Развертывание VPN на платформе Windows (Windows Server)

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Министерство образования и науки Российской Федерации

Обнинский институт атомной энергетики - филиал федерального государственного автономного образовательного учреждения высшего профессионального образования

«Национальный исследовательский ядерный университет «МИФИ» (ИАТЭ НИЯУ МИФИ)

Факультет заочного обучения

Реферат

по курсу Администрирование ИС

Развертывание VPN на платформе Windows (Windows Server)

Студент группы ИС-08-З

Скрынник А.А.

Руководитель

Заведующий лабораторией кафедры ИС

Охрименко Д.В.

Обнинск 2013



Содержание

Введение

1. Компоненты виртуальных частей удаленного доступа Windows Server

2. Развертывание удаленного доступа на основе протокола PPTP

3. Развертывание удаленного доступа на основе протокола L2TP

Заключение

Список использованных источников



Введение

удаленный доступ маршрутизируемый сеть

Виртуальная частная сеть является расширением частной сети, позволяя выполнять подключение через общедоступные сети, такие как Интернет. С помощью VPN можно передавать данные между двумя компьютерами через общедоступные сети, имитируя соединение точка-точка (такие как глобальные сети (WAN) для передачи данных на дальние расстояния основанные на системе передачи информации T-Carrier).

При эмуляции соединения точка-точка, данные инкапсулируются (группируются) с заголовком, который содержит информацию о маршрутизации, что позволяет данным достичь конечной точки при передаче через общедоступные сети. При эмуляции частного соединения данные шифруются чтобы обеспечить конфиденциальность. Пакеты, перехваченные в общедоступной сети, нельзя расшифровать не имеея ключей шифрования. Соединение, в котором частные данные инкапсулированы и зашифрованы - это виртуальное частное подключение (VPN-подключение).

На рисунке 1 показан логический эквивалент VPN-подключения.

Рисунок 1. Логический эквивалент VPN-подключения



Пользователи, работающие дома или в пути, могут использовать VPN-подключения для установки соединения удаленного доступа к серверу организации с использованием инфраструктуры общедоступных сетей, таких как Интернет. С точки зрения пользователя VPN-подключение является прямым соединением точка-точка между компьютером (VPN-клиент) и сервером организации (VPN-сервер). Конкретная инфраструктура общедоступных сетей в данном случае не имеет значения, поскольку логически всё выглядит так, как будто данные передаются через выделенное частное подключение.

Организации также могут использовать VPN-подключения для создания маршрутизируемых соединений с географически разделенными офисами или с другими организациями через общедоступные сети, такие как Интернет, установив безопасную связь. Логика работы маршрутизированных VPN-подключений такая же, как и выделенных WAN-подключений.

С помощью удаленного доступа и маршрутизированных подключений организации могут использовать VPN-подключения для того, чтобы заменить удаленные коммутированные соединения или соединения по выделенной линии на локальные соединения с поставщиком услуг Интернета (ISP, Internet service provider).

В операционной системе Windows® Server существует два типа технологий VPN удаленного доступа:

1. Протокол PPTP (Point-to-Point Tunneling Protocol). PPTP использует методы проверки подлинности на уровне пользователей на основе протокола PPP (Point-to-Point Protocol), а также шифрование данных на основе MPPE (Microsoft Point-to-Point Encryption).

2. Протокол L2TP (Layer Two Tunneling Protocol) совместно с протоколом PSec. L2TP использует методы проверки подлинности на уровне пользователей на основе протокола PPP, а также протокол IPSec для проверки подлинности на уровне компьютера, осуществляя проверку подлинности данных и сертификатов и обеспечивая их целостность и шифрование.

Клиент удаленного доступа (однопользовательский компьютер) создает VPN-подключение удаленного доступа к частной сети. VPN-сервер обеспечивает доступ ко всей сети, к которой он подключен. Пакеты, отправляемые с удаленного клиента через VPN-подключение, формируются на компьютере-клиенте удаленного доступа.

Клиент удаленного доступа (VPN-клиент) проходит проверку подлинности на сервере удаленного доступа (VPN-сервер), а сервер, в свою очередь, проходит проверку подлинности на клиентском компьютере.

Компьютеры под управлением операционных систем Windows XP, Windows Server, Windows NT 4.0, Windows Millennium Edition (ME), Windows 98 и Windows 95 могут создавать VPN-подключения удаленного доступа к VPN-серверу под управлением Windows Server. VPN-клиентами также может быть PPTP-клиент сторонних производителей или L2TP-клиент, использующий протокол IPSec.



1. Компоненты виртуальных частных сетей удаленного доступа Windows Server

На рисунке 2 изображены компоненты виртуальных частных сетей удаленного доступа Windows Server:

Рисунок 2. Компоненты удаленного доступа сетей VPN Windows Server

VPN-клиенты

VPN-клиентом может быть любой компьютер, способный создать PPTP-подключение с использованием шифрования MPPE или L2TP-подключение с использованием шифрования IPSec. В Таблице 1 перечислены операционные системы корпорации Microsoft, поддерживающие VPN.

Таблица 1. Операционные системы Microsoft, поддерживающие VPN

Туннельный протокол VPN	Операционная система Microsoft
PPTP	Windows XP, Windows Server, Windows NT 4.0, Windows ME, Windows 98, Windows 95 (с установленным Windows Dial-Up Networking 1.3 или последующими обновлениями производительности и безопасности)
L2TP/IPSec	Windows XP, Windows Server, Windows NT 4.0 Workstation, Windows ME и Windows 98 с установленным Microsoft L2TP/IPSec VPN Client



Типичными VPN-клиентами являются:

* Пользователи ноутбуков, которые подключаются к интрасети организации, чтобы получить доступ к электронной почте и другим ресурсам во время поездок.

* Сотрудники, которые работают удаленно и получают доступ через Интернет к корпоративным ресурсам из дома.

* Удаленные администраторы, которые подключаются через Интернет к сети организации для управления сетью или службами приложений.

При использовании VPN-клиентов Microsoft VPN-подключения можно настраивать вручную или с помощью диспетчера подключений (Connection Manager), входящего в состав Windows Server. Ручная настройка VPN-клиента Windows Server осуществляется при помощи мастера Создание нового подключения (Make New Connection) в папке Сеть и удаленный доступ к сети (Network and Dial-up Connections). Ручная настройка VPN-клиента в ОС Windows XP осуществляется при помощи мастера новых подключений (New Connection Wizard) в папке Сетевые подключения (Network Connections) путем создания VPN-подключения с указанием IP-адреса или DNS-имени VPN-сервера в Интернете.

2. Развертывание удаленного доступа на основе протокола PPTP

Инфраструктура сертификата для VPN-подключений на основе протокола PPTP необходима только в тех случаях, когда для проверки подлинности Вы используете смарт-карты или сертификаты пользователя, основанные на настройках реестра, а также протокол EAP-TLS. Если Вы используете только протокол проверки подлинности, основанный на проверке пароля (например, MS-CHAP v2), то инфраструктура сертификата для создания VPN-подключения не нужна.

Если Вам необходима инфраструктура сертификата для VPN-подключений на основе протокола PPTP, то Вы должны установить сертификат компьютера на сервер проверки подлинности (VPN- или RADIUS-сервер), а также распространить сертификаты на смарт-карты пользователей VPN-клиентов или установить сертификаты пользователя на все компьютеры VPN-клиентов.

Установка сертификатов компьютера.

Для установки сертификата компьютера необходимо наличие ЦС для выдачи сертификатов. После настройки выдающего ЦС Вы сможете установить сертификат компьютера следующими способами:

1. Настроив автоматическое размещение сертификатов компьютера в домене Windows Server. Данный метод обеспечивает централизованное управление для всего домена. Все члены домена автоматически запрашивают сертификат компьютера на основании настроек групповой политики. Для немедленного получения сертификата компьютера для VPN- или IAS-сервера, входящего в домен, в котором настроена функция автоматической подачи заявок на сертификаты, перезагрузите компьютер или введите в командной строке команду secedit /refreshpolicy machine_policy. Для получения дополнительной информации о настройке автоматической подачи заявок на сертификаты компьютера, обратитесь к разделу Автоматическое получение сертификатов от центра сертификации предприятия (Configure automatic certificate allocation from an enterprise CA) справки Windows Server Server.

2. Если Вы используете ЦС предприятия Windows Server в качестве выдающего ЦС, то можно запросить сертификат компьютера отдельно для каждого компьютера у выдающего ЦС, при помощи оснастки Сертификаты. Для получения дополнительной информации обратитесь к разделам Управление сертификатами компьютера (Manage certificates for a computer) и Запрос сертификата (Request a certificate) справки Windows Server Server.

3. Используя оснастку Сертификаты для импорта сертификата компьютера. Если у Вас имеется файл, содержащий сертификат компьютера, Вы можете импортировать сертификат компьютера при помощи оснастки Сертификаты. Для получения дополнительной информации об импорте сертификата при помощи оснастки Сертификаты обратитесь к разделу Импорт и экспорт сертификатов(Import a certificate) справки Windows Server Server.

4. Запустив сценарий клиента CAPICOM, который запрашивает сертификат компьютера. При использовании данного метода на всех компьютерах, которым необходим сертификат компьютера, должен быть выполнен сценарий CAPICOM, запрашивающий сертификат компьютера у выдающего ЦС. CAPICOM является клиентом COM, поддерживающим автоматизацию для выполнения функций шифрования (CryptoAPI) при помощи элементов управления Microsoft ActiveX и COM-объектов. CAPICOM может быть использован при помощи Visual Basic, Visual Basic Scripting Edition и C++. Для получения дополнительной информации о CAPICOM обратитесь на веб-сайт CAPICOM.

Установка сертификатов пользователя

Для установки сертификата пользователя необходимо наличие ЦС для выдачи сертификатов. После настройки выдающего ЦС Вы можете установить сертификат пользователя следующими способами:

1. Запросив сертификат пользователя при помощи веб-обозревателя. Выдающий ЦС должен поддерживать подачу веб-заявок на сертификаты. Например, если в качестве выдающего ЦС Вы используете ЦС предприятия Windows Server, на котором также установлены службы IIS (Internet Information Services), Вы можете использовать веб-заявки для запроса сертификата пользователя. Для получения дополнительной информации о запросе сертификата пользователя обратитесь к разделу Запрос сертификатов (Submit a user certificate request via the Web) справки Windows Server Server.

2. Используя оснастку Сертификаты для запроса сертификата пользователя. Если в качестве выдающего ЦС Вы используете ЦС предприятия Windows Server, Вы можете запросить сертификат пользователя при помощи оснастки Сертификаты. Для получения дополнительной информации о запросе сертификата пользователя при помощи оснастки Сертификаты обратитесь к разделу Запрос сертификатов (Request a certificate) справки Windows Server Server.

3. Используя оснастку Сертификаты для импорта сертификата пользователя. Если у Вас имеется файл, содержащий сертификат пользователя, Вы можете импортировать его при помощи оснастки Сертификаты. Для получения дополнительной информации об импорте сертификата при помощи оснастки Сертификаты обратитесь к разделу Импорт и экспорт сертификатов (Import a certificate) справки Windows Server Server.

4. Выполнив сценарий клиента CAPICOM, который запрашивает сертификат пользователя. При использовании данного метода все пользователи, которым необходим сертификат пользователя, должны выполнить сценарий CAPICOM, запрашивающий сертификат пользователя у выдающего ЦС.

Развертывание Интернет-инфраструктуры

Развертывание Интернет-инфраструктуры для VPN-подключений удаленного доступа состоит из следующих этапов:

* Подключение VPN-серверов к сети периметра или к Интернету.

* Установка на VPN-серверах ОС Windows Server Server и настройка интерфейсов Интернета.

* Добавление записей с адресами серверов в службу DNS сети Интернет.

Подключение VPN-серверов к сети периметра или к Интернету

Выберите способ подключения VPN-серверов относительно брандмауэра Интернета. В большинстве типичных конфигураций VPN-серверы располагаются за брандмауэром, в сети периметра между интрасетью и Интернетом. В этом случае настройте фильтры пакетов на брандмауэре, чтобы разрешить входящий и исходящий трафик PPTP для IP-адресов интерфейсов VPN-серверов, подключенных к сети периметра.

Установка на VPN-серверах ОС Windows Server Server и настройка интерфейсов Интернета.

Установите на компьютер VPN-сервера ОС Windows Server Server и подключите один из его сетевых адаптеров к Интернету или к сети периметра, а другой - ко внутренней сети. До завершения работы мастера установки сервера маршрутизации и удаленного доступа VPN-сервер не будет перенаправлять IP-пакеты между Интернетом и интрасетью. Для подключения к Интернету или к сети периметра настройте протокол TCP/IP, указав внешний IP-адрес, маску подсети и укажите в качестве основного шлюза либо брандмауэр (если VPN-сервер подключен к сети периметра), либо маршрутизатор поставщика услуг Интернет (ISP) (если VPN-сервер напрямую подключен к Интернету). Не указывайте для данного подключения IP-адреса DNS- или WINS-серверов.

Добавление записей с адресами серверов в службу DNS сети Интернет

Чтобы имя VPN-сервера (например: vpn.microsoft.com) разрешалось в соответствующий IP-адрес, или добавьте DNS-запись адреса (типа A) на Вашем DNS-сервере (если разрешение имен DNS для пользователей Интернета Вы предоставляете сами) или Ваш поставщик услуг Интернета должен добавить DNS-запись адреса (типа A) на своем DNS-сервере (если разрешение имен DNS для пользователей Интернета предоставляет Ваш поставщик услуг Интернета). При подключении к Интернету убедитесь, что имя VPN-сервера соответствует его внешнему IP-адресу.

Развертывание инфраструктуры служб проверки подлинности, авторизации и учета.

Развертывание инфраструктуры служб проверки подлинности, авторизации и учета состоит из следующих этапов:

* Настройка учетных записей пользователей и групп Active Directory.

* Настройка основного IAS-сервера на контроллере домена.

* Настройка резервного IAS-сервера на дополнительном контроллере домена.

Настройка учетных записей пользователей и групп Active Directory

Для настройки учетных записей пользователей и групп Active Directory сделайте следующее:

1. Убедитесь, что все пользователи, которым необходимо создавать подключения удаленного доступа, имеют соответствующие учетные записи. Это касается сотрудников, подрядчиков, поставщиков и деловых партнеров.

2. Для управления удаленным доступом на уровне пользователей установите разрешение на удаленный доступ в свойствах учетной записи пользователя в Разрешить доступ (Allow access) или Запретить доступ (Deny access). Для управления удаленным доступом на уровне групп установите разрешение на удаленный доступ в свойствах учетной записи пользователя в Управление на основе политики удаленного доступа (Control access through Remote Access Policy).

3. Чтобы воспользоваться преимуществами политик удаленного доступа на основе групп, упорядочьте учетные записи пользователей удаленного доступа, поместив их в соответствующую универсальную группу. Для получения дополнительной информации об универсальных, глобальных и локальных группах домена обратитесь к разделу Область действия группы справки Windows Server Server.

Настройка основного IAS-сервера на контроллере домена

Для настройки основного IAS-сервера на контроллере домена сделайте следующее:

1. Установите службу проверки подлинности в Интернете (IAS) на контроллере домена в качестве дополнительного сетевого компонента ОС. Для получения дополнительной информации обратитесь к разделу Установка IAS (Install IAS) справки Windows Server Server.

2. Настройте компьютер IAS-сервера (контроллер домена) для просмотра свойств учетных записей пользователей домена. Для получения дополнительной информации обратитесь к разделу Разрешение просмотра объектов пользователей в Active Directory для сервера IAS (Enable the IAS server to read user objects in Active Directory) справки Windows Server Server.

3. Если IAS-сервер осуществляет проверку подлинности попыток подключений для учетных записей пользователей в других доменах, убедитесь, что между этими доменами и доменом IAS-сервера установлены двусторонние отношения доверия. Затем настройте компьютер IAS-сервера для просмотра свойств учетных записей в других доменах. Для получения дополнительной информации обратитесь к разделу Разрешение просмотра объектов пользователей в Active Directory для сервера IAS (Enable the IAS server to read user objects in Active Directory) справки Windows Server Server. Для получения дополнительной информации о доверительных отношениях обратитесь к разделу Доверительные отношения доменов (Understanding domain trusts) справки Windows Server Server. В том случае, если IAS-сервер осуществляет проверку подлинности попыток подключений для учетных записей пользователей в доменах, не имеющих двусторонних отношений доверия с доменом, в который входит компьютер IAS-сервера, Вы должны настроить RADIUS-прокси между доменами, не имеющими доверительных отношений.

4. Включите ведение журнала событий учета и проверки подлинности. Для получения дополнительной информации обратитесь к разделу Настройка свойств ведения журнала (Configure log file properties) справки Windows Server Server.

5. Добавьте VPN-серверы в качестве клиентов RADIUS IAS-сервера. Для получения дополнительной информации обратитесь к разделу Регистрация клиентов RADIUS (Add RADIUS clients) справки Windows Server Server. Для IP-адреса каждого VPN-сервера используйте внутренний IP-адрес, назначенный VPN-серверу. Если Вы используете имена, укажите внутреннее имя VPN-сервера (это не является обязательным, если такое же DNS-имя используется клиентами сети Интернет). Используйте стойкие общие секреты (пароли).

6. Создайте политики удаленного доступа, отображающие Ваши сценарии использования удаленного доступа. Например, чтобы настроить политику удаленного доступа, требующую VPN-подключений на основе протокола PPTP для членов группы Employees с использованием протокола EAP-TLS и 128-битное шифрование для проверки подлинности, создайте политику удаленного доступа со следующими параметрами:

Имя политики: VPN-подключения

Условия:

Для атрибута NAS-Port-Type выбрано значение Virtual (VPN)

Для атрибута Tunnel-Type выбрано значение Point-to-Point Tunneling Protocol

Для атрибута Windows-Groups добавлена группа Employees (в соответствии с рассматриваемым примером)

Разрешение на удаленный доступ: Предоставить право удаленного доступа

Настройки профиля, вкладка Проверка подлинности (Authentication)

Установите флажок Протокол расширенной проверки подлинности (EAP) (Extensible Authentication Protocol), установите параметр Выберите приемлемый тип протокола для этой политики (EAP type) в значение Смарт-карта или иной сертификат (Smart Card or other Certificate) и снимите все другие флажки.

Настройки профиля, вкладка Шифрование (Encryption):

Установите флажок Самое стойкое (Strongest) и затем снимите все другие флажки.

7. Если Вы создали новые политики удаленного доступа, то или удалите политику удаленного доступа по умолчанию под названием Разрешить доступ, если разрешены входящие подключения (Allow access if dial-up permission is enabled) или переместите ее в конец списка политик, чтобы она применялась в последнюю очередь. Для получения дополнительной информации обратитесь к разделам Удаление политики удаленного доступа (Delete a remote access policy) и Изменение порядка применения политик (Change the policy evaluation order) справки Windows Server Server.

Настройка резервного IAS-сервера на дополнительном контроллере домена

Для настройки резервного IAS-сервера на дополнительном контроллере домена, сделайте следующее:

1. Установите службу проверки подлинности в Интернете (IAS) на дополнительном контроллере домена в качестве сетевого компонента ОС. Для получения дополнительной информации обратитесь к разделу Установка IAS (Install IAS) справки Windows Server Server.

2. Настройте компьютер резервного IAS-сервера (дополнительный контроллер домена) для просмотра свойств учетных записей пользователей домена. Для получения дополнительной информации обратитесь к разделу Разрешение просмотра объектов пользователей в Active Directory для сервера IAS (Enable the IAS server to read user objects in Active Directory) справки Windows Server Server.

3. Если резервный IAS-сервер осуществляет проверку подлинности попыток подключений для учетных записей пользователей в других доменах, убедитесь, что между этими доменами и доменом резервного IAS-сервера установлены двусторонние отношения доверия. Затем настройте компьютер резервного IAS-сервера для просмотра свойств учетных записей в других доменах. Для получения дополнительной информации обратитесь к разделу Разрешение просмотра объектов пользователей в Active Directory для сервера IAS (Enable the IAS server to read user objects in Active Directory) справки Windows Server Server. Для получения дополнительной информации о доверительных отношениях обратитесь к разделу Доверительные отношения доменов (Understanding domain trusts) справки Windows Server Server. В том случае, если резервный IAS-сервер осуществляет проверку подлинности попыток подключений для учетных записей пользователей в доменах, не имеющих двусторонних отношений доверия с доменом, в который входит компьютер резервного IAS-сервера, Вы должны настроить RADIUS-прокси между доменами, не имеющими доверительных отношений.

4. Скопируйте настройки основного IAS-сервера на резервный IAS-сервер. Для получения дополнительной информации обратитесь к разделу Копирование конфигурации IAS на другой сервер (Copy the IAS configuration to another server) справки Windows Server Server.

Развертывание VPN-серверов

Развертывание VPN-серверов для VPN-подключений удаленного доступа состоит из следующих этапов:

* Настройка подключения VPN-сервера к интрасети.

* Запуск мастера установки сервера маршрутизации и удаленного доступа.

* Настройка подключения VPN-сервера к интрасети.

Для всех VPN-серверов настройте подключение к интрасети вручную, указав параметры TCP/IP (IP-адрес, маску подсети, DNS- и WINS-серверы интрасети). Обратите внимание на то, что Вы не должны указывать основной шлюз для подключения к интрасети, чтобы предотвратить возникновение конфликтов, связанных с маршрутом по умолчанию Интернета.

Запуск мастера установки сервера маршрутизации и удаленного доступа

Запустите мастер установки сервера маршрутизации и удаленного доступа для настройки всех VPN-серверов Windows Server. Выполните следующие шаги:

1. Нажмите Пуск (Start), выберите Программы (Programs), Администрирование (Administrative Tools) и нажмите Маршрутизация и удаленный доступ (Routing and Remote Access).

2. Щелкните правой кнопкой мыши по имени Вашего сервера и выберите Настроить и включить маршрутизацию и удаленный доступ (Configure and Enable Routing and Remote Access).

3. В окне Общие параметры (Common Configurations) выберите Сервер виртуальной частной сети (VPN)(Virtual Private Network (VPN) server) и затем нажмите кнопку Далее (Next).

4. Убедитесь, что в окне Протоколы удаленных клиентов (Remote Client Protocols) присутствуют все протоколы данных, используемые Вашими VPN-клиентами удаленного доступа. В случае необходимости добавьте протоколы и затем нажмите кнопку Далее.

5. В окне Подключение к Интернету (Internet Connection) щелкните по подключению, соответствующему интерфейсу сети Интернет или сети периметра, и затем нажмите кнопку Далее.

6. В окне Назначение IP-адресов (IP Address Assignment) выберите параметр Автоматически (Automatic), если VPN-сервер будет использовать протокол DHCP для присвоения IP-адресов VPN-клиентам удаленного доступа. В противном случае выберите параметр Из заданного диапазона адресов (From a specified range of addresses) для использования одного или нескольких статических диапазонов адресов. Если хотя бы один из статических диапазонов адресов является диапазоном адресов, не принадлежащих подсети, в инфраструктуру маршрутизации необходимо добавить маршруты, чтобы сделать VPN-клиенты доступными. После выбора способа назначения IP-адресов нажмите кнопку Далее.

7. Если для проверки подлинности и учета Вы используете протокол RADIUS, в окне Управление несколькими серверами удаленного доступа (Managing Multiple Remote Access Servers), нажмите Да, использовать RADIUS-сервер (Yes, I want to use a RADIUS server), и затем нажмите Далее.

В окне Выбор RADIUS-сервера (RADIUS Server Selection) настройте основной (обязательный) и дополнительный (необязательный) RADIUS-серверы и введите общий секрет. Затем нажмите кнопку Далее.

8. Нажмите кнопку Готово (Finish).

9. Когда будет предложено, запустите службу маршрутизации и удаленного доступа.

По умолчанию на устройстве WAN Miniport (PPTP) настраивается только 128 портов PPTP. Если необходимо больше количество портов PPTP, откройте оснастку Маршрутизация и удаленный доступ (Routing and Remote Access), перейдите в свойства объекта Порты (Ports) и укажите необходимое количество устройств Минипорт WAN (PPTP).

По умолчанию включены только протоколы MS-CHAP и MS-CHAPv2. Если для проверки подлинности Вы используете смарт-карты или сертификаты пользователя, откройте оснастку Маршрутизация и удаленный доступ, затем свойства VPN-сервера, перейдите на вкладку Безопасность (Security) и нажмите кнопку Методы проверки подлинности (Authentication Methods). В открывшемся диалоговом окне установите флажок Протокол расширенной проверки подлинности (EAP) (Extensible Authentication Protocol (EAP)).

Развертывание инфраструктуры интрасети

Инфраструктура интрасети

Развертывание инфраструктуры интрасети для VPN-подключений удаленного доступа состоит из следующих этапов:

* Настройка маршрутизации на VPN-сервере.

* Проверка разрешения имени и доступности интрасети со стороны VPN-сервера.

* Настройка маршрутизации для диапазонов адресов, не принадлежащих подсети.

Настройка маршрутизации на VPN-сервере

Для того, чтобы Ваши VPN-серверы смогли пересылать трафик для ресурсов интрасети, Вы должны настроить их или используя статические маршруты, объединяющих все возможные адреса интрасети, или используя протоколов маршрутизации, таким образом, чтобы VPN-сервер выступал в роли динамического маршрутизатора и автоматически добавлял маршруты для сегментов интрасети в свою таблицу маршрутизации.

Чтобы добавить статические маршруты, обратитесь к разделу Добавление статического маршрута (Add a static route) справки Windows Server Server. Для настройки VPN-сервера в качестве RIP-маршрутизатора обратитесь к разделу Настройка протокола RIP для IP (Configure RIP for IP). Для настройки VPN-сервера в качестве OSPF-маршрутизатора обратитесь к разделам Вопросы проектирования среды с протоколом OSPF (OSPF design considerations) и Настройка протокола OSPF (Configure OSPF).

Проверка разрешения имени и доступности интрасети со стороны VPN-сервера

Убедитесь в том, что все VPN-серверы могут разрешать имена и успешно подключаться ко всем ресурсам интрасети. Для этого можно использовать служебную утилиту Ping, обозреватель Internet Explorer, а также выполнить подключение к принтеру или сетевому диску какого-либо сервера, принадлежащего интрасети.

Настройка маршрутизации для диапазонов адресов, не принадлежащих подсети

Если Вы настраиваете хотя бы один из VPN-серверов при помощи пулов адресов, выделяемых вручную, и если любой этих из пулов содержит диапазон адресов, не принадлежащих подсети, Вы должны убедиться в том, что в Вашей интрасети имеются маршруты, соответствующий данным диапазонам адресов, не принадлежащих подсети. Вы можете убедиться в этом, либо добавив статический маршруты соответствующий данным диапазонам адресов, не принадлежащих подсети, в качестве статического маршрута к соседним маршрутизаторам VPN-серверов, и затем распространив маршрут на другие маршрутизаторы при помощи протоколов маршрутизации, используемых в Вашей интрасети. После того, как Вы добавите данные статические маршруты, Вы должны указать в качестве шлюза или пункта назначения следующего прыжка интерфейс интрасети VPN-сервера.

Если Вы используете протоколы RIP или OSPF в качестве альтернативного решения Вы можете настроить VPN-серверы в роли RIP- или OSPF-маршрутизаторов при помощи диапазонов адресов, не принадлежащих подсети. Для использования протокола OSPF Вы должны настроить VPN-сервер в роли граничного маршрутизатора автономной системы (autonomous system boundary router, ASBR). Для получения дополнительной информации обратитесь к разделу Вопросы проектирования среды с протоколом OSPF (OSPF design considerations) справки Windows Server.

Развертывание VPN-клиентов

Развертывание VPN-клиентов для VPN-подключений удаленного доступа может быть выполнено следующими способами:

Настройка VPN-клиентов вручную.

Настройка пакетов диспетчера подключений при помощи пакета администрирования диспетчера подключений (CMAK).

Настройка VPN-клиентов вручную

Если у Вас небольшое число VPN-клиентов, Вы можете настроить VPN-подключения вручную для каждого из них. Для VPN-клиентов Windows Server используйте мастер Создание нового подключения (Make New Connection) для создания Интернет- и VPN-подключений, объединяя их таким образом, чтобы когда Вы подключаетесь, используя VPN-подключение, автоматически происходило подключение к Интернету. Для VPN-клиентов Windows XP используйте Мастер новых подключений (New Connection Wizard) для создания Интернет- и VPN-подключений.

Настройка пакетов диспетчера подключений при помощи пакета администрирования диспетчера подключений

Для большого количества VPN-клиентов различных версий ОС Windows Вы можете использовать CMAK для создания и распространения настроенных пакетов диспетчера подключений (Connection Manager) среди Ваших пользователей. Для получения дополнительной информации обратитесь к разделу Подготовка к выполнению мастера CMAK (Before you start: Understanding Connection Manager and the Administration Kit) справки Windows Server Server.

3. Развертывание удаленного доступа на основе протокола L2TP

Инфраструктура сертификата для VPN-подключений на основе протокола L2TP необходима только в тех случаях, когда для проверки подлинности Вы используете смарт-карты или сертификаты пользователя, основанные на настройках реестра, а также протокол EAP-TLS. Если Вы используете только протокол проверки подлинности, основанный на проверке пароля (например, MS-CHAP v2), то инфраструктура сертификата для создания VPN-подключения не нужна.

Если Вам необходима инфраструктура сертификата для VPN-подключений на основе протокола L2TP, то Вы должны установить сертификат компьютера на сервер проверки подлинности (VPN- или RADIUS-сервер), а также распространить сертификаты на смарт-карты пользователей VPN-клиентов или установить сертификаты пользователя на все компьютеры VPN-клиентов.

Для получения информации о развертывании инфраструктуры сертификата обратитесь к «Приложению Д. Развертывание инфраструктуры сертификата».

Установка сертификатов компьютера

Для установки сертификата компьютера необходимо наличие ЦС для выдачи сертификатов. После настройки выдающего ЦС Вы сможете установить сертификат компьютера следующими способами:

1. Настроив автоматическое размещение сертификатов компьютера в домене Windows Server. Данный метод обеспечивает централизованное управление для всего домена. Все члены домена автоматически запрашивают сертификат компьютера на основании настроек групповой политики. Для немедленного получения сертификата компьютера для VPN- или IAS-сервера, входящего в домен, в котором настроена функция автоматической подачи заявок на сертификаты, перезагрузите компьютер или введите в командной строке команду secedit /refreshpolicy machine_policy. Для получения дополнительной информации о настройке автоматической подачи заявок на сертификаты компьютера, обратитесь к разделу Автоматическое получение сертификатов от центра сертификации предприятия (Configure automatic certificate allocation from an enterprise CA) справки Windows Server Server.

2. Используя оснастку Сертификаты (Certificates) для запроса сертификата компьютера.

Если Вы используете ЦС предприятия Windows Server в качестве выдающего ЦС, то можно запросить сертификат компьютера отдельно для каждого компьютера у выдающего ЦС, при помощи оснастки Сертификаты. Для получения дополнительной информации обратитесь к разделам Управление сертификатами компьютера (Manage certificates for a computer) и Запрос сертификата (Request a certificate) справки Windows Server Server.

3. Используя оснастку Сертификаты для импорта сертификата компьютера.

Если у Вас имеется файл, содержащий сертификат компьютера, Вы можете импортировать сертификат компьютера при помощи оснастки Сертификаты. Для получения дополнительной информации об импорте сертификата при помощи оснастки Сертификаты обратитесь к разделу Импорт и экспорт сертификатов(Import a certificate) справки Windows Server Server.

4. Запустив сценарий клиента CAPICOM, который запрашивает сертификат компьютера.

При использовании данного метода на всех компьютерах, которым необходим сертификат компьютера, должен быть выполнен сценарий CAPICOM, запрашивающий сертификат компьютера у выдающего ЦС. CAPICOM является клиентом COM, поддерживающим автоматизацию для выполнения функций шифрования (CryptoAPI) при помощи элементов управления Microsoft ActiveX и COM-объектов. CAPICOM может быть использован при помощи Visual Basic, Visual Basic Scripting Edition и C++. Для получения дополнительной информации о CAPICOM обратитесь на веб-сайт CAPICOM.

Развертывание смарт-карт

Для получения информации о развертывании смарт-карт в Windows Server обратитесь к разделу Контрольный список: внедрение использования смарт-карт для входа в систему Windows (Checklist: Deploying smart cards for logging on to Windows) справки Windows Server Server.

Установка сертификатов пользователя

Для установки сертификата пользователя необходимо наличие ЦС для выдачи сертификатов. После настройки выдающего ЦС Вы можете установить сертификат пользователя следующими способами:

1. Запросив сертификат пользователя при помощи веб-обозревателя.

Выдающий ЦС должен поддерживать подачу веб-заявок на сертификаты. Например, если в качестве выдающего ЦС Вы используете ЦС предприятия Windows Server, на котором также установлены службы IIS (Internet Information Services), Вы можете использовать веб-заявки для запроса сертификата пользователя. Для получения дополнительной информации о запросе сертификата пользователя обратитесь к разделу Запрос сертификатов (Submit a user certificate request via the Web) справки Windows Server Server.

2. Используя оснастку Сертификаты для запроса сертификата пользователя.

Если в качестве выдающего ЦС Вы используете ЦС предприятия Windows Server, Вы можете запросить сертификат пользователя при помощи оснастки Сертификаты. Для получения дополнительной информации о запросе сертификата пользователя при помощи оснастки Сертификаты обратитесь к разделу Запрос сертификатов (Request a certificate) справки Windows Server Server.

3. Используя оснастку Сертификаты для импорта сертификата пользователя.

Если у Вас имеется файл, содержащий сертификат пользователя, Вы можете импортировать его при помощи оснастки Сертификаты. Для получения дополнительной информации об импорте сертификата при помощи оснастки Сертификаты обратитесь к разделу Импорт и экспорт сертификатов (Import a certificate) справки Windows Server Server.

4. Выполнив сценарий клиента CAPICOM, который запрашивает сертификат пользователя.

При использовании данного метода все пользователи, которым необходим сертификат пользователя, должны выполнить сценарий CAPICOM, запрашивающий сертификат пользователя у выдающего ЦС.

Развертывание Интернет-инфраструктуры

Развертывание Интернет-инфраструктуры для VPN-подключений удаленного доступа состоит из следующих этапов:

* Подключение VPN-серверов к сети периметра или к Интернету.

* Установка на VPN-серверах ОС Windows Server Server и настройка интерфейсов Интернета.

* Добавление записей с адресами серверов в службу DNS сети Интернет.

Подключение VPN-серверов к сети периметра или к Интернету

Выберите способ подключения VPN-серверов относительно брандмауэра Интернета. В большинстве типичных конфигураций VPN-серверы располагаются за брандмауэром, в сети периметра между интрасетью и Интернетом. В этом случае настройте фильтры пакетов на брандмауэре, чтобы разрешить входящий и исходящий трафик L2TP для IP-адресов интерфейсов VPN-серверов, подключенных к сети периметра.

Установка на VPN-серверах ОС Windows Server Server и настройка интерфейсов Интернета

Установите на компьютер VPN-сервера ОС Windows Server Server и подключите один из его сетевых адаптеров к Интернету или к сети периметра, а другой - ко внутренней сети. До завершения работы мастера установки сервера маршрутизации и удаленного доступа VPN-сервер не будет перенаправлять IP-пакеты между Интернетом и интрасетью. Для подключения к Интернету или к сети периметра настройте протокол TCP/IP, указав внешний IP-адрес, маску подсети и укажите в качестве основного шлюза либо брандмауэр (если VPN-сервер подключен к сети периметра), либо маршрутизатор поставщика услуг Интернет (ISP) (если VPN-сервер напрямую подключен к Интернету). Не указывайте для данного подключения IP-адреса DNS- или WINS-серверов.

Добавление записей с адресами серверов в службу DNS сети Интернет

Чтобы имя VPN-сервера (например: vpn.microsoft.com) разрешалось в соответствующий IP-адрес, или добавьте DNS-запись адреса (типа A) на Вашем DNS-сервере (если разрешение имен DNS для пользователей Интернета Вы предоставляете сами) или Ваш поставщик услуг Интернета должен добавить DNS-запись адреса (типа A) на своем DNS-сервере (если разрешение имен DNS для пользователей Интернета предоставляет Ваш поставщик услуг Интернета). При подключении к Интернету убедитесь, что имя VPN-сервера соответствует его внешнему IP-адресу.

Развертывание инфраструктуры служб проверки подлинности, авторизации и учета

Развертывание инфраструктуры служб проверки подлинности, авторизации и учета состоит из следующих этапов:

* Настройка учетных записей пользователей и групп Active Directory.

* Настройка основного IAS-сервера на контроллере домена.

* Настройка резервного IAS-сервера на дополнительном контроллере домена.

Настройка учетных записей пользователей и групп Active Directory

Для настройки учетных записей пользователей и групп Active Directory сделайте следующее:

1. Убедитесь, что все пользователи, которым необходимо создавать подключения удаленного доступа, имеют соответствующие учетные записи. Это касается сотрудников, подрядчиков, поставщиков и деловых партнеров.

2. Для управления удаленным доступом на уровне пользователей установите разрешение на удаленный доступ в свойствах учетной записи пользователя в Разрешить доступ (Allow access) или Запретить доступ (Deny access). Для управления удаленным доступом на уровне групп установите разрешение на удаленный доступ в свойствах учетной записи пользователя в Управление на основе политики удаленного доступа (Control access through Remote Access Policy).

3. Чтобы воспользоваться преимуществами политик удаленного доступа на основе групп, упорядочьте учетные записи пользователей удаленного доступа, поместив их в соответствующую универсальную группу. Для получения дополнительной информации об универсальных, глобальных и локальных группах домена обратитесь к разделу Область действия группы справки Windows Server Server.

Настройка основного IAS-сервера на контроллере домена

Для настройки основного IAS-сервера на контроллере домена сделайте следующее:

1. Установите службу проверки подлинности в Интернете (IAS) на контроллере домена в качестве дополнительного сетевого компонента ОС. Для получения дополнительной информации обратитесь к разделу Установка IAS (Install IAS) справки Windows Server Server.

2. Настройте компьютер IAS-сервера (контроллер домена) для просмотра свойств учетных записей пользователей домена. Для получения дополнительной информации обратитесь к разделу Разрешение просмотра объектов пользователей в Active Directory для сервера IAS (Enable the IAS server to read user objects in Active Directory) справки Windows Server Server.

3. Если IAS-сервер осуществляет проверку подлинности попыток подключений для учетных записей пользователей в других доменах, убедитесь, что между этими доменами и доменом IAS-сервера установлены двусторонние отношения доверия. Затем настройте компьютер IAS-сервера для просмотра свойств учетных записей в других доменах. Для получения дополнительной информации обратитесь к разделу Разрешение просмотра объектов пользователей в Active Directory для сервера IAS (Enable the IAS server to read user objects in Active Directory) справки Windows Server Server. Для получения дополнительной информации о доверительных отношениях обратитесь к разделу Доверительные отношения доменов (Understanding domain trusts) справки Windows Server Server. В том случае, если IAS-сервер осуществляет проверку подлинности попыток подключений для учетных записей пользователей в доменах, не имеющих двусторонних отношений доверия с доменом, в который входит компьютер IAS-сервера, Вы должны настроить RADIUS-прокси между доменами, не имеющими доверительных отношений.

4. Включите ведение журнала событий учета и проверки подлинности. Для получения дополнительной информации обратитесь к разделу Настройка свойств ведения журнала (Configure log file properties) справки Windows Server Server.

5. Добавьте VPN-серверы в качестве клиентов RADIUS IAS-сервера. Для получения дополнительной информации обратитесь к разделу Регистрация клиентов RADIUS (Add RADIUS clients) справки Windows Server Server. Для IP-адреса каждого VPN-сервера используйте внутренний IP-адрес, назначенный VPN-серверу. Если Вы используете имена, укажите внутреннее имя VPN-сервера (это не является обязательным, если такое же DNS-имя используется клиентами сети Интернет). Используйте стойкие общие секреты (пароли).

6. Создайте политики удаленного доступа, отображающие Ваши сценарии использования удаленного доступа. Например, чтобы настроить политику удаленного доступа, требующую VPN-подключений на основе протокола L2TP для членов группы Employees с использованием протокола EAP-TLS и 128-битное шифрование для проверки подлинности, создайте политику удаленного доступа со следующими параметрами:

Имя политики: VPN-подключения

Условия:

Для атрибута NAS-Port-Type выбрано значение Virtual (VPN)

Для атрибута Tunnel-Type выбрано значение Point-to-Point Tunneling Protocol

Для атрибута Windows-Groups добавлена группа Employees (в соответствии с рассматриваемым примером)

Разрешение на удаленный доступ: Предоставить право удаленного доступа

Настройки профиля, вкладка Проверка подлинности (Authentication)

Установите флажок Протокол расширенной проверки подлинности (EAP) (Extensible Authentication Protocol), установите параметр Выберите приемлемый тип протокола для этой политики (EAP type) в значение Смарт-карта или иной сертификат (Smart Card or other Certificate) и снимите все другие флажки.

Настройки профиля, вкладка Шифрование (Encryption):

Установите флажок Самое стойкое (Strongest) и затем снимите все другие флажки.

7. Если Вы создали новые политики удаленного доступа, то или удалите политику удаленного доступа по умолчанию под названием Разрешить доступ, если разрешены входящие подключения (Allow access if dial-up permission is enabled) или переместите ее в конец списка политик, чтобы она применялась в последнюю очередь. Для получения дополнительной информации обратитесь к разделам Удаление политики удаленного доступа (Delete a remote access policy) и Изменение порядка применения политик (Change the policy evaluation order) справки Windows Server Server.

Настройка резервного IAS-сервера на дополнительном контроллере домена

Для настройки резервного IAS-сервера на дополнительном контроллере домена, сделайте следующее:

1. Установите службу проверки подлинности в Интернете (IAS) на дополнительном контроллере домена в качестве сетевого компонента ОС. Для получения дополнительной информации обратитесь к разделу Установка IAS (Install IAS) справки Windows Server Server.

2. Настройте компьютер резервного IAS-сервера (дополнительный контроллер домена) для просмотра свойств учетных записей пользователей домена. Для получения дополнительной информации обратитесь к разделу Разрешение просмотра объектов пользователей в Active Directory для сервера IAS (Enable the IAS server to read user objects in Active Directory) справки Windows Server Server.

3. Если резервный IAS-сервер осуществляет проверку подлинности попыток подключений для учетных записей пользователей в других доменах, убедитесь, что между этими доменами и доменом резервного IAS-сервера установлены двусторонние отношения доверия. Затем настройте компьютер резервного IAS-сервера для просмотра свойств учетных записей в других доменах. Для получения дополнительной информации обратитесь к разделу Разрешение просмотра объектов пользователей в Active Directory для сервера IAS (Enable the IAS server to read user objects in Active Directory) справки Windows Server Server. Для получения дополнительной информации о доверительных отношениях обратитесь к разделу Доверительные отношения доменов (Understanding domain trusts) справки Windows Server Server. В том случае, если резервный IAS-сервер осуществляет проверку подлинности попыток подключений для учетных записей пользователей в доменах, не имеющих двусторонних отношений доверия с доменом, в который входит компьютер резервного IAS-сервера, Вы должны настроить RADIUS-прокси между доменами, не имеющими доверительных отношений.

4. Скопируйте настройки основного IAS-сервера на резервный IAS-сервер. Для получения дополнительной информации обратитесь к разделу Копирование конфигурации IAS на другой сервер (Copy the IAS configuration to another server) справки Windows Server Server.

Развертывание VPN-серверов

Развертывание VPN-серверов для VPN-подключений удаленного доступа состоит из следующих этапов:

* Настройка подключения VPN-сервера к интрасети.

* Запуск мастера установки сервера маршрутизации и удаленного доступа.

Настройка подключения VPN-сервера к интрасети

Для всех VPN-серверов настройте подключение к интрасети вручную, указав параметры TCP/IP (IP-адрес, маску подсети, DNS- и WINS-серверы интрасети). Обратите внимание на то, что Вы не должны указывать основной шлюз для подключения к интрасети, чтобы предотвратить возникновение конфликтов, связанных с маршрутом по умолчанию Интернета.

Запуск мастера установки сервера маршрутизации и удаленного доступа

Запустите мастер установки сервера маршрутизации и удаленного доступа для настройки всех VPN-серверов Windows Server. Выполните следующие шаги:

1. Нажмите Пуск (Start), выберите Программы (Programs), Администрирование (Administrative Tools) и нажмите Маршрутизация и удаленный доступ (Routing and Remote Access).

2. Щелкните правой кнопкой мыши по имени Вашего сервера и выберите Настроить и включить маршрутизацию и удаленный доступ (Configure and Enable Routing and Remote Access).

3. В окне Общие параметры (Common Configurations) выберите Сервер виртуальной частной сети (VPN)(Virtual Private Network (VPN) server) и затем нажмите кнопку Далее (Next).

4. Убедитесь, что в окне Протоколы удаленных клиентов (Remote Client Protocols) присутствуют все протоколы данных, используемые Вашими VPN-клиентами удаленного доступа. В случае необходимости добавьте протоколы и затем нажмите кнопку Далее.

5. В окне Подключение к Интернету (Internet Connection) щелкните по подключению, соответствующему интерфейсу сети Интернет или сети периметра, и затем нажмите кнопку Далее.

6. В окне Назначение IP-адресов (IP Address Assignment) выберите параметр Автоматически (Automatic), если VPN-сервер будет использовать протокол DHCP для присвоения IP-адресов VPN-клиентам удаленного доступа. В противном случае выберите параметр Из заданного диапазона адресов (From a specified range of addresses) для использования одного или нескольких статических диапазонов адресов. Если хотя бы один из статических диапазонов адресов является диапазоном адресов, не принадлежащих подсети, в инфраструктуру маршрутизации необходимо добавить маршруты, чтобы сделать VPN-клиенты доступными. После выбора способа назначения IP-адресов нажмите кнопку Далее.

7. Если для проверки подлинности и учета Вы используете протокол RADIUS, в окне Управление несколькими серверами удаленного доступа (Managing Multiple Remote Access Servers), нажмите Да, использовать RADIUS-сервер (Yes, I want to use a RADIUS server), и затем нажмите Далее.

В окне Выбор RADIUS-сервера (RADIUS Server Selection) настройте основной (обязательный) и дополнительный (необязательный) RADIUS-серверы и введите общий секрет. Затем нажмите кнопку Далее.

8. Нажмите кнопку Готово (Finish).

9. Когда будет предложено, запустите службу маршрутизации и удаленного доступа.

По умолчанию на устройстве WAN Miniport (L2TP) настраивается только 128 портов L2TP. Если необходимо больше количество портов L2TP, откройте оснастку Маршрутизация и удаленный доступ (Routing and Remote Access), перейдите в свойства объекта Порты (Ports) и укажите необходимое количество устройств Минипорт WAN (L2TP).

По умолчанию включены только протоколы MS-CHAP и MS-CHAPv2. Если для проверки подлинности Вы используете смарт-карты или сертификаты пользователя, откройте оснастку Маршрутизация и удаленный доступ, затем свойства VPN-сервера, перейдите на вкладку Безопасность (Security) и нажмите кнопку Методы проверки подлинности (Authentication Methods). В открывшемся диалоговом окне установите флажок Протокол расширенной проверки подлинности (EAP) (Extensible Authentication Protocol (EAP)).

Развертывание инфраструктуры интрасети

Инфраструктура интрасети

Развертывание инфраструктуры интрасети для VPN-подключений удаленного доступа состоит из следующих этапов:

* Настройка маршрутизации на VPN-сервере.

* Проверка разрешения имени и доступности интрасети со стороны VPN-сервера.

* Настройка маршрутизации для диапазонов адресов, не принадлежащих подсети.

Настройка маршрутизации на VPN-сервере

...