Приложение Б. Дополнительные конфигурации

Данный раздел содержит информацию о наиболее распространенных дополнительных конфигурациях VPN-сервера Windows 2000. Наиболее распространенная конфигурация описана в разделах «Развертывание удаленного доступа на основе протокола PPTP» и «Развертывание удаленного доступа на основе протокола L2TP» данного документа. Данная конфигурация имеет следующие принципиальные характеристики:

Существуют еще две наиболее распространенные конфигурации:

В следующих разделах подробно описаны особенности развертывания VPN-сервера в данных дополнительных типичных конфигурациях:

На этой странице

VPN-сервер, используемый для предоставления нескольких Интернет-услуг

В данной конфигурации VPN-сервер имеет следующие принципиальные характеристики:

Для данной конфигурации Вы можете выполнить все процедуры по настройке VPN-сервера, описанные в разделах «Развертывание виртуальных частных сетей удаленного доступа на основе протокола PPTP» и «Развертывание виртуальных частных сетей удаленного доступа на основе протокола L2TP» этого документа, за исключением следующего: во время настройки VPN-сервера при помощи мастера установки сервера маршрутизации и удаленного доступа (Routing and Remote Access Server Setup Wizard) в окне Общие параметры (Common Configurations) вместо конфигурации Сервер виртуальной частной сети (VPN) (Virtual Private Network (VPN) server) выберите конфигурацию Сервер удаленного доступа (Remote access server). Вам будет предложено выбрать интерфейс, к которому будут применены настройки служб DHCP, DNS и WINS, способ назначения IP-адресов клиентам удаленного доступа и настроить использование RADIUS.

Когда Вы выбираете конфигурацию Сервер удаленного доступа (Remote access server), создается только 5 PPTP-портов и 5 L2TP-портов. Если Вам требуется большее количество портов, откройте свойства элемента Порты (Ports) в оснастке Маршрутизация и удаленный доступ (Routing and Remote Access) и укажите необходимое количество устройств Минипорт WAN (PPTP) и Минипорт WAN (L2TP).

При выборе конфигурации Сервер удаленного доступа (Remote access server) не происходит автоматической настройки фильтров пакетов PPTP и L2TP для интерфейса Интернета VPN-сервера. Возможность ручной настройки фильтров пакетов определяется тем, запущена ли на VPN-сервере служба NAT.

Наверх страницы

VPN-сервер с одним сетевым адаптером

В этой конфигурации на VPN-сервере установлен только один сетевой адаптер и VPN-клиенты получают доступ к службам, запущенным на компьютере VPN-сервера. Если на VPN-сервере установлен только один сетевой адаптер с назначенным ему общим IP-адресом, то весь трафик, предназначенный для служб, запущенных на компьютере VPN-сервера, передается в незашифрованном виде вне VPN-туннеля.

Единственным способом обеспечения работы VPN-сервера с одним сетевым адаптером является его размещение за брандмауэром, который предоставляет услуги по преобразованию и публикации адресов. Брандмауэр публикует, или делает известным для клиентов Интернета статический IP-адрес VPN-сервера. Когда VPN-пакеты приходят на этот опубликованный IP-адрес, брандмауэр перенаправляет их на частный или другой общий адрес, под которым VPN-сервер известен в интрасети.

На Рисунке 6 показана конфигурация с использованием опубликованного и фактического IP-адресов VPN-сервера. 

Рисунок 6 - Конфигурация VPN-сервера с одним сетевым адаптером

VPN-клиент использует службу DNS сети Интернет для разрешения имени VPN-сервера по его общим IP-адресам. После создания VPN-подключения службы DNS и WINS интрасети преобразуют имя VPN-сервера в его фактический внутренний IP-адрес. Одним из ограничений данной конфигурации, является поддержка только протокола PPTP. Поскольку брандмауэр преобразовывает адреса, L2TP-трафик защищенный при помощи IPSec не может пройти через брандмауэр.

VPN-сервер настроен в соответствии с разделом «Развертывание виртуальных частных сетей удаленного доступа на основе протокола PPTP» этого документа (интерфейс интрасети выступает в качестве интерфейса Интернета). Настройки брандмауэра должны обеспечивать: