Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
CheckBootSpeed - это диагностический пакет на основе скриптов PowerShell, создающий отчет о скорости загрузки Windows 7 ...
Вы когда-нибудь хотели создать установочный диск Windows, который бы автоматически установил систему, не задавая вопросо...
Если после установки Windows XP у вас перестала загружаться Windows Vista или Windows 7, вам необходимо восстановить заг...
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...
OSzone.net Microsoft Семейство Forefront Настройка VPN по схеме Site to Site по протоколу PPTP с помощью Microsoft Forefront TMG RSS

Настройка VPN по схеме Site to Site по протоколу PPTP с помощью Microsoft Forefront TMG

Текущий рейтинг: 3.8 (проголосовало 5)
 Посетителей: 14460 | Просмотров: 21649 (сегодня 0)  Шрифт: - +

Несколько недель назад Microsoft выпустила версию Beta 3 Microsoft Forefront TMG (Threat Management Gateway) с массой новых восхитительных возможностей.

Microsoft Forefront TMG, как и ISA Server 2006, обладает встроенными возможностями клиентских VPN и Site to Site VPN. Site to Site VPN устанавливается в соответствии со следующими протоколами:

  • IPSEC
  • L2TP через IPSEC
  • PPTP

Конфигурации Site to Site VPN остались практически неизменными в TMG по сравнению с ISA Server 2006. Одна из новых функциональностей в клиентской VPN в TMG - поддержка VPN по протоколу SSTP (Secure Socket Tunneling Protocol), но эта функциональность - не то, о чем я хочу поговорить в данной статье.

Перейдем к конфигурации Site to Site VPN. Запустите консоль TMG Management console и перейдите к узлу Remote Access Policy (VPN). В панели task щелкните Create VPN Site-to-Site connection. Будет запущен мастер создания удаленного VPN-сайта.

*

Рисунок 1: Конфигурация удаленного VPN-сайта

Следуйте инструкциям мастера VPN Site-to-Site Connection Wizard и укажите имя для сети.

*

Рисунок 2: Сетевое имя Site-to-Site

Выберите протокол для VPN. Для примера в нашей статье выбран протокол Point-to-Point Tunneling Protocol (PPTP).

*

Рисунок 3: Выбор VPN-протокола

После выбора протокола PPTP появится всплывающее окно, предупреждающее вас о том, что вы должны создать пользовательский аккаунт для Site-to-Site VPN с именем, совпадающим с именем сети Site-to-Site VPN. Если эти имена не будут совпадать, произойдет ошибка конфигурации, либо будет установлено только клиентское VPN-соединение.

*

Рисунок 4: Напоминание о необходимости совпадения имени пользовательского аккаунта и имени сети

Давайте создадим пользовательский аккаунт для использования сетью Site-to-Site VPN на другом сервере TMG. Назовем этот аккаунт Hannover - так же, как и сеть. Активируйте пункты, не разрешающие изменение пароля или истечение срока его действия. Поставьте сильный пароль для этого пользовательского аккаунта.

*

Рисунок 5: Удаленный VPN-аккаунт

Теперь вы должны включить разрешение доступа к сети для аккаунта Site-to-Site VPN.

*

Рисунок 6: Разрешение доступа к сети

Следующий шаг в процессе настройки - выбор метода назначения IP-адресов для удаленного клиентского VPN-соединения с другой стороны Site-to-Site VPN. Также можно воспользоваться DHCP или IP-адресами из статического адресного пула.

*

Рисунок 7: Укажите диапазон IP-адресов

Если вы используете версию Microsoft Forefront TMG Enterprise, вы должны указать владельца соединения, когда Network Load Balancing не используется; что справедливо для нашего примера. Если NLB используется, владелец соединения назначается автоматически.

*

Рисунок 8: Укажите члена массива TMG в случае использования TMG Enterprise

Укажите IP-адрес или FQDN (Fully Qualified Domain Name) VPN-сервера удаленного сайта.

*

Рисунок 9: VPN-сервер удаленного сайта

Укажите пользовательский аккаунт удаленного сайта, используемый для соединения Site-to-Site. Этот аккаунт будет использоваться для установления соединения с удаленным сайтом.

*

Рисунок 10: Удаленная аутентификация

Сервер TMG должен знать диапазон IP-адресов удаленных сетей, к которым будет подключаться TMG. Вам нужно указать все диапазоны адресов удаленных сайтов.

*

Рисунок 11: Диапазоны адресов сети удаленных сайтов

Если вы используете NLB для подключения к удаленным сайтам, вам нужно указать DIP (Dedicated IP address) шлюза удаленного сайта. В нашем примере мы не используем NLB, поэтому ничего делать не нужно.

*

Рисунок 12: Настройка NLB удаленного сайта, если NLB используется

Соединение Site-to-Site VPN требует сетевого правила, соединяющего оба сайта Site-to-Site VPN. Мастер автоматически создает сетевое правило с отношением Route. Можно изменить это сетевое правило после завершения работы мастера.

*

Рисунок 13: Сетевое правило Site-to-Site

Мастер Site-to-Site VPN Wizard также автоматически создает правило сетевого доступа между двумя сайтами. Вы должны указать разрешенные протоколы в сети Site-to-Site. Желательно, чтобы число разрешенных протоколов было минимальным.

*

Рисунок 14: Правило доступа к сети Site-to-Site

На данном этапе мастер собрал всю необходимую информацию для создания Site-to-Site VPN. Вы можете просмотреть конфигурацию, после чего нажмите Finish.

*

Рисунок 15: Завершение работы мастера VPN Site-to-Site Network

Откроется новое окно, напоминающее вам о том, что вы должны создать локального пользователя для VPN-соединения Site-to-Site, чтобы другой сайт VPN-соединения мог использовать Site-to-Site VPN.

*

Рисунок 16: Напоминание о других необходимых шагах настройки

Когда вы нажимаете Apply, создается Site-to-Site VPN. Свойства Site-to-Site VPN можно менять при желании. Щелкните правой кнопкой мыши на VPN-соединении и щелкните вкладку свойств. Тут вам стоит обратить внимание на connection timeout (истечение времени ожидания соединения) для неактивных соединений на вкладке Connection.

*

Рисунок 17: Свойства соединения

На вкладке Authentication вы можете выбрать протоколы аутентификации. MS-CHAP v2 - аутентификационный протокол по умолчанию, и изменять этот протокол стоит только в случае крайней необходимости, поскольку все остальные протоколы менее надежны по сравнению с MS-CHAP v2.

*

Рисунок 18: Выбор аутентификационных протоколов

Если вы хотите увидеть обзор свойств соединения Site-to-Site VPN, щелкните правой кнопкой мыши на правиле Site-to-Site и щелкните Site-to-Site Summary. Все это видно на следующем скриншоте.

*

Рисунок 19: Итоговая информация по Site-to-Site VPN

Затем вам нужно проверить правило брандмауэра, созданное мастером. Поскольку я использовал протокол PPTP в правиле брандмауэра, вы найдете правило под узлом Web Access Policy.

*
Увеличить

Рисунок 20: Правило доступа VPN Site-to-Site

И, наконец, вам нужно проверить сетевое правило, созданное мастером Site-to-Site VPN wizard. Вы найдете сетевое правило в консоли TMG Management console под узлом Networking на вкладке network rule.

*

Рисунок 21: Сетевое правило VPN Site-to-Site

Мы успешно настроили конфигурацию Site-to-Site VPN на одном сайте TMG. Теперь вам нужно настроить сервер TMG на другом сайте сети Site-to-Site VPN аналогичным образом.

Заключение

В этой статье я предоставил вам пример того, как нужно создавать VPN по схеме Site to Site по протоколу PPTP с помощью Microsoft Forefront Threat Management Gateway. Процесс почти такой же, как и в ISA Server 2006, поэтому у вас не должно быть особых сложностей.

Ссылки по теме

Автор: Марк Гроут  •  Иcточник: www.isadocs.ru  •  Опубликована: 15.09.2009
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER
Теги:   VPN, Site to Site, PPTP.


Оценить статью:
Вверх
Комментарии посетителей
Комментарии отключены. С вопросами по статьям обращайтесь в форум.