На этой странице
На рисунке 2 изображены компоненты виртуальных частных сетей удаленного доступа Windows 2000.
Рисунок 2 – Компоненты удаленного доступа сетей VPN Windows 2000
VPN-клиенты
VPN-клиентом может быть любой компьютер, способный создать PPTP-подключение с использованием шифрования MPPE или L2TP-подключение с использованием шифрования IPSec. В Таблице 1 перечислены операционные системы корпорации Microsoft, поддерживающие VPN.
| Таблица 1 – Операционные системы Microsoft, поддерживающие VPN |
| Туннельный протокол VPN | Операционная система Microsoft |
| PPTP | Windows XP, Windows 2000, Windows NT 4.0, Windows ME, Windows 98, Windows 95 (с установленным Windows Dial-Up Networking 1.3 или последующими обновлениями производительности и безопасности) |
| L2TP/IPSec | Windows XP, Windows 2000, Windows NT 4.0 Workstation, Windows ME и Windows 98 с установленным Microsoft L2TP/IPSec VPN Client |
Типичными VPN-клиентами являются:
| • | Пользователи ноутбуков, которые подключаются к интрасети организации, чтобы получить доступ к электронной почте и другим ресурсам во время поездок. |
| • | Сотрудники, которые работают удаленно и получают доступ через Интернет к корпоративным ресурсам из дома. |
| • | Удаленные администраторы, которые подключаются через Интернет к сети организации для управления сетью или службами приложений. |
При использовании VPN-клиентов Microsoft VPN-подключения можно настраивать вручную или с помощью диспетчера подключений (Connection Manager), входящего в состав Windows 2000. Ручная настройка VPN-клиента Windows 2000 осуществляется при помощи мастера Создание нового подключения (Make New Connection) в папке Сеть и удаленный доступ к сети (Network and Dial-up Connections). Ручная настройка VPN-клиента в ОС Windows XP осуществляется при помощи мастера новых подключений (New Connection Wizard) в папке Сетевые подключения (Network Connections) путем создания VPN-подключения с указанием IP-адреса или DNS-имени VPN-сервера в Интернете.
Диспетчер подключений
При настройке VPN-подключений в масштабах предприятия, могут возникать следующие проблемы:
| • | Процедура настройки VPN-подключения будет меняться в зависимости от установленной на клиентском компьютере версии ОС Windows. |
| • | Для предотвращения ошибок настройки рекомендуется привлекать к процессу конфигурирования VPN-подключений ИТ-персонал, а не конечных пользователей. |
| • | Должен использоваться такой метод настройки, который возможно было бы применить на сотнях или тысячах клиентских компьютерах в крупной организации. |
| • | Для VPN-подключения, возможно, понадобится создать конфигурацию двойного набора номера, когда пользователь вначале должен подключиться к Интернету, а затем создать VPN-подключение к корпоративной интрасети. |
Решением проблем по настройке VPN-подключений на предприятии занимается программа диспетчер подключений. Диспетчер подключений состоит из следующих компонентов:
| • | Диспетчер подключений |
| • | Пакет администрирования диспетчера подключений |
| • | Службы подключений |
Наверх страницы Диспетчер подключений
Диспетчер подключений (Connection Manager) – это клиентская программа набора номера и подключения, входящая в состав Windows 2000, мощные функции которой предлагают широкий выбор средств коммутируемого доступа. Windows 2000 Server содержит набор средств, позволяющий сетевому администратору создавать предустановленные соединения для пользователей сети. Этот набором средств являются пакет администрирования диспетчера подключений (Connection Manager Administration Kit, CMAK) и службы точки подключений (Connection Point Services, CPS).
Диспетчер подключений обеспечивает поддержку локальных и удаленных подключений к ресурсам Вашей сети, используя сетевые точки доступа, например, в глобальной сети при помощи поставщиков услуг Интернета. Если требуется защищенное соединение через Интернет, Вы можете использовать диспетчер подключений для создания VPN-подключений к ресурсам Вашей сети.
Пакет администрирования диспетчера подключения
Сетевой администратор может настроить подключение, созданное с помощью диспетчера подключений, используя CMAK. При помощи CMAK администратор может разработать клиентскую программу набора номера и установления подключения, позволяющую пользователям подключаться к сети, используя только те функции, которые определил для них администратор. Диспетчер подключений поддерживает множество функций, облегчающих и улучшающих использование и поддержку для Вас и Ваших пользователей, большинство из которых может быть объединено при помощи мастера пакета администрирования диспетчера подключений (Connection Manager Administration Kit Wizard).
CMAK позволяет Вам создавать настроенные профили установочного пакета диспетчера подключений, которые Вы предоставляете пользователям, в соответствии с потребностями Вашей организации. Это позволяет Вам определить, какие функции Вы хотите использовать, и каким образом будет выглядеть диспетчер подключений для Ваших потребителей. Вы можете использовать пакет администрирования диспетчера подключения для создания настроенных профилей службы.
Для получения дополнительной информации о CMAK и о настройке профилей службы диспетчера подключения обратитесь к справке Windows 2000 Server.
Службы подключений
Службы подключений (Connection Point Services, CPS) позволяют Вам автоматически распространять и обновлять настроенные телефонные книги. Эти телефонные книги содержат одну или более записей о точках присутствия (Point of Presence, POP), каждой из которых сопоставлен телефонный номер, обеспечивающий удаленный доступ к точке доступа в Интернет. Телефонные книги предоставляют пользователям полную информацию о расположении точек POP, благодаря чему, при поездках они смогут подключаться к разным точкам доступа в Интернет, не ограничиваясь одной точкой присутствия.
При отсутствии возможности обновления телефонных книг (задачи CPS выполняются автоматически) пользователи связываются со службой поддержки своих организаций для получения информации о произошедших изменениях точек подключения и перенастраивают свое клиентское ПО набора номера.
Службы подключений состоят из двух компонентов:
| 1. | Администратор телефонной книги (Phone Book Administrator) Средство для создания и ведения базы данных телефонной книги и публикации новой информации в службе телефонной книги (Phone Book Service). |
| 2. | Служба телефонной книги (Phone Book Service) Это расширение служб Microsoft Internet Information Services (IIS), которое запускается в ОС Windows NT Server 4.0 или более поздней (с установленными IIS). Служба телефонной книги автоматически проверяет текущие телефонные книги абонентов или сотрудников организации и при необходимости обновляет их. |
Для получения дополнительной информации о CPS и о настройке телефонных книг обратитесь к справке Windows 2000 Server.
Единая регистрация
Единая регистрация – это возможность, которая позволяет пользователям удаленного доступа создавать подключения удаленного доступа к сети организации и входить в домен организации с использованием тех же учетных данных. Для доменных инфраструктур имя пользователя и пароль или смарт-карты используются для проверки подлинности и входа в домен Windows. Единая регистрация предоставляется в том случае, если в окне входа в систему ОС Windows XP и Windows 2000 выбран параметр С использованием удаленного доступа (Logon by using dial-up networking option), а также тип подключения к сети организации (коммутируемое подключение, или VPN-подключение).
До создания VPN-подключений пользователь должен сначала подключиться к Интернету. После этого может быть завершено VPN-подключение и вход в домен. Если для подключения к Интернету используется отдельная учетная запись поставщика услуг Интернета (ISP), Вы можете создать коммутируемое соединение с уже настроенными учетными данными провайдера. Необходимо настроить Ваше VPN-подключение до того, как Вы подключитесь к Интернету. При такой настройке пользователю никогда не придется вводить учетные данные поставщика услуг Интернета (ISP) при входе в домен. Связывание VPN-подключения с подключением к Интернету может быть выполнено вручную или при помощи диспетчера подключений (Connection Manager).
Установка сертификата на клиентский компьютер
Если VPN-клиенты Вашей ОС Windows 2000 создают L2TP-подключения или используют сертификаты для проверки подлинности, то на компьютер VPN-клиента должны быть установлены сертификаты для проверки подлинности и создания безопасной ассоциации (Security association, SA) протокола IPSec. Для проверки подлинности на уровне пользователей используйте протокол расширенной проверки подлинности – безопасности транспортного уровня (Extensible Authentication Protocol-Transport Level Security, EAP-TLS). Совместно с этим протоколом Вы также можете использовать сертификат пользователя или смарт-карту.
Для проверки подлинности пользователей на основе сертификатов пользователь компьютера должен запросить сертификат пользователя из центра сертификации (ЦС)(certification authority, CA) Windows 2000 Вашей интрасети. Для проверки подлинности при помощи смарт-карт сетевой администратор должен настроить станцию подачи заявок и выпуск смарт-карт с сертификатами, сопоставленными с личными учетными данными пользователя.
Для получения дополнительной информации об установке сертификатов на компьютеры VPN-клиенты обратитесь к разделу «Инфраструктура сертификата» данного документа.
Вопросы проектирования: настройка VPN-клиента
При настройке VPN-клиентов для VPN-подключений удаленного доступа обратите внимание на следующие моменты:
| • | При небольшом числе VPN-клиентов выполните настройку VPN-подключений вручную на каждом компьютере. |
| • | При большом числе VPN-клиентов, работающих под управлением различных версий операционных систем Microsoft, используйте диспетчер подключений Windows 2000, чтобы создать настроенного установочного пакета VPN-подключения для установки и ведения базы данных телефонной книги Ваших точек присутствия. |
| • | Если Вы используете Windows XP, Windows 2000 или Microsoft L2TP/IPSec VPN Client для создания L2TP-подключения, то Вам необходимо установить сертификат компьютера на компьютер VPN-клиента. |
| • | Если Вы используете VPN-клиенты Windows XP или Windows 2000 и сертификаты пользователя для проверки подлинности при помощи протокола EAP-TLS, то Вы должны установить сертификат пользователя на компьютер VPN-клиента или установить сертификат пользователя на смарт-карту, используемую компьютером VPN-клиента. |
Наверх страницы Интернет-инфраструктура
Для создания VPN-подключения к VPN-серверу через Интернет:
| • | Имя VPN-сервера должно быть разрешено. |
| • | VPN-сервер должен быть доступен. |
| • | На VPN-сервере должен быть разрешен входящий и исходящий VPN-трафик. |
Разрешение имени VPN-сервера
В большинстве случаев для указания VPN-сервера используется его имя, а не IP-адрес, поскольку имя проще для запоминания. Вы можете использовать имя хоста (например, VPN1.example.microsoft.com) до тех пор, пока оно может быть разрешено в IP адрес. Тем не менее, Вы должны быть уверены, что имя, используемое для VPN-сервера при настройке VPN-подключения, реально существует и доступно в сети Интернет.
Если Вы предпочитаете использовать имена вместо IP-адресов, Вы также можете воспользоваться преимуществами используемого службой DNS алгоритма балансировки нагрузки DNS-карусель (DNS round robin), в том случае, если у Вас есть несколько VPN-серверов с одинаковыми именами. Вы можете создать несколько DNS-записей, устанавливающих соответствие между одним и тем же именем и разными IP-адресами. При этом DNS-сервер возвратит в ответ на запрос DNS-имени все соответствующие этому имени IP-адреса, и укажет их, выстроив в произвольном порядке для обеспечения успешного ответа на запрос. Поскольку большинство DNS-клиентов используют первый адрес из указанных в ответе IP-адресов, то подключения VPN-клиентов между VPN-серверами распределится равномерно.
Доступность VPN-сервера
Для того, чтобы VPN-сервер был доступен в сети, он должен иметь внешний IP-адрес, на который будут пересылаться пакеты из сети Интернет. Обычно не возникает никаких проблем, если статический IP-адрес Вам предоставляет поставщик услуг Интернета. В некоторых случаях VPN-сервер кроме внутреннего IP-адреса имеет также опубликованный IP-адрес, доступный в сети Интернет. Устройство между Интернетом и VPN-сервером транслирует опубликованный и фактический IP-адреса VPN-сервера, передаваемые и принимаемые в пакетах VPN-сервером.
В случае использования маршрутизации VPN-сервер может быть недоступен из-за наличия брандмауэра, маршрутизаторов с фильтрацией пакетов, использования трансляторов сетевых адресов (network address translator, NAT), шлюзов безопасности или других технологий или устройств, которые могут блокировать пакеты, получаемые или отправляемые компьютером VPN-сервера.
Конфигурация VPN-серверов и брандмауэра
Существует два подхода к использованию брандмауэра совместно с VPN-сервером:
| 1. | VPN-сервер подключен к Интернету, а брандмауэр включен между VPN-сервером и интрасетью. В этом случае настройки фильтров пакетов VPN-сервера должны разрешать только входящий и исходящий VPN-трафик от интерфейса Интернета VPN-сервера. Также настройки брандмауэра должны позволять передачу определенных типов трафика удаленного доступа. |
| 2. | Брандмауэр подключен к Интернету, а VPN-сервер включен между брандмауэром и интрасетью. В этом случае и брандмауэр и VPN-сервер подключены к сегменту сети под названием сеть периметра (также называемый демилитаризованной зоной (demilitarized zone, DMZ), или экранированной подсетью). И брандмауэр, и VPN-сервер должны быть настроены с помощью фильтров пакетов, разрешающих только входящий и исходящий Интернет-трафик VPN. Данная конфигурация показана на Рисунке 2. |
Для получения подробной информации о настройке фильтров пакетов для VPN-сервера и брандмауэра для описанных выше конфигураций, обратитесь к «Приложению А».
Вопросы проектирования: доступ к VPN-серверу из Интернета
При настройке доступа из Интернета для VPN-подключений удаленного доступа, обратите внимание на следующие моменты:
| • | Убедитесь в том, что DNS-имена Ваших VPN-серверов разрешаемы в Интернете (для этого нужно зарегистрировать их либо на DNS-сервере в Интернете, либо на DNS-сервере Вашего поставщика услуг Интернета). Проверьте разрешаемость имени каждого из Ваших VPN-серверов, с помощью служебной утилиты ping, напрямую подключившись к сети Интернет. Из-за использования фильтров пакетов утилита ping может выдавать сообщение «Превышен интервал ожидания для запроса» ("Request timed out"), но проверка с помощью утилиты ping, поможет убедиться, что указанное имя соответствует определенному IP-адресу. |
| • | Убедитесь в том, что IP-адреса серверов доступны из Интернета, запустив утилиту ping с интервалом ожидания в 5 секунд (используйте параметр командной строки -w), на компьютере, напрямую подключенном к Интернету. В качестве аргумента утилиты ping можно указать IP-адрес или имя VPN-сервера. Если Вы видите сообщение об ошибке «Заданный узел недоступен» ("Destination unreachable"), значит VPN-сервер не доступен в сети Интернет. |
| • | Настройте фильтры пакетов для PPTP-, L2TP-трафика, или обоих типов трафика на соответствующем брандмауэре или на сетевых интерфейсах Интернета и сети периметра VPN-сервера. Для получения дополнительной информации обратитесь к «Приложению А». |
Наверх страницы Протоколы проверки подлинности
Windows 2000 поддерживает множество протоколов для проверки подлинности пользователей, пытающихся установить PPP-подключение, включающие в себя:
| • | Протокол PAP (Password Authentication Protocol – Незашифрованный пароль) |
| • | Протокол CHAP (Challenge-Handshake Authentication Protocol – Шифрованная проверка подлинности) |
•
| Протокол MS-CHAP (Microsoft Challenge Handshake Authentication Protocol – Шифрованная проверка подлинности Microsoft) |
| • | Протокол MS-CHAP v2 (Шифрованная проверка подлинности Microsoft, версия 2) |
| • | Протокол EAP-MD5 (Extensible Authentication Protocol-Message Digest 5 – Протокол расширенной проверки подлинности по методу MD5-Challenge) |
| • | Протокол EAP-TLS (Extensible Authentication Protocol-Transport Level Protocol – Расширенный протокол проверки подлинности на основе сертификата) |
Для PPTP-подключений Вы должны использовать протоколы MS-CHAP, MS-CHAP v2 или EAP-TLS. Только эти три протокола проверки подлинности предоставляют механизм создания одинаковых ключей шифрования как на VPN-клиенте, так и на VPN-сервере. Шифрование MPPE использует этот ключ для шифрования всех данных, передаваемых по протоколу PPTP через VPN-подключение. Протоколы MS-CHAP и MS-CHAP v2 являются протоколами проверки подлинности с использованием паролей.
При отсутствии сертификатов пользователя или смарт-карт настоятельно рекомендуется использовать протокол MS-CHAP v2, поскольку он обеспечивает лучшую безопасность по сравнению с протоколом MS-CHAP, а также обеспечивает взаимную проверку подлинности (VPN-сервер выполняет проверку подлинности VPN-клиента и наоборот).
| Примечание. Если Вы используете протокол проверки подлинности на основе пароля, настройте использование в Вашей сети только надежных паролей. Надежными являются длинные (более 8 знаков) пароли, содержащие случайный набор символов в верхнем и нижнем регистрах, цифр и спецсимволов. Пример надежного пароля: «f3L*q02~>xR3w#4o». При наличии домена Active Directory примените параметры групповой политики, чтобы задать обязательное использование стойких паролей. |
Протокол EAP-TLS разработан для использования совместно с инфраструктурой сертификата, сертификатами пользователя или смарт-картами. При использовании протокола EAP-TLS для проверки подлинности VPN-клиент отправляет свой сертификат пользователя, а VPN-сервер – сертификат компьютера. Это наиболее надежный метод проверки подлинности, поскольку он не использует пароли.
Примечание. Вы можете использовать сторонние центры сертификации до тех пор, пока в сертификат, находящийся в хранилище компьютера сервера проверки подлинности в Интернете (Internet Authentication Service, IAS), содержит цель (также известную как Enhanced Key Usage, EKU – использование расширенного ключа или политика выдачи сертификатов (certificate issuance policy)) «Проверка подлинности сервера». Цель сертификата определяется идентификатором объекта (object identifier, OID). OID для сертификата, используемого для проверки подлинности сервера имеет значение «1.3.6.1.5.5.7.3.1». В дополнение к этому условию сертификат пользователя, установленный на клиент удаленного доступа Windows 2000, должен содержать цель «Проверка подлинности клиента» (OID «1.3.6.1.5.5.7.3.2»).
Для L2TP/IPSec-подключений может использоваться любой протокол проверки подлинности, потому что проверка подлинности происходит после создания защищенного канала между VPN-клиентом и VPN-сервером известное также, как сопоставление безопасности IPSec (IPSec security association, SA). Тем не менее, рекомендуется использовать протоколы MS-CHAP v2 или EAP-TLS, как предоставляющие наиболее надежную проверку подлинности пользователей.
Вопросы проектирования: выбор протокола проверки подлинности
При выборе протокола проверки подлинности для VPN-подключений обратите внимание на следующие моменты:
| • | При использовании смарт-карт или наличии инфраструктуры сертификатов, выдающей сертификаты пользователей, используйте протокол проверки подлинности EAP-TLS как для PPTP-, так и для L2TP-подключений. EAP-TLS поддерживается только клиентами ОС Windows XP и Windows 2000. |
| • | Если необходимо использовать протокол проверки подлинности на основе паролей, используйте MS-CHAP v2 и задайте обязательное использование надежных паролей при помощи групповой политики. MS-CHAP v2 поддерживается компьютерами, работающими под управлением Windows XP, Windows 2000, Windows NT 4.0 с установленным пакетом обновлений 4 (SP4) или более поздним, Windows ME, Windows 98, и Windows 95 с установленным Windows обновлением Dial-Up Networking 1.3 или более поздними обновлениями производительности и безопасности. |
Наверх страницы VPN-протоколы
Windows 2000 поддерживает два VPN-протокола удаленного доступа:
| • | Протокол PPTP (Point-to-Point Tunneling Protocol – Туннельный протокол «точка-точка») |
| • | Протокол L2TP (Layer Two Tunneling Protocol – Протокол туннелирования второго уровня) |
Протокол PPTP
Поддержка протокола PPTP впервые была реализована в ОС Windows NT 4.0. Протокол PPTP использует протокол PPP (Point-to-Point Protocol) для проверки подлинности на уровне пользователей и шифрование MPPE (Microsoft Point-to-Point Encryption) для инкапсуляции и шифрования IP-, IPX-, и NetBEUI-трафика. При использовании протокола MS-CHAP v2 с надежными паролями PPTP является безопасной технологией VPN. При проверке подлинности без использования паролей в Windows 2000 может использоваться протокол EAP-TLS для поддержки смарт-карт. Протокол PPTP широко поддерживается, прост в развертывании и может использоваться совместно с NAT.
Протокол L2TP совместно с IPSec
Протокол L2TP использует протокол PPP для проверки подлинности на уровне пользователей и шифрование IPSec для инкапсуляции и шифрования IP-, IPX-, и NetBEUI-трафика. Это сочетание называется L2TP/IPSec и использует проверку подлинности на уровне компьютеров при помощи сертификатов для создания сопоставления безопасности IPSec, в дополнение к проверке подлинности на уровне пользователей на основе протокола PPP. L2TP/IPSec обеспечивает целостность данных и проверку подлинности для каждого пакета. Однако, L2TP/IPSec требует наличия инфраструктуры сертификата для размещения сертификатов компьютеров, и поддерживается только ОС Windows XP, Windows 2000 и L2TP-клиентом Microsoft L2TP/IPSec VPN Client.
Вопросы проектирования: выбор между протоколами PPTP и L2TP
При выборе между протоколами PPTP и L2TP для подключений удаленного доступа обратите внимание на следующие моменты:
| • | PPTP может быть использован с различными клиентскими ОС Microsoft, в том числе: Windows XP, Windows 2000, Windows NT 4.0, Windows ME, Windows 98 и Windows 95 с установленным обновлением Windows Dial-Up Networking 1.3 или более поздними обновлениями производительности и безопасности. PPTP не требует наличия инфраструктуры сертификатов для выдачи сертификатов компьютера. |
| • | VPN-подключения на основе протокола PPTP обеспечивают конфиденциальность информации (перехваченные пакеты не могут быть прочитаны без ключей шифрования). Тем не менее, VPN-подключения на основе протокола PPTP не обеспечивают целостности данных (доказательства того, что данные не были изменены при передаче) или проверки подлинности данных (доказательства того, что данные были отправлены авторизованным пользователем). |
| • | VPN-клиенты, использующие протокол PPTP, могут быть расположены за NAT в том случае, если NAT включает в себя редактор NAT, который умеет правильно преобразовывать данные PPTP-туннелей. Например, функция общего доступа к подключению Интернета (Internet connection sharing, ICS) компонента операционной системы Сеть и удаленный доступ к сети (Network and Dial-up Connections) и протокол маршрутизации NAT, являющийся компонентом службы маршрутизации и удаленного доступа, содержат редактор NAT, который преобразовывает PPTP-трафик от PPTP-клиентов, расположенных за NAT. VPN-серверы могут располагаться за NAT лишь в следующих случаях: • Если имеется несколько внешних IP-адресов, и каждому внешнему IP-адресу сопоставлен отдельный внутренний IP-адрес VPN-сервера.
• Если имеется единственный внешний IP-адрес, когда NAT настроен на преобразование и перенаправление данных PPTP-туннелей VPN-серверу.
Для большинства трансляторов сетевых адресов, использующих один внешний IP-адрес (включая такие компоненты, как общий доступ подключения к Интернету (ICS) и протокол маршрутизации NAT), можно настроить обработку входящего трафика на основе IP-адреса и портов TCP и UDP. Однако, данные PPTP-туннелей не используют заголовки TCP или UDP. Поэтому в случае использования одного IP-адреса VPN-сервер не может быть расположен за компьютером, на котором используются такие компоненты, как общий доступ подключения к Интернету или протокол маршрутизации NAT. |
| • | VPN-клиенты или VPN-серверы на основе L2TP не могут находиться за NAT кроме тех случаев, когда они оба поддерживают IPSec с прохождением преобразователя сетевых адресов NAT-T (NAT Traversal). IPSec с прохождением NAT-T поддерживается Windows Server 2003, Microsoft L2TP/IPSec VPN Client и VPN-клиентами с обновлением L2TP/IPSec NAT-T для Windows XP и Windows 2000. Windows 2000 Server не поддерживает IPSec с прохождением NAT-T. |
| • | Протокол L2TP можно использовать вместе с ОС Windows XP, Windows 2000 и VPN-клиентом Microsoft L2TP/IPSec. В качестве рекомендованного метода проверки подлинности для IPSec клиенты L2TP поддерживают сертификаты компьютера. Данный метод проверки подлинности требует наличия инфраструктуры сертификата для выдачи сертификатов компьютера VPN-серверу и всем компьютерам VPN-клиентов. |
| • | При использовании VPN-подключений на основе L2TP/IPSec обеспечивается конфиденциальность, целостность, проверка подлинности и защита информации от воспроизведения в случае перехвата. |
| • | Использование PPTP и L2TP не является взаимоисключающим. По умолчанию VPN-сервер Windows 2000 поддерживает одновременно PPTP- и L2TP-подключения. Для одних VPN-подключений удаленного доступа Вы можете использовать протокол PPTP (для VPN-клиентов Windows XP или Windows 2000, и не имеющих установленного сертификата компьютера), а для других подключений использовать протокол L2TP (для VPN-клиентов Windows XP, Windows 2000, или использующих Microsoft L2TP/IPSec VPN Client, с установленным сертификатом компьютера). |
| • | Если Вы одновременно используете протоколы PPTP и L2TP, то Вы можете создать отдельные политики удаленного доступа, определяющие разные параметры для PPTP- и L2TP-подключений. |
Наверх страницы VPN-сервер
VPN-сервером является компьютер под управлением Windows 2000 Server с установленной службой маршрутизации и удаленного доступа. VPN-сервер выполняет следующие функции:
| • | Регистрирует попытки подключения по протоколу PPTP и согласования IPSec SA при попытке подключения по протоколу L2TP. |
| • | Осуществляет проверку подлинности и авторизацию VPN-подключений до начала передачи данных. |
| • | Действует в качестве маршрутизатора, пересылая данные между VPN-клиентами и ресурсами интрасети. |
| • | Действует в качестве конечной точки туннеля VPN от клиента туннеля (как правило – VPN-клиента) |
| • | Действует в качестве конечной точки VPN-подключения VPN-клиента. |
Обычно VPN-сервер имеет несколько сетевых адаптеров, из которых один или несколько подключены к Интернету, а другие подключены к интрасети. Настройка VPN-сервера с одним сетевым адаптером обсуждается в «Приложении Б».
Когда Вы включаете и настраиваете службу маршрутизации и удаленного доступа (Routing and Remote Access service), мастер установки сервера маршрутизации и удаленного доступа (Routing and Remote Access Server Setup Wizard) предлагает Вам выбрать роль данного компьютера. Для VPN-серверов следует выбрать параметр Сервер виртуальной частной сети (Virtual private network (VPN) server). Это позволит серверу маршрутизации и удаленного доступа исполнять роль VPN-сервера, поддерживающего как подключения удаленного доступа, так и VPN-подключения между маршрутизаторами. В случае VPN-подключений удаленного доступа пользователи запускают программное обеспечение VPN-клиента и инициируют подключение удаленного доступа к VPN-серверу. В случае VPN-подключений между маршрутизаторами подключение к VPN-серверу инициируется маршрутизатором. VPN-сервер также может инициировать подключение к другому VPN-маршрутизатору.
Когда Вы укажите в качестве параметра роль Сервер виртуальной частной сети (Virtual private network (VPN) server), мастер настройки сервера маршрутизации и удаленного доступа выполнит следующие шаги:
| 1. | Вначале Вам будет предложено проверить протоколы, которые будут использоваться для передачи VPN-трафика. По умолчанию, перечисляются все протоколы, использующиеся с VPN-подключениями удаленного доступа или «маршрутизатор-маршрутизатор». |
| 2. | Вам будет предложено выбрать интерфейс подключения к Интернету. Если VPN-сервер не подключен к Интернету, Вы должны выбрать значение (). Для выбранного интерфейса будут автоматически настроены фильтры пакетов, которые пропускают только к PPTP- и L2TP-трафик. Весь остальной трафик будет блокирован без уведомления. Например, Вы не сможете более проверить связь с интерфейсом Интернета с помощью служебной утилиты ping. Если Вы хотите использовать VPN-сервер также в качестве транслятора сетевых адресов (NAT), веб-сервера, или для других целей, обратитесь к «Приложению Б». |
| 3. | Если у Вас несколько сетевых адаптеров подключенных к интрасети, Вам будет предложено выбрать интерфейс, взаимодействия со службами DHCP, DNS и WINS. |
| 4. | Вам будет предложено выбрать метод присвоения IP-адресов клиентам удаленного доступа или вызывающим маршрутизаторам: с использованием DHCP или заданного диапазона адресов. Если Вы решите назначать адреса из заданного диапазона, Вам будет предложено добавить один или несколько диапазонов адресов. |
| 5. | Вам будет предложено определить, хотите ли Вы использовать в качестве поставщика служб проверки подлинности и учета протокол RADIUS. Если Вы выберете использование RADIUS, Вам будет предложено настроить первичный и дополнительный серверы RADIUS и указать общий секрет (пароль). |
Выбрав роль Сервер виртуальной частной сети (VPN) (Virtual private network (VPN) server) в мастере установки сервера службы маршрутизации и удаленного доступа после завершения работы мастера Вы получите следующий результат:
| 1. | Служба маршрутизации и удаленного доступа будет работать одновременно и как сервер удаленного доступа, и как маршрутизатор локальной сети, а также маршрутизатора вызова по требованию, с использованием ОС Windows в качестве поставщика служб проверки подлинности и учета (кроме тех случаев, когда для этого был выбран и настроен сервер RADIUS). Если к локальной сети подключен только один сетевой адаптер сервера, этот адаптер будет автоматически использован в качестве IP-интерфейса взаимодействия со службами DHCP, DNS и WINS. В противном случае для получения параметров DHCP, DNS и WINS будет использован адаптер, указанный в мастере установки. При необходимости будет настроен диапазон статических IP-адресов. |
| 2. | Будет создано 128 PPTP-портов и 128 L2TP-портов. Все они будут настроены как для входящих подключений удаленного доступа, так и для входящих и исходящих подключений вызова по требованию. |
| 3. | Для выбранного интерфейса Интернета будут задействованы фильтры входа и выхода, разрешающие передачу только PPTP- и L2TP-трафика. |
| 4. | Настройки выбранных протоколов предоставляют возможность использования подключений удаленного доступа и доступ в сеть, к которой подключен сервер удаленного доступа. |
| 5. | С помощью интерфейса Внутренний (Internal) будет добавлен агент DHCP-ретрансляции (DHCP Relay Agent). Если в момент запуска мастера VPN-сервер является клиентом DHCP, агент DHCP-ретрансляции будет автоматически получит IP-адрес DHCP-сервера. В противном случае Вы должны вручную указать в свойствах агента DHCP-ретрансляции IP-адрес DHCP-сервера Вашей интрасети. Агент DHCP-ретрансляции пересылает пакеты DHCPInform между VPN-клиентами удаленного доступа и DHCP-сервером интрасети. |
| 6. | Будет добавлен протокол IGMP (Internet Group Management Protocol – протокол управления Интернет-группами). Интерфейс Внутренний (Internal) и все другие интерфейсы локальной сети будут работать в режиме IGMP-маршрутизатора. Это позволяет VPN-клиентам удаленного доступа посылать и получать широковещательный трафик. |
Вопросы проектирования: настройка VPN-сервера
Перед запуском мастера установки сервера маршрутизации и удаленного доступа обратите внимание на следующие моменты:
| • | Протоколы для работы с VPN-подключениями. Служба маршрутизации и удаленного доступа может передавать IP-, IPX- и NetBEUI- пакеты через PPTP- или L2TP- подключения. |
| • | Сетевое подключение VPN-сервера к Интернету.
Как правило, VPN-серверы, подключенные к Интернету, имеют по крайней мере два сетевых подключения: одно к сети Интернет (напрямую или через сеть периметра), а другое – к интрасети организации. Чтобы сделать различие между подключениями более наглядным в мастере установки сервера маршрутизации и удаленного доступа, переименуйте подключения в соответствии с их назначением или ролью при помощи компонента ОС Сеть и удаленный доступ к сети. Например: измените имя подключения к сети Интернет со стандартного Подключение к локальной сети 2 (Local Area Connection 2) на Интернет. |
| • | VPN-сервер в качестве DHCP-клиента.
Параметры TCP/IP интерфейса Интернета VPN-сервера должны быть заданы вручную. Не рекомендуется использовать DHCP для интерфейсов интрасети VPN-сервера, хотя это и технически реализуемо. Следуя требованиям маршрутизации, вручную задайте для интерфейсов интрасети IP-адрес, маску подсети, серверы DNS и WINS, но не указывайте адрес основного шлюза. Обратите внимание на то, что хотя параметры TCP/IP могут быть заданы вручную, VPN-сервер, тем не менее, может продолжать использовать DHCP, чтобы получать IP-адреса для VPN-клиентов. |
| • | Назначение IP-адресов VPN-клиентам удаленного доступа.
VPN-сервер может быть настроен на получение IP-адресов с помощью DHCP или из настроенных вручную диапазонов адресов. Использование DHCP для присвоения сетевых адресов упрощает настройку, тем не менее, Вы должны убедиться, что область DHCP для подсети, к которой подключен интерфейс интрасети VPN-сервера, содержит достаточно адресов для всех компьютеров, физически подключенных к данной подсети, и максимального количества портов PPTP и L2TP. Например, если в подсети, к которой подключен интерфейс интрасети VPN-сервера, имеется 50 DHCP-клиентов, то при стандартной настройке VPN-сервера область DHCP должна содержать, не менее 307 адресов (50 компьютеров + 128 PPTP-клиентов + 128 L2TP-клиентов + 1 адрес для VPN сервера). Если указанная область содержит недостаточно IP-адресов, VPN-клиенты, подключающиеся, после того как все адреса будут заняты, не смогут получить доступ к ресурсам интрасети. При настройке статического пула адресов необходимо учитывать дополнительные требования маршрутизации. За дополнительной информацией обратитесь к разделу «Инфраструктура интрасети» данного документа. |
| • | Поставщик служб проверки подлинности и учета. VPN-сервер может использовать в качестве поставщика служб проверки подлинности и учета ОС Windows или протокол RADIUS. При использовании в качестве поставщика служб проверки подлинности и учетных записей Windows VPN-сервер использует средства Windows 2000 для проверки учетных данных VPN-клиента и для обращения к свойствам удаленного доступа учетных записей пользователей. Локально настроенные политики удаленного доступа авторизуют VPN-подключение и заносят данные учета VPN-подключений в локальный журнал учетных данных При использовании в качестве поставщика служб проверки подлинности и учетных записей протокола RADIUS VPN-сервер использует указанный RADIUS-сервер для проверки учетных данных VPN-клиента, авторизации попыток подключения и хранения данных учета VPN-подключений. |
| • | Использование нескольких VPN-серверов. В этом случае создайте несколько записей DNS для сопоставления одного и того же имени VPN-сервера (например: vpn.microsoft.com) разным IP-адресам отдельных VPN-серверов. DNS-карусель (DNS round robin) будет распределять VPN-подключения между VPN-серверами. |
При изменении стандартных настроек VPN-сервера для VPN-подключений удаленного доступа обратите внимание на следующие моменты:
| • | Дополнительные порты PPTP или L2TP.
По умолчанию мастер установки сервера маршрутизации и удаленного доступа настраивает 128 портов PPTP и 128 L2TP портов, разрешая 128 одновременных PPTP-подключений и 128 одновременных L2TP-подключений. Если этого количества одновременных PPTP- или L2TP- подключений недостаточно, Вы можете изменить количество портов PPTP и L2TP, настроив устройства Минипорт WAN (PPTP) (WAN miniport (PPTP)) и Минипорт WAN (L2TP) (WAN miniport (L2TP)) в свойствах объекта Порты (Ports) оснастки Маршрутизация и удаленный доступ (Routing and Remote Access). |
| • | Необходимость установки сертификата компьютера. Если VPN-сервер настроен на использование ОС Windows в качестве поставщика проверки подлинности и поддерживает L2TP-подключения или аутентификацию подключений при помощи протокола проверки подлинности EAP-TLS, то на VPN-сервер Вы должны установить сертификат компьютера, который может использоваться для проверки VPN-клиентами, и корневой сертификат, который будет использоваться для проверки VPN-клиентов. |
| • | Использование пользовательских политик удаленного доступа для VPN-подключений.
Если для проверки подлинности на VPN-сервере используется ОС Windows или протокол RADIUS (причем сервером RADIUS является компьютер под управлением Windows 2000 с установленной службой проверки подлинности в Интернете (Internet Authentication Service, IAS), политика удаленного доступа по умолчанию блокирует все типы попыток подключения до тех пор пока не установлено значение Разрешить доступ (Allow access) на вкладке Входящие звонки (Dial-In) в свойствах учетной записи пользователя. Если Вы хотите управлять проверкой подлинности и параметрами подключений с помощью групп или в зависимости от типа подключений, Вам необходимо настроить пользовательские политики удаленного доступа. Для получения дополнительной информации обратитесь к разделу «Политики удаленного доступа» данного документа. |
| • | Использование отдельных поставщиков службы проверки подлинности и учета. Если Вы настраиваете сервер маршрутизации с помощью мастера установки сервера маршрутизации и удаленного доступа, поставщик службы проверки подлинности будет одновременно являться поставщиком учета. Тем не менее, по завершении работы мастера Вы сможете указать отдельных поставщиков службы проверки подлинности и учета (например, использовать Windows для проверки подлинности, а RADIUS – для учета). Для этого Вам нужно открыть оснастку Маршрутизация и удаленный доступ (Routing and Remote Access), открыть свойства VPN-сервера и выбрать поставщиков для службы проверки подлинности и службы учета на вкладке Безопасность (Authentication). |
Наверх страницы Инфраструктура интрасети
Инфраструктура интрасети является важным элементом разработки VPN. Без правильного проектирования этого элемента VPN-клиенты не смогут получать необходимые IP-адреса и имена в интрасети, а пакеты не будут пересылаться между VPN-клиентами и ресурсами интрасети.
Разрешение имен
Если Вы используете DNS (Domain Name System) для присвоения имен узлам в интрасети или WINS (Windows Internet Name Service) для присвоения сетевых имен NetBIOS, убедитесь, что VPN-сервер может быть настроен на использование серверов DNS и WINS вручную или в качестве DHCP-клиента. Как часть процесса согласования PPP, VPN-клиенты получают IP-адреса от DNS и WINS серверов. По умолчанию VPN-клиент наследует адреса серверов DNS и WINS, настроенные на VPN-сервере.
После завершения согласования PPP-подключения VPN-клиенты Windows XP и Windows 2000 отправляют сообщение DHCPInform VPN-серверу. Ответ, приходящий обратно VPN-клиенту, содержит DNS-имя домена, дополнительные адреса DNS-сервера для DNS-серверов, которые проверяются до настройки DNS-сервера путем PPP-согласования, а также адреса WINS-сервера, которые заменяют собой адреса WINS-сервера, настроенные во время согласования PPP. Это взаимодействие упрощается при помощи агента DHCP-ретрансляции. (Агент DHCP-ретрансляции, является компонентом протокола маршрутизации службы маршрутизации и удаленного доступа, которая автоматически устанавливается мастером установки сервера маршрутизации и удаленного доступа.)
Если VPN-сервер является DHCP-клиентом (использует DHCP для настройки интерфейса интрасети), то он отправляет сообщение DHCPInform DHCP-серверу, указанному во время настройки с помощью мастера установки сервера маршрутизации и удаленного доступа. Если настройки TCP/IP интерфейса интрасети конфигурируются вручную (рекомендуемый метод), то агент DHCP-ретрансляции должен быть настроен на IP-адрес хотя бы одного DHCP-сервера Вашей интрасети. Чтобы добавить IP-адрес DHCP-сервера, откройте оснастку Маршрутизация и удаленный доступ (Routing and Remote Access), выберите узел IP-маршрутизация (IP Routing) и затем Агент DHCP-ретрансляции (DHCP Relay Agent), откройте свойства объекта и выберите вкладку Общие (General).
Вопросы проектирования: разрешения имен VPN-клиентов для ресурсов интрасети.
При настройке разрешения имен для клиентов удаленного доступа обратите внимание на следующие моменты:
| • | Используйте на VPN-сервере служебные утилиты ping и net для проверки разрешения имен DNS и WINS для ресурсов интрасети. Если VPN-сервера не может разрешить имена, то не смогут и VPN-клиенты. Устраните неполадки, связанные с разрешением имен для VPN-сервера перед проверкой VPN-подключений. |
| • | Если VPN-сервер является DHCP-клиентом (использует DHCP для настройки интерфейса интрасети), дополнительной настройки не требуется. Настройки служб DNS и WINS для VPN-сервера также будут унаследованы VPN-клиентами. Настройки по умолчанию мастера установки сервера маршрутизации и удаленного доступа добавляют агента DHCP-ретрансляции и настраивают его на использование IP-адресов DHCP-сервера, который обслуживает VPN-сервер, таким образом сообщение DHCPInform, отправленное VPN-клиентами под управлением Windows XP и Windows 2000, и соответствующий ответ пересылается между VPN-клиентом и DHCP-сервером, обслуживающим VPN-сервер. Тем не менее настройка VPN-сервера в качестве клиента DHCP не рекомендуется из-за проблем с конфигурированием основного шлюза VPN-сервера. Поэтому рекомендуется вручную указать IP-адрес одного или нескольких Ваших DHCP-серверов в параметрах TCP/IP интерфейса интрасети VPN-сервера и Агента DHCP-ретрансляции. |
| • | Если параметры TCP/IP VPN-сервера настроены вручную, проверьте адреса серверов DNS и WINS. При такой настройке мастер установки сервера маршрутизации и удаленного доступа не может автоматически сконфигурировать агента DHCP-ретрансляции. Вы должны вручную добавить IP-адрес хотя бы одного DHCP-сервера Вашей интрасети для того, чтобы сообщения DHCPInform пересылались между VPN-клиентами Windows XP и Windows 2000 и DHCP-сервером. Если Вы не получаете сообщений DHCPInform от VPN-клиентов Windows XP и Windows 2000, это означает, что VPN-клиенты не смогут получать обновленные адреса серверов DNS и WINS или DNS-имя домена. |
| • | Если у Вас локальная сеть класса SOHO (Small Office/Home Office – небольшая офисная или домашняя сеть), состоящая из единственного сегмента, и в ней отсутствуют DHCP-, DNS- или WINS-серверы, Вы должны или настроить DNS- или WINS-сервер для разрешения имен компьютеров в подсети SOHO и VPN-клиентов, или использовать в качестве протокола локальной сети NetBEUI для VPN-подключений удаленного доступа. Клиенты SOHO разрешают имена друг друга при помощи широковещательного запроса локального имени на основе TCP/IP в подсети SOHO. VPN-клиенты отправляют такой же запрос локального имени, однако, пакет с запросом локального имени не распространяется в подсети SOHO. В результате этого, в то время как все клиентские компьютеры подсети SOHO могут разрешать все остальные имена, компьютеры VPN-клиентов не могут разрешать имена без использования DNS- или WINS-сервера. В качестве альтернативного решения Вы можете вручную отредактировать файл Hosts или Lmhosts и распространить этот файл на все компьютеры VPN-клиентов, однако, компьютеры, входящие в подсеть SOHO, не смогут разрешать имена компьютеров VPN-клиентов. При использовании протокола NetBEUI для VPN-подключений разрешение имен, отправляемых с использованием протокола NetBEUI и получаемых VPN-сервером и пересылаемых при помощи всех протоколов на основе NetBEUI, установленных на сервере, используется компонент службы маршрутизации и удаленного доступа шлюз NetBIOS. Этот компонент отправляет широковещательный запрос локального имени TCP/IP в локальной подсети. Для установки поддержки NetBEUI VPN-клиентом установите на нем протокол NetBEUI и убедитесь, что этот протокол используется VPN-подключением. Для установки поддержки NetBEUI VPN-сервером установите на нем протокол NetBEUI и убедитесь в том. Что он используется для подключений удаленного доступа. Для этого откройте оснастку Маршрутизация и удаленный доступ (Routing and Remote Access), откройте свойства VPN-сервера и перейдите на вкладку NetBEUI. Протокол NetBEUI не поддерживается компьютерами под управлением Windows XP. |
Маршрутизация
Поскольку VPN-сервер является IP-маршрутизатором, его необходимо соответствующим образом настроить. На каждом VPN-сервере должны быть определены маршруты ко всем сетевым ресурсам, к которым необходимо иметь доступ. В частности, для каждого VPN-сервера необходимо настроить следующие маршруты:
| • | Маршрут по умолчанию, к брандмауэру или маршрутизатору, напрямую подключенному к Интернету. Этот маршрут обеспечивает доступ ко всем ресурсам в Интернете. |
| • | Один или несколько обобщающих маршрутов к соседнему маршрутизатору интрасети. Эти маршруты позволяют получить доступ к ресурсам интрасети, к которой подключен VPN-сервер. Без этих маршрутов невозможно будет получить доступ к узлам интрасети, не подключенным непосредственно к той же подсети, что и VPN-сервер. |
Чтобы добавить маршрут по умолчанию, который подключен к Интернету, настройте интерфейс Интернета с основным шлюзом и затем вручную настройте интерфейс интрасети без основного шлюза.
Вы можете добавить маршруты интрасети в таблицу маршрутизации VPN-сервера двумя способами:
| • | Добавить статические маршруты с помощью оснастки Маршрутизация и удаленный доступ (Routing and Remote Access). Вам не нужно добавлять маршрут для каждого сегмента в Вашей интрасети. Достаточно добавить только маршруты, которые объединяют все возможные адреса в Вашей интрасети. Например, если ваша интрасеть использует диапазон частных адресов 10.0.0.0/8 для собственных подсетей и узлов, то Вам не нужно добавлять маршрут для каждого сегмента. Добавьте только маршрут для 10.0.0.0 с маской подсети 255.0.0.0, к соседнему маршрутизатору сегмента интрасети, к которой подключен VPN-сервер. |
| • | Если в Вашей интрасети используются протоколы маршрутизации RIP (Routing Information Protocol) или OSPF (Open Shortest Path First), Вы можете добавить и настроить эти протоколы в качестве компонентов службы маршрутизации и удаленного доступа. Таким образом VPN-сервер будет участвовать в распространении информации маршрутизации в качестве динамического маршрутизатора. |
Если Ваша интрасеть состоит из единственного сегмента, дополнительных настроек не требуется.
Доступности VPN-клиентов из интрасети зависит от настроек VPN-сервера для присвоения IP-адресов VPN-клиентам. IP-адреса могут присваиваться VPN-клиентам после подключения следующими способами:
| • | Из диапазона адресов принадлежащих подсети (диапазон адресов внутренней подсети, к которой подключен VPN-сервер). Диапазон адресов, принадлежащих подсети, используется в том случае, если VPN-сервер использует DHCP для присвоения IP-адресов VPN-клиентам, и в случае, когда имеется настроенный вручную пул (пулы) IP-адресов из диапазона адресов подключенной подсети. |
| • | Из диапазона адресов, не принадлежащих подсети (диапазон адресов другой подсети, к которой VPN-сервер подключен логически). Диапазон адресов, не принадлежащих подсети, используется в случае, если сервер настроен вручную для использования пулов IP-адресов из отдельной подсети. |
Если Вы используете диапазон адресов, принадлежащих подсети, то дополнительных настроек маршрутизации не требуется, а VPN-сервер выполняет роль прокси-сервера для всех пакетов, направляемых к VPN-клиентам. Маршрутизаторы и узлы подсети VPN-сервера отправляют пакеты, направленные VPN-клиентам на VPN-сервер, который пересылает их соответствующему VPN-клиенту.
Если Вы используете диапазон адресов, не принадлежащих подсети, необходимо добавить маршрут (маршруты), объединяющий диапазон адресов, не принадлежащих к подсети, с инфраструктурой маршрутизации интрасети. Созданные маршруты должны обеспечивать, что трафик, направляемый VPN-клиентам, будет перенаправляться на VPN-сервер, а затем отправляться VPN-сервером соответствующему VPN-клиенту. Вы можете добавить маршруты, объединяющие диапазон адресов, не принадлежащих к подсети, с инфраструктурой маршрутизации интрасети, следующими способами:
| • | Для диапазона адресов, не принадлежащих подсети VPN-сервера, на соседнем маршрутизаторе добавьте статические маршруты, к интерфейсу интрасети VPN-сервера. Настройте соседний маршрутизатор таким образом, чтобы он распространял этот статический маршрут на все другие маршрутизаторы интрасети с помощью протоколов динамической маршрутизации, применяемых в Вашей сети. |
| • | Если VPN-маршрутизатор использует протокол OSPF и выступает в роли динамического маршрутизатора, то он должен быть настроен в качестве граничного маршрутизатора автономной системы (Autonomous system boundary router, ASBR), чтобы распространять статические маршруты диапазона адресов, не принадлежащих подсети VPN-сервера, на другие OSPF-маршрутизаторы интрасети. |
Если Ваш интрасеть состоит только из одного сегмента, Вы должны либо настроить на каждом узле сети постоянные маршруты, к интерфейсу интрасети VPN-сервера для диапазона адресов, не принадлежащих подсети, либо указать на каждом узле сети IP-адрес интерфейса интрасети VPN-сервера в качестве основного шлюза. Для сети SOHO, состоящей из единственного сегмента, рекомендуется использовать пул адресов, принадлежащих подсети.
Маршрутизация и VPN-серверы с дополнительными службами
Если на VPN-сервере запущены дополнительные службы, то данные, предназначенные для них, могут передаваться через Интернет в зашифрованном или открытом виде. Это зависит от того, какой IP-адрес VPN-сервера используется узлом для доступа к службе:
| • | Если VPN-клиент обращается к запущенной на VPN-сервере службе, используя внутренний IP-адрес VPN-сервера, то весь трафик передается в зашифрованном виде внутри туннеля VPN-подключения. |
| • | Если VPN-клиент обращается к запущенной на VPN-сервере службе, используя внешний IP-адрес VPN-сервера, то весь трафик отправляется в незашифрованном виде вне туннеля VPN-подключения. |
В зависимости от способа создания маршрутов на VPN-клиентах удаленного доступа при установлении VPN-подключения, возможно подключение к службам, запущенным на VPN-сервере, однако, трафик может пересылаться вне VPN-подключения. Когда VPN-клиент удаленного доступа устанавливает VPN-подключение к VPN-серверу, он создает следующие маршруты в таблице маршрутизации IP VPN-клиента:
| • | Маршрут по умолчанию, использующий VPN-подключение. Новый маршрут по умолчанию для VPN-подключений эффективно заменяет существующий маршрут по умолчанию на протяжении всего подключения. После создания подключения весь трафик, который не предназначен для адресов в непосредственно подключенной сети или адресам VPN-сервера, отправляется через VPN-подключение. |
| • | Узловой маршрут к VPN-серверу, использующий подключение по локальной сети. Узловой маршрут к адресу VPN-сервера создается таким образом, что VPN-сервер оказывается доступен из локально подключенной сети. Если узловой маршрут отсутствует, VPN-трафик не может быть отправлен на VPN-сервер. |
В результате использования узлового маршрута для VPN-сервера весь трафик, пересылаемый между приложениями, запущенными на VPN-клиенте и приложениями на VPN-сервере, использующими внешний IP-адрес VPN-сервера, не будет пересылаться внутри VPN-подключения, а вместо этого будет отправляться незашифрованным по сети между VPN-клиентом и VPN-сервером.
Например, если VPN-клиент удаленного доступа устанавливает VPN-подключение к VPN-серверу, и после этого узел внутренней сети VPN-клиента обращается к общему файловому ресурсу на компьютере VPN-сервера, используя его внешний IP-адрес, трафик к общему файловому ресурсу не передается через VPN-подключение, а передается в открытом виде через сеть между VPN-клиентом и VPN-сервером.
В дополнение к этому, если на VPN-сервере настроенные фильтры пакетов разрешают передачу только VPN-трафика, весь остальной трафик, посылаемый VPN-серверу, будет отклонен. В этой типовой конфигурации все попытки подключений к службам, запущенным на VPN-сервере, будут неудачны, потому что трафик, передаваемый к этим службам, передается не через VPN-подключение.
IP-адрес, используемый VPN-клиентом для доступа к запущенным на каждом VPN-сервере службам, зависит от способа разрешения имени VPN-сервера. Пользователи и приложения обращаются к сетевым ресурсам преимущественно используя имена, а не IP-адреса. Имя должно быть разрешено в IP-адрес с помощью служб DNS или WINS. Если инфраструктура DNS или WINS интрасети не содержит записи о соответствии между именем и внешним IP-адресом VPN-сервера, трафик к службам, запущенным на VPN-сервере, всегда будет передаваться через VPN-подключение.
Для предотвращения динамической регистрации внешнего IP-адреса VPN-сервера на DNS-сервере интрасети, выполните следующее: на VPN-сервере откройте компонент панели управления Сеть и удаленный доступ к сети (Dial-up and Network Connections), выберите подключение к Интернету и откройте свойства компонента Протокол Интернета (TCP/IP) (Internet Protocol (TCP/IP)), нажмите кнопку Дополнительно (Advanced), в диалоговом окне Дополнительные параметры TCP/IP (Advanced TCP/IP Settings) перейдите на вкладку DNS и снимите флажок Зарегистрировать адреса этого подключения в DNS (Register this connection's addresses in DNS).
Для предотвращения динамической регистрации внешнего IP-адреса VPN-сервера на WINS-сервере интрасети, выполните следующее: на VPN-сервере откройте компонент панели управления Сеть и удаленный доступ к сети (Dial-up and Network Connections), выберите подключение к Интернету и откройте свойства компонента Протокол Интернета (TCP/IP) (Internet Protocol (TCP/IP)), нажмите кнопку Дополнительно (Advanced), в диалоговом окне Дополнительные параметры TCP/IP (Advanced TCP/IP Settings), перейдите на вкладку WINS и установите переключатель в положение Отключить NetBIOS через TCP/IP (Disable NetBIOS over TCP/IP).
Перед созданием VPN-подключения VPN-клиент использует инфраструктуру DNS сети Интернет для определения имени компьютера VPN-сервера по его внешним IP-адресам. После создания VPN-подключения, предполагая, что DNS- и WINS-серверы интрасети настроены либо во время процесса PPP-подключения или через перенаправление сообщения DHCPInform, VPN-клиент использует инфраструктуру DNS и WINS интрасети для разрешения имени компьютера VPN-сервера по его внутреннему IP-адресу в интрасети.
Маршрутизация VPN-клиентов и одновременный доступ к интрасети и Интернету
По умолчанию, когда VPN-клиент Windows создает VPN-подключение, он автоматически добавляет новый маршрут по умолчанию для VPN-подключения и изменяет существующий маршрут по умолчанию увеличивая метрику. Добавление нового маршрута по умолчанию означает, что ресурсы сети Интернет (за исключением IP-адреса сервера туннеля и ресурсов, связанные с другими маршрутами) будут недоступны на протяжении VPN-подключения.
Для предотвращения создания маршрута по умолчанию откройте свойства Протокола Интернета (TCP/IP) (Internet Protocol (TCP/IP)) в свойствах VPN-подключения. Нажмите кнопку Дополнительно (Advanced). В диалоговом окне Дополнительные параметры TCP /IP (Advanced TCP/IP Settings) перейдите на вкладку Общие (General) и затем снимите флажок Использовать основной шлюз в удаленной сети (Use default gateway on remote network). Когда этот флажок снят, маршрут по умолчанию не создается, однако, создаются соответствующие маршруту адреса Интернета класса присвоенных IP-адресов. Например, если во время процесса подключения присвоен адрес 10.0.12.119, то VPN-клиенты Windows 2000 и Windows XP создают маршрут для сети класса 10.0.0.0 с маской подсети 255.0.0.0.
Настройки, параметра Использовать основной шлюз в удаленной сети при активации VPN-подключения имеют одно из следующих следствий:
| • | Ресурсы Интернета доступны, а ресурсы интрасети недоступны за исключением адресов, соответствующих классу присвоенных IP адресов (флажок Использовать основной шлюз в удаленной сети снят). |
| • | Все ресурсы интрасети доступны, а ресурсы Интернета недоступны, за исключением адреса VPN-сервера и ресурсов, доступных через другие маршруты (флажок Использовать основной шлюз в удаленной сети установлен). |
Для большинства VPN-клиентов, подключенных через Интернет, эта особенность не представляет проблемы, так как они обычно используют либо подключение к интрасети, либо к Интернету, но не то и другое одновременно.
Для VPN-клиентов, которым необходимы одновременный доступ к интрасети и ресурсам Интернета во время активного VPN-подключения, Вы можете использовать один из следующих способов:
| • | Отметьте флажок Использовать основной шлюз в удаленной сети (установлен по умолчанию) и разрешите доступ в Интернет через интрасеть организации. Интернет трафик между VPN-клиентом и узлами Интернета будет проходить через брандмауэры или прокси-серверы так, как если бы VPN-клиент был физически подключен к интрасети организации. Хотя данный метод влияет на производительность, такой способ позволяет фильтровать и отслеживать доступ к Интернету в соответствии с сетевыми политиками организации, пока VPN-клиент подключен к корпоративной сети. |
| • | Если присвоение адресов в Вашей интрасети основано на единственном сетевом идентификаторе, снимите флажок Использовать основной шлюз в удаленной сети. Наилучшим примером может являться использование для вашей сети частного диапазона IP-адресов 10.0.0.0/8. |
| • | Если Ваша интрасеть использует адресацию разных классов, снимите флажок Использовать основной шлюз в удаленной сети. В этом случае запустите на VPN-клиенте командный файл (.CMD) с командами маршрутизации для добавления статических маршрутов класса адресов Вашей интрасети с использованием присвоенных IP-адресов в качестве шлюза после создания соединения. Вы можете узнать присвоенный IP-адрес при помощи команды ipconfig, или дважды щелкнув на активном VPN-подключении в папке Сеть и удаленный доступ к сети (Dial-up and Network Connections). В появившемся диалоговом окне Состояние (Status) перейдите на вкладку Поддержка (Details). IP-адрес, присвоенный VPN-клиенту, указан в строке IP-адрес клиента (Client IP address). |
Вопросы проектирования: инфраструктура маршрутизации
Для настройки инфраструктуры маршрутизации VPN-подключений удаленного доступа обратите внимание на следующие моменты:
| • | Настройте интерфейс Интернета VPN-сервера, указав для него основной шлюз и затем вручную настройте внутренний интерфейс, не указывая для него основной шлюз. |
| • | Добавьте статические IP-маршруты к VPN-серверу, объединяющие адреса, используемые в Вашей интрасети. В противном и затем вручную настройте внутренний интерфейс, не указывая для него основной шлюз. В том случае, если Вы используете протоколы RIP или OSPF в качестве протоколов динамической маршрутизации, включите и настройте данные протоколы на VPN-сервере. Если Вы используете протокол маршрутизации, отличный от RIP или OSPF, такой как IGRP (Interior Gateway Routing Protocol), Вы можете настроить соседние маршрутизаторы интрасети VPN-сервера для использования RIP или OSPF на интерфейсе сегмента, к которой подключен VPN-сервер, а IGRP на всех других интерфейсах. |
| • | Не устанавливайте дополнительные службы на VPN-сервер, с которым собираетесь работать через Интернет. Трафик этих служб пересылается через Интернет в незашифрованном виде и отклоняется VPN-сервером фильтрами пакетов VPN, настроенных на VPN-сервере. Вместо этого установите службы, к которым Вы хотите иметь доступ, на другой компьютер, доступный с VPN-сервера. |
| • | Настройте VPN-сервер для использования диапазона адресов принадлежащих подсети, используя динамическое назначение IP-адресов при помощи DHCP или вручную, настроив пулы адресов, принадлежащих подсети. |
Наверх страницы
Инфраструктура служб проверки подлинности, авторизации и учета
Инфраструктура служб проверки подлинности, авторизации и учета (authentication, authorization, and accounting, AAA) необходима для того, чтобы:
| • | Проверять учетные данные VPN-клиентов. |
| • | Авторизовывать VPN-подключения. |
| • | Регистрировать и вести учет VPN-подключений. |
В состав инфраструктуры служб проверки подлинности, авторизации и учета входят:
| • | Компьютер VPN-сервера. |
| • | Компьютер RADIUS-сервера. |
| • | Контроллер домена. |
Как обсуждалось выше в качестве поставщиков служб проверки подлинности и учетных записей, VPN-сервер Windows 2000 может использовать встроенные службы Windows или протокол RADIUS. Если у Вас есть несколько VPN-серверов или используется среда со смешанным оборудованием для удаленного доступа и организации VPN, то RADIUS позволяет организовать централизованную службу проверки подлинности, авторизации и учета.
Если в качестве поставщика служб проверки подлинности используется Windows, VPN-сервер выполняет проверку подлинности VPN-подключения, взаимодействуя с контроллером домена по защищенному каналу удаленного вызова процедур (remote procedure call, RPC). Авторизация попыток подключения в этом случае основывается на свойствах входящих звонков учетной записи пользователя и локально настроенных политиках удаленного доступа.
Если в качестве поставщика служб проверки подлинности используется RADIUS, то он выполняет для VPN-сервера как проверку подлинности, так и авторизацию на основе данных RADIUS-сервера. При попытке подключения к VPN-серверу учетные данные VPN-клиента и другие параметры подключения передаются VPN-сервером указанному RADIUS-серверу в виде RADIUS-сообщения с запросом доступа. Если попытка подключения успешно прошла проверку подлинности и авторизацию, RADIUS-сервер посылает в ответ сообщение предоставления доступа. Если попытка подключения не прошла проверку подлинности или авторизацию, RADIUS-сервер посылает в ответ сообщение отказа в доступе.
Если в качестве поставщика служб проверки подлинности используется Windows, VPN-сервер записывает информацию о VPN-подключениях в локальный журнал (по умолчанию %SystemRoot%\System32\Logfiles\Logfile.log). Чтобы изменить путь к файлу журнала, необходимо открыть оснастку Маршрутизация и удаленный доступ (Routing and Remote Access), выбрать объект Локальный файл (Local File) в папке Ведение журнала удаленного доступа (Remote Access Logging), открыть его свойства и задать нужный путь на вкладке Локальный файл (Local File).
Если в качестве поставщика служб проверки подлинности используется RADIUS, VPN-сервер посылает RADIUS-сообщения учета VPN-подключений RADIUS-серверу, который записывает данные учета.
Если вы используете RADIUS и домен Windows в качестве базы данных учетных записей для проверки учетных данных пользователей и получения параметров входящих подключений, то рекомендуется использовать IAS (Internet Authentication Service – Службу проверки подлинности в Интернете). IAS является полнофункциональным RADIUS-сервером, который тесно интегрирован с операционной системой Windows 2000, службой каталогов Active Directory и службой маршрутизации и удаленного доступа.
При использовании в качестве RADIUS-сервера службы IAS:
| • | IAS выполняет проверку подлинности VPN-подключения, взаимодействуя с контроллером домена по защищенному каналу RPC, а также авторизует попытки подключения на основе свойств удаленного доступа учетной записи пользователя и политик удаленного доступа, настроенных на IAS-сервере. |
| • | IAS записывает информацию учета VPN-подключений в локальный журнал (по умолчанию находится в %SystemRoot%\System32\Logfiles\Logfile.log). Чтобы указать путь к файлу журнала, необходимо открыть оснастку Маршрутизация и удаленный доступ (Routing and Remote Access), выбрать объект Локальный файл (Local File) в папке Ведение журнала удаленного доступа (Remote Access Logging), открыть его свойства и задать нужный путь на вкладке Локальный файл (Local File). |
Политики удаленного доступа
Политики удаленного доступа представляют собой набор правил, которые определяют, какие подключения будут разрешены или отклонены. Для разрешенных подключений политики также определяют ограничения. Для каждого правила существует одно или несколько условий, параметров профиля и настроек разрешений удаленного доступа. Попытки подключений проверяются на соответствие всем параметрам политик удаленного доступа. Попытка подключения должна удовлетворять всем условиям какой либо из политик, иначе она отклоняется.
Если попытка подключения удовлетворяет всем условиям политики удаленного доступа и ему предоставлено право удаленного доступа, то профиль политики удаленного доступа задает ряд дополнительных ограничений для подключения. Свойства входящих звонков учетной записи пользователя также задают ряд ограничений. Если применяются ограничения учетной записи пользователя, то они будут перекрывать ограничения политики удаленного доступа.
Политики удаленного доступа состоят из следующих элементов:
| • | Условия |
| • | Разрешение на удаленный доступ |
| • | Профиль |
Условия
Условия политики удаленного доступа — это один или несколько атрибутов, сравниваемых с параметрами попытки подключения. Если заданы несколько условий, то для того, чтобы попытка подключения удовлетворяла данной политике, параметры попытки подключения должны соответствовать всем ее условиям. Для VPN-подключений обычно используются следующие атрибуты:
| • | NAS-Port-Type. Установив значение атрибута NAS-Port-Type в Virtual (VPN), Вы охватите все VPN-подключения. |
| • | Tunnel-Type. Установив значение атрибута Tunnel-Type в Point-to-Point Tunneling Protocol (PPTP) или Layer Two Tunneling Protocol (L2TP), Вы сможете определять различные политики для PPTP- и L2TP-подключений. |
| • | Windows-Groups. Добавив соответствующие группы пользователей для атрибута Windows-Groups, Вы можете разрешить или запретить доступ на основании принадлежности к определенной группе. |
Разрешение на удаленный доступ
Если в свойствах учетной записи указан параметр Управление на основе политики удаленного доступа (Control access through Remote Access Policy), то Вы можете предоставить или запретить удаленный доступ для попыток подключения. В противном случае разрешения удаленного доступа будут определены свойствами учетной записи пользователя.
Профиль
Профиль политики удаленного доступа – это набор свойств, применяемых к подключению при его авторизации. Для VPN-подключений Вы можете использовать следующие параметры профиля:
| • | С помощью ограничений по входящим звонкам могут задаваться продолжительность соединения или время простоя, по истечении которого VPN-сервер производит разрыв соединения. |
| • | Вкладку IP можно использовать для настройки фильтры IP-пакетов для определенных типов IP-трафика, который разрешен для VPN-подключений удаленного доступа. С помощью фильтров пакетов в профиле можно ограничить исходящий IP-трафик (к клиенту) или входящий трафик (от клиента) методом исключения: разрешить любой трафик, за исключением того, который определен фильтрами, или разрешить только тот трафик, который определен фильтрами. Фильтрация в профиле политики удаленного доступа применяется для всех подключений, которые соответствуют этой политике. |
| • | С помощью параметров проверки подлинности задаются протоколы проверки подлинности, которые должен использовать VPN-клиент при передаче учетных данных, а также настройки используемого типа протокола EAP (например, EAP-TLS). |
| • | Настройки шифрования могут определять, требуется ли шифрование и его уровни стойкости. Windows 2000 поддерживает следующие уровни шифрования Основное (Basic) (40-битное шифрование MPPE для PPTP-подключений и 56-битное шифрование DES (Data Encryption Standard) для L2TP-подключений), Стойкое (Strong) (56-битное шифрование MPPE для PPTP-подключений и 56-битное шифрование DES для L2TP-подключений), Самое стойкое (Strongest) (128-битное шифрование MPPE для PPTP-подключений и шифрование 3DES для L2TP-подключений). Последний тип шифрования может использоваться только в ОС Windows 2000 с установленным пакетом стойкого шифрования (High Encryption Pack) или пакетом обновления 2 (SP2) и выше. |
Например, Вы можете создать группу в Windows 2000 под названием VPNUsers, в которую будут входить пользователи, использующие VPN-подключения удаленного доступа через Интернет. Затем создайте политику с двумя условиями: для атрибута NAS-Port-Type укажите значение – Virtual (VPN), а для атрибута Windows-Group – VPNUsers. Завершите настройку профиля политики, выбрав метод проверки подлинности и уровень стойкости шифрования.
Ограничение трафика, маршрутизируемого с VPN-клиентов
Как только VPN-клиент успешно установит PPTP- или L2TP-подключение, по умолчанию любой пакет, отправленный через это подключение, будет получен и перенаправлен VPN-сервером. Пакетами, отправляемыми через соединение, могут быть:
| • | Пакеты, созданные на компьютере-клиенте удаленного доступа. |
| • | Пакеты, отправленные на компьютер-клиент удаленного доступа с других компьютеров. |
Когда компьютер-клиент удаленного доступа устанавливает VPN-подключение, по умолчанию он создает маршрут, таким образом весь трафик, маршрут которого совпадает с этим маршрутом, отправляется через VPN-подключение. Если другие компьютеры перенаправляют данные на VPN-клиент удаленного доступа, используя компьютер-клиент удаленного доступа в качестве маршрутизатора, этот трафик также будет отправлен через VPN-подключение. Это представляет собой угрозу безопасности, так как компьютер, пересылающий данные VPN-клиентам удаленного доступа, не проходит проверку подлинности на VPN-сервере. Компьютер, пересылающий данные VPN-клиентам удаленного доступа, имеет такой же доступ к сети, как и компьютер-клиент удаленного доступа, прошедший проверку подлинности.
Чтобы предотвратить отправку через VPN-сервер данных компьютеров не являющихся компьютерами VPN-клиентов удаленного доступа, настройте фильтры пакетов политики удаленного доступа, которая используется для Ваших VPN-подключений.
Для Фильтров выхода (From client filter) укажите действие Игнорировать все пакеты, кроме тех, что отвечают указанным ниже критериям (Deny all traffic except those listed below) и настройте единственный фильтр в соответствии с параметрами, указанными в Таблице 2.
| Таблица 2 - Настройки Фильтров выхода |
| Поле фильтра | Значение |
| IP-адрес исходной сети (Source Address) | IP-адрес пользователя |
| Маска исходной сети (Source Network Mask) | Маска сети пользователя |
| IP-адрес сети назначения (Destination Address) | Любой (Any) |
| Маска сети назначения (Destination Network Mask) | Любой (Any) |
| Протокол (Protocol) | Любой (Any) |
Для Фильтров входа (To client filter) укажите действие Игнорировать все пакеты, кроме тех, что отвечают указанным ниже критериям (Deny all traffic except those listed below) и настройте единственный фильтр в соответствии с параметрами, указанными в Таблице 3.
| Примечание. Хотя в оснастке Маршрутизация и удаленный доступ отображаются поля Адрес пользователя (User's address) и Маска пользователя (User's mask), текущий фильтр создан для всех IP-адресов, присвоенных клиентам удаленного доступа, и маски подсети 255.255.255.255. |
| Таблица 3 – Настройки Фильтров входа |
| Поле фильтра | Значение |
| IP-адрес исходной сети (Source Address) | Любой (Any) |
| Маска исходной сети (Source Network Mask) | Любой (Any) |
| IP-адрес сети назначения (Destination Address) | IP-адрес пользователя |
| Маска сети назначения (Destination Network Mask) | Маска сети пользователя |
| Протокол (Protocol) | Любой (Any) |
C таким набором фильтров IP-пакетов VPN-сервер будет отклонять весь трафик, отправляемый через VPN-подключение, кроме пакетов, созданных или отправленных VPN-клиентами удаленного доступа, прошедшими проверку подлинности.
Учетные записи и группы домена Windows
Домены Windows NT 4.0, домены смешанного режима Windows 2000 и домены основного режима Windows 2000 содержат учетные записи и группы пользователей, используемые службами маршрутизации и удаленного доступа и IAS для проверки подлинности и авторизации попыток подключения.
Учетная запись содержит имя и пароль пользователя, которые могут использоваться при проверке учетных данных VPN-клиента. Дополнительные свойства учетной записи определяют, включена учетная запись или нет, не заблокирована ли она и в какие часы с ее помощью разрешено выполнять вход в систему. Если учетная запись отключена, заблокирована или не имеет разрешения на вход в систему в определенные часы, совпадающие со временем VPN-подключения, попытка VPN-подключения будет отклонена.
Учетные записи пользователей также содержат параметры входящих подключений (вкладка Входящие звонки (Dial-in)) . Наиболее важный параметр для VPN-подключений – это параметр разрешения на удаленный доступ, который может иметь следующие значения:
| • | Разрешить доступ (Allow Access) |
| • | Запретить доступ (Deny Access) |
| • | Управление на основе политики удаленного доступа (Control access through Remote Access Policy) |
Значения Разрешить доступ (Allow access) и Запретить доступ (Deny access) явно разрешают или запрещают удаленный доступ и эквивалентны разрешению на удаленный доступ в учетных записях домена Windows NT 4.0. Когда Вы устанавливаете значение Управление на основе политики удаленного доступа (Control access through Remote Access Policy), удаленный доступ предоставляется на основе разрешения соответствующей политики. Если учетная запись принадлежит домену смешанного режима, значение Управление на основе политики удаленного доступа (Control access through Remote Access Policy) недоступно, и Вы должны предоставлять разрешения на удаленный доступ индивидуально для каждого пользователя. Если учетная запись принадлежит домену основного режима, значение Управление на основе политики удаленного доступа (Control access through Remote Access Policy) будет доступно, и Вы можете управлять разрешением на удаленный доступ, для каждого пользователя или группы.
При управлении доступом на основе групп Вы можете использовать существующие группы, а также создавать политики удаленного доступа, предоставляющие, отклоняющие или ограничивающие доступ на основании имени группы. Например, группа Employees может не иметь никаких ограничений на VPN-подключения удаленного доступа, а группа Contractors может создавать VPN-подключения только в рабочее время. Также можно создавать группы, основываясь на типе создаваемых подключений. Например, Вы можете создать группу VPNUSers и добавить в нее все учетные записи, которым разрешено создавать VPN-подключения.
Служба маршрутизации и удаленного доступа и служба IAS могут использовать универсальное основное имя (Universal principal name, UPN) и универсальные группы службы каталогов Active Directory. Если домен содержит несколько тысяч пользователей, создайте универсальную группу для всех пользователей, которым разрешен доступ, и затем создайте политику удаленного доступа, предоставляющую доступ этой универсальной группе. Не помещайте все учетные записи непосредственно в универсальную группу, особенно если Ваша сеть содержит большое количество пользователей. Вместо этого создайте отдельные глобальные группы, которые будут являться членами универсальной группы, и поместите пользователей в эти глобальные группы.
Вопросы проектирования: инфраструктура служб проверки подлинности, авторизации и учета
При настройке инфраструктуры служб проверки подлинности, авторизации и учета для VPN-подключений удаленного доступа обратите внимание на следующие моменты:
| • | Если имеется несколько VPN-серверов или различные типы подключений (VPN-подключения и подключения удаленного доступа), RADIUS-сервер обеспечивает централизованную работу служб проверки подлинности, авторизации и учета. Настройте VPN-сервер для использования службы RADIUS в качестве поставщика служб проверки подлинности и учета. |
| • | Если базой данных учетных записей пользователей является домен Windows, используйте службу IAS в качестве RADIUS-сервера. При использовании службы IAS установите ее на контроллере домена, чтобы обеспечить наилучшую производительность. Установите, по крайней мере, два IAS-сервера для обеспечения отказоустойчивой работы служб проверки подлинности, авторизации и учета. |
| • | Для авторизации и задания ограничений на VPN-подключения используйте политики удаленного доступа, настроенные локально или на IAS-сервере. Например, можно использовать параметры профиля политики для предоставления доступа на основе членства в группах, задания принудительного использования и уровня стойкости шифрования или авторизации на основе EAP-TLS, или ограничения трафика с помощью IP-фильтров. |
| • | Для защиты VPN-клиентов от пересылки маршрутизированного трафика настройте фильтры пакетов профиля политики удаленного доступа для отклонения всего трафика VPN-подключений, кроме входящего и исходящего трафика самих VPN-клиентов. |
| • | Для управления доступом на основе принадлежности к группе в больших доменах Active Directory создайте глобальные группы, входящие в универсальные группы. |
| • | Важные фрагменты RADIUS-сообщений (такие, как пароль пользователя и ключи шифрования) зашифрованы общим секретом (паролем) RADIUS, который задается на VPN-сервере и RADIUS-сервере. Создайте стойкий, длинный (22 знака или более) общий секрет, состоящий из случайной последовательности букв, цифр и знаков пунктуации и регулярно меняйте его, чтобы защитить RADIUS-трафик. Пример стойкого пароля – «8d#>9fq4bV)H7%a3^jfDe2». Для дополнительной защиты RADIUS-трафика используйте политики IPSec Windows 2000, с помощью которых обеспечивается конфиденциальность данных для всего трафика UDP-портов, используемых протоколом RADIUS (порты 1812 и 1645 используются для проверки подлинности, 1813 и 1646 – для учета). |
Наверх страницы Инфраструктура сертификата
Для проверки подлинности L2TP-подключений на основе сертификатов, смарт-карт, проверки подлинности пользователей на основе сертификатов и для проверки подлинности VPN-подключений на основе EAP-TLS необходима развернутая инфраструктура сертификата, также известная как инфраструктура открытого ключа (public key infrastructure, PKI), с помощью которой выдаются необходимые для проверки сертификаты, а также подтверждается их достоверность.
Сертификаты компьютера для L2TP/IPSec
Если Вы используете метод проверки подлинности на основе сертификатов для L2TP-подключений, список корневых центров сертификации (ЦС) редактировать нельзя. Вместо этого каждый компьютер при использовании L2TP-подключения посылает своему узлу IPSec (компьютеру, с которым установлено соединение по протоколу IPSec) список корневых ЦС, от которых он будет принимать сертификаты для проверки подлинности. Корневые центры сертификации, перечисленные в этом списке, являются корневыми ЦС, которые выдали сертификаты этому компьютеру. Например, если компьютеру А были выданы сертификаты, выпущенные корневыми ЦС CertAuth1 и CertAuth2, то при согласовании основного режима он уведомляет узел IPSec (компьютер Б) о том, что он будет принимать сертификаты для проверки подлинности только от корневых ЦС CertAuth1 и CertAuth2. Если у компьютера Б нет действительного сертификата выпущенного центрами сертификации CertAuth1 или CertAuth2, согласование безопасности IPSec закончится неудачей.
VPN-клиент должен иметь установленный действующий сертификат компьютера, выданный ЦС из действующей цепочки, которую можно проследить до одного и того же корневого ЦС, и этот корневой ЦС должен быть доверенным для VPN-сервера. Помимо этого VPN-сервер должен иметь установленный действующий сертификат компьютера, выданный ЦС из действующей цепочки, которую можно проследить от выдавшего его ЦС к корневому ЦС, которому доверяет VPN-клиент.
Например, если VPN-клиент получил сертификаты компьютера от корневых ЦС CertAuth1 и CertAuth2, он уведомляет VPN-сервер во время согласования безопасности IPSec, что он примет для проверки подлинности сертификаты, только от CertAuth1 и CertAuth2. Если VPN-сервер не имеет действительного сертификата, выпущенного центрами сертификации CertAuth1 или CertAuth2, согласование безопасности IPSec закончится неудачей.
Обычно сертификаты для всех компьютеров организации выдаются одним и тем же центром сертификации. Поэтому все компьютеры внутри организации имеют сертификаты, выданные одним ЦС, и для проверки запрашиваются сертификаты того же самого ЦС.
Развертывание сертификатов компьютеров в Вашей организации состоит из следующих этапов:
| 1. | Развертывание инфраструктуры сертификата. Для получения дополнительной информации обратитесь к «Приложению Г: развертывание инфраструктуры сертификата». |
| 2. | Установите на каждый компьютер сертификат компьютера. Для получения дополнительной информации обратитесь к разделу «Развертывание удаленного доступа на основе протокола L2TP» данного документа. |
Инфраструктура сертификата для смарт-карт
Использование смарт-карт для проверки подлинности пользователей является самой стойкой формой проверки подлинности пользователей в Windows 2000. Для VPN-подключений удаленного доступа Вы должны использовать протокол EAP (Extensible Authentication Protocol), указав тип TLS Smart card or other certificate (TLS) (Смарт-карта или иной сертификат), также известный как EAP-TLS (EAP-Transport Level Security).
Развертывание смарт-карт в Вашей организации состоит из следующих этапов:
| 1. | Создайте инфраструктуру сертификата, использующую центры сертификации. |
| 2. | Настройте разрешения безопасности для каждого домена и делегирование для шаблонов сертификата: Пользователь смарт-карты (Smart Card User), Вход в систему с использованием смарт-карты (Smart Card Logon) и Агент подачи заявок (Enrollment Agent). |
| 3. | Настройте ЦС для выдачи сертификатов смарт-карт и агентов подачи заявок на сертификаты. |
| 4. | Настройте станцию подачи заявок (компьютер, который используется для физической установки сертификатов на смарт-карты). |
| 5. | Используйте станцию подачи заявок для подготовки смарт-карты с сертификатом входа в систему, предназначенной для определенной учетной записи пользователя. |
За дополнительной информацией о настройке смарт-карт для входа в систему обратитесь к разделу Контрольный список: внедрение использования смарт-карт для входа в систему Windоws (Checklist: Deploying smart cards for logging on to Windows) справки Windows 2000 Server.
Для поиска необходимого раздела в справке Windows 2000 Server:
| 1. | Нажмите Пуск (Start) и выберите Справка (Help). |
| 2. | В диалоговом окне Windows 2000 перейдите на вкладку Поиск (Search). |
| 3. | Снимите флажок Похожие слова (Match similar words) и установите флажок Только в заголовках (Search titles only). |
| 4. | В поле Искать следующие слова (Type the keyword to find) введите название раздела и нажмите кнопку Разделы (List topics). |
| 5. | В списке разделов под кнопкой Показать (Select topic), дважды щелкните по разделу, название которого соответствует введенному в поле поиска. |
Индивидуальные смарт-карты выдаются пользователям, которые имеют компьютер со считывателем смарт-карт. Для входа в систему на компьютере необходимо вставить смарт-карту в считыватель смарт-карт и ввести PIN-код (personal identification number – личный идентификационный номер). Когда пользователь пытается установить VPN-подключение, сертификат смарт-карты используется в процессе согласования подключения.
Чтобы настроить протокол EAP-TLS для использования смарт-карт на VPN-клиенте:
| • | VPN-подключение должно быть настроено для использования протокола EAP с типом проверки подлинности Смарт-карта или иной сертификат (Smart Card or other certificate). |
| • | В свойствах типа проверки подлинности Смарт-карта или иной сертификат протокола EAP, выберите Использовать мою смарт-карту (Use my smart card). Если требуется проверять сертификат компьютера VPN- или IAS-сервера, установите флажок Проверять сертификат сервера (Validate server certificate). Если необходимо подключать только серверы из определенного домена, установите флажок Подключить данные серверы: (Connect only if server name ends with) и введите имя домена. Чтобы запросить у сервера сертификат, выданный определенным ему доверенным корневым ЦС, выберите ЦС в списке Доверенные корневые центры сертификации: (Trusted root certificate authority). |
Для настройки проверки подлинности EAP-TLS на VPN-сервере:
| • | Откройте свойства VPN-сервера в оснастке Маршрутизация и удаленный доступ. Перейдите на вкладку Безопасность (Security). Нажмите кнопку Методы проверки подлинности… (Authentication Methods). В открывшемся диалоговом окне установите флажок Протокол расширенной проверки подлинности (Extensible Authentication Protocol, EAP). |
Для настройки проверки подлинности EAP-TLS в политике удаленного доступа:
| • | Откройте свойства политики удаленного доступа, которая используется для VPN-подключений. Нажмите кнопку Изменить профиль (Edit profile). В появившемся диалоговом окне изменения профиля выберите вкладку Проверка подлинности (Authentication). На этой вкладке должен быть отмечен флажок Протокол расширенной проверки подлинности (Extensible Authentication Protocol, EAP). Значением параметра Выберите приемлемый тип протокола для этой политики должно быть Смарт-карта или иной сертификат (Smart Card or other certificate). Также Вы должны указать соответствующий сертификат компьютера для проверки во время процесса проверки подлинности EAP-TLS. Если компьютер, на котором настроена политика удаленного доступа, имеет несколько установленных сертификатов компьютера, настройте свойства параметра Смарт-карта или иной сертификат и укажите соответствующий сертификат компьютера, который будет использоваться в процессе проверки подлинности EAP-TLS. |
Инфраструктура сертификата для сертификатов пользователей
Для проверки подлинности пользователей вместо смарт-карт могут быть использованы сертификаты пользователей, основанные на значениях реестра. Однако, это не является стойкой формой проверки подлинности. При использовании смарт-карт сертификат пользователя, выданный в процессе аутентификации, доступен только тогда, когда пользователь физически обладает смарт-картой и знает PIN-код для входа на свой компьютер. При использовании сертификатов пользователя, сертификат, выданный в процессе проверки подлинности, становится доступен тогда, когда пользователь входит на свой компьютер, используя доменные имя пользователя и пароль.
Также как и при использовании смарт-карт, при аутентификации с помощью сертификатов пользователя в качестве протокола проверки подлинности используется EAP-TLS.
Развертывание сертификатов пользователя в Вашей организации состоит из следующих этапов:
| 1. | Создайте инфраструктуру сертификатов. Для получения дополнительной информации обратитесь к «Приложению Г. Развертывание инфраструктуры сертификатов». |
| 2. | Установите сертификат пользователя для всех пользователей. Для получения дополнительной информации обратитесь к разделам данного документа «Развертывание удаленного доступа, на основе протокола PPTP» и «Развертывание удаленного доступа на основе протокола L2TP». |
Сертификат пользователя отправляется в процессе согласования соединения, когда пользователь пытается создать VPN-подключение,.
Чтобы настроить протокол EAP-TLS для использования сертификатов пользователя на VPN-клиенте:
| • | VPN-подключение должно быть настроено для использования протокола EAP с типом проверки подлинности Смарт-карта или иной сертификат (Smart Card or other certificate). |
| • | В свойствах типа проверки подлинности Смарт-карта или иной сертификат протокола EAP, выберите Использовать сертификат на этом компьютере (Use a certificate on this computer). Если требуется проверять сертификат компьютера VPN- или IAS-сервера, поставьте флажок Проверять сертификат сервера (Validate server certificate). Если необходимо подключать только сервера из определенного домена, поставьте флажок Подключить данные серверы (Connect only if server name ends with) и введите имя домена. Чтобы запросить у сервера его собственный сертификат, выданный определенным доверенным корневым ЦС, выберите ЦС в списке Доверенные корневые центры сертификации: (Trusted root certificate authority). |
Чтобы настроить проверку подлинности EAP-TLS на VPN-сервере:
| • | Откройте свойства VPN-сервера в оснастке Маршрутизация и удаленный доступ. Перейдите на вкладку Безопасность (Security). Нажмите кнопку Методы проверки подлинности… (Authentication Methods). В открывшемся диалоговом окне установите флажок Протокол расширенной проверки подлинности (Extensible Authentication Protocol, EAP). |
Чтобы настроить проверку подлинности EAP-TLS в политике удаленного доступа:
| • | Откройте свойства политики удаленного доступа, которая используется для VPN-подключений. Нажмите кнопку Изменить профиль (Edit profile). В появившемся диалоговом окне изменения профиля выберите вкладку Проверка подлинности (Authentication). На этой вкладке должен быть установлен флажок Протокол расширенной проверки подлинности (Extensible Authentication Protocol, EAP). Значением параметра Выберите приемлемый тип протокола для этой политики должно быть Смарт-карта или иной сертификат (Smart Card or other certificate). Также Вы должны указать соответствующий сертификат компьютера для проверки во время процесса аутентификации EAP-TLS. Если компьютер, на котором настроена политика удаленного доступа, имеет несколько установленных сертификатов компьютера, настройте свойства параметра Смарт-карта или иной сертификат и укажите соответствующий сертификат компьютера, который будет использоваться в процессе аутентификации EAP-TLS. |
Вопросы проектирования: инфраструктура сертификата
При настройке инфраструктуры сертификата для VPN-подключения удаленного доступа обратите внимание на следующие моменты:
| • | Для того, чтобы создать VPN-подключения удаленного доступа L2TP/IPSec, используя проверку подлинности на основе сертификатов компьютера для IPSec, Вы должны установить сертификаты компьютеров для всех VPN-клиентов и VPN-сервера. Если Вы используете корпоративный ЦС на базе Windows 2000, то для выдачи сертификатов настройте Ваш домен Active Directory для автоматической подачи заявок на сертификатов при помощи групповой политики Конфигурация компьютера (Computer Configuration). После обновления данной групповой политики все компьютеры, входящие в домен, автоматически запросят сертификат компьютера. Сертификат компьютера VPN-клиента должен быть действительным и VPN-сервер должен иметь возможность его проверить. При этом VPN-сервер должен иметь сертификат корневого ЦС, который выдал сертификат компьютера VPN-клиенту. Сертификат компьютера VPN-сервера должен быть действительным и VPN-клиент должен иметь возможность его проверить. При этом VPN-клиент должен иметь сертификат корневого ЦС, который выдал сертификат компьютера VPN-серверу. |
| • | Для проверки подлинности VPN-подключений с помощью смарт-карт или сертификата пользователя с использованием протокола EAP-TLS, на VPN-клиенте должен быть установлен сертификат пользователя (на смарт-карте или основанный на значениях реестра). На VPN-сервере (если проверка подлинности осуществляется средствами ОС Windows) или на IAS-сервере (если VPN-сервер использует для проверки подлинности протокол RADIUS, а RADIUS-сервером является компьютер с установленной Windows 2000 и IAS) должен быть установлен сертификат компьютера. Смарт-карта или сертификат пользователя должны быть действительными и VPN-сервер должен иметь возможность его проверить. При этом VPN-сервер должен иметь сертификат корневого ЦС, который выдал сертификат компьютера VPN-клиенту. Сертификат компьютера VPN-сервера должен быть действительным и VPN-клиент должен иметь возможность его проверить. При этом VPN-клиент должен иметь сертификат корневого ЦС, который выдал сертификат компьютера VPN-серверу. |
| • | Для установки сертификата компьютера или пользователя на компьютер через Интернет создайте PPTP-подключение с помощью протокола, использующего проверку подлинности на основе пароля (например, MS-CHAP v2). После подключения используйте оснастку Диспетчер Сертификатов (Certificate Manager) или обозреватель Internet Explorer для запроса необходимых сертификатов. После установки сертификата отключитесь и подключитесь вновь с использованием необходимого протокола VPN и метода проверки подлинности. Примером подобной ситуации является ноутбук, выданный сотруднику без сертификатов необходимых для создания подключений L2TP/IPSec или проверки подлинности при помощи протокола EAP-TLS. |
| | |
