Данный раздел содержит информацию о наиболее распространенных дополнительных конфигурациях VPN-сервера Windows 2000. Наиболее распространенная конфигурация описана в разделах «Развертывание удаленного доступа на основе протокола PPTP» и «Развертывание удаленного доступа на основе протокола L2TP» данного документа. Данная конфигурация имеет следующие принципиальные характеристики:
• | На VPN-сервере установлено несколько сетевых адаптеров, один из которых подключен к интрасети, а другой – к Интернету. |
• | Интерфейсы подключения к Интернету VPN-сервера имеют статические общие IP-адреса. |
• | VPN-сервер выступает лишь в качестве шлюза, обеспечивающего удаленный доступ к интрасети. На VPN-сервере не запущено никаких других служб Интернета, таких как транслятор сетевых адресов (NAT) или веб-службы. |
Существуют еще две наиболее распространенные конфигурации:
1. | Компьютер VPN-сервера также используется, например, в качестве транслятора сетевых адресов или для предоставления услуги веб-хостинга. |
2. | На VPN-сервере установлен один сетевой адаптер, и брандмауэр публикует его общий IP-адрес. |
В следующих разделах подробно описаны особенности развертывания VPN-сервера в данных дополнительных типичных конфигурациях:
На этой странице
| VPN-сервер, используемый для предоставления нескольких Интернет-услуг |
| VPN-сервер с одним сетевым адаптером |
VPN-сервер, используемый для предоставления нескольких Интернет-услуг
В данной конфигурации VPN-сервер имеет следующие принципиальные характеристики:
• | На VPN-сервере установлено несколько сетевых адаптеров, один из которых подключен к интрасети, а другой – к Интернету. |
• | Интерфейсы подключения к Интернету VPN-сервера имеют статические общие IP-адреса. |
• | VPN-сервер выступает лишь в качестве шлюза, обеспечивающего безопасные маршрутизируемые подключения к интрасети. На VPN-сервере не запущено никаких других служб Интернета, таких как транслятор сетевых адресов (NAT) и не предоставляются услуги веб-хостинга. |
Для данной конфигурации Вы можете выполнить все процедуры по настройке VPN-сервера, описанные в разделах «Развертывание виртуальных частных сетей удаленного доступа на основе протокола PPTP» и «Развертывание виртуальных частных сетей удаленного доступа на основе протокола L2TP» этого документа, за исключением следующего: во время настройки VPN-сервера при помощи мастера установки сервера маршрутизации и удаленного доступа (Routing and Remote Access Server Setup Wizard) в окне Общие параметры (Common Configurations) вместо конфигурации Сервер виртуальной частной сети (VPN) (Virtual Private Network (VPN) server) выберите конфигурацию Сервер удаленного доступа (Remote access server). Вам будет предложено выбрать интерфейс, к которому будут применены настройки служб DHCP, DNS и WINS, способ назначения IP-адресов клиентам удаленного доступа и настроить использование RADIUS.
Когда Вы выбираете конфигурацию Сервер удаленного доступа (Remote access server), создается только 5 PPTP-портов и 5 L2TP-портов. Если Вам требуется большее количество портов, откройте свойства элемента Порты (Ports) в оснастке Маршрутизация и удаленный доступ (Routing and Remote Access) и укажите необходимое количество устройств Минипорт WAN (PPTP) и Минипорт WAN (L2TP).
При выборе конфигурации Сервер удаленного доступа (Remote access server) не происходит автоматической настройки фильтров пакетов PPTP и L2TP для интерфейса Интернета VPN-сервера. Возможность ручной настройки фильтров пакетов определяется тем, запущена ли на VPN-сервере служба NAT.
• | Если на VPN-сервере необходимо запускать службу NAT, не настраивайте фильтры пакетов PPTP и L2TP, а также фильтры пакетов других типов трафика. Если Вы настроите фильтры пакетов PPTP и L2TP для интерфейса Интернета, NAT не сможет работать. Настраивать фильтры пакетов для интерфейса Интернета нет необходимости, поскольку даже если Вы не настроите никакие фильтры, NAT отклоняет весь Интернет-трафик, который не был запрошен клиентами интрасети. |
• | Если запускать службу NAT на VPN-сервере не нужно, Вы можете настроить фильтры пакетов PPTP и L2TP, а также другие фильтры для различных служб, работающих на компьютере VPN-сервера. Например, если на компьютере VPN-сервера размещен веб-узел, следует добавить фильтры пакетов, которые разрешают прием и отправку трафика на общий IP-адрес VPN-сервера и TCP-порт 80. |
Наверх страницы
VPN-сервер с одним сетевым адаптером
В этой конфигурации на VPN-сервере установлен только один сетевой адаптер и VPN-клиенты получают доступ к службам, запущенным на компьютере VPN-сервера. Если на VPN-сервере установлен только один сетевой адаптер с назначенным ему общим IP-адресом, то весь трафик, предназначенный для служб, запущенных на компьютере VPN-сервера, передается в незашифрованном виде вне VPN-туннеля.
Единственным способом обеспечения работы VPN-сервера с одним сетевым адаптером является его размещение за брандмауэром, который предоставляет услуги по преобразованию и публикации адресов. Брандмауэр публикует, или делает известным для клиентов Интернета статический IP-адрес VPN-сервера. Когда VPN-пакеты приходят на этот опубликованный IP-адрес, брандмауэр перенаправляет их на частный или другой общий адрес, под которым VPN-сервер известен в интрасети.
На Рисунке 6 показана конфигурация с использованием опубликованного и фактического IP-адресов VPN-сервера.
Рисунок 6 - Конфигурация VPN-сервера с одним сетевым адаптером
VPN-клиент использует службу DNS сети Интернет для разрешения имени VPN-сервера по его общим IP-адресам. После создания VPN-подключения службы DNS и WINS интрасети преобразуют имя VPN-сервера в его фактический внутренний IP-адрес. Одним из ограничений данной конфигурации, является поддержка только протокола PPTP. Поскольку брандмауэр преобразовывает адреса, L2TP-трафик защищенный при помощи IPSec не может пройти через брандмауэр.
VPN-сервер настроен в соответствии с разделом «Развертывание виртуальных частных сетей удаленного доступа на основе протокола PPTP» этого документа (интерфейс интрасети выступает в качестве интерфейса Интернета). Настройки брандмауэра должны обеспечивать:
• | Публикацию в Интернете имени и IP-адреса VPN-сервера. |
• | Перенаправление на внутренний адрес компьютера VPN-сервера PPTP-трафика, приходящего на общий IP-адрес VPN-сервера. |
• | Отклонение как входящего, так и исходящего трафика VPN-сервера, за исключением PPTP-трафика. |