается создать свое VPN-подключение типа site-to-site к брандмауэру ISA филиала.

   Учетная запись пользователя должна иметь то же имя, что и сеть удаленных сайтов, которую мы создаем, и это определяется именем, которое мы включили на первой странице мастера. В этом примере мы назвали сетевое соединение между сайтами Main, поэтому учетная запись пользователя, которую мы создаем на брандмауэре ISA филиала, также должна иметь имя Main, и нам нужно будет разрешить удаленный доступ для этой учетной записи. Мы рассмотрим детали создания этой учетной записи позже в этой статье. Нажмите ОК.
   
   

Рисунок 3

6. На странице «Владелец подключения» вы выбираете, какой компьютер в массиве должен быть владельцем подключения для этого сайта к VPN-соединению сайта. Эта опция доступна только в ISA Enterprise Edition, но не в Standard Edition. Если в массиве включена функция NLB, вам не нужно вручную назначать владельца соединения, так как интегрированный процесс балансировки сетевой нагрузки автоматически назначит владельца соединения, когда в массиве включена функция NLB.

   В этом примере мы не используем NLB в массиве главного офиса (в будущем я напишу еще одну статью о том, как это сделать), и в нашем массиве ISA firewall Enterprise Edition для главного офиса есть только один член. Поэтому мы будем использовать запись по умолчанию, которая является именем брандмауэра ISA в главном офисе, и нажмем Next.
   
   

Рисунок 4

7. На странице Remote Site Gateway введите IP-адрес или полное доменное имя, представляющее внешний интерфейс брандмауэра ISA Server 2006 главного офиса. В этом примере мы будем использовать полное доменное имя main.msfirewall.org, поэтому введите это значение в текстовое поле. Нажмите «Далее».

Рисунок 5

8. На странице «Удаленная аутентификация» установите флажок «Локальный сайт может инициировать подключения к удаленному сайту с использованием этих учетных данных». Введите имя учетной записи, которую вы создали на брандмауэре ISA главного офиса, чтобы разрешить доступ к брандмауэру ISA филиала. В этом примере учетная запись пользователя называется Branch (учетная запись пользователя во многом совпадает с именем интерфейса вызова по требованию, созданного на удаленном узле). Брандмауэр ISA филиала будет использовать эту учетную запись для аутентификации в брандмауэре ISA главного офиса, чтобы создать соединение site-to-site VPN.

   Имя домена — это имя брандмауэра ISA главного офиса, которым в данном примере является ISA2006SE (если бы удаленный брандмауэр ISA Server 2006 был контроллером домена, вы бы использовали имя домена вместо имени компьютера). Введите пароль для учетной записи и подтвердите пароль. Нажмите «Далее».
   
   

Рисунок 6

9. На странице исходящей аутентификации L2TP/IPSec вы выбираете метод, которым хотите аутентифицировать свою машину на брандмауэре ISA филиала. В этом примере мы будем использовать параметр проверки подлинности с предварительным общим ключом, а затем введем предварительный общий ключ в текстовое поле Предварительный общий ключ. Убедитесь, что это тот же самый ключ, который используется в брандмауэре ISA в главном офисе. Нажмите «Далее».

Рисунок 7

10. Нажмите «Добавить диапазон» на странице «Сетевые адреса». В диалоговом окне «Свойства диапазона IP-адресов» введите 10.0.0.0 в текстовом поле «Начальный адрес». Введите 10.0.0.255 в текстовое поле Конечный адрес. Нажмите ОК.

Рисунок 8

Есть вопросы по статье? Спросите на веб-доске http://tinyurl.com/nwylg

11. Нажмите «Далее» на странице «Сетевые адреса».
12. На странице Remote NLB вы сообщаете брандмауэру ISA, используется ли NLB на брандмауэре ISA филиала. Если используется NLB, вы должны поставить галочку в поле «Удаленный сайт включен для балансировки сетевой нагрузки». Затем вы должны добавить выделенные IP-адреса в массив NLB главного офиса, нажав кнопку «Добавить диапазон».

    Мы не запускаем NLB в главном офисе, поэтому мы уберем галочку с Удаленный сайт включен для балансировки сетевой нагрузки. В следующей статье я покажу вам, как создавать виртуальные частные сети типа site-to-site с включенной функцией NLB. Нажмите «Далее».
    
    

Рисунок 9

13. На странице Site to Site Network Rule вы можете настроить сетевое правило, которое соединяет сеть брандмауэра ISA главного офиса и филиала. Помните, что брандмауэр ISA требует, чтобы у вас всегда было сетевое правило для соединения сетей брандмауэра ISA друг с другом. Даже если вы создадите сети и создадите правила доступа, соединения не будут работать, пока вы не создадите сетевое правило.

    Выберите параметр «Создать сетевое правило с указанием отношения маршрута» и примите имя по умолчанию. Обратите внимание, что у вас также есть опция Я создам сетевое правило позже, если вы хотите создать сетевое правило вручную. Обратите внимание, что опция по умолчанию – это установка отношения маршрутизации между основной сетью брандмауэра ISA и сетью филиала. Это отличный выбор, потому что у вас есть гораздо более широкий диапазон доступа к протоколу при использовании отношений маршрута.

    Отношение маршрутов в филиале должно совпадать с отношением маршрутов в главном офисе.

    Нажмите «Далее».
    
    
    
    
    
    

Рисунок 10

14. На странице Site to Site Network Access Rule вы можете настроить правило доступа, разрешающее соединения из филиала в главный офис.

    У вас также есть возможность не создавать правила доступа в это время, выбрав опцию Я изменю политику доступа позже.

    Когда вы выбираете Создать разрешающее правило доступа. Это правило разрешит трафик между внутренней сетью и новой сетью между сайтами для всех пользователей. Вам будет предложено три варианта из раскрывающегося списка Применить правило к этим протоколам. Это включает:

    Весь исходящий трафик

    Выбранные протоколы

    
    Весь исходящий трафик, кроме выбранного.

    В этом примере мы начнем с разрешения всех протоколов. Позже я покажу вам, как вы можете использовать аутентификацию на основе пользователей/групп, чтобы контролировать, каким пользователям в филиале разрешено подключаться к главному офису. Это будет ключевой шаг настройки, так как пользователи филиалов должны иметь очень ограниченный доступ к ресурсам в сети главного офиса и им должен быть разрешен доступ только к серверу и протоколам, необходимым для выполнения их работы, а также они должны быть принудительно аутентифицированы. до получения доступа к сети главного офиса.

    Выберите вариант «Весь исходящий трафик» и нажмите «Далее».
    
    
    
    
    
    
    
    
    
    
    
    

Рисунок 11

15. Нажмите «Готово» на странице «Завершение работы мастера создания сети Site to Site Network».

Рисунок 12

16. В диалоговом окне Remaining VPN Site to Site Tasks сообщается, что вам необходимо создать учетную запись пользователя с именем Branch. Мы сделаем это в следующем разделе. Нажмите ОК.

Запишите политику брандмауэра, созданную мастером VPN, затем нажмите «Применить», чтобы сохранить изменения, и нажмите «ОК» в диалоговом окне «Применить новую конфигурацию».

Рисунок 13

Не забудьте подтвердить настройки назначения адресов для VPN-клиентов и шлюзов точно так же, как вы делали это в главном офисе. Если брандмауэр ISA не может назначить IP-адреса удаленному шлюзу, настройка завершится ошибкой. Кроме того, не забудьте настроить интерфейс вызова по требованию так, чтобы он не регистрировался в DNS, как мы сделали, когда настраивали интерфейс вызова по требованию главного офиса, чтобы он не регистрировался в DNS в части 1 этой серии.

Создайте в филиале учетную запись для подключения к VPN-шлюзу.

Мы должны создать учетную запись пользователя, которую брандмауэр ISA главного офиса может использовать для аутентификации, когда он инициирует VPN-подключение site-to-site. Учетная запись пользователя должна иметь то же имя, что и интерфейс вызова по требованию, созданный на брандмауэре ISA в филиале.

Выполните следующие шаги, чтобы создать учетную запись, которую брандмауэр ISA главного офиса будет использовать для подключения к VPN-шлюзу филиала:

1. Щелкните правой кнопкой мыши Мой компьютер на рабочем столе и выберите Управление.
2. В консоли «Управление компьютером» разверните узел «Локальные пользователи и группы». Щелкните правой кнопкой мыши узел «Пользователи» и выберите «Новый пользователь».
3. В диалоговом окне «Новый пользователь» введите имя интерфейса вызова по требованию главного офиса. В нашем текущем примере интерфейс вызова по требованию называется Main. Войдите в основной в текстовое поле. Введите пароль и подтвердите пароль. Запишите этот пароль, потому что он понадобится вам при настройке удаленного шлюза ISA Server 2006 VPN. Снимите флажок « Пользователь должен сменить пароль при следующем входе в систему». Поставьте галочки в полях «Пользователь не может изменить пароль» и «Срок действия пароля не ограничен». Щелкните Создать.
4. Нажмите «Закрыть» в диалоговом окне «Новый пользователь».
5. Дважды щелкните главного пользователя на правой панели консоли.
6. В диалоговом окне «Основные свойства» щелкните вкладку «Входящие звонки». Выберите Разрешить доступ. Нажмите «Применить», а затем нажмите «ОК».

Рисунок 14

Активируйте межсайтовые ссылки

Теперь, когда брандмауэры ISA Server 2006 главного офиса и филиала настроены как VPN-маршрутизаторы, вы можете проверить соединение между сайтами.

Выполните следующие шаги, чтобы проверить связь между сайтами:

1. На удаленном клиентском компьютере за машиной филиала с брандмауэром ISA щелкните Start, а затем щелкните команду Run.
2. В диалоговом окне «Выполнить» введите cmd в текстовое поле «Открыть» и нажмите «ОК».
3. В окне командной строки введите ping –t 10.0.0.2 и нажмите ENTER.
4. Вы увидите, что несколько запросов ping истекли, а затем ответы на запросы ping будут возвращены контроллером домена в сети главного офиса.
5. Выполните те же процедуры на контроллере домена в сети главного офиса, но на этот раз пропингуйте 10.0.1.2, который является компьютером REMOTEHOST.

Вы можете увидеть результаты ping-запросов на рисунке ниже:

Рисунок 15

Если вы проверите представление журнала в реальном времени на ISA-сервере филиала, вы увидите строки, подобные тем, что показаны на рисунке ниже.

Рис. 16 (Щелкните изображение, чтобы увеличить его)

Теперь нажмите на вкладку Sessions в брандмауэре ISA филиала. Вы увидите активный сеанс, представляющий VPN-подключение между сайтами. Обратите внимание на фильтр, указывающий на соединение сайта с сайтом.

Рис. 17 (Щелкните изображение, чтобы увеличить его)

Вы можете зайти в главный офис брандмауэра ISA и выполнить аналогичные проверки.

Вывод

В этой серии статей мы обсудили, как создать L2TP/IPSec site-to-site VPN-соединение между двумя брандмауэрами ISA. Обсуждение ограничивалось использованием общего ключа между брандмауэрами ISA в главном офисе и филиале, но вы должны иметь в виду, что в производственной среде вы должны стремиться использовать аутентификацию машинного сертификата вместо предварительно общего ключа. Я дал ссылку на комплект развертывания ISA Server 2000 VPN, который предоставит вам всю информацию, необходимую для развертывания ваших сертификатов.

В следующей статье мы рассмотрим две вещи, которые вы можете сделать, чтобы помочь защитить и ускорить соединения вашего филиала: заблокировать правила доступа для связи по VPN-каналу между сайтами и использовать цепочку веб-прокси, чтобы филиал Брандмауэр ISA может извлечь выгоду из большего кэша, содержащегося в брандмауэре ISA главного офиса. Тогда увидимся! -Том.

Создание Site-to-Site VPN с использованием брандмауэров ISA 2006 в главном офисе и филиале (Часть 1)