Настройка VPN по схеме Site to Site по протоколу PPTP с помощью Microsoft Forefront TMG

Несколько недель назад Microsoft выпустила версию Beta 3 Microsoft Forefront TMG (Threat Management Gateway) с массой новых восхитительных возможностей.

Microsoft Forefront TMG, как и ISA Server 2006, обладает встроенными возможностями клиентских VPN и Site to Site VPN. Site to Site VPN устанавливается в соответствии со следующими протоколами:

• IPSEC
• L2TP через IPSEC
• PPTP

Конфигурации Site to Site VPN остались практически неизменными в TMG по сравнению с ISA Server 2006. Одна из новых функциональностей в клиентской VPN в TMG - поддержка VPN по протоколу SSTP (Secure Socket Tunneling Protocol), но эта функциональность - не то, о чем я хочу поговорить в данной статье.

Перейдем к конфигурации Site to Site VPN. Запустите консоль TMG Management console и перейдите к узлу Remote Access Policy (VPN). В панели task щелкните Create VPN Site-to-Site connection. Будет запущен мастер создания удаленного VPN-сайта.

Следуйте инструкциям мастера VPN Site-to-Site Connection Wizard и укажите имя для сети.

Выберите протокол для VPN. Для примера в нашей статье выбран протокол Point-to-Point Tunneling Protocol (PPTP).

После выбора протокола PPTP появится всплывающее окно, предупреждающее вас о том, что вы должны создать пользовательский аккаунт для Site-to-Site VPN с именем, совпадающим с именем сети Site-to-Site VPN. Если эти имена не будут совпадать, произойдет ошибка конфигурации, либо будет установлено только клиентское VPN-соединение.

Давайте создадим пользовательский аккаунт для использования сетью Site-to-Site VPN на другом сервере TMG. Назовем этот аккаунт Hannover - так же, как и сеть. Активируйте пункты, не разрешающие изменение пароля или истечение срока его действия. Поставьте сильный пароль для этого пользовательского аккаунта.

Теперь вы должны включить разрешение доступа к сети для аккаунта Site-to-Site VPN.

Следующий шаг в процессе настройки - выбор метода назначения IP-адресов для удаленного клиентского VPN-соединения с другой стороны Site-to-Site VPN. Также можно воспользоваться DHCP или IP-адресами из статического адресного пула.

Если вы используете версию Microsoft Forefront TMG Enterprise, вы должны указать владельца соединения, когда Network Load Balancing не используется; что справедливо для нашего примера. Если NLB используется, владелец соединения назначается автоматически.

Укажите IP-адрес или FQDN (Fully Qualified Domain Name) VPN-сервера удаленного сайта.

Укажите пользовательский аккаунт удаленного сайта, используемый для соединения Site-to-Site. Этот аккаунт будет использоваться для установления соединения с удаленным сайтом.

Сервер TMG должен знать диапазон IP-адресов удаленных сетей, к которым будет подключаться TMG. Вам нужно указать все диапазоны адресов удаленных сайтов.

Если вы используете NLB для подключения к удаленным сайтам, вам нужно указать DIP (Dedicated IP address) шлюза удаленного сайта. В нашем примере мы не используем NLB, поэтому ничего делать не нужно.

Соединение Site-to-Site VPN требует сетевого правила, соединяющего оба сайта Site-to-Site VPN. Мастер автоматически создает сетевое правило с отношением Route. Можно изменить это сетевое правило после завершения работы мастера.

Мастер Site-to-Site VPN Wizard также автоматически создает правило сетевого доступа между двумя сайтами. Вы должны указать разрешенные протоколы в сети Site-to-Site. Желательно, чтобы число разрешенных протоколов было минимальным.

На данном этапе мастер собрал всю необходимую информацию для создания Site-to-Site VPN. Вы можете просмотреть конфигурацию, после чего нажмите Finish.

Откроется новое окно, напоминающее вам о том, что вы должны создать локального пользователя для VPN-соединения Site-to-Site, чтобы другой сайт VPN-соединения мог использовать Site-to-Site VPN.

Когда вы нажимаете Apply, создается Site-to-Site VPN. Свойства Site-to-Site VPN можно менять при желании. Щелкните правой кнопкой мыши на VPN-соединении и щелкните вкладку свойств. Тут вам стоит обратить внимание на connection timeout (истечение времени ожидания соединения) для неактивных соединений на вкладке Connection.

На вкладке Authentication вы можете выбрать протоколы аутентификации. MS-CHAP v2 - аутентификационный протокол по умолчанию, и изменять этот протокол стоит только в случае крайней необходимости, поскольку все остальные протоколы менее надежны по сравнению с MS-CHAP v2.

Если вы хотите увидеть обзор свойств соединения Site-to-Site VPN, щелкните правой кнопкой мыши на правиле Site-to-Site и щелкните Site-to-Site Summary. Все это видно на следующем скриншоте.

Затем вам нужно проверить правило брандмауэра, созданное мастером. Поскольку я использовал протокол PPTP в правиле брандмауэра, вы найдете правило под узлом Web Access Policy.

И, наконец, вам нужно проверить сетевое правило, созданное мастером Site-to-Site VPN wizard. Вы найдете сетевое правило в консоли TMG Management console под узлом Networking на вкладке network rule.

Мы успешно настроили конфигурацию Site-to-Site VPN на одном сайте TMG. Теперь вам нужно настроить сервер TMG на другом сайте сети Site-to-Site VPN аналогичным образом.

Заключение

В этой статье я предоставил вам пример того, как нужно создавать VPN по схеме Site to Site по протоколу PPTP с помощью Microsoft Forefront Threat Management Gateway. Процесс почти такой же, как и в ISA Server 2006, поэтому у вас не должно быть особых сложностей.

Ссылки по теме

• Forefront Threat Management Gateway Beta 3
• Выпущен Forefront TMG Beta 3
• Что нового в Forefront TMG Beta 2 (Part 1)
• Установка и настройка Microsoft Forefront TMG Beta 2