Настройка TMG Beta 3 для SSTP VPN подключений - часть 3: настройка TMG VPN параметров и создание подключения

Во второй части этого цикла статей о настройке брандмауэра TMG на прием SSTP VPN клиентских подключений мы обсудили вопросы, связанные с сертификатами, а затем установили сертификат веб сайта на брандмауэр TMG. Мы создали правило веб публикации для публикации сайта CRL нашего частного ЦС. Обратите внимание, что вам не нужно осуществлять этот шаг, если вы используете коммерческий ЦС. В этой заключительной части мы рассмотрим шаги настройки компонента VPN сервера, а затем создадим подключение VPN с помощью SSTP. Мы также узнаем, что нам нужно исправить правило веб публикации для сайта CRL, поскольку наш сертификат обманул нас в том, какой URL будет использоваться для доступа к CRL.

ПРЕДУПРЕЖДЕНИЕ: в этой бета версии брандмауэра TMG вы не сможете удалить веб приемник SSTP Web Listener после его создания. Это означает, что IP адрес, который вы используете для этого веб приемника, будет постоянно назначен для приемника SSTP, и вы не сможете использовать его для правила веб публикации SSL Web Publishing Rule. Хотя эта проблема будет исправлена к выходу RTM версии продукта, вам нужно добавить IP адреса для дополнительных правил веб публикации SSL, или переустановить свою машину, чтобы избавиться от SSTP приемника.

Настройка VPN конфигурации на брандмауэре TMG

Теперь давайте перейдем к основной задаче ‘ настройке VPN конфигурации на брандмауэре TMG. Хотя было бы неплохо описать все подробности конфигурации TMG VPN, я собираюсь использовать более узкий подход в этой статье и расскажу лишь о тех аспектах настройки, которые затрагивают SSTP конфигурацию. Если вы хотите узнать больше о VPN конфигурации брандмауэра TMG в общем, обязательно приобретите нашу книгу о TMG, которая выйдет через пару месяцев.

Выполнение следующих шагов для инициации конфигурации VPN сервера на брандмауэре TMG:

1. Открываем консоль брандмауэра TMG, и переходим в узел Политика удаленного доступа (Remote Access Policy (VPN)) в левой панели, как показано на рисунке ниже.

1. В закладке Задачи в панели задач переходим по ссылке Включить доступ для VPN клиентов (Enable VPN Client Access).

1. Ха! Вы заметите, что старая ошибка в коде, которая была частью конфигурации VPN в брандмауэре ISA, была перенесена и в брандмауэр TMG. Прежде чем включить VPN доступ, необходимо сначала настроить назначение адресов. Было бы здорово, если бы панель задач делала все опции конфигурации VPN недоступными, пока не произведена настройка назначения адресов для VPN клиентов. Нет проблем. Нажимаем здесь OK и исправляем проблему.

1. В панели задач выбираем команду Определить назначение адресов (Define Address Assignments) . Следующее окно отображено на рисунке ниже. Поскольку у меня установлен DHCP сервер на контроллере домена, я собираюсь выбрать опцию Dynamic Host Configuration Protocols (DHCP). Если вы решили выбрать опцию Пул статических адресов (Static Address Pool), убедитесь, что адреса, которые вы вводите в пул, не используются ни в какой другой Дефиниции Сети (Network Definition) ‘ в противном случае такая настройка работать не будет, и вы увидите отчет об ошибке в разделе предупреждений (Alerts) в консоли брандмауэра TMG. Нажимаем OK.

1. Теперь переходим по ссылке Включить доступ для VPN клиентов (Enable VPN Client Access) в панели задач. Значок изменится и появится, как Отключить доступ для VPN клиентов (Disable VPN Client Access), после того как вы включите его.

1. Переходим по ссылке Настроить доступ клиента VPN (Configure VPN ClientAccess) в панели задач. В диалоговом окне Свойства клиента VPN (VPN Clients Properties) переходим в закладку Протоколы (Protocols). Опция Включить PPTP (Enable PPTP) будет включена по умолчанию. Отмечаем опцию Включить SSTP (Enable SSTP). Нажимаем кнопку Настроить (Configure), чтобы начать процесс создания веб приемника для SSTP подключений.

1. В диалоговом окне Выбор веб приемника для SSTP (Choose Web Listener for SSTP) вы увидите список потенциальных веб приемников, которые можно использовать для SSTP подключений. Поскольку на этом брандмауэре пока что нет ни одного веб приемника с включенной SSL, нам придется его создать. Нажимаем кнопку Новый (New), чтобы начать создание приемника.

1. На приветственной странице мастера Welcome to the New Web Listener Wizard вводим имя для веб приемника в текстовом поле Имя веб приемника (Web listener name). В этом примере мы назовем его SSTP Listener. Примечание: Вы, вероятно, захотите выделить этот веб приемник под SSTP подключения в силу его особой конфигурации. Это означает, что если вам нужно опубликовать другие SSL сайты, вам потребуются дополнительные IP адреса для этих сайтов, поскольку вы не сможете использовать SSTP Web Listener для них.

1. На странице IP адреса веб приемника (Web Listener IP Addresses) я собираюсь выбрать опцию Внешний (External), отметив соответствующую строку. Я делаю это, потому что у меня есть только один IP адрес, присвоенный внешнему интерфейсу брандмауэра TMG. Если бы у меня было больше IP адресов, присвоенных внешнему интерфейсу брандмауэра TMG, мне бы пришлось нажать кнопку Выбор IP адресов (Select IP Addresses) и выбрать определенные IP адреса для этого веб приемника. Примечание: это довольно интересная опция, которая обычно недоступна для других типов VPN подключений (PPTP, L2TP/IPsec) к брандмауэру TMG ‘ другими словами, с другими VPN протоколами вы не сможете контролировать определенные IP адреса (ну, или, по крайней мере, не сможете сделать это просто), с которых разрешены подключения. В SSTP вы можете ограничить, какие адреса принимают SSTP подключения путем настройки веб приемника на разрешение подключений только с выбранных вами IP адресов. Нажимаем Далее.

1. На странице SSL сертификаты приемника (Listener SSL Certificates) нажимаем кнопку Выбрать сертификат (Select Certificate).

1. В диалоговом окне Выбор сертификата (Select Certificate) вы увидите сертификат, который я создал для SSTP подключений и затем установил в хранилище сертификатов машины брандмауэра TMG. Обратите внимание, что у меня есть ЦС предприятия в домене, к которому принадлежит брандмауэр TMG, поэтому ЦС сертификат центра сертификации, который создал этот сертификат веб сайта, уже установлен на брандмауэре TMG. Если вы используете коммерческий сертификат, вам не нужно беспокоиться об этом шаге. Как я уже говорил в предыдущей части, существует множество способов запроса и получения сертификата, поэтому я не вдавался в подробности той конфигурации. Здесь важно лишь то, что вы можете установить сертификат и отобразить его в этом диалоговом окне, как показано на рисунке ниже. Я выбираю сертификат vpn.msfirewall.org и нажимаю Выбрать (Select).

1. Теперь сертификат появится на странице SSL сертификаты приемника (Listener SSL Certificates). Нажимаем Далее.

1. Нажимаем Закончить на странице мастера Completing the New Web Listener Wizard.

1. В диалоговом окне Выбор веб приемника для SSTP (Choose Web Listener for SSTP) мы видим подробности этого приемника. Нажимаем OK.

1. Нажимаем OK в диалоговом окне Свойства VPN клиента (VPN Clients Properties).

1. Когда вы переходите в узел Политика брандмауэра (Firewall Policy) в левой панели консоли, нажимаете на закладке Инструменты в панели задач, затем нажимаете Объекты сети (Network Objects) и переходите к Веб приемники (Web Listeners), вы видите свой SSTP Listener в списке веб приемников.

1. Еще одно интересное изменение можно найти в Системной политике (System Policy). Если вы развернете системную политику в узле Политика брандмауэра в консоли, вы увидите, что правило системной политики SSTP Публикация было автоматически включено.

1. Нажимаем Применить (Apply), чтобы сохранить изменения и обновить конфигурацию. Нажимаем Применить в диалоговом окне Описания изменений конфигурации (Configuration Change Descriptions). Нажимаем OK в диалоговом окне Сохранение изменений конфигурации (Saving Configuration Changes).

Экспорт ЦС сертификата

Клиенты должны доверять сертификату, который SSTP приемник представляет им. Если вы используете коммерческий сертификат, это не будет проблемой, поскольку они уже доверяют центру сертификации, в котором вы приобрели сертификат. Если же вы используете частный ЦС, как мы в этой статье, то вам необходимо убедиться, что клиенты доверяют ЦС, который подписал сертификат веб сайта SSTP.

Если клиенты являются членами домена и вы используете ЦС предприятия, то у вас не возникнет никаких проблем, поскольку ЦС сертификат будет автоматически помещен в хранилище сертификатов машины в клиентском доверенном корневом центре сертификации (Trusted Root Certification Authorities). Однако если ваши клиенты не являются членами домена или вы не используете ЦС предприятия, то вам необходимо импортировать этот сертификат. В этом случае вам нужно получить ЦС сертификат. На рисунке ниже показан ЦС сертификат, используемый SSTP приемником в оснастке сертификатов консоли MMC.

Дважды нажимаем на сертификате и переходим в закладку Путь сертификата (Certificate Path). Вы увидите ЦС, издавший этот сертификат веб сайта в верху списка. Дважды нажимаем на этом ЦС. Затем вы увидите диалоговое окно Сертификат для ЦС сертификата. Переходим в закладку Подробно (Details). В закладке Подробно этого ЦС сертификата нажимаем кнопку Копировать в файл (Copy to File).

Мастер проведет вас через шаги экспортирования ЦС сертификата. Когда вы экспортировали свой сертификат, скопируйте его на клиента, с которого собираетесь подключаться.

Импортирование ЦС сертификата в хранилище сертификатов машины VPN клиента

Давайте сосредоточим свое внимание на клиенте Windows 7 VPN. Открываем оснастку сертификатов в консоли MMC и разворачиваем узел Доверенные корневые центры сертификации (Trusted Root Certificate Authorities) в левой панели консоли. Жмем правой клавишей на узле Сертификаты (Certificates), наводим курсор на Все задачи (All Tasks) и нажимаем Импортировать (Import).

Помните ‘ вы импортируете этот сертификат в хранилище сертификатов машины. Вы не импортируете его в хранилище сертификатов пользователя или служб.

Следуем инструкциям мастера. Когда вы дошли до страницы Импортируемый файл (File to Import), обязательно выберите ЦС сертификат, который экспортировали ранее. Нажимаем Далее.

Когда работа мастера завершена, вы увидите сертификат в узле Доверенные корневые центры сертификации\Сертификаты (Trusted Root Certification Authorities\Certificates). Дважды нажмите на сертификате и увидите подробности этого ЦС сертификата.

Создаем VPN подключение и проверяем работу SSTP

Теперь можно немного повеселиться. На Windows 7 клиенте откройте окно Управление сетевыми подключениями и общим доступом (Network and Sharing). Перейдите по ссылке Создать новое подключение или сеть (Set up a new connection or network) на этой странице.

На странице Создание нового подключения или сети (Set Up a Connection or Network) перейдите по ссылке Подключиться к рабочему месту (Connect to a workplace) и нажмите Далее.

На странице Как вы хотите подключиться (How do you want to connect)? выберите опцию Использовать мое интернет-соединение (VPN) (Use my Internet connection (VPN)).

На странице Ввод интернет адреса, к которому нужно подключиться (Type the Internet address to connect to) введите FQDN сервера SSTP VPN. Обратите внимание, что поскольку мы используем SSL и веб приемник, нужно подключаться к FQDN, а не к IP адресу. Этот FQDN должно быть таким же, что общее или субъектное имя на сертификате SSTP веб сайта. Также введите имя, чтобы можно было распознать по нему это подключение. Нажимаем Далее.

Вводим имя пользователя и пароль для проверки подлинности на брандмауэре TMG VPN. Убедитесь, что политика домена настроена на включение dial in доступа для пользовательских учетных записей на основе политики.

Нажимаем Подключиться (Connect), чтобы создать соединение.

Ого! Теперь мы подключены! Это было слишком просто. Да, это было слишком просто.

Если вы проверите подробности своего VPN подключения, вы будете немного разочарованы. То, что, по-нашему мнению, было SSTP подключением, на самом деле оказалось PPTP подключением. Что здесь не так?

Что не так с тем, что показано на рисунке ниже. Здесь вы видите строку, указывающую на то, что SSTP клиент пытается получить доступ к CRL.

И что не так? Это не адреса CRL, указанные на сертификате! OK, если бы все было так просто, не было бы причин для написания этой статьи. Нам нужно добавить этот путь в свое правило веб публикации CRL.

Переходим к правилу веб публикации, которое мы создали для CRL ранее и добавляем новый путь. Это будет /CertEnroll/DC+.crl. На рисунке ниже показано, где это нужно сделать.

Не забудьте сохранить изменения конфигурации.

Когда вы отключите клиентский компьютер, а затем снова повторите попытку подключения, вы заметите, что клиент снова пытается использовать PPTP для подключения. В качестве самого простого способа решения этой проблемы нужно в принудительном порядке заставить VPN клиента использовать SSTP, как показано на рисунке ниже. Можно также перезапустить службу брандмауэра, если хотите, однако принуждение клиента VPN к использованию SSTP менее проблематично.

Снова запускаем VPN подключение. На сей раз, после подключения проверьте его свойства. Здесь вы будете приятно удивлены, поскольку клиент на самом деле создал SSTP подключение. Отлично!

Если вы проверите логи брандмауэра TMG, вы обнаружите, что CRL проверка прошла успешно, поскольку мы добавили новый путь, как показано на рисунке ниже.

Конечно, только тот факт, что мы способны подключаться к VPN, вовсе не означает, что у нас есть доступ к любым ресурсам корпоративной сети. Нужно будет создавать правила брандмауэра, управляющие тем, каким клиентам VPN будет разрешен доступ к сети после их подключения. По умолчанию нет никаких правил, поэтому на данном этапе VPN клиент подключен через SSTP, но он не имеет доступа к ресурсам. Когда вы создадите правила брандмауэра, дающие VPN клиентам сетевой доступ к ресурсам корпоративной сети, они смогут подключаться к этим ресурсам.