Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
CheckBootSpeed - это диагностический пакет на основе скриптов PowerShell, создающий отчет о скорости загрузки Windows 7 ...
Вы когда-нибудь хотели создать установочный диск Windows, который бы автоматически установил систему, не задавая вопросо...
Если после установки Windows XP у вас перестала загружаться Windows Vista или Windows 7, вам необходимо восстановить заг...
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...
OSzone.net Microsoft Семейство Forefront Настройка TMG Beta 3 для SSTP VPN подключений - часть 3: настройка TMG VPN параметров и создание подключения RSS

Настройка TMG Beta 3 для SSTP VPN подключений - часть 3: настройка TMG VPN параметров и создание подключения

Текущий рейтинг: 5 (проголосовало 1)
 Посетителей: 4173 | Просмотров: 6218 (сегодня 0)  Шрифт: - +

Во второй части этого цикла статей о настройке брандмауэра TMG на прием SSTP VPN клиентских подключений мы обсудили вопросы, связанные с сертификатами, а затем установили сертификат веб сайта на брандмауэр TMG. Мы создали правило веб публикации для публикации сайта CRL нашего частного ЦС. Обратите внимание, что вам не нужно осуществлять этот шаг, если вы используете коммерческий ЦС. В этой заключительной части мы рассмотрим шаги настройки компонента VPN сервера, а затем создадим подключение VPN с помощью SSTP. Мы также узнаем, что нам нужно исправить правило веб публикации для сайта CRL, поскольку наш сертификат обманул нас в том, какой URL будет использоваться для доступа к CRL.

ПРЕДУПРЕЖДЕНИЕ: в этой бета версии брандмауэра TMG вы не сможете удалить веб приемник SSTP Web Listener после его создания. Это означает, что IP адрес, который вы используете для этого веб приемника, будет постоянно назначен для приемника SSTP, и вы не сможете использовать его для правила веб публикации SSL Web Publishing Rule. Хотя эта проблема будет исправлена к выходу RTM версии продукта, вам нужно добавить IP адреса для дополнительных правил веб публикации SSL, или переустановить свою машину, чтобы избавиться от SSTP приемника.

Настройка VPN конфигурации на брандмауэре TMG

Теперь давайте перейдем к основной задаче ‘ настройке VPN конфигурации на брандмауэре TMG. Хотя было бы неплохо описать все подробности конфигурации TMG VPN, я собираюсь использовать более узкий подход в этой статье и расскажу лишь о тех аспектах настройки, которые затрагивают SSTP конфигурацию. Если вы хотите узнать больше о VPN конфигурации брандмауэра TMG в общем, обязательно приобретите нашу книгу о TMG, которая выйдет через пару месяцев.

Выполнение следующих шагов для инициации конфигурации VPN сервера на брандмауэре TMG:

  1. Открываем консоль брандмауэра TMG, и переходим в узел Политика удаленного доступа (Remote Access Policy (VPN)) в левой панели, как показано на рисунке ниже.

*

Рисунок 1

  1. В закладке Задачи в панели задач переходим по ссылке Включить доступ для VPN клиентов (Enable VPN Client Access).

*

Рисунок 2

  1. Ха! Вы заметите, что старая ошибка в коде, которая была частью конфигурации VPN в брандмауэре ISA, была перенесена и в брандмауэр TMG. Прежде чем включить VPN доступ, необходимо сначала настроить назначение адресов. Было бы здорово, если бы панель задач делала все опции конфигурации VPN недоступными, пока не произведена настройка назначения адресов для VPN клиентов. Нет проблем. Нажимаем здесь OK и исправляем проблему.

*

Рисунок 3

  1. В панели задач выбираем команду Определить назначение адресов (Define Address Assignments) . Следующее окно отображено на рисунке ниже. Поскольку у меня установлен DHCP сервер на контроллере домена, я собираюсь выбрать опцию Dynamic Host Configuration Protocols (DHCP). Если вы решили выбрать опцию Пул статических адресов (Static Address Pool), убедитесь, что адреса, которые вы вводите в пул, не используются ни в какой другой Дефиниции Сети (Network Definition) ‘ в противном случае такая настройка работать не будет, и вы увидите отчет об ошибке в разделе предупреждений (Alerts) в консоли брандмауэра TMG. Нажимаем OK.

*

Рисунок 4

  1. Теперь переходим по ссылке Включить доступ для VPN клиентов (Enable VPN Client Access) в панели задач. Значок изменится и появится, как Отключить доступ для VPN клиентов (Disable VPN Client Access), после того как вы включите его.

*

Рисунок 5

  1. Переходим по ссылке Настроить доступ клиента VPN (Configure VPN ClientAccess) в панели задач. В диалоговом окне Свойства клиента VPN (VPN Clients Properties) переходим в закладку Протоколы (Protocols). Опция Включить PPTP (Enable PPTP) будет включена по умолчанию. Отмечаем опцию Включить SSTP (Enable SSTP). Нажимаем кнопку Настроить (Configure), чтобы начать процесс создания веб приемника для SSTP подключений.

*

Рисунок 6

  1. В диалоговом окне Выбор веб приемника для SSTP (Choose Web Listener for SSTP) вы увидите список потенциальных веб приемников, которые можно использовать для SSTP подключений. Поскольку на этом брандмауэре пока что нет ни одного веб приемника с включенной SSL, нам придется его создать. Нажимаем кнопку Новый (New), чтобы начать создание приемника.

*

Рисунок 7

  1. На приветственной странице мастера Welcome to the New Web Listener Wizard вводим имя для веб приемника в текстовом поле Имя веб приемника (Web listener name). В этом примере мы назовем его SSTP Listener. Примечание: Вы, вероятно, захотите выделить этот веб приемник под SSTP подключения в силу его особой конфигурации. Это означает, что если вам нужно опубликовать другие SSL сайты, вам потребуются дополнительные IP адреса для этих сайтов, поскольку вы не сможете использовать SSTP Web Listener для них.

*

Рисунок 8

  1. На странице IP адреса веб приемника (Web Listener IP Addresses) я собираюсь выбрать опцию Внешний (External), отметив соответствующую строку. Я делаю это, потому что у меня есть только один IP адрес, присвоенный внешнему интерфейсу брандмауэра TMG. Если бы у меня было больше IP адресов, присвоенных внешнему интерфейсу брандмауэра TMG, мне бы пришлось нажать кнопку Выбор IP адресов (Select IP Addresses) и выбрать определенные IP адреса для этого веб приемника. Примечание: это довольно интересная опция, которая обычно недоступна для других типов VPN подключений (PPTP, L2TP/IPsec) к брандмауэру TMG ‘ другими словами, с другими VPN протоколами вы не сможете контролировать определенные IP адреса (ну, или, по крайней мере, не сможете сделать это просто), с которых разрешены подключения. В SSTP вы можете ограничить, какие адреса принимают SSTP подключения путем настройки веб приемника на разрешение подключений только с выбранных вами IP адресов. Нажимаем Далее.

*

Рисунок 9

  1. На странице SSL сертификаты приемника (Listener SSL Certificates) нажимаем кнопку Выбрать сертификат (Select Certificate).

*

Рисунок 10

  1. В диалоговом окне Выбор сертификата (Select Certificate) вы увидите сертификат, который я создал для SSTP подключений и затем установил в хранилище сертификатов машины брандмауэра TMG. Обратите внимание, что у меня есть ЦС предприятия в домене, к которому принадлежит брандмауэр TMG, поэтому ЦС сертификат центра сертификации, который создал этот сертификат веб сайта, уже установлен на брандмауэре TMG. Если вы используете коммерческий сертификат, вам не нужно беспокоиться об этом шаге. Как я уже говорил в предыдущей части, существует множество способов запроса и получения сертификата, поэтому я не вдавался в подробности той конфигурации. Здесь важно лишь то, что вы можете установить сертификат и отобразить его в этом диалоговом окне, как показано на рисунке ниже. Я выбираю сертификат vpn.msfirewall.org и нажимаю Выбрать (Select).

*
Увеличить

Рисунок 11

  1. Теперь сертификат появится на странице SSL сертификаты приемника (Listener SSL Certificates). Нажимаем Далее.

*

Рисунок 12

  1. Нажимаем Закончить на странице мастера Completing the New Web Listener Wizard.

*

Рисунок 13

  1. В диалоговом окне Выбор веб приемника для SSTP (Choose Web Listener for SSTP) мы видим подробности этого приемника. Нажимаем OK.

*

Рисунок 14

  1. Нажимаем OK в диалоговом окне Свойства VPN клиента (VPN Clients Properties).

*

Рисунок 15

  1. Когда вы переходите в узел Политика брандмауэра (Firewall Policy) в левой панели консоли, нажимаете на закладке Инструменты в панели задач, затем нажимаете Объекты сети (Network Objects) и переходите к Веб приемники (Web Listeners), вы видите свой SSTP Listener в списке веб приемников.

*

Рисунок 16

  1. Еще одно интересное изменение можно найти в Системной политике (System Policy). Если вы развернете системную политику в узле Политика брандмауэра в консоли, вы увидите, что правило системной политики SSTP Публикация было автоматически включено.

*
Увеличить

Рисунок 17

  1. Нажимаем Применить (Apply), чтобы сохранить изменения и обновить конфигурацию. Нажимаем Применить в диалоговом окне Описания изменений конфигурации (Configuration Change Descriptions). Нажимаем OK в диалоговом окне Сохранение изменений конфигурации (Saving Configuration Changes).

Экспорт ЦС сертификата

Клиенты должны доверять сертификату, который SSTP приемник представляет им. Если вы используете коммерческий сертификат, это не будет проблемой, поскольку они уже доверяют центру сертификации, в котором вы приобрели сертификат. Если же вы используете частный ЦС, как мы в этой статье, то вам необходимо убедиться, что клиенты доверяют ЦС, который подписал сертификат веб сайта SSTP.

Если клиенты являются членами домена и вы используете ЦС предприятия, то у вас не возникнет никаких проблем, поскольку ЦС сертификат будет автоматически помещен в хранилище сертификатов машины в клиентском доверенном корневом центре сертификации (Trusted Root Certification Authorities). Однако если ваши клиенты не являются членами домена или вы не используете ЦС предприятия, то вам необходимо импортировать этот сертификат. В этом случае вам нужно получить ЦС сертификат. На рисунке ниже показан ЦС сертификат, используемый SSTP приемником в оснастке сертификатов консоли MMC.

*

Рисунок 18

Дважды нажимаем на сертификате и переходим в закладку Путь сертификата (Certificate Path). Вы увидите ЦС, издавший этот сертификат веб сайта в верху списка. Дважды нажимаем на этом ЦС. Затем вы увидите диалоговое окно Сертификат для ЦС сертификата. Переходим в закладку Подробно (Details). В закладке Подробно этого ЦС сертификата нажимаем кнопку Копировать в файл (Copy to File).

*
Увеличить

Рисунок 19

Мастер проведет вас через шаги экспортирования ЦС сертификата. Когда вы экспортировали свой сертификат, скопируйте его на клиента, с которого собираетесь подключаться.

Импортирование ЦС сертификата в хранилище сертификатов машины VPN клиента

Давайте сосредоточим свое внимание на клиенте Windows 7 VPN. Открываем оснастку сертификатов в консоли MMC и разворачиваем узел Доверенные корневые центры сертификации (Trusted Root Certificate Authorities) в левой панели консоли. Жмем правой клавишей на узле Сертификаты (Certificates), наводим курсор на Все задачи (All Tasks) и нажимаем Импортировать (Import).

Помните ‘ вы импортируете этот сертификат в хранилище сертификатов машины. Вы не импортируете его в хранилище сертификатов пользователя или служб.

*
Увеличить

Рисунок 20

Следуем инструкциям мастера. Когда вы дошли до страницы Импортируемый файл (File to Import), обязательно выберите ЦС сертификат, который экспортировали ранее. Нажимаем Далее.

*

Рисунок 21

Когда работа мастера завершена, вы увидите сертификат в узле Доверенные корневые центры сертификации\Сертификаты (Trusted Root Certification Authorities\Certificates). Дважды нажмите на сертификате и увидите подробности этого ЦС сертификата.

*
Увеличить

Рисунок 22

Создаем VPN подключение и проверяем работу SSTP

Теперь можно немного повеселиться. На Windows 7 клиенте откройте окно Управление сетевыми подключениями и общим доступом (Network and Sharing). Перейдите по ссылке Создать новое подключение или сеть (Set up a new connection or network) на этой странице.

*

Рисунок 23

На странице Создание нового подключения или сети (Set Up a Connection or Network) перейдите по ссылке Подключиться к рабочему месту (Connect to a workplace) и нажмите Далее.

*

Рисунок 24

На странице Как вы хотите подключиться (How do you want to connect)? выберите опцию Использовать мое интернет-соединение (VPN) (Use my Internet connection (VPN)).

*

Рисунок 25

На странице Ввод интернет адреса, к которому нужно подключиться (Type the Internet address to connect to) введите FQDN сервера SSTP VPN. Обратите внимание, что поскольку мы используем SSL и веб приемник, нужно подключаться к FQDN, а не к IP адресу. Этот FQDN должно быть таким же, что общее или субъектное имя на сертификате SSTP веб сайта. Также введите имя, чтобы можно было распознать по нему это подключение. Нажимаем Далее.

*

Рисунок 26

Вводим имя пользователя и пароль для проверки подлинности на брандмауэре TMG VPN. Убедитесь, что политика домена настроена на включение dial in доступа для пользовательских учетных записей на основе политики.

Нажимаем Подключиться (Connect), чтобы создать соединение.

*

Рисунок 27

Ого! Теперь мы подключены! Это было слишком просто. Да, это было слишком просто.

*

Рисунок 28

Если вы проверите подробности своего VPN подключения, вы будете немного разочарованы. То, что, по-нашему мнению, было SSTP подключением, на самом деле оказалось PPTP подключением. Что здесь не так?

*

Рисунок 29

Что не так с тем, что показано на рисунке ниже. Здесь вы видите строку, указывающую на то, что SSTP клиент пытается получить доступ к CRL.

И что не так? Это не адреса CRL, указанные на сертификате! OK, если бы все было так просто, не было бы причин для написания этой статьи. Нам нужно добавить этот путь в свое правило веб публикации CRL.

*
Увеличить

Рисунок 30

Переходим к правилу веб публикации, которое мы создали для CRL ранее и добавляем новый путь. Это будет /CertEnroll/DC+.crl. На рисунке ниже показано, где это нужно сделать.

*

Рисунок 31

Не забудьте сохранить изменения конфигурации.

Когда вы отключите клиентский компьютер, а затем снова повторите попытку подключения, вы заметите, что клиент снова пытается использовать PPTP для подключения. В качестве самого простого способа решения этой проблемы нужно в принудительном порядке заставить VPN клиента использовать SSTP, как показано на рисунке ниже. Можно также перезапустить службу брандмауэра, если хотите, однако принуждение клиента VPN к использованию SSTP менее проблематично.

*

Рисунок 32

Снова запускаем VPN подключение. На сей раз, после подключения проверьте его свойства. Здесь вы будете приятно удивлены, поскольку клиент на самом деле создал SSTP подключение. Отлично!

*

Рисунок 33

Если вы проверите логи брандмауэра TMG, вы обнаружите, что CRL проверка прошла успешно, поскольку мы добавили новый путь, как показано на рисунке ниже.

*

Рисунок 34

Конечно, только тот факт, что мы способны подключаться к VPN, вовсе не означает, что у нас есть доступ к любым ресурсам корпоративной сети. Нужно будет создавать правила брандмауэра, управляющие тем, каким клиентам VPN будет разрешен доступ к сети после их подключения. По умолчанию нет никаких правил, поэтому на данном этапе VPN клиент подключен через SSTP, но он не имеет доступа к ресурсам. Когда вы создадите правила брандмауэра, дающие VPN клиентам сетевой доступ к ресурсам корпоративной сети, они смогут подключаться к этим ресурсам.

Автор: Томас Шиндер  •  Иcточник: www.isadocs.ru  •  Опубликована: 09.12.2009
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER
Теги:   SSTP VPN.


Оценить статью:
Вверх
Комментарии посетителей
Комментарии отключены. С вопросами по статьям обращайтесь в форум.