非常感谢我的老师Ronald Beekelaar,作为微软Virtual PC的MVP,他创建的ISA LAB是如此的精致,使用起来真是一种享受;同时,作为一个脚本大师,他所设计的配置同步状态查询程序也是如此的精巧好用。
内容概要:在ISA Server 2004企业版中配置VPN和标准版几乎一致,也建议你先看看Tom的启用ISA Server 2004 的VPN服务器一文,这样可以让你对VPN服务有更多的了解。在这篇文章中,我给大家介绍如何配置ISA Server 2004企业版中的VPN服务,为远程客户提供PPTP和L2TP/IPSec两种模式的远程访问。
在ISA Server 2004企业版中配置VPN和标准版几乎一致,也建议你先看看Tom的启用ISA Server 2004 的VPN服务器一文,这样可以让你对VPN服务有更多的了解。在这篇文章中,我给大家介绍如何配置ISA Server 2004企业版中的VPN服务,为远程客户提供PPTP和L2TP/IPSec两种模式的远程访问。
本文的试验环境如下图所示,Florence和Firence同属于阵列ITALY,使用安装在Florence上的配置存储服务器;Denver为内部网络中的一台DC,提供Web服务和证书权威服务;Istanbul为Internet上的一台客户,用于测试。所有计算机的操作系统均为Windows Server 2003企业版。
各计算机的TCP/IP设置如下:
Florence(ISA 2004 EE)
LAN:
-
IP:10.1.1.1/24
-
DG:None
-
DNS:None
Internet:
-
IP:39.1.1.1/24
-
DG:39.1.1.1
-
DNS:None
Firenze(ISA 2004 EE)
LAN:
-
IP:10.1.1.2/24
-
DG:None
-
DNS:None
Internet:
-
IP:39.1.1.2/24
-
DG:39.1.1.2
-
DNS:None
Denver(Web/CA)
-
IP:10.1.1.5/24
-
DG:10.1.1.1
-
DNS:10.1.1.5
Istanbul(Internet)
-
IP:39.1.1.7/24
-
DG:39.1.1.7
-
DNS:None
对于PPTP模式的VPN连接,是不需要在服务器端和客户端安装任何证书的,只需要在客户端建立VPN拨号连接,使用服务器端配置的具有拨入权限的用户进行连接即可;但是对于L2TP/IPSec模式的VPN连接,除了要求在服务器端安装服务器身份验证证书和IPSec证书外,还需要在客户端安装客户端身份验证证书和IPSec证书。
Windows没有现成的工具来管理本地计算机的证书,你需要通过添加证书管理MMC来实现,常用的管理本地计算机的证书MMC添加步骤如下:
点击开始菜单中的运行,输入mmc,点击确定;
在弹出的控制台1窗口,点击文件菜单下的添加/删除管理单元;
在弹出的添加/删除管理单元对话框,点击添加;
在添加独立管理单元对话框,选择证书,点击添加;
在证书管理单元对话框,选择计算机账户,点击下一步;
在选择计算机对话框,接受默认的本地计算机,点击完成;
点击关闭,再点击确定,此时,管理本地计算机的证书MMC就设置好了。在本文中,所有涉及的证书MMC都是本地计算机证书的MMC,各服务器上的添加过程不再重复。
本文中的重点在于VPN的配置,配置过程中所需要的访问规则和Web发布规则等具体细节可能会忽略。虽然在本文中具有两台阵列服务器,但是在本文中并不会在VPN客户上创建到ISA防火墙Firenze的连接,但是这并不是意味你就可以把Firenze忽略不计。由于阵列的配置唯一性及互操作性,你同样需要为Firenze申请证书,而且在你修改任何配置时,请保证两台服务器的配置文件都进行了同步。
本文的试验步骤如下,在试验之前已经确认网络连接工作正常:
1、为ISA防火墙Florence和Firenze申请服务器身份验证证书和IPSec证书;
2、为外部客户Istanbul申请客户端身份验证证书和IPSec证书;
3、配置阵列ITALY的VPN服务;
4、在Florence上创建VPN拨号用户
5、在外部客户Istanbul上建立到Florence的PPTP的VPN连接;
6、在外部客户Istanbul上建立到Florence的L2TP/IPSec的VPN连接;
为ISA防火墙Florence和Firenze申请服务器身份验证证书和IPSec证书
为了让ISA防火墙Florence和Firenze从Denver上申请证书,我建立了一条访问规则,允许所有用户从本地主机到所有网络的所有协议,如下图所示:
在Florence和Firenze的HOSTS文件中已经添加了一个解析项,将Denver.contoso.com的名字解析到10.1.1.5上,所以我使用Denver.contoso.com来访问Denver(这一步并不是必须的,我只是利用现有的条件而已;如果你没有DNS解析项,直接使用IP访问即可)。在Florence上打开IE浏览器,输入地址
http://denver.contoso.com/certsrv/
如下图所示,然后点击请求一个证书链接;
然后点击高级证书请求链接;
然后点击向CA创建和提交一个请求链接;
在高级证书请求页,在名字栏输入计算机名Florence,注意,千万不能输错;在证书类型栏,选择服务器身份验证证书;
然后勾选下面的在本地计算机中存储证书,然后点击提交;
在证书颁发页,点击安装这个证书;(如果你是独立根CA,那么你需要手动颁发证书)。
重复此过程申请IPSec证书;在Firenze上使用同样的办法来申请证书,两台服务器上申请好的证书分别如下图所示。
另外,你需要将Denver的CA证书导入到受信任的根证书颁发机构中,否则此证书将不能使用。要下载Denver的CA则在申请页面的首页点击Download a CA certificate,certificate chain,or CRL;
导入过程已经有很多文章说过了,在此不在重复。
为外部客户Istanbul申请客户端身份验证证书和IPSec证书
现在,我们需要为外部客户Istanbul申请客户端身份验证证书和IPSec证书。首先,我们需要将Denver上的证书申请Web发布到外部网络,才能让Istanbul访问。右击阵列ITALY下的防火墙策略,指向新建,选择Web服务器发布规则;
在欢迎使用Web服务器发布规则向导页,输入规则名Publish Certsrv,点击下一步;
在规则动作页,选择允许,点击下一步;
在定义发布的Web站点页,在计算机名栏输入denver.contoso.com,然后点击下一步;
在公共名称细节页,在接受请求为栏,选择任何域名,点击下一步;
在选择Web侦听器页,点击新建;
在欢迎使用新建Web侦听器向导页,输入名字为Listen 80,点击下一步;
在IP地址页,勾选外部,点击下一步;
在端口指定页,接受默认的80,点击下一步;
在正在完成新建Web侦听器向导页,点击完成;
在选择Web侦听器页,点击下一步;
在用户集页,接受默认的所有用户,点击下一步;
在正在完成新建Web服务器发布规则页,点击完成;
点击应用保存修改和更新防火墙策略,查看监视的配置标签,确认两台服务器配置文件已经同步;
我同样已经在Istanbul的HOSTS文件中添加了一个解析项,将Denver.contoso.com的名字解析到Florence的外部IP地址39.1.1.1上(这一步并不是必须的,我只是利用现有的条件而已;如果你没有DNS解析项,直接使用IP访问即可)。在Istanbul上打开IE浏览器,输入地址
http://denver.contoso.com/certsrv/
如下图所示,然后点击请求一个证书链接;
然后点击高级证书请求链接;
然后点击向CA创建和提交一个请求链接;
在高级证书请求页,在名字栏输入计算机名Istanbul,注意,千万不能输错;在证书类型栏,选择客户身份验证证书;
然后勾选下面的在本地计算机中存储证书,然后点击提交;
在证书颁发页,点击安装这个证书;
重复此过程申请IPSec证书;
Istanbul上安装好的证书如下图所示:
【转自世纪安全网 http://www.21safe.com】
|
网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)