Компоненты виртуальных частных сетей «маршрутизатор-маршрутизатор» Windows 2000.
На этой странице
На Рисунке 2 изображены компоненты виртуальных частных сетей «маршрутизатор-маршрутизатор» Windows 2000.
Увеличить рисунок Рисунок 2 – Компоненты виртуальных частных сетей «маршрутизатор-маршрутизатор» Windows 2000
Главными компонентами являются:
| • | VPN-маршрутизаторы |
| • | Инфраструктура Интернета |
| • | Инфраструктура интрасети |
| • | Инфраструктура служб проверки подлинности, авторизации и учета |
| • | Инфраструктура сертификата |
VPN-маршрутизаторы
VPN-маршрутизаторы могут инициировать (начинать) или принимать VPN-подключения по требованию и состоят из следующих компонентов:
| • | Служба маршрутизации и удаленного доступа. Служба маршрутизации и удаленного доступа настраивается в качестве VPN-сервера на вызывающем и отвечающем маршрутизаторах. Для этого используется инструмент Мастер настройки сервера маршрутизации и удаленного доступа (Routing and Remote Access Server Setup Wizard). |
| • | Порты. Порт – это логический или физический канал связи, способный поддерживать одно PPP-подключение. Количество физических портов зависит от установленного на компьютере оборудования. Порты виртуальной частной сети (VPN) являются логическими портами. |
| • | Интерфейсы вызова по требованию. Интерфейс вызова по требованию, настроенный на вызывающем маршрутизаторе, представляет PPP-подключение и содержит следующую конфигурационную информацию: • Тип используемого порта
• IP-адрес или доменное имя, используемые для создания подключения
• Методы проверки подлинности
• Требования к шифрованию
• Учетные данные проверки подлинности
В случае двусторонне инициируемых подключений интерфейс вызова по требованию, настроенный на отвечающем маршрутизаторе, представляет PPP-подключение к вызывающему маршрутизатору. В случае односторонне инициируемых подключений, использующих статические маршруты, которые определены в учетной записи пользователя вызывающего маршрутизатора, нет необходимости настраивать интерфейс вызова по требованию на отвечающем маршрутизаторе. |
| • | Учетная запись пользователя. При проверке подлинности вызывающего маршрутизатора его учетные данные сверяются со свойствами соответствующей ему учетной записи пользователя. Если на отвечающем маршрутизаторе используется встроенная проверка подлинности Windows, необходимо, чтобы учетная запись пользователя, содержащаяся в учетных данных, посылаемых вызывающим маршрутизатором, могла быть проверена службой безопасности Windows. Если на отвечающем маршрутизаторе используется проверка подлинности RADIUS, RADIUS-сервер должен иметь доступ к учетным данным вызывающего маршрутизатора, содержащим учетную запись пользователя. Учетная запись пользователя должна быть настроена следующим образом: • На вкладке Входящие звонки (Dial-in) переключатель в секции разрешения на удаленный доступ должен быть установлен в положение Разрешить доступ (Allow access) или в положение Управление на основе политики удаленного доступа (Control access through Remote Access Policy). Если Вы создаете учетные записи пользователей с помощью мастера интерфейса вызова по требованию (Demand-Dial Interface Wizard), этот переключатель по умолчанию установлен в положение Разрешить доступ (Allow access).
• На вкладке Общие (General) или Учетная запись (Account) должен быть снят флажок Потребовать смену пароля при следующем входе в систему (User must change password at next logon), а флажок Срок действия пароля не ограничен (Password never expires) должен быть установлен. Если Вы создаете учетные записи пользователей с помощью мастера интерфейса вызова по требованию, эти параметры будут установлены автоматически.
Для односторонне инициированных подключений Вы можете определить статические IP-маршруты на вкладке Входящие звонки (Dial-in). Эти маршруты будут добавлены в таблицу маршрутизации отвечающего маршрутизатора при установлении подключения вызова по требованию. |
| • | Маршруты. При передаче данных между маршрутизаторами через VPN-подключения используются таблицы маршрутизации. Таблицы маршрутизации VPN-серверов содержат IP-маршруты, с помощью которых выбирается подходящий интерфейса вызова по требованию. В случае односторонне инициированных подключений вызывающий маршрутизатор не нуждается в дополнительных настройках. Для отвечающего маршрутизатора Вы можете добавить статические IP-маршруты в учетную запись пользователя, которая будет использоваться в учетных данных вызывающего маршрутизатора при проверке подлинности. |
| • | Политика удаленного доступа. На отвечающем маршрутизаторе или сервере службы проверки подлинности в Интернете (Internet Authentication Service, IAS), который используется отвечающим маршрутизатором в качестве RADIUS-сервера, Вы можете создать политики удаленного доступа для отдельных типов подключений или доменных групп. Для того, чтобы задать параметры подключений вызова по требованию, создайте отдельную политику удаленного доступа и добавьте в список Windows-Groups группу, содержащую все учетные записи, которые используются вызывающими маршрутизаторами. Создание отдельной политики удаленного доступа для подключений вызова по требованию не является обязательным. |
Вызывающий маршрутизатор выполняет следующие действия:
| • | Инициирует VPN-подключения по запросу администратора или при передаче пакета, маршрут которого проходит через интерфейс вызова по требованию. |
| • | Ожидает завершения проверки подлинности и авторизации, прежде чем начать передачу данных. |
| • | Пересылает пакеты между узлами сайта и отвечающим маршрутизатором. |
| • | Выступает в качестве конечной точки VPN-подключения. |
Отвечающий маршрутизатор выполняет следующие действия:
| • | Ожидает попытки VPN-подключений. |
| • | Проверяет подлинность и авторизует VPN-подключения, прежде чем разрешить передачу данных. |
| • | Пересылает пакеты между узлами сайта и вызывающим маршрутизатором. |
| • | Выступает в качестве конечной точки VPN-подключения. |
Обычно на VPN-маршрутизаторах установлено два сетевых адаптера. Один из них подключен к Интернету, другой – к интрасети.
При настройке и включении службы маршрутизации и удаленного доступа Вам будет предложено выбрать одну из нескольких конфигураций, определяющих роль, которую будет исполнять компьютер. Для VPN-маршрутизаторов следует выбрать конфигурацию Сервер виртуальной частной сети (VPN) (Virtual private network (VPN) server). Это позволит серверу маршрутизации и удаленного доступа выступать в качестве VPN-сервера, поддерживающего как подключения удаленного доступа, так и VPN-подключения между маршрутизаторами. В случае VPN-подключений удаленного доступа пользователи запускают программное обеспечение VPN-клиента и инициируют подключение удаленного доступа к VPN-серверу. В случае VPN-подключений между маршрутизаторами подключение к VPN-серверу инициируется вызывающим маршрутизатором. VPN-сервер в свою очередь может инициировать подключение к другому VPN-маршрутизатору.
Примечание. Корпорация Microsoft рекомендует выбирать конфигурацию Сервер виртуальной частной сети (Virtual private network (VPN) server) в мастере настройки сервера маршрутизации и удаленного доступа (Routing and Remote Access Server Setup Wizard), поскольку конфигурация Сетевой маршрутизатор (Network router) не предлагает выбрать интерфейс подключения к Интернету, для которого автоматически настраиваются фильтры пакетов, не предлагает настроить RADIUS-серверы и создает ограниченное количество портов (5 PPTP-портов и 5 L2TP-портов).
Когда Вы выберете конфигурацию Сервер виртуальной частной сети (Virtual private network (VPN) server), мастер настройки сервера маршрутизации и удаленного доступа выполнит следующие шаги:
| 1. | Вам будет предложено выбрать протоколы передачи VPN-трафика. По умолчанию в списке мастера перечислены все протоколы, которые могут использоваться для работы с подключениями удаленного доступа или с VPN-подключениями «маршрутизатор-маршрутизатор». |
| 2. | Вам будет предложено выбрать интерфейс подключения к Интернету. Для выбранного интерфейса будут автоматически настроены фильтры пакетов, разрешающие только PPTP- и L2TP-трафик. Весь остальной трафик будет отклоняться без какого-либо уведомления. Например, Вы не сможете более проверить связь (с помощью команды ping) с интерфейсом подключения к Интернету вызывающего маршрутизатора. Если Вы не хотите применять автоматически настраиваемые фильтры VPN-пакетов, Вы можете выбрать в диалоговом окне мастера строку (). Если Вы хотите использовать компьютер вызывающего маршрутизатора в качестве транслятора сетевых адресов (NAT), Веб-сервера, или запускать на нем другие службы, обратитесь к Приложению Б. |
| 3. | Если на компьютере маршрутизатора установлено несколько сетевых адаптеров, подключенных к интрасети, Вам будет предложено выбрать интерфейс взаимодействия с серверами DHCP, DNS и WINS. |
| 4. | Вам будет предложено выбрать способ назначения IP-адресов клиентам удаленного доступа или вызывающим маршрутизаторам: автоматически (с помощью DHCP), либо используя заданный диапазон адресов. Если Вы захотите назначать адреса из заданного диапазона, Вам будет предложено добавить один или несколько диапазонов адресов. |
| 5. | Вам будет предложено использовать RADIUS-сервер в качестве поставщика служб проверки подлинности и учета. Если Вы решите использовать RADIUS-сервер, Вам будет предложено настроить основной и дополнительный RADIUS-серверы, а также общий секрет (пароль), используемый для работы с этими серверами |
По завершении настройки сервера виртуальной частной сети с помощью мастера Вы получите следующее:
| 1. | Служба маршрутизации и удаленного доступа работает в качестве сервера удаленного доступа, а также в качестве маршрутизатора локальной сети и вызова по требованию. Если RADIUS-сервер не используется, то поставщиком служб проверки подлинности и учета будет являться встроенная служба Windows. Если на маршрутизаторе установлен только один сетевой адаптер, подключенный к внутренней сети сайта, он будет автоматически определен как интерфейс взаимодействия с серверами DHCP, DNS и WINS. Если установлено несколько сетевых адаптеров, для этих целей будет использоваться адаптер, выбранный в мастере настройки сервера маршрутизации и удаленного доступа. Если были задействованы и добавлены статические диапазоны IP-адресов, они будут использоваться для назначения IP-адресов удаленным клиентам и маршрутизаторам. |
| 2. | Создано 128 PPTP-портов и 128 L2TP-портов. Все они настроены как для входящих подключений удаленного доступа, так и для входящих и исходящих подключений вызова по требованию. |
| 3. | Для указанного интерфейса подключения к Интернету автоматически настроены фильтры входящих и исходящих пакетов, позволяющие передавать только PPTP- и L2TP-трафик. |
| 4. | Настройки выбранных протоколов позволяют осуществлять удаленные подключения и получать доступ к сети, к которой подключен сервер удаленного доступа. |
| 5. | С помощью интерфейса Внутренний (Internal) добавлен агент DHCP-ретрансляции (DHCP Relay Agent). Если во время работы мастера VPN-маршрутизатор является DHCP-клиентом, агенту DHCP-ретрансляции автоматически назначается IP-адрес DHCP-сервера. Если во время работы мастера VPN-маршрутизатор не является DHCP-клиентом, Вам необходимо вручную назначить IP-адрес агенту DHCP-ретрансляции, и этот адрес должен совпадать с IP-адресом DHCP-сервера Вашего сайта. Агент DHCP-ретрансляции передает DHCP-серверу сайта сообщения DHCPInform от VPN-клиентов удаленного доступа. |
| 6. | Добавлен протокол управления Интернет-группами (Internet Group Management Protocol? IGMP). Интерфейс Внутренний (Internal) и все другие интерфейсы локальной сети работают в режиме IGMP-маршрутизатора. Это позволяет VPN-клиентам удаленного доступа отправлять и получать пакеты многоадресной IP-рассылки. |
Установка сертификата на VPN-маршрутизатор
Если VPN-маршрутизаторы устанавливают L2TP-подключения или производят проверку подлинности на основе протокола EAP-TLS, на них должны быть установлены сертификаты. В случае L2TP-подключений на вызывающем и на отвечающем маршрутизаторах должны быть установлены сертификаты компьютера, что позволяет производить проверку подлинности при установлении безопасной связи IPSec между компьютерами. Если проверка подлинности выполняется на основе протокола EAP-TLS, то в этом случае на сервере, выполняющем такую проверку (на отвечающем маршрутизаторе или на RADIUS-сервере), должен быть установлен сертификат компьютера, а на вызывающем маршрутизаторе – сертификат пользователя.
Для получения дополнительной информации по установке сертификатов на вызывающие маршрутизаторы, отвечающие маршрутизаторы и на серверы проверки подлинности обратитесь к части Инфраструктура сертификата этого раздела.
Вопросы проектирования: настройка VPN-маршрутизатора
Прежде, чем запускать мастер настройки сервера маршрутизации и удаленного доступа, необходимо определиться со следующими вопросами:
| • | Поддерживаемые протоколы для работы с VPN-подключениями. Служба маршрутизации и удаленного доступа позволяет передавать IP- и IPX-пакеты через PPTP- и L2TP-подключения. |
| • | Определение сетевого подключения к Интернету. Обычно на VPN-маршрутизаторах, подключенных к Интернету, установлено по крайней мере два сетевых адаптера: один из них подключен к Интернету (прямое соединение, либо подключение к сети периметра), а другой – к внутренней сети сайта. Для того, чтобы сетевые подключения было легко различать при работе с мастером настройки сервера маршрутизации и удаленного доступа, переименуйте их в соответствии с их назначением, используя компонент панели управления Сеть и удаленный доступ к сети (Network and Dial-up Connections). Например, если маршрутизатор подключен к Интернету через Подключение к локальной сети 2 (Local Area Connection 2), переименуйте его просто в Интернет. |
| • | Возможность работы VPN-маршрутизатора в качестве DHCP-клиента. Параметры TCP/IP интерфейса подключения к Интернету VPN-маршрутизатора должны быть заданы вручную. Не рекомендуется использовать DHCP для назначения адресов внутренним интерфейсам VPN-маршрутизатора. Если позволяют технические возможности, старайтесь избегать этого. Следуя требованиям маршрутизации, вручную задайте IP-адрес, маску подсети, серверы DNS и WINS для внутренних интерфейсов, но не указывайте основной шлюз. Обратите внимание на то, что даже если параметры TCP/IP VPN-маршрутизатора заданы вручную, он все равно может использовать DHCP, чтобы получать динамические IP-адреса для назначения их VPN-клиентам удаленного доступа и вызывающим маршрутизаторам. |
| • | Назначение IP-адресов VPN-клиентам удаленного доступа и вызывающим маршрутизаторам. В зависимости от параметров настройки, VPN-маршрутизатор может либо получать IP-адреса от DHCP-сервера, либо использовать адреса из заданных диапазонов. Использование DHCP для получения сетевых адресов упрощает настройку, однако Вы должны убедиться, что область DHCP имеет достаточное количество свободных адресов для всех компьютеров сайта вызывающего маршрутизатора, физически подключенных к его подсети, а также для максимального количества портов PPTP и L2TP. Например, если во внутренней подсети VPN-маршрутизатора имеется 50 DHCP-клиентов, то для настройки по умолчанию VPN-маршрутизатора область DHCP должна содержать как минимум 307 адресов (50 компьютеров + 128 PPTP-клиентов + 128 L2TP-клиентов + 1 адрес для VPN-маршрутизатора). Подключающиеся VPN-клиенты удаленного доступа и вызывающие маршрутизаторы, для которых не остается свободных адресов, получают адреса с помощью средства ограниченной IP-адресации, называемого средством автоматического назначения частных IP-адресов (Automatic Private IP Addressing , APIPA), из диапазона 169.254.0.0/16. Если Вы используете статический диапазон адресов, убедитесь, что он содержит достаточное количество адресов для всех портов PPTP и L2TP и один дополнительный адрес для VPN-маршрутизатора. Если статический диапазон содержит недостаточное количество адресов, подключиться смогут только вызывающие VPN-маршрутизаторы под управлением Windows 2000. VPN-клиенты удаленного доступа и вызывающие маршрутизаторы под управлением Windows NT® 4.0 RRAS не смогут выполнить подключение. Вызывающие и отвечающие маршрутизаторы под управлением Windows 2000 запрашивают IP-адреса друг у друга на протяжении всего процесса установки соединения, и даже если один из них не имеет адреса, свободного для назначения, оба маршрутизатора продолжают процесс установки соединения. Логический интерфейс подключения «точка-точка» не имеет назначенного ему IP-адреса. Такие подключения называются ненумерованными. Протоколы маршрутизации, включенные в состав Windows 2000, не работают с ненумерованными подключениями, однако VPN-маршрутизаторы Windows 2000 поддерживают работу с ними. При настройке статических пулов адресов у Вас могут возникнуть различные вопросы относительно маршрутизации. Для получения дополнительной информации обратитесь к части «Сетевая инфраструктура сайта» этого раздела. |
| • | Выбор поставщиков служб проверки подлинности и учета. В качестве поставщиков служб проверки подлинности и учета VPN-маршрутизатор может использовать операционную систему Windows или протокол RADIUS. При использовании Windows в качестве поставщика служб проверки подлинности и учата VPN-маршрутизатор использует систему безопасности Windows 2000 для проверки учетных данных вызывающего маршрутизатора, а также для доступа к свойствам его учетной записи. Локально настроенная политика удаленного доступа авторизует VPN-подключения и заносит данные учета VPN-подключений в локальный журнал учетных данных. Если в качестве поставщика служб проверки подлинности и учета используется RADIUS, VPN-маршрутизатор использует указанный RADIUS-сервер для проверки учетных данных вызывающего маршрутизатора, авторизации попыток подключения и хранения данных учета VPN-подключений. |
| • | Использование L2TP-подключений. При использовании L2TP-подключений Вам необходимо установить сертификаты компьютера как на вызывающий, так и на отвечающий маршрутизаторы. |
| • | Проверка подлинности EAP-TLS с использованием сертификатов пользователей. Если используется этот метод проверки подлинности, Вам необходимо установить сертификат пользователя на компьютер вызывающего маршрутизатора и сертификат компьютера – на сервер, выполняющим проверку подлинности (это может быть компьютер отвечающего маршрутизатора или RADIUS-сервер, в зависимости от того, кто является поставщиком служб проверки подлинности и учета – Windows или RADIUS). Если сервер, выполняющий проверку подлинности, является VPN-маршрутизатором Windows 2000 или IAS-сервером Windows 2000, использование EAP-TLS возможно лишь в том случае, если этот сервер является членом домена Active Directory™. |
| • | Временные ограничения подключений по требованию и ограничения для определенного типа трафика. Если планируется разрешать подключения только в определенные часы и дни недели, задайте время подключений для интерфейса вызова по требованию вызывающего маршрутизатора. Если нужно разрешить или отклонить определенный тип трафика, используйте фильтры вызова по требованию. |
| • | Установление соответствия между фильтрами IP-пакетов и фильтрами вызова по требованию Фильтры вызова по требованию применяются перед созданием подключения. Фильтры IP-пакетов применяются после того, как подключение установлено. Чтобы предотвратить создание подключения по требованию для трафика, не разрешенного фильтрами IP-пакетов, выполните одно из следующих действий. • Если Вы настроили фильтры IP-пакетов для исходящего трафика в профиле политики удаленных подключений с параметром Разрешить весь трафик, кроме перечисленных ниже (Receive all packets except those that meet the criteria listed below), настройте такие же фильтры вызова по требованию в свойствах интерфейса вызова по требованию, установив переключатель группы Произвести подключение (Initiate connection) в положение Для всех потоков данных, кроме перечисленных (For all traffic except).
• Если Вы настроили фильтры IP-пакетов для исходящего трафика в профиле политики удаленных подключений с параметром Запретить весь трафик, кроме перечисленных ниже (Drop all packets except those that meet the criteria listed below), настройте такие же фильтры вызова по требованию в свойствах интерфейса вызова по требованию, установив переключатель группы Произвести подключение (Initiate connection) в положение Только для перечисленных потоков данных (Only for the following traffic).
|
При изменении конфигурации VPN-маршрутизатора, заданной по умолчанию для VPN-подключений «маршрутизатор-маршрутизатор», необходимо определиться со следующими вопросами:
| • | Необходимость поддержки VPN-подключений удаленного доступа. По умолчанию все PPTP- и L2TP-порты настроены для работы как с подключениями удаленного доступа (только входящими), так и для работы с подключениями по требованию (как входящими, так и исходящими). Для того, чтобы запретить подключения удаленного доступа и создать выделенный сервер для VPN-подключений «маршрутизатор-маршрутизатор», выполните следующее: откройте оснастку Маршрутизация и удаленный доступ (Routing and Remote Access), щелкните правой кнопкой мыши на элементе Порты (Ports), в контекстном меню выберите Свойства (Properties), нажмите кнопку Изменить (Configure) и снимите флажок Подключения удаленного доступа (только входящие) (Remote access connections (inbound only)). |
| • | Необходимость установки сертификата компьютера. Если VPN-маршрутизатор работает с L2TP-подключениями или производит проверку подлинности подключений с помощью протокола EAP-TLS и настроен на использование встроенной проверки подлинности Windows, Вам необходимо установить сертификат компьютера. Если VPN-маршрутизатор является вызывающим маршрутизатором и использует протокол EAP-TLS, Вам необходимо установить сертификат пользователя. Для получения дополнительной информации обратитесь к части «Инфраструктура сертификата» этого раздела. |
| • | Использование пользовательских политик удаленного доступа для VPN-подключений. Если для проверки подлинности на VPN-маршрутизаторе используется Windows или RADIUS (и при этом RADIUS-сервер является IAS-сервером), политика удаленного доступа, действующая по умолчанию, отклоняет попытки всех типов подключений до тех пор, пока переключатель в секции разрешения удаленного доступа на вкладке Входящие звонки (Dial-In) в свойствах учетной записи пользователя не будет установлен в положение Разрешить доступ (Allow access). Если Вы хотите управлять авторизацией и параметрами подключения, основываясь на определенных типах подключений или группах, Вам необходимо настроить пользовательские политики удаленного доступа. Для получения дополнительной информации обратитесь к части «Политики удаленного доступа» этого раздела. |
| • | Использование отдельных поставщиков для службы проверки подлинности и для службы учета. Если Вы настраиваете сервер маршрутизации с помощью мастера установки сервера маршрутизации и удаленного доступа, поставщик службы проверки подлинности будет одновременно являться поставщиком службы учета. Тем не менее, по завершении работы мастера Вы сможете указать отдельных поставщиков службы проверки подлинности и службы учета (например, использовать Windows для проверки подлинности, а RADIUS – для учета). Для этого Вам нужно открыть оснастку Маршрутизация и удаленный доступ (Routing and Remote Access), открыть свойства VPN-маршрутизатора и выбрать поставщиков для службы проверки подлинности и для службы учета на вкладке Безопасность (Authentication). |
После того, как VPN-маршрутизатор будет настроен, Вы сможете приступить к созданию интерфейсов вызова по требованию и настройке маршрутов при помощи оснастки Маршрутизация и удаленный доступ (Routing and Remote Access). Для получения дополнительной информации обратитесь к разделам «Развертывание виртуальных частных сетей «маршрутизатор-маршрутизатор» на основе протокола PPTP» и «Развертывание виртуальных частных сетей «маршрутизатор-маршрутизатор» на основе протокола L2TP» этого документа.
Наверх страницы
Инфраструктура Интернета
Для создания VPN-подключения к отвечающему маршрутизатору через Интернет необходимо выполнение следующих условий:
| • | Имя отвечающего маршрутизатора должно быть разрешимым. |
| • | Отвечающий маршрутизатор должен быть доступен. |
| • | На отвечающем маршрутизаторе должны быть разрешены прием и отправка VPN-трафика. |
Разрешение имени отвечающего маршрутизатора
При настройке интерфейсов вызова по требованию рекомендуется использовать IP-адреса отвечающих маршрутизаторов, к которым осуществляется подключение, вместо их имен. Если Вы будете использовать имя отвечающего маршрутизатора, разрешаемое в общий IP-адрес, весь трафик, адресованный службам VPN-маршрутизатора, будет передаваться через Интернет в незашифрованном виде.
Доступность отвечающего маршрутизатора
Для того, чтобы обеспечить доступность отвечающего маршрутизатора, ему необходимо назначить общий IP-адрес, на который будут передаваться пакеты через Интернет. Если маршрутизатор имеет статический общий IP-адрес, полученный от поставщика услуг Интернета или регионального Интернет-регистратора, то проблем, как правило, не возникает. Иногда отвечающий маршрутизатор имеет частный IP-адрес и публичный статический IP-адрес, под которым он известен в Интернете. В этом случае соответствие между публичным и частным IP-адресами устанавливает устройство, находящееся между Интернетом и отвечающим маршрутизатором.
Даже при правильной инфраструктуре маршрутизации отвечающий маршрутизатор может быть недоступен в силу особенностей расположения брандмауэров, маршрутизаторов, фильтрующих пакеты, трансляторов сетевых адресов (NAT), шлюзов безопасности или других устройств, которые могут запрещать прием либо передачу пакетов отвечающим маршрутизатором.
Конфигурация VPN-маршрутизатора и брандмауэра
Существует два подхода к использованию VPN-маршрутизатора совместно с брандмауэром:
| 1. | VPN-сервер подключен напрямую к Интернету, а брандмауэр расположен между VPN-сервером и сайтом. В этом случае на VPN-сервере должны быть настроены фильтры пакетов, разрешающие прием и отправку через интерфейс подключения к Интернету только VPN-трафика. Брандмауэр может быть настроен таким образом, чтобы разрешать передачу определенных типов внутрисетевого трафика. |
| 2. | Брандмауэр подключен к Интернету, а VPN-сервер расположен между брандмауэром и сайтом. В этом случае брандмауэр и VPN-сервер подключены к сегменту сети, называемому сетью периметра, также известному как демилитаризованная зона (Demilitarized zone, DMZ) или экранированная подсеть (Screened subnet). Как на VPN-маршрутизаторе, так и на брандмауэре должны быть настроены фильтры пакетов, разрешающие отправку и прием из Интернета только VPN-трафика (эта конфигурация изображена на Рисунке 2). |
Для получения детальной информации по настройке фильтров пакетов VPN-сервера и брандмауэра обратитесь к Приложению А.
Вопросы проектирования: доступ к отвечающему маршрутизатору из Интернета
При конфигурировании Интернет-инфраструктуры для VPN-подключений «маршрутизатор-маршрутизатор» необходимо определиться со следующими вопросами:
| • | При настройке интерфейсов вызова по требованию используйте IP-адреса отвечающих маршрутизаторов, когда это возможно. Если Вы используете имена, убедитесь, что DNS-имена отвечающих маршрутизаторов могут быть разрешены (для этого нужно зарегистрировать их либо на DNS-сервере в Интернете, либо на DNS-сервере Вашего поставщика услуг Интернета). Проверить разрешение имени каждого отвечающего маршрутизатора можно с помощью служебной утилиты ping. Настройки пакетных фильтров могут быть причиной того, что утилита ping выдаст сообщение о превышении интервала ожидания для запроса, но тем не менее убедитесь, что утилита разрешила указанное имя в соответствующий IP-адрес. |
| • | Убедитесь, что IP-адреса отвечающих маршрутизаторов доступны из Интернета, запустив утилиту ping с интервалом ожидания в 5 секунд (опция –w) на компьютере, напрямую подключенному к Интернету. В качестве аргумента утилиты ping можно указать IP-адрес или имя отвечающего маршрутизатора. Если Вы получите сообщение об ошибке «Заданный узел недоступен» («Destination unreachable»), значит отвечающий маршрутизатор недоступен. |
| • | Настройте фильтрацию пакетов для PPTP-трафика, L2TP-трафика или для обоих типов трафика на соответствующем брандмауэре, а также на сетевых интерфейсах отвечающего маршрутизатора, подключенных к Интернету и к сети периметра. Для получения дополнительной информации обратитесь к Приложению А. |
Наверх страницы
Протоколы проверки подлинности
Windows 2000 поддерживает различные протоколы, с помощью которых осуществляется проверка подлинности вызывающего маршрутизатора, пытающегося установить PPP-подключение. К этим протоколам относятся:
| • | Незашифрованный пароль (PAP) |
| • | Протокол проверки пароля Shiva (SPAP) |
| • | Шифрованная проверка подлинности (CHAP) |
| • | Шифрованная проверка подлинности Microsoft (MS-CHAP) |
| • | Шифрованная проверка (Microsoft, версия 2, MS-CHAP v2) |
| • | Протокол расширенной проверки подлинности по методу MD5-Challenge (EAP-MD5) |
| • | Протокол проверки подлинности на основе сертификата (EAP-TLS) |
При использовании PPTP-подключений Вам необходимо задействовать протоколы MS-CHAP, MS-CHAP v2 или EAP-TLS. Только эти три протокола обеспечивают механизм генерации одинаковых ключей шифрования на обоих маршрутизаторах – как на вызывающем, так и на отвечающем. Шифрование MPPE использует этот ключ для шифрования всех PPTP-данных, передающихся через VPN-подключение. Протоколы MS-CHAP и MS-CHAP v2 являются протоколами проверки подлинности на основе паролей.
При отсутствии сертификатов пользователя в высшей степени рекомендуется использовать протокол MS-CHAP v2, поскольку он обеспечивает более высокий уровень безопасности по сравнению с протоколом MS-CHAP, а также производит взаимную проверку подлинности (вызывающий маршрутизатор выполняет проверку подлинности отвечающего маршрутизатора, и наоборот).
Примечание. Если Вам необходимо использовать протокол проверки подлинности на основе паролей, убедитесь, что в Вашей сети используются стойкие пароли. Стойкие пароли – это длинные (более 8 символов) пароли, содержащие случайную комбинацию букв верхнего и нижнего регистров, цифр и знаков пунктуации. Примером стойкого пароля является «f3L*q02~>xR3w#4o». Используйте параметры групповой политики службы каталогов Active Directory™, чтобы задать обязательное использование стойких паролей.
Протокол EAP-TLS разработан для использования совместно с инфраструктурой сертификата и сертификатами пользователей. При использовании EAP-TLS вызывающий маршрутизатор предоставляет для проверки подлинности сертификат пользователя, а отвечающий маршрутизатор или RADIUS-сервер – сертификат компьютера. Этот метод проверки подлинности обеспечивает наиболее стойкую защиту, поскольку он не предполагает использования паролей. Если сервер, осуществляющий проверку подлинности, является IAS-сервером или VPN-маршрутизатором Windows 2000, использование EAP-TLS возможно лишь в том случае, если этот сервер является членом домена Active Directory.
Примечание. Вы можете использовать сторонние центры сертификации при условии, что в сертификате, расположенном в хранилище компьютера отвечающего маршрутизатора или RADIUS-сервера, содержится цель «Проверка подлинности сервера» («Server Authentication») (эта функциональная составляющая может также упоминаться как использование сертификата, политика выдачи сертификатов или использование расширенных ключей (Enhanced Key Usage, EKU)). Цель сертификата определяется идентификатором объекта для цели (OID). Идентификатор объекта для цели «Проверка подлинности сервера» имеет значение «1.3.6.1.5.5.7.3.1». В дополнение к этому условию сертификат пользователя, установленный на вызывающем маршрутизаторе под управлением Windows 2000, должен содержать цель «Проверка подлинности клиента» («Client Authentication») с идентификатором объекта для цели «1.3.6.1.5.5.7.3.2».
При работе с подключениями L2TP/IPSec может использоваться любой протокол проверки подлинности PPP, потому что проверка подлинности пользователя происходит после того, как вызывающий и отвечающий маршрутизаторы устанавливают безопасный канал для взаимодействия (этот процесс также известен как установление безопасной связи IPSec – IPSec security association, SA). Тем не менее, рекомендуется использовать протоколы MS-CHAP v2 или EAP-TLS, что позволяет обеспечить взаимную проверку подлинности пользователей.
Вопросы проектирования: выбор протокола для проверки подлинности
При выборе протокола проверки подлинности для работы с VPN-подключениями необходимо иметь в виду следующее:
| • | Если используется инфраструктура сертификата, выдающая сертификаты пользователей, используйте протокол EAP-TLS как для PPTP-, так и для L2TP-подключений. Маршрутизаторы под управлением Windows NT 4.0 RRAS не поддерживают EAP-TLS. |
| • | Если Вам необходимо использовать протоколы проверки подлинности на основе паролей, используйте протокол MS-CHAP v2 и задайте обязательное использование стойких паролей, используя групповую политику. Протокол MS-CHAP v2 поддерживается компьютерами под управлением Windows 2000 и Windows NT 4.0 с установленными пакетом обновлений SP4 (или более поздним) и службами RRAS. |
Наверх страницы
VPN-протоколы
Windows 2000 поддерживает два VPN-протокола на основе PPP:
| 1. | Протокол PPTP (Point-to-Point Tunneling Protocol – туннельный протокол «точка-точка») |
| 2. | Протокол L2TP (Layer Two Tunneling Protocol – протокол туннелирования второго уровня) совместно с IPSec |
Протокол PPTP (Point-to-Point Tunneling Protocol)
Протокол PPTP, поддержка которого впервые была реализована в операционной системе Windows NT 4.0, является расширением протокола PPP (Point-to-Point Protocol) и MPPE (Microsoft Point-to-Point Encryption) и использует механизмы проверки подлинности, сжатия и шифрования IP- и IPX-трафика. В случае использования стойких паролей при работе с MS-CHAP v2, протокол PPTP является безопасной технологией VPN. Чтобы избежать проверки подлинности на основе паролей, Windows 2000 позволяет использовать протокол EAP-TLS, поддерживающий работу с сертификатами пользователя (что является более безопасным методом проверки подлинности). PPTP является широко распространенным, простым в развертывании протоколом и может использоваться с большинством трансляторов сетевых адресов (NAT).
Протокол L2TP совместно с IP IPSec (Layer Two Tunneling Protocol with IPSec)
Протокол L2TP расширяет возможности проверки подлинности протокола PPP, а также транспортного режима IPSec ESP (Encapsulating Security Payload), обеспечивающего инкапсуляцию и шифрование IP- и IPX-трафика. Эту комбинацию L2TP и IPSec называют L2TP/IPSec. В дополнение к механизмам проверки подлинности пользователей, которые предоставляет протокол PPP, L2TP/IPSec использует основанные на сертификатах средства проверки подлинности компьютеров для создания сопоставления безопасности IPSec. L2TP/IPSec обеспечивает целостность и проверку подлинности данных каждого пакета, но при этом требует наличия инфраструктуры сертификата для распределения сертификатов компьютеров. L2TP/IPSec поддерживается как VPN-маршрутизаторами под управлением Windows 2000, так и сторонними VPN-маршрутизаторами.
Вопросы проектирования: выбор между PPTP и L2TP
При выборе протокола (PPTP или L2TP) для VPN-подключений «маршрутизатор-маршрутизатор» необходимо иметь в виду следующее:
| • | Протокол PPTP может использоваться с операционными системами Windows 2000 и Windows NT 4.0 с установленной службой RRAS. PPTP не требует выдачи сертификатов и, следовательно, наличия инфраструктуры сертификата. |
| • | VPN-подключения на основе PPTP обеспечивают конфиденциальность данных (перехваченные пакеты нельзя расшифровать, не имея ключа шифрования). Тем не менее VPN-подключения на основе PPTP не обеспечивают целостность (доказательство того, что данные не были изменены при передаче) или проверку подлинности (доказательство того, что данные были переданы авторизованным компьютером) данных. |
| • | Вызывающие VPN-маршрутизаторы на основе PPTP могут быть доступны, располагаясь за трансляторами сетевых адресов (NAT), потому что большинство из них содержат редактор NAT (NAT editor), который умеет правильно перенаправлять данные PPTP-туннелей. Например, функция общего доступа подключения к Интернету (Internet connection sharing, ICS) компонента ОС Сеть и удаленный доступ к сети (Network and Dial-up Connections) и протокол маршрутизации NAT, являющийся компонентом службы маршрутизации и удаленного доступа Windows 2000, содержат редактор NAT, который перенаправляет трафик от PPTP-клиентов, находящихся за NAT. Отвечающие маршрутизаторы могут располагаться за NAT лишь в следующих случаях: • Если имеется несколько внешних IP-адресов, и каждому внешнему IP-адресу сопоставлен отдельный внутренний IP-адрес отвечающего маршрутизатора.
• Если имеется единственный внешний IP-адрес, когда NAT настроен на преобразование и перенаправление данных PPTP-туннелей VPN-маршрутизатору.
Для большинства трансляторов сетевых адресов, использующих один внешний IP-адрес (включая такие компоненты, как ICS и протокол маршрутизации NAT), можно настроить обработку входящего трафика на основе IP-адреса и портов TCP и UDP, однако данные PPTP-туннелей не используют заголовки TCP или UDP. Поэтому отвечающий маршрутизатор не может располагаться за компьютером, на котором используются такие компоненты, как ISC или протокол маршрутизации NAT, и который имеет при этом единственный внешний IP-адрес. |
| • | VPN-маршрутизаторы на основе L2TP не могут располагаться за NAT, потому что протокол обмена ключами в Интернете (Internet Key Exchange, IKE - протокол для работы с сопоставлением безопасности IPSec Windows 2000 и IPSec-защищенным трафиком) не может транслироваться с помощью NAT. |
| • | Протокол L2TP может использоваться только VPN-маршрутизаторами Windows 2000 и сторонними VPN-маршрутизаторами. Для проверки подлинности службами IPSec протокол L2TP использует сертификаты компьютера. Этот метод проверки подлинности требует наличия инфраструктуры сертификата для выдачи сертификатов компьютеру отвечающего маршрутизатора и всем компьютерам вызывающих маршрутизаторов. |
| • | При помощи службы IPSec VPN-подключения на основе L2TP обеспечивают конфиденциальность, целостность и проверку подлинности данных, а также их защиту от воссоздания в случае перехвата. |
| • | Протоколы PPTP и L2TP не являются взаимоисключающими. По умолчанию VPN-маршрутизаторы под управлением Windows 2000 поддерживают одновременно и PPTP, и L2TP подключения. Вы можете использовать PPTP для некоторых VPN-подключений между маршрутизаторами (вызывающие маршрутизаторы под управлением Windows NT 4.0 RRAS или маршрутизаторы Windows 2000, не имеющие установленных сертификатов компьютера), и L2TP – для остальных подключений (вызывающие маршрутизаторы под управлением Windows 2000 с установленными сертификатами компьютера). |
| • | Если Вы используете одновременно протоколы PPTP и L2TP, Вы можете создать отдельные политики удаленного доступа, в которых будут определены различные параметры для PPTP- и L2TP-подключений. |
Наверх страницы
Сетевая инфраструктура сайта
Инфраструктура сайта является важным элементом проектирования виртуальной частной сети. Без надлежащего проектирования вызывающие маршрутизаторы не смогут получить необходимые IP-адреса, а пакеты между вызывающими маршрутизаторами и ресурсами внутренней сети не смогут передаваться.
Разрешение имен
Если в сетевых настройках вызывающего маршрутизатора были указаны адреса серверов DNS (Domain Name System) или WINS (Windows Internet Name Service), то во время согласования PPP-подключения эти адреса не будут запрашиваться у отвечающего маршрутизатора. В противном случае адреса серверов DNS или WINS будут запрошены. Отвечающий маршрутизатор никогда не запрашивает у вызывающего маршрутизатора адреса серверов DNS и WINS.
В отличие от клиентов удаленного доступа под управлением Windows 2000 и Windows XP, вызывающий маршрутизатор не посылает сообщения DHCPInform отвечающему маршрутизатору для запроса дополнительной информации о конфигурации TCP/IP.
По умолчанию вызывающий маршрутизатор не регистрируется на серверах DNS или WINS отвечающего маршрутизатора. Чтобы изменить это и включить регистрацию, установите в «1» следующее значение реестра:
HKLM\System\CurrentControlSet\Services\Rasman\PPP\ControlProtocols\BuiltIn\RegisterRoutersWithNameServers.
Маршрутизация
Поскольку каждый VPN-маршрутизатор является IP-маршрутизатором, он нуждается в соответствующей настройке. На каждом VPN-маршрутизаторе должны быть заданы маршруты ко всем необходимым сетевым ресурсам. В частности, для каждого VPN-маршрутизатора необходимо настроить следующее:
| • | Маршрут по умолчанию – маршрут к брандмауэру или маршрутизатору, напрямую подключенному к Интернету. Этот маршрут обеспечивает доступ ко всем ресурсам в Интернете. |
| • | Один или несколько маршрутов к соседним маршрутизаторам сайта, к которому подключен VPN-сервер. Эти маршруты охватывают все адреса сайта и позволяют получить доступ ко всем его ресурсам. Без этих маршрутов невозможно будет получить доступ к узлам сайта, не подключенным непосредственно к той же подсети, что и VPN-сервер. |
Чтобы добавить маршрут по умолчанию (маршрут, который обеспечивает выход в Интернет), настройте интерфейс подключения к Интернету, указав для него основной шлюз, и затем вручную настройте внутренний интерфейс, не указывая для него основной шлюз.
Для добавления маршрутов к ресурсам сайта в таблицу маршрутизации каждого VPN-маршрутизатора Вы можете воспользоваться двумя способами:
| • | Добавить статические маршруты, используя оснастку Маршрутизация и удаленный доступ (Routing and Remote Access). Не обязательно добавлять маршруты к каждой подсети сайта. Достаточно добавить маршруты, которые охватывают все возможные адреса этого сайта. Например, если для нумерации подсетей и узлов используются частные IP-адреса из диапазона 10.0.0.0/8, Вам не нужно добавлять маршруты к каждой подсети. Просто добавьте маршрут для сети 10.0.0.0 с маской 255.0.0.0, ведущий к соседнему маршрутизатору подсети сайта, к которому подключен VPN-сервер. |
| • | Если на Вашем сайте используются протоколы динамической маршрутизации RIP (Routing Information Protocol) или OSPF (Open Shortest Path First), Вы можете добавить и настроить эти протоколы в качестве компонентов службы маршрутизации и удаленного доступа. Таким образом, VPN-маршрутизатор может выступать в качестве динамического маршрутизатора, распространяя информацию маршрутизации. |
Если Ваш сайт состоит только из одной подсети, никаких дополнительных настроек не требуется.
После того, как VPN-подключение «маршрутизатор-маршрутизатор» установлено, каждый маршрутизатор передает данные, используя логический интерфейс, соответствующий PPTP- или L2TP-порту. Во время согласования протокола PPP этим логическим интерфейсам могут быть назначены IP-адреса. Доступность логических интерфейсов VPN-маршрутизатора зависит от того, каким образом маршрутизатор получает IP-адреса, которые он затем назначает клиентам удаленного доступа и вызывающим маршрутизаторам. Диапазонами IP-адресов, назначаемых VPN-маршрутизаторам при их подключении, могут быть:
| • | Диапазон адресов, принадлежащих подсети (on-subnet address range), являющийся диапазоном адресов подсети сайта, к которой подключен VPN-маршрутизатор. Диапазон адресов, принадлежащих подсети, используется в тех случаях, когда VPN-маршрутизатор получает IP-адреса от DHCP-сервера или когда вручную настроенные пулы IP-адресов принадлежат диапазону адресов присоединенной подсети. |
| • | Диапазон адресов, не принадлежащих подсети (off-subnet address range), являющийся диапазоном адресов отдельной подсети, логически присоединенной к VPN-маршрутизатору. Диапазон адресов, не принадлежащих подсети, используется всякий раз, когда VPN-маршрутизатор получает IP-адреса из пула адресов отдельной подсети, к которой он не подключен напрямую. |
Диапазон адресов, принадлежащих подсети
Если Вы используете диапазон адресов, принадлежащих подсети, никаких дополнительных настроек маршрутизации не требуется. В этом случае VPN-сервер выступает в качестве прокси-сервера для всех пакетов, предназначенных для логических интерфейсов всех других подключенных VPN-маршрутизаторов. Узлы подсети, к которой подключен VPN-сервер, направляют пакеты, предназначенные для логических интерфейсов подключенных VPN-маршрутизаторов, VPN-серверу. VPN-сервер передает полученные пакеты тем VPN-маршрутизаторам, для которых эти пакеты предназначены.
Диапазон адресов, не принадлежащих подсети
Если Вы используете диапазон адресов, не принадлежащих подсети, Вам необходимо добавить маршруты для этого диапазона в инфраструктуру маршрутизации сайта таким образом, чтобы трафик, предназначенный для логических интерфейсов подключенных VPN-маршрутизаторов, вначале направлялся VPN-серверу, а затем передавался VPN-сервером соответствующему подключенному VPN-маршрутизатору. Вы можете сделать это одним из следующих способов:
| • | Добавьте на соседнем маршрутизаторе статический маршрут к внутреннему интерфейсу VPN-сервера для диапазона адресов, не принадлежащих подсети. Настройте соседний маршрутизатор таким образом, чтобы он распространял этот маршрут на все другие маршрутизаторы сайта с помощью протоколов динамической маршрутизации, использующихся на Вашем сайте. |
| • | Если VPN-сервер использует протокол OSPF и выступает как динамический маршрутизатор, он должен быть настроен в качестве граничного маршрутизатора автономной системы (Autonomous system boundary router, ASBR), что позволит распространять статический маршрут для диапазона адресов, не принадлежащих подсети, на другие OSPF-маршрутизаторы сайта. |
Если Ваш сайт состоит только из одной подсети, Вам необходимо выполнить одно из следующих действий:
| • | Добавьте на каждом узле сайта статический маршрут к внутреннему интерфейсу VPN-сервера для диапазона адресов, не принадлежащих подсети. |
| • | В сетевых настройках каждого узла сайта в качестве основного шлюза укажите внутренний IP-адрес VPN-сервера. |
Поскольку при использовании диапазона адресов, не принадлежащих подсети, требуется дополнительная настройка узлов, для небольшой офисной или домашней сети (SOHO), состоящей из единственной подсети, рекомендуется использовать пул адресов, принадлежащих подсети.
Маршрутизация и VPN-серверы с дополнительными службами
Если на VPN-сервере запущены какие-либо дополнительные службы, данные, предназначенные для них, могут передаваться через Интернет в зашифрованном или открытом виде. Это зависит от того, какой IP-адрес VPN-сервера используется узлом для доступа к той или иной службе:
| • | Если узел обращается к запущенной на VPN-сервере службе, используя внутренний IP-адрес VPN-сервера, весь трафик передается в зашифрованном виде внутри VPN-туннеля. |
| • | Если узел обращается к запущенной на VPN-сервере службе, используя внешний IP-адрес VPN-сервера, весь трафик передается в незашифрованном виде вне VPN-туннеля. |
Способ создания маршрутов на вызывающих маршрутизаторах при установлении VPN-подключений предоставляет возможность доступа к службам, запущенным на отвечающем маршрутизаторе, однако трафик может передаваться не через VPN-подключение. Когда вызывающий маршрутизатор устанавливает VPN-подключение к отвечающему маршрутизатору, создается узловой маршрут, использующий подключение к Интернету. Узловой маршрут к отвечающему маршрутизатору создается таким образом, что отвечающий маршрутизатор становится доступен через Интернет. При отсутствии узлового маршрута VPN-трафик не может отправляться отвечающему маршрутизатору.
Наличие узлового маршрута к отвечающему маршрутизатору приводит к тому, что весь трафик между узлами сайта вызывающего маршрутизатора и внешним IP-адресом отвечающего маршрутизатора передается не через VPN-подключение, а передается в незашифрованном виде через сеть между вызывающим и отвечающим маршрутизаторами.
Например, если вызывающий маршрутизатор устанавливает VPN-подключение к отвечающему маршрутизатору, и после этого узел сайта вызывающего маршрутизатора обращается к общему файловому ресурсу на компьютере отвечающего маршрутизатора, используя его внешний IP-адрес, трафик, направляемый к общему файловому ресурсу, передается не через VPN-подключение, а передается в незашифрованном виде через сеть между вызывающим и отвечающим маршрутизаторами.
В дополнение к этому, если на отвечающем маршрутизаторе настроены фильтры пакетов, которые разрешают передачу только VPN-трафика, весь остальной трафик, направляемый к отвечающему маршрутизатору, будет отклонен. В этой типовой конфигурации все попытки подключений к службам, запущенным на отвечающем маршрутизаторе, будут неудачными, потому что при обращении к этим службам трафик передается не через VPN-подключение.
То, какой IP-адрес VPN-сервера будет использоваться VPN-клиентом для доступа к запущенным на VPN-сервере службам, зависит от способа разрешения имени VPN-сервера. Пользователи и приложения обращаются к сетевым ресурсам, используя преимущественно имена, а не IP-адреса. Имя должно быть разрешено в IP-адрес с помощью служб DNS или WINS. Если DNS- или WINS-инфраструктура сайта не содержит записи соответствия между именем VPN-сервера и его публичным IP-адресом, трафик, направляемый к службам, запущенным на VPN-сервере, всегда будет передаваться через VPN-подключение.
Для предотвращения динамической регистрации публичного IP-адреса VPN-сервера на DNS-сервере сайта, выполните следующее: на VPN-сервере откройте компонент панели управления Сеть и удаленный доступ к сети (Dial-up and Network Connections), выберите подключение к Интернету и откройте свойства компонента Протокол Интернета (TCP/IP) (Internet Protocol (TCP/IP)), нажмите кнопку Дополнительно (Advanced), в диалоговом окне Дополнительные параметры TCP/IP (Advanced TCP/IP Settings) перейдите на вкладку DNS и снимите флажок Зарегистрировать адреса этого подключения в DNS (Register this connection's addresses in DNS).
Для предотвращения динамической регистрации публичного IP-адреса VPN-сервера на WINS-сервере сайта, выполните следующее: на VPN-сервере откройте компонент панели управления Сеть и удаленный доступ к сети (Dial-up and Network Connections), выберите подключение к Интернету и откройте свойства компонента Протокол Интернета (TCP/IP) (Internet Protocol (TCP/IP)), нажмите кнопку Дополнительно (Advanced), в диалоговом окне Дополнительные параметры TCP/IP (Advanced TCP/IP Settings) перейдите на вкладку WINS и установите переключатель в положение Отключить NetBIOS через TCP/IP (Disable NetBIOS over TCP/IP).
Вопросы проектирования: инфраструктура маршрутизации
Во время конфигурирования инфраструктуры маршрутизации для VPN-подключений «маршрутизатор-маршрутизатор», необходимо определиться со следующими вопросами:
| • | Укажите основной шлюз для интерфейса подключения к Интернету VPN-сервера. Не указывайте основной шлюз для внутреннего интерфейса VPN-сервера. |
| • | Добавьте на VPN-сервере статические маршруты, охватывающие все адреса сайта, к которому подключен VPN-сервер. Если Вы используете протоколы динамической маршрутизации RIP или OSPF, можно не добавлять статические маршруты на VPN-сервере, а вместо этого настроить и задействовать на нем данные протоколы. Если Вы используете другие протоколы динамической маршрутизации, например IGRP (Interior Gateway Routing Protocol), настройте на соседнем маршрутизаторе протоколы RIP или OSPF для интерфейса, подключенного к подсети VPN-сервера, а затем настройте протокол IGRP для всех остальных его интерфейсов. |
| • | Если на VPN-сервере запущены какие-либо дополнительные службы, убедитесь, что его имя всегда разрешается в частный или внутренний IP-адрес. Для этого снимите флажок Зарегистрировать адреса этого подключения в DNS (Register this connection's addresses in DNS) и установите переключатель в положение Отключить NetBIOS через TCP/IP (Disable NetBIOS over TCP/IP) в свойствах интерфейсов подключения к Интернету VPN-сервера. |
| • | Используйте на VPN-сервере диапазон адресов, принадлежащий подсети (on-subnet address range), настроив VPN-сервер в качестве DHCP-клиента, либо вручную задав пулы адресов из диапазона адресов подсети, к которой напрямую подключен VPN-сервер. |
Наверх страницы
Инфраструктура служб проверки подлинности, авторизации и учета
Инфраструктура служб проверки подлинности, авторизации и учета необходима для того, чтобы:
| • | Проверять подлинность учетных данных вызывающих маршрутизаторов. |
| • | Производить авторизацию VPN-подключений. |
| • | Производить регистрацию и учет VPN-подключений. |
В состав инфраструктуры служб проверки подлинности, авторизации и учета входят:
| • | Компьютер отвечающего маршрутизатора. |
| • | Компьютеры RADIUS-серверов. |
| • | Контроллеры домена. |
Как обсуждалось выше, отвечающий маршрутизатор Windows 2000 может использовать Windows или RADIUS в качестве поставщиков служб проверки подлинности и учета. Если у Вас имеется несколько отвечающих маршрутизаторов и VPN-серверов удаленного доступа, или если для удаленного доступа и организации VPN используется среда со смешанным оборудованием, RADIUS позволяет организовать централизованную службу проверки подлинности, авторизации и учета.
Если в качестве поставщика служб проверки подлинности используется Windows, отвечающий маршрутизатор выполняет проверку подлинности VPN-подключения, взаимодействуя с контроллером домена по защищенному каналу удаленного вызова процедур (RPC). Авторизация попытки подключения в этом случае производится на основании свойств удаленного доступа учетной записи пользователя и локально настроенной политики удаленного доступа.
Если в качестве поставщика служб проверки подлинности используется RADIUS, отвечающий маршрутизатор выполняет проверку подлинности и авторизацию на основании данных RADIUS-сервера. При попытке подключения к VPN-серверу учетные данные вызывающего маршрутизатора и другие параметры подключения передаются VPN-сервером указанному RADIUS-серверу в виде RADIUS-сообщения с запросом доступа. Если попытка подключения успешно прошла проверку подлинности и авторизацию, RADIUS-сервер посылает в ответ сообщение предоставления доступа. Если попытка подключения не прошла проверку подлинности или авторизацию, RADIUS-сервер посылает в ответ сообщение отказа в доступе.
Если в качестве поставщика служб проверки подлинности используется Windows, отвечающий маршрутизатор записывает информацию о VPN-подключениях в локальный журнал (по умолчанию %SystemRoot%\System32\Logfiles\Logfile.log). Чтобы изменить путь к файлу журнала, необходимо открыть оснастку Маршрутизация и удаленный доступ (Routing and Remote Access), в папке Ведение журнала удаленного доступа (Remote Access Logging) выбрать объект Локальный файл (Local File), открыть его свойства и задать нужный путь на вкладке Локальный файл (Local File). По умолчанию протоколирование отключено для всех типов событий.
Если в качестве поставщика служб проверки подлинности используется RADIUS, отвечающий маршрутизатор посылает RADIUS-сообщения учета VPN-подключений RADIUS-серверу, который записывает данные учета.
Домен Windows может использоваться в качестве базы данных учетный записей пользователей, учетные данные и свойства которых проверяются RADIUS-сервером. В этом случае Microsoft рекомендует использовать службу проверки подлинности в Интернете (IAS). Служба проверки подлинности в Интернете является полнофункциональным RADIUS-сервером, который тесно интегрирован с операционной системой Windows 2000, службой каталогов Active Directory и службой маршрутизации и удаленного доступа.
Если IAS используется в качестве RADIUS-сервера:
| • | IAS выполняет проверку подлинности VPN-подключения, взаимодействуя с контроллером домена по защищенному каналу RPC, а также авторизует попытки подключения на основании свойств удаленного доступа учетной записи пользователя и политик удаленного доступа, настроенных на IAS-сервере. |
| • | IAS записывает информацию учета VPN-подключений в локальный журнал (по умолчанию %SystemRoot%\System32\Logfiles\Logfile.log). Чтобы указать путь к файлу журнала, необходимо открыть оснастку Маршрутизация и удаленный доступ (Routing and Remote Access), в папке Ведение журнала удаленного доступа (Remote Access Logging) выбрать объект Локальный файл (Local File), открыть его свойства и задать нужный путь на вкладке Локальный файл (Local File). |
Политики удаленного доступа
Политики удаленного доступа представляют собой упорядоченный набор правил, определяющих, каким образом принимаются или отклоняются подключения. Политики удаленного доступа также задают ограничения для принятых подключений. Для каждого правила существует одно или несколько условий, параметры профиля и параметр разрешения удаленного доступа. Попытки подключений поочередно оцениваются политиками удаленного доступа; при этом проверяется, удовлетворяет ли попытка подключения всем условиям каждой политики. Попытка подключения должна удовлетворять всем условиям какой либо из политик, иначе она отклоняется.
Если подключение удовлетворяет всем условиям политики удаленного доступа и ему предоставлено право удаленного доступа, профиль политики задает для подключения ряд дополнительных ограничений. Свойства удаленного доступа учетной записи пользователя также задают ряд ограничений. Если применяются ограничения учетной записи пользователя, они будут перекрывать ограничения политики удаленного доступа.
Элементы политики удаленного доступа:
| • | Условия |
| • | Разрешение на удаленный доступ |
| • | Профиль |
Условия
Условия политики удаленного доступа — это один или несколько атрибутов, которые сравниваются с параметрами попытки подключения. Если заданы несколько условий, то для того, чтобы попытка подключения удовлетворяла данной политике, параметры попытки подключения должны удовлетворять всем условиям данной политики. Для VPN-подключений обычно используются следующие атрибуты:
| • | NAS-Port-Type. Установив значение атрибута NAS-Port-Type в Virtual (VPN), Вы охватите все VPN-подключения. |
| • | Tunnel-Type. Установив значение атрибута Tunnel-Type в Point-to-Point Tunneling Protocol (PPTP) или Layer Two Tunneling Protocol (L2TP), Вы сможете определять отдельные политики для PPTP- и L2TP-подключений |
| • | Windows-Groups. Добавив подходящие группы пользователей для атрибута Windows-Groups, Вы сможете задавать параметры подключений на основе членства в группах. |
Разрешение на удаленный доступ
Если в свойствах входящих звонков учетной записи пользователя выбрано значение Управление на основе политики удаленного доступа (Control access through Remote Access Policy), Вы можете использовать разрешение на удаленный доступ, которое определяет, предоставлять или не предоставлять удаленный доступ клиенту при попытке подключения. В противном случае разрешение на удаленный доступ определяется свойствами учетной записи пользователя.
Профиль
Профиль политики удаленного доступа — это набор параметров, применяемых к подключению после его авторизации. Для VPN-подключений Вы можете использовать следующие параметры:
| • | С помощью ограничений по входящим звонкам могут задаваться продолжительность соединения или время простоя, по истечении которого отвечающий маршрутизатор разрывает соединение. |
| • | С помощью параметров проверки подлинности задаются протоколы проверки подлинности, которые может использовать вызывающий маршрутизатор при передаче учетных данных, а также настройка типа EAP (например, EAP-TLS). |
| • | Параметры шифрования определяют необходимость использования шифрования и его уровень стойкости. Windows 2000 поддерживает следующие уровни шифрования: • Основное (Basic) Шифрование по методу MPPE с 40-битным ключом для PPTP-подключений и 56-битное шифрование DES (Data Encryption Standard) для L2TP-подключений.
• Стойкое (Strong) Шифрование по методу MPPE с 56-битным ключом для PPTP-подключений и 56-битное шифрование DES для L2TP-подключений.
• Самое стойкое (Strongest) Шифрование по методу MPPE с 128-битным ключом для PPTP-подключений и шифрование по методу Triple DES (3DES) для L2TP-подключений. Этот уровень шифрования может использоваться только с установленным пакетом обновлений Service Pack 2 (или выше) или пакетом стойкого шифрования (High Encryption Pack) для Windows 2000.
|
В качестве примера можно рассмотреть следующий вариант. Вы создаете группу пользователей Windows 2000 под названием VPNRouters, содержащую учетные записи пользователей для всех вызывающих маршрутизаторов. Затем Вы создаете политику с двумя условиями: атрибут NAS-Port-Type имеет значение Virtual (VPN), атрибут Windows-Group содержит группу VPNRouters. В завершение Вы настраиваете профиль политики, в котором задаете определенный метод проверки подлинности и уровень стойкости шифрования.
Примечание. Фильтры IP-пакетов, определенные на вкладке IP свойств профиля политики удаленного доступа, применяются только к VPN-подключениям удаленного доступа. Фильтры IP-пакетов не применяются к подключениям вызова по требованию.
Доменные учетные записи и группы Windows
Домены Windows NT 4.0, домены смешанного режима Windows 2000 и домены основного режима Windows 2000 содержат учетные записи пользователей и группы, используемые службой маршрутизации и удаленного доступа и службой IAS для проверки подлинности и авторизации попыток подключения.
Учетная запись содержит имя и пароль пользователя, которые могут использоваться при проверке учетных данных вызывающего маршрутизатора. Дополнительные свойства учетной записи определяют, включена учетная запись или нет, не заблокирована ли она, и в какое время ей разрешено выполнять вход в систему. Если учетная запись отключена, заблокирована или не имеет разрешения на вход в систему в определенные часы, разрешенные для VPN-подключений, попытка VPN-подключения «маршрутизатор-маршрутизатор» будет отклонена. Кроме этого, попытка VPN-подключения окажется неудачной, если для учетной записи пользователя вызывающего маршрутизатора требуется смена пароля при следующем входе в систему, поскольку изменение пароля во время установления подключения является интерактивным процессом. Маршрутизаторы вызова по требованию должны уметь самостоятельно устанавливать подключения в любой момент, без вмешательства человека. В связи с этим на вкладке Учетная запись (Account) в свойствах всех учетных записей для вызывающих маршрутизаторов должен быть снят флажок Потребовать смену пароля при следующем входе в систему (User must change password at next logon) и установлен флажок Срок действия пароля не ограничен (Password never expires). Когда Вы создаете учетные записи для входящих подключений с помощью мастера интерфейса вызова по требованию (Demand-Dial Interface Wizard), эти значения устанавливаются автоматически.
Вам следует использовать отдельную учетную запись пользователя для каждого сайта, в котором есть вызывающий маршрутизатор. Имя каждой учетной записи пользователя вызывающего маршрутизатора должно совпадать с названием интерфейса вызова по требованию отвечающего маршрутизатора. Когда вы создаете учетные записи для входящих подключений с помощью мастера интерфейса вызова по требованию, такое сопоставление производится автоматически.
Учетные записи пользователей также содержат параметры входящих звонков. Наиболее существенный параметр для VPN-подключений – это параметр разрешения на удаленный доступ, который может иметь следующие значения:
| • | Разрешить доступ (Allow Access) |
| • | Запретить доступ (Deny Access) |
| • | Управление на основе политики удаленного доступа (Control access through Remote Access Policy) |
Значения Разрешить доступ (Allow access) и Запретить доступ (Deny access) явно разрешают или запрещают удаленный доступ и эквивалентны разрешению на удаленный доступ в учетных записях домена Windows NT 4.0. Если Вы устанавливаете значение Управление на основе политики удаленного доступа (Control access through Remote Access Policy), удаленный доступ предоставляется на основании разрешения соответствующей политики. Если учетная запись принадлежит домену смешанного режима, значение Управление на основе политики удаленного доступа (Control access through Remote Access Policy) недоступно, и в этом случае Вам необходимо управлять разрешением на удаленный доступ отдельно для каждого пользователя. Если учетная запись принадлежит домену основного режима, значение Управление на основе политики удаленного доступа (Control access through Remote Access Policy) доступно, и Вы можете управлять разрешением на удаленный доступ как отдельно для каждого пользователя, так и используя группы. При создании учетных записей для входящих подключений с помощью мастера интерфейса вызова по требованию разрешение на удаленный доступ будет по умолчанию иметь значение Разрешить доступ (Allow access).
При управлении доступом групп Вы можете использовать существующие группы и создавать политики удаленного доступа, предоставляющие, отклоняющие или ограничивающие доступ в зависимости от имени группы. Например, группа Employees может не иметь никаких ограничений на VPN-подключения удаленного доступа, а группа Contractors может устанавливать VPN-подключения только в рабочее время. Также можно создавать группы, основываясь на типе создаваемых подключений. Например, Вы можете создать группу VPNRouters и добавить в нее все учетные записи, которым разрешено создавать VPN-подключения.
Служба маршрутизации и удаленного доступа и служба IAS могут использовать имена участника-пользователя (Universal principal name, UPN) и универсальные группы службы каталогов Active Directory. Если домен содержит несколько тысяч пользователей, создайте универсальную группу для всех пользователей, которым разрешен доступ, и затем создайте политику удаленного доступа, предоставляющую доступ этой группе. Не помещайте все учетный записи непосредственно в универсальную группу, особенно если Ваша сеть содержит большое количество пользователей. Вместо этого создайте отдельные глобальные группы, которые будут являться членами универсальной группы, и поместите пользователей в эти глобальные группы.
Односторонне инициированные подключения и статические маршруты для учетной записи пользователя
В случае односторонне инициированных подключений один из маршрутизаторов всегда является отвечающим, а другой маршрутизатор – вызывающим. Отвечающий маршрутизатор принимает подключения, а вызывающий – инициирует. Односторонне инициируемые подключения хорошо подходят для центрально-лучевой топологии, где только маршрутизатор офиса подразделения может инициировать подключение.
Учетные записи пользователей изолированных серверов под управлением Windows 2000 или доменов основного режима Active Directory могут содержать статические маршруты. Это упрощает настройку односторонне инициированных подключений. При установлении VPN-подключения с использованием учетной записи статические маршруты этой учетной записи автоматически добавляются в таблицу маршрутизации VPN-сервера. Если VPN-сервер участвует в динамической маршрутизации, маршруты распространяются на другие маршрутизаторы сайта с помощью протоколов динамической маршрутизации (RIP или OSPF). Чтобы задать статические маршруты для учетной записи, необходимо открыть вкладку Входящие звонки (Dial-in) в свойствах учетной записи, установить флажок Использовать статическую маршрутизацию (Apply static routes) и добавить маршруты, нажав кнопку Статические маршруты (Static Routes).
Для использования статических маршрутов учетной записи пользователя не требуется никаких дополнительных настроек вызывающего маршрутизатора. Все, что необходимо сделать на отвечающем маршрутизаторе – это создать учетную запись пользователя для вызывающего маршрутизатора и настроить статические маршруты к ресурсам сайта вызывающего маршрутизатора. Поскольку на отвечающем маршрутизаторе нет интерфейса вызова по требованию, имя которого совпадает с именем учетной записи вызывающего маршрутизатора, входящие VPN-подключения будут считаться подключениями удаленного доступа. Статические маршруты учетной записи вызывающего маршрутизатора будут добавлены в таблицу маршрутизации VPN-сервера, а весь трафик к ресурсам вызывающего маршрутизатора, использующий эти маршруты, будет передаваться через логическое подключение удаленного доступа.
Примечание. Статические маршруты заносятся в таблицу маршрутизации отвечающего маршрутизатора только в том случае, если входящее подключение является VPN-подключением удаленного доступа (имя учетной записи пользователя, содержащейся в учетных данных вызывающего маршрутизатора, не совпадает с названием интерфейса вызова по требованию отвечающего маршрутизатора). Если входящее подключение является подключением вызова по требованию, статические маршруты не используются.
Вопросы проектирования: инфраструктура служб проверки подлинности, авторизации и учета
При настройке инфраструктуры служб проверки подлинности, авторизации и учета для VPN-подключений «маршрутизатор-маршрутизатор» необходимо определиться со следующими вопросами:
| • | Если имеется несколько VPN-маршрутизаторов, работающих с различными типами подключений (VPN-подключения и подключения удаленного доступа), RADIUS-сервер обеспечивает централизованную работу служб проверки подлинности, авторизации и учета. Настройте и используйте RADIUS в качестве поставщика служб проверки подлинности и учета для VPN-маршрутизаторов. |
| • | Если базой данных учетных записей пользователей является домен Windows, используйте службу IAS в качестве RADIUS-сервера. Если Вы решите использовать IAS, установите эту службу на контроллере домена – это обеспечит наилучшую производительность. Для обеспечения отказоустойчивости служб проверки подлинности, авторизации и учета необходимо установить по крайней мере два IAS-сервера. |
| • | Для авторизации VPN-подключений и задания ограничений используйте политики удаленного доступа, настроенные локально или на IAS-сервере. Например, можно использовать параметры профиля политики для предоставления доступа на основе членства в группах, задания метода и уровня стойкости шифрования или авторизации на основе EAP-TLS. |
| • | Если домен Active Directory содержит большое количество пользователей, Вы можете управлять доступом на основе членства в группах, разместив глобальные группы внутри универсальных групп. |
| • | В случае односторонне инициированных подключений Вы можете настроить вызывающий маршрутизатор обычным образом, а на отвечающем маршрутизаторе настроить учетные записи пользователей, содержащие статические маршруты к ресурсам сайта вызывающего маршрутизатора. |
| • | Важные фрагменты RADIUS-сообщений (такие, как пароль пользователя и ключи шифрования) зашифрованы общим секретом (паролем) RADIUS, который задается на VPN-маршрутизаторе и RADIUS-сервере. Создайте стойкий, длинный (16 знаков или более) общий секрет, состоящий из случайной последовательности букв, цифр и знаков пунктуации, и регулярно меняйте его, чтобы защитить RADIUS-трафик. Пример стойкого пароля – «#>9fq4bV)H7%s$tOa3». Для дополнительной защиты RADIUS-трафика используйте политики IPSec Windows 2000, с помощью которых обеспечивается конфиденциальность данных для всего трафика, использующих UDP-порты RADIUS (порты 1812 и 1645 используются для проверки подлинности, 1813 и 1646 – для учета). |
Наверх страницы
Инфраструктура сертификата
Для проверки подлинности L2TP-подключений на основе сертификатов и для проверки подлинности VPN-подключений «маршрутизатор-маршрутизатор» на основе EAP-TLS необходимо наличие инфраструктуры сертификата, с помощью которой выдаются необходимые сертификаты, предоставляемые для проверки, и подтверждается их достоверность.
Сертификаты компьютера для L2TP/IPSec
Если Вы вручную выбираете метод проверки подлинности на основе сертификатов в правиле политики IPSec Windows 2000, Вы можете указать список корневых центров сертификации (ЦС), сертификаты которых будут приняты при проверке подлинности. В случае использования L2TP-подключений правило IPSec для L2TP-трафика настраивается автоматически, и список корневых центров сертификации недоступен для редактирования. Вместо этого каждый компьютер L2TP-подключения посылает своему узлу IPSec список корневых ЦС, от которых он будет принимать сертификаты для проверки подлинности. Корневые центры сертификации, перечисленные в этом списке, являются корневыми ЦС, сертификаты которых содержатся в хранилище сертификатов компьютера. Например, если компьютеру А были выданы сертификаты, выпущенные корневыми ЦС CertAuth1 и CertAuth2, при согласовании основного режима он уведомляет свой узел IPSec (компьютер В) о том, что он будет принимать сертификаты для проверки подлинности только от корневых ЦС CertAuth1 и CertAuth2. Если компьютер В (являющийся узлом IPSec компьютера А) не имеет действительного сертификата в своем хранилище компьютера для сертификата, выпущенного центрами сертификации CertAuth1 или CertAuth2, согласование безопасности IPSec окончится неудачей.
Перед установлением L2TP-соединения убедитесь, что выполняется одно из следующих условий:
| 1. | Вызывающий и отвечающий маршрутизаторы имеют сертификаты, выпущенные одним и тем же ЦС. |
| 2. | Вызывающий и отвечающий маршрутизаторы имеют сертификаты, выпущенные центром сертификации из действующей цепочки, которую можно проследить до одного и того же корневого ЦС. |
В общем случае на вызывающем маршрутизаторе должен быть установлен действующий сертификат компьютера, выданный ЦС из действующей цепочки, которую можно проследить до одного и того же корневого ЦС, и этот корневой ЦС должен быть доверенным для отвечающего маршрутизатора. Помимо этого отвечающий маршрутизатор должен иметь установленный действующий сертификат компьютера, выданный ЦС из действующей цепочки, которую можно проследить до одного и того же корневого ЦС, и этот корневой ЦС должен быть доверенным для вызывающего маршрутизатора.
Обычно сертификаты для всех компьютеров организации выдаются одним и тем же центром сертификации. Поэтому все компьютеры внутри организации имеют сертификаты, выданные одним ЦС, и для проверки запрашивают сертификаты того же самого ЦС.
Для получения информации по установке сертификатов компьютера на VPN-маршрутизаторы для L2TP-подключений, обратитесь к разделу «Развертывание виртуальных частных сетей «маршрутизатор-маршрутизатор» на основе протокола L2TP» этого документа.
Сертификаты компьютера и сертификаты пользователя для проверки подлинности на основе EAP-TLS
Для проверки подлинности VPN-подключений «маршрутизатор-маршрутизатор» на основе EAP-TLS в Windows 2000 необходимо:
| • | Настроить вызывающий маршрутизатор таким образом, чтобы во время процесса проверки подлинности EAP-TLS он мог предоставить для проверки сертификат пользователя. |
| • | Настроить сервер, выполняющий проверку подлинности, таким образом, чтобы во время процесса проверки EAP-TLS он мог предоставить сертификат компьютера. Этим сервером может быть либо отвечающий маршрутизатор (если проверка подлинности выполняется при помощи встроенной службы Windows), либо RADIUS-сервер (если в качестве поставщика служб проверки подлинности отвечающий маршрутизатор использует RADIUS). |
Проверка подлинности EAP-TLS будет успешной при выполнении следующих условий:
| • | Вызывающий маршрутизатор предоставляет для проверки действующий сертификат пользователя, выданный центром сертификации из действующей цепочки, которую можно проследить до корневого ЦС, являющегося доверенным для отвечающего маршрутизатора. |
| • | Сервер, выполняющий проверку подлинности, предоставляет для проверки действующий сертификат компьютера, выданный центром сертификации из действующей цепочки, которую можно проследить до корневого ЦС, являющегося доверенным для вызывающего маршрутизатора. |
| • | Сертификат пользователя на вызывающем маршрутизаторе содержит цель «Проверка подлинности клиента» («Client Authentication», идентификатор объекта для цели «1.3.6.1.5.5.7.3.2») |
| • | Сертификат компьютера на отвечающем маршрутизаторе содержит цель «Проверка подлинности сервера» («Server Authentication», идентификатор объекта для цели «1.3.6.1.5.5.7.3.1») |
Для центра сертификации Windows 2000 создается специальный тип сертификата пользователя – сертификат маршрутизатора (автономный запрос). Этот сертификат предназначен для работы с подключениями вызова по требованию и сопоставляется учетной записи пользователя Active Directory. Во время процесса согласования подключения, инициированного вызывающим маршрутизатором, для проверки предоставляется сертификат маршрутизатора. Если сертификат маршрутизатора действителен, он используется для определения учетной записи, свойства которой должны быть предоставлены на рассмотрение VPN-серверу.
Для получения информации по настройке сертификатов пользователя и сертификатов компьютера для проверки подлинности на основе EAP-TLS обратитесь к разделу «Развертывание виртуальных частных сетей «маршрутизатор-маршрутизатор» на основе протокола L2TP» этого документа.
Вопросы проектирования: инфраструктура сертификата
При настройке инфраструктуры сертификата для VPN-подключения «маршрутизатор-маршрутизатор» необходимо определиться со следующими вопросами:
| • | Для того, чтобы создать VPN-подключения «маршрутизатор-маршрутизатор» L2TP/IPSec, используя проверку подлинности на основе сертификатов компьютера для IPSec, необходимо установить сертификаты в хранилище компьютера для сертификатов вызывающего и отвечающего маршрутизаторов. |
| • | Для того, чтобы можно было производить проверку подлинности VPN-подключений на основе EAP-TLS, на вызывающем маршрутизаторе должен быть установлен сертификат пользователя, а на сервере проверки подлинности (отвечающем маршрутизаторе или RADIUS-сервере) – сертификат компьютера. |
| • | Для установки сертификата пользователя или сертификата компьютера через Интернет создайте PPTP-подключение, используя протокол проверки подлинности на основе паролей (например, MS-CHAP v2). После того, как подключение будет установлено, используйте оснастку Диспетчер сертификатов (Certificate Manager) или обозреватель Internet Explorer для запроса соответствующих сертификатов. После того, как сертификаты будут установлены, завершите подключение и затем подключитесь заново, используя необходимый VPN-протокол и метод проверки подлинности. Такой способ может использоваться в случае, если, например, в удаленном подразделении есть компьютер, не имеющий сертификатов, необходимых для создания подключения L2TP/IPSec или подключения с проверкой подлинности EAP-TLS. Наверх страницы |
