Blog of Khlebalin Dmitriy

(Дорогу осилит идущий…)

Создание VPN по схеме Site-to-Site с помощью Мастера настройки соединения с филиалом сервера ISA 2006 (Часть 12).

Соединение VPN по схеме site-to-site связывает две или более сети с помощью VPN-канала по Интернету. VPN по схеме site-to-site работает наподобие маршрутизатора LAN; пакеты, направляющиеся на IP-адрес удаленного узла маршрутизируются сервером ISA Server 2006. ISA-сервер работает как шлюз VPN, соединяя две сети по Интернету.

Каждый канал соединения site-to-site может использовать один из следующих протоколов VPN:

  • PPTP
  • L2TP/IPSec
  • IPSec в туннельном режиме

Протокол PPTP (Point-to-Point Tunneling Protocol – протокол туннелирования точка-точка) предоставляет хороший уровень безопасности, который зависит от сложности пароля аутентификации PPTP-соединения. Уровень безопасности канала PPTP можно увеличить с помощью использования методов аутентификации, основанных на EAP/TLS.

VPN-протокол L2TP/IPSec дает больший уровень безопасности, поскольку для защиты соединения и аутентификации компьютера и пользователя он использует протокол шифрования IPSec. Для большего уровня защиты L2TP/IPSec-соединений можно использовать сертификаты компьютера или пользователя. Если вы не хотите развертывать инфраструктуру сертификатов, для создания VPN-соединения по схеме site-to-site для L2TP/IPSec можно использовать общий ключ.

Для VPN-соединений по схеме site-to-site сервер ISA 2006 поддерживает протокол IPSec в туннельном режиме. Используйте IPSec в туннельном режиме, только если вам необходимо создать канал связи site-to-site с VPN-шлюзами сторонних производителей. Существует несколько причин для отказа от использования IPSec в туннельном режиме:

  • IPSec в туннельном режиме менее защищен
  • IPSec в туннельном режиме обладает ограничениями по маршрутизации на компьютерах с системой Windows Server 2003
  • IPSec в туннельном режиме может уменьшить эффективную пропускную способность VPN-туннеля на 50%.

На Рисунке 1 показано, как работает VPN по схеме site-to-site:

В данной статье мы рассмотрим процедуры по созданию канала site-to-site на основе протокола L2TP/IPSec между двумя серверами ISA Server 2006. Компьютер ISALOCAL будет играть роль брандмауэра главного офиса, а ISA2005BRANCH – роль брандмауэра филиала. Для создания канала site-to-site мы используем протокол L2TP/IPSec, а также компьютерный сертификат и общий ключ для поддержки протокола шифрования IPSec.

Для создания VPN-соединения по схеме site-to-site мы выполним следующие процедуры:

  • Создание удаленной сети в главном офисе
  • Создание учетной записи для входящих соединений VPN-шлюза в главном офисе
  • Создание удаленной сети в филиале
  • Создание сетевого правила в филиале
  • Создание правила доступа в филиале
  • Создание учетной записи для входящих соединений VPN-шлюза в филиале
  • Активация каналов

В лабораторную сеть входит два ISA-сервера, один в главном офисе, другой в филиале, контроллер домена, на котором установлен сервер Exchange 2003, и компьютер клиента, расположенные за ISA-сервером филиала, в нашем случае это Windows Server 2003 SP1. На Рисунке 2 показаны компьютеры и их IP-адреса.

Замечание: Необходимо отметить, что и компьютер EXCHANGE2003BE, и REMOTEHOST являются серверами DHCP. Это требуется для работы службы маршрутизации и удаленного доступа для назначения IP-адресов вызывающим VPN-шлюзам. Если в вашей сети не установлен DHCP-сервер, можно использовать диапазон статических адресов, настроенный на каждом из серверов ISA Server 2006 /VPN-шлюзов. Я предпочитаю использовать DHCP, поскольку с его помощью легче назначать адреса подсети на виртуальные интерфейсы VPN-шлюзов.

Создание удаленного узла на ISA-сервере главного офиса

Мы начнем с настройки ISA-сервера в главном офисе. Первым шагом будет настройка сети удаленного узла с помощью консоли управления Microsoft Internet Security and Acceleration Server 2006.

Для создания сети удаленного узла на ISA-сервере главного офиса выполните следующее:

  1. Откройте консоль управления Microsoft Internet Security and Acceleration Server 2006 и раскройте в ней имя сервера. Щелкните по узлу Virtual Private Networks (VPN).
  2. Выберите вкладку Remote Sites (Удаленные узлы) панели Details (Подробно). В панели задач выберите вкладку Tasks (Задачи). Нажмите Add Remote Site Network (Добавить сеть удаленного узла).

На странице Welcome to the Create VPN Site to Site Connection Wizard (Начало работы мастера создания VPN-соединения по схеме Site-to-Site) введите в поле Site to site network name (Имя сети) имя для удаленной сети. В нашем примере это Branch. Нажмите Next (Далее).

На странице VPN Protocol (Протокол VPN) вы можете выбрать использование
IP Security protocol (IPSec) Tunnel Mode (Безопасный протокол IPSec в туннельном режиме),
Layer Two Tunneling Protocol (L2TP) over IPSec (Протокол L2TP поверх IPSec) или
Point-to-Point Tunneling Protocol (Протокол PPTP).
Если на компьютерах главного офиса и филиала не установлены сертификаты, и вы не собираетесь использовать их в будущем, выбирайте вариант с PPTP. Если сертификат установлен, или вы планируете их внедрение, выберите вариант с L2TP/IPSec (до установки сертификатов вы можете использовать общий ключ).
Используйте вариант с IPSec только в том случае, если вы соединяетесь с VPN-сервером стороннего производителя (из-за низкой безопасности, связанной с туннельным режимом протокола IPSec, и невысокой пропускной способности).
В нашем примере мы будем использовать общие ключи до того, как внедрим сертификаты после установления туннелей L2TP/IPSec. Выберите опцию Layer Two Tunneling Protocol (L2TP) over IPSec (Протокол L2TP поверх IPSec). Нажмите Next (Далее).

Появится диалоговое окно, в котором сообщается, что вам нужно создать учетную запись пользователя на ISA-сервере главного офиса. Эта учетная запись будет использоваться ISA-сервером филиала для аутентификации ISA-сервера главного офиса при попытке филиала создать VPN-соединение с главным офисом.
Учетная запись обязательно должна иметь то же имя, что и сеть удаленного узла, которую мы создаем. Это имя указывается на первой странице мастера, и, поскольку в нашем примере сеть называется Branch, то и учетная запись, которую мы создаем на ISA-сервере главного офиса, должна иметь имя Branch. Данная запись должна иметь права на удаленный коммутируемый доступ. Ниже мы разберем процесс создания данной учетной записи более подробно. Нажмите OK.

На странице Connection Owner (Владелец соединения) выберите, какой компьютер из массива будет отвечать за это VPN-соединение. Данный параметр активен только в версии ISA Enterprise Edition, а не в Standard Edition. Если ваш массив использует балансировку нагрузки, то вам не нужно назначать владельца соединения вручную, поскольку встроенный процесс балансировки во включенном состоянии автоматически назначает владельца.
В нашем примере мы не используем балансировку в массиве главного офиса (в одной из будущих статей я расскажу, как это делать), а наш массив состоит только из одного члена – это ISA-сервер версии Enterprise Edition главного офиса. Поэтому, мы используем параметр по умолчанию и нажимаем Next (Далее). (Обратите внимание, что имя сервера на рисунке предполагает, что на компьютере установлена версия Standard Edition, хотя на самом деле мы используем версию Enterprise Edition).

На странице Remote Site Gateway (Шлюз удаленного узла) введите IP-адрес или полностью определенное доменное имя FQDN внешнего интерфейса удаленного ISA-сервера. Обратите внимание на эту новую функцию ISA-сервера: раньше FQDN использовать было нельзя. Это хорошее подспорье для многих филиалов, которые используют динамическую адресацию, и единственным способом связи с ними является использование службы DDNS.
В нашем примере мы используем имя FQDN branch.msfirewall.org, которое нужно ввести в текстовое поле. Нажмите Next (Далее).

На странице Remote Authentication (Удаленная аутентификация) отметьте параметр Local site can initiate connections to remote site using these credentials (Локальный узел может инициировать соединения с удаленным узлом, используя эти учетные данные). Введите имя учетной записи, которую вы создадите на ISA-сервере филиала для разрешения доступа ISA-серверу главного офиса. В нашем примере этой учетной записью будет Main (имя учетной записи должно совпадать с именем интерфейса по требованию, созданного на удаленном узле). Когда мы будем заниматься настройкой ISA-сервера филиала, мы создадим сеть удаленного узла с именем Main, а затем учетную запись с именем Main на ISA-сервере филиала. ISA-сервер главного офиса будет использовать эту учетную запись для аутентификации ISA-сервера филиала при создании VPN-соединения.
Поле Domain (Домен) – это имя ISA-сервера филиала, в нашем примере это ISA2006BRANCH (если бы удаленный сервер ISA Server 2006 был контроллером домена, то вместо имени компьютера необходимо было бы использовать имя домена). Введите пароль для учетной записи и подтвердите его. Запишите или запомните это пароль для использования его при создании учетной записи на ISA-сервере филиала. Нажмите Next (Далее).

На странице L2TP/IPSec Outgoing Authentication (Аутентификация L2TP/IPSec) выберите метод аутентификации вашего компьютера на ISA-сервере филиала. В нашем примере мы используем опцию Pre-shared key authentication (Аутентификация с помощью общего ключа). В поле Pre-shared key (Общий ключ) введите общий ключ. Запишите или запомните его, поскольку нам еще потребуется эта информация при настройке установок аутентификации в филиале. Нажмите Next (Далее).

На странице Network Addresses (Сетевые адреса) нажмите Add Range (Добавить диапазон). В диалоговом окне IP Address Range Properties (Свойства диапазона IP-адресов) в поле Starting address (Начальный адрес) введите 10.0.1.0. В поле Ending address (Конечный адрес) введите 10.0.1.255. Нажмите OK.

На странице Network Addresses (Сетевые адреса) нажмите Next (Далее).

На странице Remote NLB (Удаленная балансировка нагрузки) вы указываете, использует ли ISA-сервер филиала балансировку нагрузки. Если балансировка используется, отметьте пункт The remote site is enabled for Network Load Balancing (На удаленном узле используется балансировка нагрузки). Затем необходимо добавить выделенные IP-адреса массива балансировки в филиале с помощью кнопки Add Range (Добавить диапазон).
Мы не используем балансировку в филиале, поэтому снимаем отметку с параметра The remote site is enabled for Network Load Balancing (На удаленном узле используется балансировка нагрузки). В одной из следующих статей я расскажу, как создавать VPN с включенной функцией балансировки нагрузки. Нажмите Next (Далее).

На странице Site to Site Network Rule (Сетевое правило для схемы site-to-site) вы можете настроить сетевое правило, с помощью которого будут соединяться главный офис и филиал. Помните, что ISA-серверу для соединений сетей ISA-серверов всегда требуется сетевое правило. Даже если вы создадите сети и правила доступа, соединения не будут работать до тех пор, пока вы не создадите сетевое правило.
В предыдущих версиях ISA-сервера многие пользователи при создании VPN забывали, а то и вовсе не знали о необходимости наличия сетевого правила. Теперь ISA-сервер 2006 прямо в мастере спросит вас о желании создать правило, что, несомненно, является большим удобством и отличным улучшением. Ясно, что команда разработчиков ISA-сервера больше заботится о простоте использования продукта, чем разработчики бета-версии сервера Exchange 2007!
Выберите пункт Create a Network Rule specifying a route relationship (Создать сетевое правило, указав отношения маршрутизации) и примите установки по умолчанию. Обратите внимание, что у вас есть возможность вручную создать сетевое правило позже (опция I’ll create a Network Rule later (Я создам сетевое правило позже)). Заметьте, что по умолчанию отношения маршрутизации устанавливаются между сетями ISA-серверов главного офиса и филиала. Это лучший выбор, поскольку так вы получаете гораздо больший диапазон доступа протоколов при использовании отношений маршрутизации.
Нажмите Next (Далее).

Еще одно новшество в сервере ISA 2006: страница Site to Site Network Access Rule (Сетевое правило доступа для схемы site-to-site). Здесь вы можете настроить правило доступа, разрешающее соединения между главным офисом и филиалом. В сервере ISA 2004 это вам приходилось делать вручную по окончанию работы мастера – еще одно очко в пользу команды разработчиков VPN в ISA-сервере!
У вас есть возможность не создавать правило доступа, выбрав параметр I’ll change the Access Policy later (Я изменю политики доступа позже).
При выборе опции Create an allow Access Rule. This rule will allow traffic between the Internal Network and the new site to site Network for all users (Создать разрешающее правило доступа. Это правило будет разрешать трафик между внутренней и новой сетями для всех пользователей) у вас появится три варианта выбора из выпадающего списка Apply the rule to these protocols (Применить правило к этим протоколам). Варианты таковы:
All outbound traffic (Весь исходящий трафик): Используйте это вариант, если вы хотите разрешить весь трафик из главного офиса в филиал.
Selected protocols (Выбранные протоколы): Используйте это вариант, если вы хотите контролировать трафик, проходящий между главном офисом и филиалом. Если вы хотите ограничить соединения выбранными протоколами, выберите этот параметр и нажмите Add (Добавить) для разрешения протоколов. Обратите внимание, что здесь вы не можете заблокировать использование протоколов конкретным пользователем/группой. Эти изменения можно сделать после окончания работы мастера в политиках брандмауэра.
All outbound traffic except selected (Весь исходящий трафик, кроме выбранного): Используйте это вариант, если вы хотите разрешить весь трафик, за исключением нескольких протоколов. Для выбора протоколов нажмите Add (Добавить).
В нашем примере мы разрешим все протоколы. Позже я покажу, как можно использовать аутентификацию на основе пользователей/групп для контроля пользователей главного офиса, которым разрешено соединяться с филиалом. Это очень важно, поскольку, как правило, доступ в филиал нужен не обычному пользователю, а администраторам. Также я покажу, как можно использовать контроль доступа пользователей/групп филиала.
Выберите параметр All outbound traffic (Весь исходящий трафик) и нажмите Next (Далее).

На странице Completing the New Site to Site Network Wizard (Завершение работы мастера создания новой сети по схеме Site-to-Site) нажмите Finish (Завершить).

Продолжение следует…

Всем удачи!

20.05.2010 Posted by | ms isa 2006 | Комментарии к записи Создание VPN по схеме Site-to-Site с помощью Мастера настройки соединения с филиалом сервера ISA 2006 (Часть 12). отключены