非常感谢我的老师Ronald Beekelaar,作为微软Virtual PC的MVP,他创建的ISA LAB是如此的精致,使用起来真是一种享受;同时,作为一个脚本大师,他所设计的配置同步状态查询程序也是如此的精巧好用。
内容概要:在ISA Server 2004企业版中配置站点到站点的VPN和标准版几乎一致,也建议你先看看How To:配置基于PPTP模式的站点到站点的VPN连接和How to :配置ISA Server 2004企业版中的VPN服务这两篇文章,这样可以让你对部署站点到站点的VPN连接有更多的了解。在这篇文章中,我给大家介绍如何配置ISA Server 2004企业版中的PPTP、L2TP/IPSec和IPSec三种模式的站点到站点的VPN连接。
在ISA Server 2004企业版中配置站点到站点的VPN和标准版几乎一致,也建议你先看看How To:配置基于PPTP模式的站点到站点的VPN连接和How to :配置ISA Server 2004企业版中的VPN服务这两篇文章,这样可以让你对部署站点到站点的VPN连接有更多的了解。在这篇文章中,我给大家介绍如何配置ISA Server 2004企业版中的PPTP、L2TP/IPSec和IPSec三种模式的站点到站点的VPN连接。
这篇文章是How to :配置ISA Server 2004企业版中的VPN服务一文的进阶,并且本文中的试验环境已经在这篇文章中预先做好了一些部署,希望你在学习这篇文章前先进行阅读,这样你可以更好的了解VPN服务。
在ISA Server 2004企业版中配置PPTP、L2TP/IPSec和IPSec三种模式的站点到站点的VPN涉及以下步骤:
-
如果是PPTP和L2TP/IPSec这两种模式的连接,你需要创建用于VPN拨入的用户账户;
-
如果是L2TP/IPSec和IPSec这两种模式的连接, 你需要安装相应的证书;
-
创建远程站点网络,选择PPTP、L2TP/IPSec或IPSec作为隧道协议;
-
对于PPTP和L2TP/IPSec模式的远程站点,你需要启用ISA防火墙的VPN客户端访问,因为ISA防火墙将这两种模式的远程访问站点看作普通的远程VPN客户端;
-
配置ISA防火墙的网络规则和防火墙策略。
你必须根据VPN站点访问的方式在站点到站点的VPN连接的两端ISA防火墙进行上述的部分或全部配置。
本文的试验环境如下图所示,公司总部网络地址范围为10.1.1.0/24,Florence和Firence是位于公司总部的两台ISA Server,同属于阵列ITALY,使用安装在Florence上的配置存储服务器;Denver为内部网络中的一台DC,提供Web服务和证书权威服务;公司分部的网络地址范围为10.2.1.0/24,Berlin为公司分部的一台ISA Server,同时安装了配置存储服务器和ISA Server服务,属于阵列GERMAN;Client为公司分部网络中的一台客户机。所有计算机的操作系统均为Windows Server 2003企业版。
各计算机的TCP/IP设置如下:
Florence(ISA 2004 EE)
LAN:
-
IP:10.1.1.1/24
-
DG:None
-
DNS:None
Internet:
-
IP:39.1.1.1/24
-
DG:39.1.1.1
-
DNS:None
Firenze(ISA 2004 EE)
LAN:
-
IP:10.1.1.2/24
-
DG:None
-
DNS:None
Internet:
-
IP:39.1.1.2/24
-
DG:39.1.1.2
-
DNS:None
Denver(Web/CA)
-
IP:10.1.1.5/24
-
DG:10.1.1.1
-
DNS:10.1.1.5
Berlin(ISA 2004 EE)
LAN:
-
IP:10.2.1.8/24
-
DG:None
-
DNS:None
Internet:
-
IP:39.1.1.8/24
-
DG:39.1.1.8
-
DNS:None
Client(Branch)
-
IP:10.2.1.9/24
-
DG:10.2.1.8
-
DNS:None
对于PPTP模式的VPN连接,是不需要在服务器端和客户端安装任何证书的,只需要在站点到站点VPN连接的被拨入端创建具有拨入权限的用户账户,然后 配置拨入端使用此账户进行连接即可;对于L2TP/IPSec模式的VPN连接,除了创建拨入账户外,你还需要在服务器端(被拨入端)安装服务器身份验证证书,在客户端 (拨入端)安装客户端身份验证证书;对于IPSec模式的VPN站点到站点的连接,你需要在站点到站点VPN连接的两端站点上安装IPSec证书。
在此试验中,我们将在公司总部的Florence和公司分部的Berlin之间创建这三种模式的站点到站点VPN连接,并且将站点到站点的两端站点都配置为可初始化连接(可以拨号)的。因此,对于PPTP模式的VPN连接,我们需要在VPN连接的两端站点上都创建对应的VPN拨入用户;对于L2TP/IPSec模式的VPN连接,除了创建用户外,我们还需要在两端站点上都安装服务器身份验证证书和客户端身份验证证书;对于IPSec模式的VPN连接,我们只需要在两端站点上安装IPSec证书。
本文中的重点在于VPN的配置,配置过程中所需要的访问规则和Web发布规则等具体细节可能会忽略。虽然在本文中的公司总部具有两台阵列服务器,但是在本文中并不会创建到ISA防火墙Firenze的VPN连接,但是这并不是意味你就可以把Firenze忽略不计。由于阵列的配置唯一性及互操作性,你同样需要为Firenze申请证书,而且在你修改任何配置时,请保证两台服务器的配置文件都进行了同步。
本文的试验步骤如下,在试验之前已经确认网络连接工作正常:
1、为公司总部的ISA防火墙Florence和Firenze、公司分部的ISA防火墙Berlin申请证书;
2、在Florence和Berlin上分别创建VPN拨入用户;
3、在公司总部阵列ITALY上配置分部的PPTP模式的远程访问站点;
4、创建公司总部到分部远程访问站点的网络规则和防火墙策略;
5、在公司分部阵列GERMAN上配置总部的PPTP模式的远程访问站点;
6、创建公司分部到总部远程访问站点的网络规则和防火墙策略;
7、测试PPTP模式下的站点到站点的VPN连接;
8、修改VPN连接模式为L2TP/IPSec后进行测试;
9、在公司总部阵列ITALY上配置分部的IPSec模式的远程访问站点、相应的网络规则和防火墙策略;
10、在公司分部阵列GERMAN上配置总部的IPSec模式的远程访问站点、相应的网络规则和防火墙策略;
11、测试IPSec模式下的站点到站点的VPN连接;
为公司总部的ISA防火墙Florence和Firenze、公司分部的ISA防火墙Berlin申请证书
为Florence、Firenze申请服务器身份验证和客户端身份验证证书以及将Denver上的证书申请Web服务发布到Internet这些步骤请参见How to :配置ISA Server 2004企业版中的VPN服务一文的前面两节。
然后在Berlin上部署一条访问规则,允许所有用户从本地主机访问所有网络的所有协议,在Berlin上通过IE浏览器访问Florence上发布的Denver的证书申请页面来获得证书。
在Berlin上打开IE浏览器,输入地址
http://39.1.1.1/certsrv/
如下图所示,然后点击请求一个证书链接;
然后点击高级证书请求链接;
然后点击向CA创建和提交一个请求链接;
在高级证书请求页,在名字栏输入计算机名Berlin,注意,千万不能输错;在证书类型栏,选择客户端身份验证证书;
然后勾选下面的在本地计算机中存储证书,然后点击提交;
在证书颁发页,点击安装这个证书;(如果没有配置CA自动颁发证书则你可能需要手动颁发证书)。
重复此过程申请服务器身份验证证书;三台服务器上申请好的证书分别如下图所示:
在Florence和Berlin上分别创建VPN拨入用户
现在,我们需要在站点到站点VPN服务的两端站点上分别创建VPN拨入用户。创建这个用户时,请一定要记住必须和本地创建的对应的远程访问站点同名,否则当远程访问站点拨叫本地站点时,本地站点将不能识别拨入的VPN连接。例如,我将在公司总部为分部创建一个名为Branch的远程访问站点,那么总部所创建的用于分部远程站点拨入的用户名就必须为Branch;我在公司分部为总部创建一个名为Main的远程访问站点,那么分部创建的用于总部远程站点拨入的用户名就必须为Main。
在Florence上点击开始菜单中的运行,输入lusrmgr.msc,在弹出的本地用户和组对话框,右击用户,选择新建用户;
在新建用户对话框,输入用户名为branch,输入密码,勾选用户不能修改密码和密码永不过期,点击创建;
双击新建的branch,然后在branch属性对话框的拨入标签,在远程访问权限下选择允许访问,点击确定;
此时,公司总部的VPN拨入用户就创建好了。
在公司分部的Berlin上,按照同样的步骤,创建一个名为main的用户账户,授予VPN拨入权限,如下图所示:
在公司总部阵列ITALY上配置分部的PPTP模式的远程访问站点
现在需要你启用阵列ITALY的VPN客户访问,对于多服务器的阵列,你必须预先定义分配给VPN客户的静态IP地址池,然后才能启用VPN客户的访问。我已经对ITALY启用了VPN客户访问,步骤请参见How to :配置ISA Server 2004企业版中的VPN服务一文的第三节配置阵列ITALY的VPN服务,Florence上分配了192.168.0.1~192.168.0.50的VPN客户端IP地址池,并且允许了PPTP和L2TP/IPSec这两种模式的VPN连接。
现在我们可以创建远程访问站点了。在公司总部的任何一台ISA服务器上打开ISA管理控制台,点击虚拟专用网络,在中部的细节面板点击远程站点,再点击右边任务面板中的添加远程站点网络;
在欢迎使用网络创建向导页,输入远程站点的名字,输入branch(必须和前面所创建的VPN拨入账户名一致),点击下一步;
在VPN协议页,选择点对点隧道协议(PPTP),点击下一步;
在弹出的拨入用户账户必须和站点同名的警告对话框,点击确定;
在连接所有者页,选择Florence,点击下一步;
在远程站点网关页,输入远程VPN网关的名称或IP地址,如果输入名称,确保可以正确解析(对于动态IP地址的情况,在此可以输入动态域名),在此我们输入Berlin的外部IP地址39.1.1.8,点击下一步;
在远程身份验证页,勾选本地站点可以使用这些凭据来初始化到远程站点的连接(这样可以让内部用户进行请求拨号来主动连接远程VPN站点),然后输入远程VPN网关上创建的具有拨号权限的对应于远程站点的用户名和密码,注意,这个用户名必须和远程VPN网关上创建的远程站点的名字相同,在此为我们前面在Berlin上创建的用户main,输入main和对应的密码,点击下一步继续;
在网络地址页,点击添加范围来添加远程网络的IP地址范围,在此我输入分部的网络地址范围10.2.1.0~10.2.1.255,点击下一步;
在正在完成新建网络向导页,点击完成;
在弹出的可能会导致RRAS服务重启的警告框,点击确定;此时,远程站点就建立好了。
创建公司总部到分部远程访问站点的网络规则和防火墙策略
我们现在需要为公司总部和分部远程站点之间的访问创建网络规则和允许访问的防火墙策略。
右击配置下的网络,然后点击新建,选择网络规则;
在新建网络规则向导页,输入规则名称,在此我命名为Internal to Branch,点击下一步;
在网络通讯源页,点击添加,选择网络目录下的内部,点击下一步;
在网络通讯目标页,点击添加,选择网络目录下的branch,点击下一步;
在网络关系页,根据你自己的需要进行选择,在此我选择路由,然后点击下一步;
在正在完成新建网络规则向导页,点击完成;
此时,网络规则就创建好了。我们还需要创建允许内部和远程站点之间互访的访问规则,在此我忽略具体的访问规则创建步骤,创建好的访问规则如下图所示:
点击应用保存修改和更新防火墙策略;等到阵列中全部服务器配置文件都同步后,
你会发现需要重启ISA服务器计算机的提示,重启阵列中的所有服务器。
在公司分部阵列GERMAN上配置总部的PPTP模式的远程访问站点
现在我们在Berlin上部署阵列GERMAN的站点到站点的VPN服务,首先需要启用阵列GERMAN的VPN客户访问。在Berlin上打开ISA管理控制台,展开GERMAN阵列,点击虚拟专用网节点,在右边的任务面板中点击定义地址分配链接;
在弹出的VPN属性的地址分配标签,选择静态地址池,点击添加,
在弹出的服务器IP地址范围属性对话框,选择服务器为Berlin,输入IP地址范围为192.168.1.1~192.168.1.100,点击确定;
然后在服务器IP地址范围属性对话框点击确定;
然后点击启用VPN客户端访问链接;
此时,链接变为禁止VPN客户访问,表明已经允许了VPN客户访问。点击配置VPN客户访问链接进行配置;
在VPN客户端属性对话框,首先在常规标签,你可以修改你需要的最大同时连接的VPN客户数量。由于我们设置的静态地址池为100个IP,每段IP的第一个IP将会给ISA服务器使用,所以给客户使用的IP数为99,在此我们输入的数量就不能超过99。在此我接受默认的数量5,然后点击协议标签,勾选启用PPTP和启用L2TP/IPSec,点击确定;
在中部的细节面板点击远程站点,再点击右边任务面板中的添加远程站点网络;
在欢迎使用网络创建向导页,输入远程站点的名字,输入Main(必须和前面所创建的VPN拨入账户名一致),点击下一步;
在VPN协议页,选择点对点隧道协议(PPTP),点击下一步;
在弹出的拨入用户账户必须和站点同名的警告对话框,点击确定;
在连接所有者页,选择Berlin,点击下一步;
在远程站点网关页,输入远程VPN网关的名称或IP地址,如果输入名称,确保可以正确解析。在此我们输入Florence的外部IP地址39.1.1.1,点击下一步;
在远程身份验证页,勾选本地站点可以使用这些凭据来初始化到远程站点的连接(这样可以让内部用户进行请求拨号来主动连接远程VPN站点),然后输入远程VPN网关上创建的具有拨号权限的对应于远程站点的用户名和密码,注意,这个用户名必须和远程VPN网关上创建的远程站点的名字相同,在此为我们前面在Florence上创建的用户branch,输入branch和对应的密码,点击下一步继续;
在网络地址页,点击添加输入远程网络的IP地址范围,在此我输入公司总部的网络地址范围10.1.1.0~10.1.1.255,点击下一步;
在正在完成新建网络向导页,点击完成;
在弹出的可能会导致RRAS服务重启的警告框,点击确定;此时,远程站点就建立好了。
【转自世纪安全网 http://www.21safe.com】
|
网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)