Blog of Khlebalin Dmitriy

(Дорогу осилит идущий…)

Создание VPN по схеме Site-to-Site с помощью Мастера настройки соединения с филиалом сервера ISA 2006 (Часть 13).

И снова про ISA… Вчера кстати, вновь  появилась возможность продолжить изучение TMG, надеюсь об этом в будущем.

Выберите сеть удаленного узла и нажмите ссылку Edit Selected Network (Изменить выбранную сеть) в панели задач.

В диалоговом окне Branch Properties (Свойства сети Branch) на вкладке General (Общие) вы увидите информацию о сети удаленного узла. На этой складке вы можете включить или выключить VPN-соединение.

На вкладке Server (Сервер) вы можете изменить владельца VPN-соединения. Вам нужно назначать владельца соединения только в случае отключенной функции балансировки нагрузки на внешнем интерфейсе ISA-сервера. Если балансировка включена, то она сама автоматически назначит владельца. Учтите, что вы можете создать массив ISA-серверов шлюзов VPN без включения балансировки на внешнем интерфейсе. Однако, в большинстве случаев балансировка используется. В данной статье мы не будем использовать балансировку, поскольку наша конфигурация состоит из одного ISA-сервера версии Enterprise Edition.

На вкладке Addresses (Адреса) вы можете изменить или добавить адреса для определения сети удаленного узла.

На вкладке Remote NLB (Удаленная балансировка нагрузки) вы указываете выделенные IP-адреса VPN-шлюза удаленного узла. Данные адреса нужно настраивать, только если VPN-шлюз сети удаленного узла использует балансировку нагрузки. В нашем случае мы не будем добавлять адреса, поскольку на ISA-сервере филиала функция балансировки не включена.

На вкладке Authentication (Аутентификация) вы выбираете протокол аутентификации, который будет использоваться ISA-сервером главного офиса для аутентификации с VPN-шлюзом филиала. По умолчанию это Microsoft CHAP Version 2. Самый защищенный вариант — EAP, но он требует применения сертификатов пользователей для аутентификации на каждом шлюзе. Возможно, в будущем я расскажу, как применить данный протокол в ISA-сервере 2006.

На вкладке Protocol (Протокол) вы настраиваете желаемый протокол создания VPN-туннеля. Здесь же вы можете изменить общий ключ.

На вкладке Connection (Соединение) вы можете изменить учетные данные для аутентификации на VPN-шлюзе сети удаленного узла. Также вы можете настроить время разрыва VPN при неактивном состоянии. По умолчанию соединения не прерываются никогда (параметр Never).

Закройте диалоговое окно Branch Properties (Свойства сети Branch).

Щелкните правой кнопкой по сети удаленного узла и выберите пункт Site to Site Summary (Информация по сети). В появившемся диалоговом окне вы увидите общую информацию о настройках локальной сети и Required site to site settings for the other end of this tunnel (Необходимые настройки для другого конца туннеля).

Вы можете щелкнуть правой кнопкой по нижней части окна, выбрать пункт Select All (Выбрать все), а затем Copy (Копировать) для получения информации о том, как настроен VPN-шлюз удаленного узла.

General VPN Settings Authentication Protocols (one or more of the following) (Общие настройки VPN – Протоколы аутентификации (один или более из нижеперечисленных)):

MS-CHAP v2

VPN Network Authentication Protocols (one or more of the following) (Протоколы аутентификации сети VPN (один или более из нижеперечисленных)):

MS-CHAP v2

Outgoing Authentication Method (Метод аутентификации исходящего трафика): Pre-shared secret (the pre-shared key will appear here) (Общий ключ (здесь показан общий ключ))

Incoming Authentication Method (Метод аутентификации входящего трафика): Certificate and pre-shared secret (the pre-shared key will appear here) (Сертификат и общий ключ (здесь показан общий ключ))

Remote Gateway Address (Адрес удаленного шлюза):

IP-адрес или DNS-имя.

Если включена функция балансировки, используется виртуальный IP-адрес удаленного массива.

Local User (Локальный пользователь): ISA2006BRANCH\main

Remote Site User (Пользователь удаленного узла): Branch

Site-to-Site Network IP Addresses (IP-адреса сети): 10.0.0.0-10.0.0.255, 10.255.255.255

Routable Local IP Addresses (Локальные маршрутизируемые IP-адреса): 10.0.1.0-10.0.1.255

Завершите настройку нажатием на кнопку Apply (Применить) для сохранения изменений и нажмите OK в диалоговом окне Apply New Configuration (Применить новые настройки).

Настройка DHCP

Последнее, что нужно проверить, это информация об адресах VPN-шлюза. У вас есть два варианта назначения IP-адресов:

  • DHCP
  • Статические адреса

Я предпочитаю использовать DHCP, поскольку это позволяет назначить VPN-клиентам и шлюзам адреса без необходимости удаления их из определения внутренней сети по умолчанию, к которой принадлежит внутренний интерфейс ISA-сервера.

Например, предположим, что IP-адрес внутреннего интерфейса ISA-сервера 192.168.1.1. Определение внутренней сети по умолчанию будет 192.168.1.0-192.168.1.255. Если бы мы использовали статические адреса, такие как 192.168.1.10-192.168.1.20, нам бы пришлось изменить определение, поскольку данные адреса перекрывают адреса внутренней сети по умолчанию. В таком случае адреса внутренней сети по умолчанию следовало бы изменить на:

192.168.1.0-192.168.1.9

192.168.1.21-192.168.1.255

С другой стороны, если бы мы использовали DHCP для назначения адресов VPN-клиентам, ISA-сервер автоматически удалял бы любой адрес, приписанный VPN-клиенту или VPN-шлюзу, из диапазона адресов внутренней сети по умолчанию и динамически назначал бы их сети VPN-клиентов. Таким образом, диапазоны адресов не перекрываются.

Проверить назначение IP-адресов можно, щелкнув по узлу Virtual Private Networks (VPN) (Виртуальные частные сети) в левой части консоли, а затем выбрав ссылку Define Address Assignments (Определить назначение адресов) на вкладке Tasks (Задачи) панели задач. Появится следующее окно:

Обратите внимание, что параметр Dynamic Host Configuration Protocol (DHCP) (Протокол DHCP) доступен только для сервера ISA Standard Edition или для единственного члена массива серверов ISA Enterprise Edition. Если вы не используете DHCP, вы должны нажать Add (Добавить) и вручную ввести IP-адреса VPN-клиентов и VPN-шлюзов.

Если вы используете статические адреса, подумайте об использовании IP-адресов другой подсети. С этим проблем не будет, только инфраструктура маршрутизации должна знать, что для перехода к сети VPN-клиентов нужно переадресовывать соединения на тот интерфейс ISA-сервера, с которого они были получены.

В обычной схеме с двумя сетевыми картами это будет внутренний интерфейс. В схеме с тремя и более сетевыми картами необходимо настроить маршрутизатор для переадресации запросов в сеть VPN-клиентов на ближайший к маршрутизатору интерфейс ISA-сервера.

Настройка интерфейса входящих соединений брандмауэра главного офиса без регистрации в DNS

Для многосетевых компьютеров одной из частых проблем является то, что они регистрируют в DNS несколько интерфейсов. Особенно критична данная проблема при создании VPN-соединений и регистрации IP-адреса интерфейса для соединения по запросу. Решить такую проблему сложно, так как клиенты web-прокси и брандмауэра не могут связаться с Интернетом, поскольку интерфейс соединения по запросу сервера ISA 2004 регистрирует себя в DNS, и клиенты пытаются соединиться с ISA-сервером по этому адресу.

Для отключения динамической регистрации в DNS для сервера ISA 2004 выполните следующее:

  1. На сервере ISA 2004 главного офиса нажмите Start (Пуск), далее Administrative Tools (Администрирование). Выберите Routing and Remote Access (Маршрутизация и удаленный доступ).
  2. В консоли Routing and Remote Access (Маршрутизация и удаленный доступ) раскройте имя сервера и выберите узел Network Interfaces (Сетевые интерфейсы).
  3. В правой части консоли щелкните правой кнопкой по записи Branch и выберите Properties (Свойства).

В диалоговом окне Branch Properties (Свойства сети Branch) выберите вкладку Networking (Сеть

На вкладке Networking (Сеть) в списке This connection uses the following items (Данное соединение использует следующие элементы) выберите Internet Protocol (TCP/IP) (Протокол Интернета (TCP/IP)) и нажмите Properties (Свойства). В диалоговом окне Internet Protocol (TCP/IP) Properties (Свойства протокола Интернета (TCP/IP)) нажмите Advanced (Дополнительно).

В диалоговом окне Advanced TCP/IP Settings (Дополнительные настройки TCP/IP) выберите вкладку DNS, где снимите отметку с пункта Register this connection’s addresses in DNS (Регистрировать адреса этого соединения в DNS) и нажмите OK.

  1. В диалоговом окне Internet Protocol (TCP/IP) Properties (Свойства протокола Интернета (TCP/IP)) нажмите OK.
  2. В диалоговом окне Branch Properties (Свойства сети Branch) нажмите OK.
  3. Закройте консоль Routing and Remote Access (Маршрутизация и удаленный доступ).

Создание учетной записи для входящих соединений VPN-шлюза в главном офисе

Учетная запись создается на ISA-сервере главного офиса для того, чтобы брандмауэр филиала мог аутентифицироваться при создании соединения. Эта запись должна иметь такое же имя, как и интерфейс входящих соединений компьютера главного офиса. В дальнейшем мы настроим ISA-сервер филиала на использование этой учетной записи для создания VPN канала.

Для создания учетной записи выполните следующее:

  1. Правой кнопкой щелкните по значку My Computer (Мой компьютер) на Рабочем столе и выберите Manage (Управление).
  2. В консоли Computer Management (Управление компьютером) раскройте узел Local Users and Groups (Локальные пользователи и группы). Правой кнопкой щелкните по узлу Users (Пользователи) и выберите New User (Новый пользователь).
  3. В диалоговом окне New User (Новый пользователь) введите имя интерфейса для входящих соединений главного офиса. В нашем примере это имя Branch, его и введите в текстовое поле. Введите и подтвердите пароль в поле Password (Пароль). Запишите или запомните этот пароль, поскольку он понадобится при настройке VPN-шлюза. Снимите отметку с поля User must change password at next logon (Пользователь должен изменить пароль при следующей регистрации). Отметьте параметры User cannot change password (Пользователь не может изменять пароль) и Password never expires (Срок действия пароля не истекает). Нажмите Create (Создать).
  4. В диалоговом окне New User (Новый пользователь) нажмите Close (Закрыть).
  5. Дважды щелкните по пользователю Branch в правой части консоли.
  6. В диалоговом окне Branch Properties (Свойства пользователя Branch) выберите вкладку Dial-in (Входящие соединения). Выберите Allow access (Разрешить доступ). Нажмите Apply (Применить), а затем OK.

На этом в принципе настройка данного этапа закончена.

Всем удачи!

25.05.2010 Posted by | ms isa 2006 | Комментарии к записи Создание VPN по схеме Site-to-Site с помощью Мастера настройки соединения с филиалом сервера ISA 2006 (Часть 13). отключены