главная - Статьи - Microsoft Windows - ISA Server
Настройка VPN сервера в ISA Server 2004
Теги: VPN сервер VPN Настройка сервера
Сервер Microsoft ISA Server 2004 VPN меняет позиции удалённого доступа по VPN, позволяя управлять доступными протоколами и сервисами для каждого VPN клиента. Управление доступа для VPN клиентов основано на том, что клиент авторизирует себя на VPN сервере, где находиться его учетная запись с параметрами доступа. Это позволяет Вам создавать целые группы пользователей, которые имеют определенный список услуг и используемых протоколов. Теперь не будет возникать вопросов по параметрам доступа для VPN клиентов, они смогут иметь доступ только там, где им разрешено находиться. Это первый шаг в обучение настройки VPN компонентов для серверов ISA Firewall. Сервер ISA Server 2004 firewall может быть настроен как VPN-server или VPN-gateway. Компоненты VPN-server позволяют принимать входящие VPN вызовы, таким образом, VPN клиент становиться частью сети, после того как он успешно установил VPN соединение. Компонент VPN-gateway сервера ISA Server 2004 позволяет соединять через Internet целые сети в одну единую корпоративную сеть. Как известно, VPN – это защищенная технология удаленного доступа при передаче важной информации через сети публичного доступа. В данной статье рассматривается пример настройки VPN сервера ISA Server 2004. В ISA Server 2004 это делается через управляющую консоль Microsoft Internet Security and Acceleration Server 2004. Сервисы firewall являются списком доступа IP адресов для VPN клиентов.
В данной статье Вы сможете рассмотреть следующие задачи по тестированию сервера Microsoft ISA Server 2004 VPN:
- Развертывание сервисов VPN Server;
- Создание списка доступа во внутреннюю сеть для VPN клиентов;
- Создание списка доступа Dial-in для учетной записи пользователя;
- Тестирования PPTP VPN соединения;
- Проблема сертификатов в ISA Server 2004 firewall и VPN клиентах;
- Тестирование VPN соединения L2TP/IPSec;
- Мониторинг VPN соединений.
Напомним, что несколько сетевых сервисов должны быть настроены до того, как мы будем настраивать VPN сервисы, а именно:
- RADIUS
- DHCP
- DNS
- WINS
- Enterprise CA
В нашей лабораторной работе domain controller для Active Directory имеет все проинсталлированные сервисы. Имя сетевого домена msfirewall.org. Компонент DHCP server особенно используется в настройке VPN, хотя не обязателен. В данной статье рассматривались системы с предустановленными компонентами:
- EXCHANGE2000BE
- ISALOCAL
- EXTCLIENT
Настройка VPN Server
Итак, приступим к настройке. По умолчанию, сервисы и компоненты VPN отключены. Поэтому, первым шагом для настройки VPN Server будет активация VPN-сервисов. Описаны следующие шаги по настройке VPN Server на основе операционной системы ISA 2004 VPN Server:
• Откройте управляющую консоль раздела Microsoft Internet Security and Acceleration Server 2004 и введите имя сервера. Кликните на Virtual Private Networks (VPN);
• Кликните на раздел Tasks в верхней части раздела. Активируйте Enable VPN Client Access;
• Кликните на Apply, чтобы сохранить и активировать сервисы;
• Нажмите OK в окошке Apply New Configuration;
• Нажмите на раздел Configure VPN Client Access;
• В разделе General, можно изменить значение Maximum number of VPN clients allowed (на рисунке указано 10 клиентов):
В разделе Groups добавьте Groups (с помощью клавиши Add);
• В подразделе Select Groups нажмите на Locations. В выбранном окошке Locations введите имя (здесь msfirewall.org) и нажмите OK;
• В подразделе Select Group введите Domain Users в окошке Enter the object names to select. Проверьте нажатием клавиши Check Names. Рабочая группа должна быть прописана в Active Directory. Как только будут настроены учетные записи пользователей, ISA Server 2004 автоматически пропишет правила доступа для удаленных VPN клиентов. Нажмите OK.
Теперь нажмите на раздел Protocols. В данном разделе поставьте галочку Enable L2TP/IPSec. Помните, что если Вы хотите, чтобы сервер был сертифицирован по ISA 2004 firewall/VPN Server, вы должны использовать L2TP/IPSec. Альтернативно поддерживается технология pre-shared key;
• Теперь зайдем в раздел User Mapping. Ставим галочки напротив Enable User Mapping и около When username does not contain a domain, use this domain. Вводим имя Domain Name (здесь msfirewall.org). Надо уточнить, что эти настройки применяются только при использовании аутентификации типа RADIUS. Эти настройки будут игнорироваться при использовании Windows authentication. Нажмите на Apply, затем на OK. Теперь вы увидите, что в консольном менеджере Microsoft Internet Security and Acceleration Server 2004 возникнет запись, которая проинформирует Вас о том, что нужно перегрузить компьютер с ISA Server 2004 для того, чтобы активировать все сервисы. Нажмите на OK;
• В разделе Tasks нажмите на Select Access Networks;
• В новом окне Virtual Private Networks (VPN) Properties нажмите на Access Networks. Заметьте, что пометка External активирована. Она указывает на то, что внешний интерфейс прослушивает входящие VPN соединения. Вы также можете выбрать другие интерфейсы (например, DMZ или extranet), если вы хотите обеспечить VPN-сервисы для доверенных узлов и сетей;
• Зайдём в раздел Address Assignment. В меню Use the following network to obtain DHCP, DNS and WINS services выберете Internal. Данная настройка критична, так как он определяет сеть, в которой настраивается доступ с помощью DHCP (заметьте, что данный пример описывает использование DHCP-server для внутренних интерфейсов). Функции DHCP server не будут распространяться на e VPN клиентов до тех пор, пока вы не установите DHCP Relay Agent на компьютер с ISA 2004 firewall/VPN Server. Также есть возможность установки статического пула адресов VPN клиентов (если вы используете static address pool, вы не должны применять опцию DHCP для хостов):
Следующим шагом будет раздел Authentication. Заметьте, что раздел Microsoft encrypted authentication version 2 (MS-CHAPv2) уже активирован по-умолчанию. Настройка протокола EAP будет рассмотрено в ISA Server 2004 VPN Deployment Kit позже. Раздел Allow custom IPSec policy for L2TP connection можно использовать, если Вы хотите создать инфраструктуру публичных ключей (нужно ввести pre-shared). Само собой разумеется, VPN клиенты настроены с тем же самым pre-shared key:
Зайдём в раздел RADIUS. Здесь мы сможем настроить аутентификацию RADIUS на ISA 2004 firewall VPN Server для VPN клиентов. Преимущество использования аутентификации RADIUS заключается в том, что вы можете управлять списками пользователей Active Directory (или других) для аутентификации пользователей без присоединения к Active Directory domain;
• Нажмите на Apply в окошке Virtual Private Networks (VPN) Properties, затем OK;
• Нажмите на Apply, чтобы сохранить настройки и правила firewall policy;
• Нажмите на OK в окошке Apply New Configuration;
• Перегрузите компьютер с ISA 2004 Server.
Компьютер получит блок IP адресов от DHCP Server во внутренней сети, когда он перегрузиться.
Создание списка доступа во внутреннюю сеть для VPN клиентов
Сервис ISA 2004 firewall Server может быть настроен после, для обработки входящих VPN соединений после перегрузки. Однако VPN пользователи не смогут иметь доступ на внутренние ресурсы сети, поскольку не были настроены списки доступов! Прежде вы должны составить списки доступов для удаленных VPN клиентов, чтобы они имели необходимый доступ до ресурсов во внутренней сети компании. Ниже будет показано, как настраивать рабочие группы и пользователей для доступа. Рассмотрим следующие шаги создания списков доступа для VPN клиентов, позволяющих им иметь доступ во внутреннюю сеть:
• Запустите управляющую консоль Microsoft Internet Security and Acceleration Server 2004, вводим имя сервера и кликнем на Firewall Policy. Правым кликом на Firewall Policy выбираем New и кликаем на Access Rule;
• В окошке Welcome to the New Access Rule Wizard вводим имя списка доступа в Access Rule name ( здесь VPN Client to Internal). Нажмите на Next;
• На странице Rule Action нажмите на Allow и Next;
• На странице Protocols выбирите All outbound protocols в This rule applies to. Нажмите на Next;
• В окошке Access Rule Sources нажмите на Add. Дальше в Add Network Entities кликаем на папку Networks и дважды на VPN Clients. Нажмите Close.
• Нажмите на Next в окошке Access Rule Sources;
• В окне Access Rule Destinations нажмите Add. Дальше в окне Add Network Entities кликаем на папку Networks и дважды на Internal. Нажмите Close;
• В окне User Sets принимаем стандартные All Users, нажмите на Next.
• Нажмите Finish в окне Completing the New Access Rule Wizard;
• Нажмите на Apply для сохранения всех настроек и правил firewall policy;
• Нажмите на OK в окне Apply New Configuration. Теперь список правил для VPN клиентов будет рассматривать списки доступа в Access Policy list.
Создание списка доступа Dial-in для учётной записи Administrator
В non-native режиме Active Directory, список доступа для пользователя выключен по умолчанию. В таких доменах мы должны вносить списки доступа на каждого пользователя. В отличие от non-native, режим native домена Active Directory имеет dial-in доступ через Remote Access Policy по умолчанию . В доменах Windows NT 4.0 доступ dial-in нужно настраивать отдельно на каждого пользователя отдельно. В данном примере используется mixed mode Active Directory в Windows Server 2003, таким образом, нам нужно вручную изменять dial-in настройки. Поэтому рекомендуется не использовать контролеры доменов Windows NT 4.0. Рассмотрим следующие шаги настройки для учетной записи Administrator:
• Нажмите Start, зайдите в Administrative Tools. Нажмите на Active Directory Users and Computers;
• В консоли Active Directory Users and Computers, нажмите на Users слева . Дважды нажмите на Administrator;
• Теперь в раздел Dial-in. В окошке Remote Access Permission (Dial-in or VPN) выберете Allow access. Дальше нажмите на Apply и OK;
• Закройте Active Directory Users and Computers.
Тестирование соединений PPTP VPN
Теперь ISA Server 2004 VPN готов к работе. Для проверки работы VPN Server нужно:
• На клиентской машине с Windows 2000 в ярлыке My Network Places выбираете Properties;
• Дважды нажмите на Make New Connection в окне Network and Dial-up Connections;
• Нажмите на Next в окне Welcome to the Network Connection Wizard;
• На окне Network Connection Type выбираете Connect to a private network through the Internet, нажмите на Next;
• В поле Destination Address введите IP адрес (192.168.1.70) в Host name or IP address. Нажмите на Next;
• В окошке Connection Availability отметьме For all users и нажмите на Next;
• Окно Internet Connection Sharing пропускаем , нажмите на Next;
• В окне Completing the Network Connection Wizard вводите имя VPN сессии в Type the name you want to use for this connection ( здесь ISA VPN). Поставьте галочку напротив Add a shortcut to my desktop. Нажмите на Finish;
• В окне Connect ISA VPN введите имя пользователя (MSFIREWALLadministrator), Нажмите на Connect;
• Теперь VPN клиент установит соединение с ISA 2004 VPN Server. Нажмите на OK в окне Connection Complete;
• Дважды нажмите на иконку в system tray, выберите Details;
• Нажмите Start, затем Run. В окне Run введите \EXCHANGE2003BE и кликните OK;
• Правым кликом нажмите на Disconnect.
Проблема сертификатов ISA Server 2004 Firewall и VPN клиентов
Вы можете значительно улучшить уровень безопасности вашего VPN соединения, применив протоколы безопасности L2TP/IPSec. Протокол криптографии IPSec обеспечивает протокол безопасности Microsoft Point to Point Encryption (MPPE) при использовании безопасного PPTP соединения. Технология IPSec используется для сертификатов на VPN server и VPN client. Ниже приведены шаги по настройке ISA Server 2004 firewall:
• Запустите Internet Explorer. В поле Address введите http://10.0.0.2/certsrv;
• В запрашиваемом окне Enter Network Password вводятся login и password учетной записи Administrator. Нажмите на OK;
• Нажмите на Request a Certificate в окне Welcome;
• В окне Request a Certificate нажмите на advanced certificate request;
• В окне Advanced Certificate Request нажмите на Create and submit a request to this CA;
• В окне Advanced Certificate Request выберете сертификат Administrator из списка Certificate Template. Поставьте отметку Store certificate in the local computer certificate store. Нажмите на Submit;
• Нажмите на Yes в окне Potential Scripting Violation;
• В окне Certificate Issued нажмите на Install this certificate;
• Нажмите на Yes в окне Potential Scripting Violation;
• Закройте браузер после просмотра Certificate Installed;
• Нажмите на Start, затем Run. Введите mmc, нажмите на OK;
• В консоли Console1 нажмите на File, дальше Add/Remove Snap-in;
• Нажмите на Add в окне Add/Remove Snap-in;
• Выберете Certificates в списке Available Standalone Snap-ins в окне Add Standalone Snap-in. Нажмите на Add;
• Выберите Computer account в окне Certificates snap-in;
• Выберите Local computer в окне Select Computer;
• Нажмите на Close в окне Add Standalone Snap-in;
• Нажмите на OK в окне Add/Remove Snap-in;
• Слева на панели , раскройте Certificates (Local Computer), затем Personal. Нажмите на PersonalCertificates. Далее дважды нажмите на сертификат Administrator (справо на консоле);
• В диалоговом окне Certificate, нажмите на Certification Path tab. В верхней части иерархии сертификатов видим путь Certification path. Нажмите на EXCHANGE2003BE. Нажмите на View Certificate;
• В окне Certificate, нажмите на Details. Нажмите на Copy to File;
• Нажмите на Next в окне Welcome to the Certificate Export Wizard;
• В окне Export File Format, выберете Cyptographic Message Syntax Standard – PKCS #7 Certificates (.P7B), нажмите на Next;
• Откройте File to Export, введите c:cacert в окне File name. Нажмите на Next;
• Нажмите на Finish в окне Completing the Certificate Export Wizard;
• Нажмите на OK в окне Certificate Export Wizard;
• Нажмите на OK в окне Certificate. Нажмите на OK снова в окне Certificate;
• Слева на панели , раскройте Trusted Root Certification Authorities, нажмите на Certificates. Правым кликом мыши выберете Trusted Root Certification AuthoritiesCertificates, укажите All Tasks, нажмите на Import;
• Нажмите на Next в окне Welcome to the Certificate Import Wizard;
• В окне File to Import используя Browse, указываем место, где мы сохраним сертификат, нажмите на Next;
• В окне Certificate Store, принимаем параметры по умолчанию, нажмите на Next;
• Нажмите на Finish в окне Completing the Certificate Import Wizard;
• Нажмите на OK в окне Certificate Import Wizard;
• Стоит заметить , что вам не нужно вручную копировать сертификат ISA Server 2004 firewall's Trusted Root Certification Authorities, потому что сертификаты автоматически устанавливаются в domain member. Если ваш firewall не входит в домен, то нужно вручную положить сертификат в Trusted Root Certification Authorities. Так как ваш удаленный VPN клиент не входит в домен, вам нужно запросить нужный сертификат через enterprise CA's Web и вручную вложить его в Trusted Root Certification Authorities клиента. Это легкий путь получения сертификата клиентом VPN по PPTP соединению. Рассмотрим следующие шаги по инсталляции сертификата:
- Установите PPTP VPN соединение с ISA 2004 firewall VPN Server;
- Откройте Internet Explorer. Наберите в поле адреса http://10.0.0.2/certsrv;
- В появившемся окне введите имя и пароль учетной записи Administrator;
- Нажмите на Request a Certificate в окне Welcome;
- В окне Request a Certificate нажмите на advanced certificate request;
- В окне Advanced Certificate Request нажмите на Create and submit a request to this;
- В окне Advanced Certificate Request выберете сертификат Administrator из списка сертификатов Certificate Template. Поставьте галочку на Store certificate in the local computer certificate store. Нажмите на Submit;
- Нажмите на Yes в окне Potential Scripting Violation;
- В окне Certificate Issued нажмите на Install this certificate;
- Нажмите на Yes в окне Potential Scripting Violation;
- Закройте окно браузера после просмотра страницы Certificate Installed;
- Нажмите на Start, затем Run. В окне введите mmc и нажмите на OK;
- В открывшейся консоли Console1 нажмите в меню File и выберете Add/Remove Snap-in;
- Нажмите на Add в окне Add/Remove Snap-in;
- Выбираем Certificates в списке Available Standalone Snap-ins в окне Add Standalone Snap-in. Нажмите на Add;
- Выберете Computer account в окне Certificates snap-in;
- Выберете Local computer в окне Select Computer;
- Нажмите на Close в поле Add Standalone Snap-in;
- Нажмите на OK в окне Add/Remove Snap-in;
- Слева на панели, раскройте Certificates (Local Computer), дальше Personal. Нажмите на PersonalCertificates. Дважды мышкой выбираем сертификат Administrator в правой части панели;
- В окне Certificate нажмите на Certification Path. В верхней части иерархии сертификатов видим путь Certification path. Нажмите на сертификат EXCHANGE2003BE. Нажмите на View Certificate;
- В окне Certificate нажмите на Details. Нажмите на Copy to File;
- Нажмите на Next в окне Welcome to the Certificate Export Wizard;
- В окне Export File Format выберете Cyptographic Message Syntax Standard – PKCS #7 Certificates (.P7B) и нажмите на Next;
- В окне File to Export введите c:cacert в строке File name. Дальше нажмите на Next;
- Нажмите на Finish в окне Completing the Certificate Export Wizard;
- Нажмите на OK в окне Certificate Export Wizard;
- Нажмите на OK в окне Certificate. Снова Нажмите на OK в окне Certificate;
- Слева на панели, раскройте Trusted Root Certification Authorities и нажмите на Certificates. Правым кликом мыши выбираем Trusted Root Certification AuthoritiesCertificates, указываем на All Tasks. Нажмите на Import;
- Нажмите на Next в окне Welcome to the Certificate Import Wizard;
- В окне File to Import используя кнопку Brows, укажите на сертификат и сохраните его на локальном диске. Нажмите на Next;
- В окне Certificate Store принимаем параметры по умолчанию, Нажмите на Next;
- Нажмите на Finish в окне Completing the Certificate Import Wizard;
- Нажмите на OK в окне Certificate Import Wizard. Разрываем VPN соединение с сервером (в system tray на значке выбираем Disconnect).
Тестирование VPN-соединения L2TP/IPSec
Теперь, когда ISA Server 2004 firewall и VPN клиент имеют сертификаты, вы можете протестировать удаленный защищенный доступ до firewall. Первый шаг – перегрузить Routing and Remote Access Service, чтобы зарегистрировать новые сертификаты. Описаны следующие шаги:
• В управляющей консоли Microsoft Internet Security and Acceleration Server 2004 введите имя сервера и кликнете на Monitoring;
• В панели Details, кликнете на Services. Правым кликом мыши указываем на Remote Access Service, остановите процесс (нажать Stop);
• Опять правым кликом Remote Access Service запустить сервис (нажать Start).
Следующие шаги относятся к VPN клиенту:
• С компьютера с VPN клиентом установите соединение по VPN (описание по установке уже обсуждались выше);
• Нажмите на OK в окне Connection Complete (соединение установлено);
• Дважды кликните на иконку соединения в system tray.
• В окне ISA VPN Status кликните на Details (в окне вы увидите информацию об успешном соединении по L2TP/IPSec);
• Нажмите на Close в диалоговом окне ISA VPN Status.
Мониторинг VPN клиентов
Сервер ISA 2004 Server позволяет производить мониторинг VPN соединений. Рассмотрим следующие шаги по мониторингу соединений:
• В управляющей консоли Microsoft Internet Security and Acceleration Server 2004 расширьте имя компьютера слева на панели консоли и кликните на Virtual Private Networks (VPN). В Task Pane нажмите на Tasks и выберете Monitor VPN Clients;
• Рассмотрим раздел Sessions в окошке Monitoring. Здесь вы можете наблюдать за сессиями VPN Client;
• Если кликнуть на раздел Dashboard, то можно увидеть сессии VPN Remote Client:
• Теперь вы можете вести в real-time наблюдения за VPN соединения с клиентами. Следует войти в раздел Logging, а затем на Tasks в панели Task Pane. Нажмите на Start Query. Здесь вы увидите все соединения проходящих через firewall.
Авторизуйтесь для добавления комментариев!