Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
CheckBootSpeed - это диагностический пакет на основе скриптов PowerShell, создающий отчет о скорости загрузки Windows 7 ...
Вы когда-нибудь хотели создать установочный диск Windows, который бы автоматически установил систему, не задавая вопросо...
Если после установки Windows XP у вас перестала загружаться Windows Vista или Windows 7, вам необходимо восстановить заг...
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...

Приложение Б. Дополнительные конфигурации

Текущий рейтинг: 5 (проголосовало 2)
 Посетителей: 1934 | Просмотров: 2551 (сегодня 0)  Шрифт: - +

Данный раздел содержит информацию о наиболее распространенных дополнительных конфигурациях VPN-сервера Windows 2000. Наиболее распространенная конфигурация описана в разделах «Развертывание удаленного доступа на основе протокола PPTP» и «Развертывание удаленного доступа на основе протокола L2TP» данного документа. Данная конфигурация имеет следующие принципиальные характеристики:

На VPN-сервере установлено несколько сетевых адаптеров, один из которых подключен к интрасети, а другой – к Интернету.
Интерфейсы подключения к Интернету VPN-сервера имеют статические общие IP-адреса.
VPN-сервер выступает лишь в качестве шлюза, обеспечивающего удаленный доступ к интрасети. На VPN-сервере не запущено никаких других служб Интернета, таких как транслятор сетевых адресов (NAT) или веб-службы.

Существуют еще две наиболее распространенные конфигурации:

1. Компьютер VPN-сервера также используется, например, в качестве транслятора сетевых адресов или для предоставления услуги веб-хостинга.
2. На VPN-сервере установлен один сетевой адаптер, и брандмауэр публикует его общий IP-адрес.

В следующих разделах подробно описаны особенности развертывания VPN-сервера в данных дополнительных типичных конфигурациях:

На этой странице

  VPN-сервер, используемый для предоставления нескольких Интернет-услуг
  VPN-сервер с одним сетевым адаптером

VPN-сервер, используемый для предоставления нескольких Интернет-услуг

В данной конфигурации VPN-сервер имеет следующие принципиальные характеристики:

На VPN-сервере установлено несколько сетевых адаптеров, один из которых подключен к интрасети, а другой – к Интернету.
Интерфейсы подключения к Интернету VPN-сервера имеют статические общие IP-адреса.
VPN-сервер выступает лишь в качестве шлюза, обеспечивающего безопасные маршрутизируемые подключения к интрасети. На VPN-сервере не запущено никаких других служб Интернета, таких как транслятор сетевых адресов (NAT) и не предоставляются услуги веб-хостинга.

Для данной конфигурации Вы можете выполнить все процедуры по настройке VPN-сервера, описанные в разделах «Развертывание виртуальных частных сетей удаленного доступа на основе протокола PPTP» и «Развертывание виртуальных частных сетей удаленного доступа на основе протокола L2TP» этого документа, за исключением следующего: во время настройки VPN-сервера при помощи мастера установки сервера маршрутизации и удаленного доступа (Routing and Remote Access Server Setup Wizard) в окне Общие параметры (Common Configurations) вместо конфигурации Сервер виртуальной частной сети (VPN) (Virtual Private Network (VPN) server) выберите конфигурацию Сервер удаленного доступа (Remote access server). Вам будет предложено выбрать интерфейс, к которому будут применены настройки служб DHCP, DNS и WINS, способ назначения IP-адресов клиентам удаленного доступа и настроить использование RADIUS.

Когда Вы выбираете конфигурацию Сервер удаленного доступа (Remote access server), создается только 5 PPTP-портов и 5 L2TP-портов. Если Вам требуется большее количество портов, откройте свойства элемента Порты (Ports) в оснастке Маршрутизация и удаленный доступ (Routing and Remote Access) и укажите необходимое количество устройств Минипорт WAN (PPTP) и Минипорт WAN (L2TP).

При выборе конфигурации Сервер удаленного доступа (Remote access server) не происходит автоматической настройки фильтров пакетов PPTP и L2TP для интерфейса Интернета VPN-сервера. Возможность ручной настройки фильтров пакетов определяется тем, запущена ли на VPN-сервере служба NAT.

Если на VPN-сервере необходимо запускать службу NAT, не настраивайте фильтры пакетов PPTP и L2TP, а также фильтры пакетов других типов трафика. Если Вы настроите фильтры пакетов PPTP и L2TP для интерфейса Интернета, NAT не сможет работать. Настраивать фильтры пакетов для интерфейса Интернета нет необходимости, поскольку даже если Вы не настроите никакие фильтры, NAT отклоняет весь Интернет-трафик, который не был запрошен клиентами интрасети.
Если запускать службу NAT на VPN-сервере не нужно, Вы можете настроить фильтры пакетов PPTP и L2TP, а также другие фильтры для различных служб, работающих на компьютере VPN-сервера. Например, если на компьютере VPN-сервера размещен веб-узел, следует добавить фильтры пакетов, которые разрешают прием и отправку трафика на общий IP-адрес VPN-сервера и TCP-порт 80.
 

Наверх страницы

VPN-сервер с одним сетевым адаптером

В этой конфигурации на VPN-сервере установлен только один сетевой адаптер и VPN-клиенты получают доступ к службам, запущенным на компьютере VPN-сервера. Если на VPN-сервере установлен только один сетевой адаптер с назначенным ему общим IP-адресом, то весь трафик, предназначенный для служб, запущенных на компьютере VPN-сервера, передается в незашифрованном виде вне VPN-туннеля.

Единственным способом обеспечения работы VPN-сервера с одним сетевым адаптером является его размещение за брандмауэром, который предоставляет услуги по преобразованию и публикации адресов. Брандмауэр публикует, или делает известным для клиентов Интернета статический IP-адрес VPN-сервера. Когда VPN-пакеты приходят на этот опубликованный IP-адрес, брандмауэр перенаправляет их на частный или другой общий адрес, под которым VPN-сервер известен в интрасети.

На Рисунке 6 показана конфигурация с использованием опубликованного и фактического IP-адресов VPN-сервера. 

Рисунок 6 - Конфигурация VPN-сервера с одним сетевым адаптером

VPN-клиент использует службу DNS сети Интернет для разрешения имени VPN-сервера по его общим IP-адресам. После создания VPN-подключения службы DNS и WINS интрасети преобразуют имя VPN-сервера в его фактический внутренний IP-адрес. Одним из ограничений данной конфигурации, является поддержка только протокола PPTP. Поскольку брандмауэр преобразовывает адреса, L2TP-трафик защищенный при помощи IPSec не может пройти через брандмауэр.

VPN-сервер настроен в соответствии с разделом «Развертывание виртуальных частных сетей удаленного доступа на основе протокола PPTP» этого документа (интерфейс интрасети выступает в качестве интерфейса Интернета). Настройки брандмауэра должны обеспечивать:

Публикацию в Интернете имени и IP-адреса VPN-сервера.
Перенаправление на внутренний адрес компьютера VPN-сервера PPTP-трафика, приходящего на общий IP-адрес VPN-сервера.
Отклонение как входящего, так и исходящего трафика VPN-сервера, за исключением PPTP-трафика.

 

Наверх страницы
Автор: (переведено с англ.) Microsoft Technet  •  Иcточник: Артем Васьков aka Fanzuga  •  Опубликована: 03.09.2006
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER
Теги:  


Оценить статью:
Вверх
Комментарии посетителей
Комментарии отключены. С вопросами по статьям обращайтесь в форум.