Blog of Khlebalin Dmitriy

(Дорогу осилит идущий…)

Создание сети удаленного узла для соединения филиала по VPN (часть 7).

Давно не писал про ISA Server, наверно это связано с катострофической нехваткой времени и рессурсов (на сегодняшний день даже негде развернуть мою тестовую среду-отсутствуют  нормальные сервера для тестирования), по сему приходится тестировать » на коленке». Сейчас в нашу жизнь, все плотнее и плотнее входит так называемый TMG 2010 (новая версия ISA), на днях скачал данный продукт, но к тестированию пока не приступал. 

Нам необходимо создать сеть удаленного узла, которая будет создавать VPN-соединения из главного офиса в филиал. После того, как настройка VPN-соединения будет закончена, мы сможем создать файл ответов и скопировать его в корень диска C: ISA-сервера филиала. Мастер создания соединения автоматически найдет этот файл и завершит создание VPN-соединения по схеме site-to-site с главным офисом.

Для создания VPN-соединения по схеме site-to-site на ISA-сервере главного офиса выполните следующее:

На сервере хранения настроек раскройте узел Arrays (Массивы), а затем узел Main. Выберите узел VirtualPrivatenetworks (VPN) (Виртуальные частные сети). В средней части консоли ISA-сервера выберите вкладку Remote Sites (Удаленные узлы), а в панели задач выберите вкладку Tasks (Задачи). Щелкните по ссылке CreateVPNSitetoSiteConnection (Создать VPN-соединение по схеме site-to-site).

На странице Welcome to the Create VPN Site to Site Connection Wizard (Начало работы мастера создания VPN-соединение по схеме site-to-site) введите имя удаленного узла в поле Site to site network name (Имя сети в схемеsite-to-site). Это имя интерфейса соединения по запросу ISA-сервера, который будет принимать входящие соединения ISA-сервера филиала. На данном компьютере вам нужно создать учетную запись пользователя с таким же именем, которая будет обладать правами на входящие соединения. Мастер предупредит нас об этом позже, и мы сможем создать необходимую учетную запись. Нажмите Next (Далее).

На странице VPN Protocol (Протокол VPN) выберите параметр Layer Two Tunneling Protocol (L2TP) over IPSec (L2TP поверх IPSec). Данный вариант предпочтителен при создании VPN-соединения между двумя ISA-серверами. Мастер создания соединения можно использовать только в том случае, если на обоих концах VPN-канала находятся ISA-серверы. Мастер соединения филиала работает только при использовании либо L2TP/IPSec, либо IPSec в туннельном режиме. Избегайте использования IPSec в туннельном режиме, поскольку этот вариант менее защищен и обладает меньшей производительностью в сравнении с L2TP/IPSec из-за отсутствия сжатия заголовков. Если в качестве VPN-протокола вы выберите PPTP, вы не сможете создать файл ответов. Нажмите Next (Далее).

Информационное окно предупредит вас о том, что вам необходимо создать учетную запись пользователя с именем интерфейса соединения по запросу данного компьютера, т.е. с тем же самым именем, которое вы дали сети удаленного узла в начале работы мастера. Мы создадим учетную запись после того, как завершим создание VPN-соединения сети удаленного узла. Нажмите OK.

На странице Local Network VPN Settings (НастройкиVPN локальной сети) выберите метод назначения ISA-сервером IP-адресов удаленным VPN-клиентам и VPN-шлюзам. В нашем случае в подсети главного офиса есть DHCP-сервер, поэтому выбираем Dynamic Host Configuration Protocol (DHCP) (Протокол DHCP). Обратите внимание, что протокол DHCP не поддерживается при наличии в массиве ISA-серверов нескольких членов. Нажмите Next (Далее).

На странице хозяина соединения примите значения по умолчанию. Поскольку мы имеем массив только из одного члена, только один компьютер и может быть хозяином соединения. Если бы у нас было несколько членов и включенная функция балансировки нагрузки сети, тогда бы NLB автоматически назначала хозяина соединения. Нажмите Next (Далее).

На странице Remote Site Gateway (Шлюз удаленного узла) введите имя FQDN или IP-адрес ISA-сервера филиала. В нашем примере IP-адресом является 192.168.1.73, поэтому в соответствующее текстовое поле введите этот адрес (обратите внимание, что я использую внутренний IP-адрес; в реальных условиях у ISA-сервера, конечно же, будет внешний адрес). Введите в текстовое поле Remote site VPN server (VPN-сервер удаленного узла) IP-адрес ISA-сервера и нажмите Next (Далее).

На странице Remote Authentication (Удаленная аутентификация) введите учетные данные, которые будет использовать ISA-сервер главного офиса для связи с сервером филиала по каналу VPN. Отметьте параметр Allow the local site to initiate connections to the remote site, using this user account (Разрешить локальному узлу инициирование соединений с удаленным узлом с помощью следующих учетных данных) и в текстовые поля User name (Имя пользователя), Domain (Домен), Password (Пароль) и Confirm Password (Подтверждение пароля) введите соответствующую информацию.
Я предпочитаю использовать локальную учетную запись вместо доменной учетной записи. На самом деле в данном сценарии мы и не можем использовать доменную учетную запись, поскольку ISA-сервер филиала станет членом домена только после установления первого VPN-соединения по схеме site-to-site. В нашем случае на ISA-сервере филиала ISA2006BRANCH мы создадим учетную запись пользователя с именем main. Это объясняет данные, показанные на рисунке ниже. Нажмите Next (Далее).

На странице L2TP/IPSec Outgoing Authentication (Исходящая аутентификация L2TP/IPSec) выберите, хотите ли вы использовать сертификат или общий ключ. В реальных условиях я обычно использую общий ключ, а затем, после того как все заработает так, как надо, перехожу к использованию сертификатов.
Выберите параметр Pre-shared key authentication (Аутентификация с помощью общего ключа) и введите ключ. В данном примере для простоты я использую ключ 123. В Реальных условиях используйте сложные ключи, состоящие из более чем 14 символов. Нажмите Next (Далее).

На странице Incoming L2TP/IPSec Authentication (Входящая аутентификация L2TP/IPSec) выберите метод аутентификации, который будет использовать ISA-сервер филиала при создании IPSec-соединений с ISA-сервером главного офиса. В нашем примере мы будет использовать тот же самый метод, что и при исходящих соединениях из главного офиса, т.е. с помощью общего ключа, значение которого 123. Нажмите Next (Далее).

На странице Network Addresses (Сетевые адреса) введите диапазон IP-адресов, используемых в сети удаленного узла. Нажмите кнопку Add Range (Добавить диапазон). В диалоговом окне IP Address Range Properties (Свойства диапазона IP-адресов) введите диапазон адресов филиала. В нашем примере все компьютеры филиала расположены в подсети 10.0.1.0/24. В текстовое поле Start address (Начальный адрес) введите 10.0.1.0, а в поле End address (Конечный адрес) введите 10.0.1.255. Нажмите OK.

Диапазон адресов филиала появился на странице Network addresses (Сетевые адреса). Нажмите Next (Далее).

На странице Remote NLB (Удаленная балансировка нагрузки сети) уберите отметку с пункта The remote site is enabled for Network Load Balancing (На удаленном узле включена балансировка нагрузки сети): в филиале мы не будем использовать балансировку. Нажмите Next (Далее).

На странице Site to Site Network Rule (Сетевое правило для схемы site-to-site) вы можете создать правило сетевой маршрутизации между главным офисом и филиалом. Примите значения по умолчанию Create a network specifying a route relationship (Создать сеть, указав отношения маршрутизации) и оставьте имя правила по умолчанию. Нажмите Next (Далее).

На странице Site to Site Network Access Rule (Правило доступа для схемы site-to-site) вы можете создать правило доступа для контроля трафика VPN в главном офисе. В данном случае выберите параметр Create an allow access rule (Создать разрешающее правило доступа). Оставьте имя правила, указанное в поле Access Rule name (Имя правила доступа) по умолчанию. Из выпадающего списка Apply the rule to these protocols (Применить данное правило к следующим протоколам) выберите All outbound traffic (Весь исходящий трафик). Позже мы установим ограничения, но пока нам важно проверить успешное создание VPN-соединения и ввести ISA-сервер филиала в домен. После того, как мы стабилизируем работу VPN. Мы ограничим трафик только необходимыми внутридоменными соединениями и доступом к серверам. Нажмите Next (Далее).

На странице Completing the New VPN Site to Site Network Wizard (Завершение работы мастера создания VPN-соединение по схеме site-to-site) нажмите Finish (Завершить).

Вы увидите диалоговое окно Remaining VPN Site to Site Tasks (Оставшиеся задачи по созданию VPN-соединения по схеме site-to-site), которое сообщит вам о том, что вам необходимо создать учетную запись пользователя на ISA-сервер главного офиса, с помощью которой ISA-сервер филиала будет проходить аутентификацию при создании VPN-соединения. Нажмите OK.

Для сохранения изменений и обновления политики брандмауэра нажмите Apply (Применить). В диалоговом окне Apply New Configuration (Применить новые настройки) нажмите OK.

Из списка узлов выберите запись Branch и щелкните по вкладке Tasks (Задачи). Обратите внимание, что в списке Related Tasks (Соответствующие задачи) появилась новая опция: Create Answer File for Remote VPN Site (Создать файл ответов для удаленного VPN узла). Данный параметр становится доступным только после создания удаленной сети VPN, и доступен только в ISA 2006 Enterprise Edition. Если вы используете ISA 2006 Standard Edition, вам придется проделать всю дальнейшую работу самостоятельно, без использования преимуществ файла ответов.

Теперь нам нужно выполнить задачи, которые от нас требует мастер: нам нужно создать учетную запись пользователя, с помощью которой ISA-сервер филиала будет проходить аутентификацию на ISA-сервере главного офиса. Для создания учетной записи и завершения настройки на ISA-сервере филиала (НЕ на сервере хранения настроек) выполните следующее:

Щелкните правой кнопкой по ярлыку My Computer (Мой компьютер) и выберите Manage (Управление).

В консоли Computer Management (Управление компьютером) раскройте узел System Tools (Системные средства), далее Local Users and Groups (Локальные пользователи и группы). Щелкните правой кнопкой по пустой области правой части консоли и из контекстного меню выберите пункт New User (Новый пользователь).

В диалоговом окне New User (Новый пользователь) в текстовое поле User name (Имя пользователя) введите Branch. Данная установка крайне важна, поскольку имя пользователя должно совпадать с именем интерфейса соединения по запросу, который ISA-сервер главного офиса будет использовать для соединения с ISA-сервером филиала. Введите и подтвердите пароль. Удалите отметку с параметра User must change password at next logon (Пользователь должен изменить пароль при следующей регистрации) и отметьте параметры User cannot change password (Пользователь не может изменять пароль) и Password next expires (Срок действия пароля не истекает). Нажмите Create (Создать).

В диалоговом окне New User (Новый пользователь) нажмите Close (Закрыть).

Дважды щелкните по пользователю Branch для вызова окна свойств пользователя.

Закройте консоль Computer Management (Управление компьютером).

Перезапустите ISA-сервер.

Всем удачи!

07.12.2009 Posted by | ms isa 2006 | Комментарии к записи Создание сети удаленного узла для соединения филиала по VPN (часть 7). отключены