Internetworking Guide Microsoft 2000 Server R Microsoft Press Межсетевое взаимодействие Microsof 2000 Server 2002 УДК 004 Microsoft Corporation Межсетевое взаимодействие. Ресурсы Microsoft ...
-- [ Страница 6 ] --Для серверов RAS под управлением Windows NT эта модель Описанные здесь административные модели являются рекомендуемы ми методами управления удаленным доступом. Вы можете использовать их но делайте это осторожно. Неправильная настройка может привести к от клонению запросов на соединение, которые должны приниматься, и принятию росов, которые должны отклоняться. Для устранения проблем в таких сложных конфигурациях Вы знать логику, по которой сервер удаленного обрабатывает запросы на соединения, или включить запросов на а затем просмотреть журнал.
Дополнительную о политиках доступа и примерах их ис пользования см. в справочной системе Windows 2000 Server.
Учет в IAS В разделе описываются средства учета, поддерживаемые и форма ты файла IAS.
Учет в RADIUS IAS поддерживает протоколирование учетной информации RADIUS, основе ко торой администратор может отслеживать использование сетевых ресурсов в аудита и Средства учета RADIUS Х собирать учетную информацию в режиме реального Х хранить учетную информацию в централизованном Х использовать для анализа учетной информации RADIUS продук ты сторонних Если клиент настроен на учет через RADIUS, то в момент ему кого-либо сервиса он генерирует пакет Start, описывающий тип сервиса и пользователя, которому этот сервис предоставляется, посылается на сервер учета RADIUS, который возвращает подтверждение о при еме пакета. По окончании использования сервиса клиент т Accounting Stop, описывающий тип сервиса и такую часть), как длительность использования сервиса, число х и октетов или число входящих и исходящих пакетов. Этот пакет дается учета RADIUS, который возвращает подтверждение о его приеме.
Пакет Accounting-Request (Start или Stop) направляется серверу учета RADIUS по Если в времени ответ не приходит, передача пакета повто ряется определенное число раз. того, в отсутствие ответа от основного сер 328 ЧАСТЬ 2 доступ он выключен или недостижим) клиент может пересылать пакеты на до полнительный сервер или серверы. Передама на сервер осуществляется либо после числа неудачных попыток с ным сервером, либо поочередно Ч то то дополнительному серверу. Если серверу учета не удается успешно записать учетный пакет, он не посыла ет клиенту подтверждение о его приеме. Так, если файл журнала переполнен, IAS начинает поступающие пакеты с учетными данными. Это заставляет сервер NAS на резервный сервер IAS.
Файл журнала IAS IAS способна файл на основе данных, возвращаемых серверами доступа в сеть. Эта информация для учета использования сетевых ресур сов и информации с учета (например, для выявления отсутствующих записей или случаев счетов), IAS поддерживает два формата файла и базы Формат базы данных следить за набором а формат обеспечивает более высокую степень детализации и содержит ин обо всех атрибутах.
Формат базы данных следует если Вы хотите импортировать инфор мацию непосредственно в базу а формат Ч если Вам нужна более де тальная не форматом базы данных.
Примечание Файл журнала 1AS все события IAS, с телями. События 1AS, к системе или самой службе 1AS, записывают ся в системный журнал событий.
Аутентификация в IAS и режимы работы доменов Windows В разделе основное внимание уделяется средствам аутентификации IAS и их в различных режимах работы доменов Windows. Эта информация лезна при принятии решений о выборе конкретного режима домена, в котором раз 1AS.
IAS запросы, по протоколу RADIUS в 2000 или смешанного режима, доменах Windows NT 4. или в локальной базе Windows 2000 на автономном сервере IAS.
Набор средств 1AS, доступный администраторам, зависит от ре жима домена, в котором проходит аутентификация пользователя.
Windows 2000 основного режима Домен Windows 2000 основного режима обеспечивает наибольшую гибкость в уп равлении удаленным доступом на членства пользователей в группах.
Х Полное управление на удаленный доступ через группы. Админи стратор может использовать универсальные для создания единой поли тики в регистрируемых в разных доменах.
ГЛАВА 8 Служба проверки подлинности в Интернете Х Возможность удаленной к корпоративной. для сети как статические.
Х Поддержка names, Х У пользователей может и то же независимо от их к Это необходимую в организациях с большим числом доменов.
Ниже приведен список аутентификации и управления удаленным досту пом, поддерживаемых сервером IAS, который в Windows режима.
Х Параметры входящих в свойствах учетной записи пользователя;
Х все на удаленный в том числе Allow access (Разрешить доступ), Deny access доступ) и Control access through Remote Access Policy на основе политики удаленного доступа);
Х идентификация Х параметры ответного вызова;
Х статический IP-адрес;
Х статические Х Поддержка и групп.
Х Чтобы сервер IAS мог обращаться к параметрам звонков ких учетных в Directory, быть в группу безопасности RAS and IAS Servers (Серверы RAS и IAS). Для этого Вы мо жете воспользоваться Directory Users and Computers (Active Directory - и компьютеры), зарегистрировать сервер IAS в Internet Authentication Service (Служба проверки подлинности в или ввести netsh ras add Домены Windows 2000 смешанного режима и домены NT 4. Домены Windows 2000 режима используются в при де с на Windows 2000. С точки IAS, домен Windows смешанного режима то же самое, что и Windows NT 4.0. Сервер в домене Windows 2000 смешанного режима, следующие и управления удаленным Х Параметры звонков в свойствах учетной записи пользователя:
Х разрешения доступа Ч только Allow access (Разрешить доступ) и access (Запретить доступ). Отсутствие Control access through Remo te Access Policy (Управление па основе политики доступа) ус групп при па основе так как решение на удаленный доступ в записи пользователя высокий чем в удаленного доступа. Под робнее об управлении па политик в смешанного режима см.
раздел ранее в этой главе.
Х Параметры ответного вызова.
330 ЧАСТЬ 2 доступ Как и в доменах Windows 2000 основного режима, сервер IAS получает доступ к параметрам звонков в свойствах учетных записей, хра нящихся в Active если компьютер, на котором работает служба включен в группу безопасности RAS and Servers (Серверы RAS и IAS). Для этого Вы можете оснасткой Active Directory Users and Computers (Active Directory - пользователи и компьютеры), зарегистрировать сервер IAS оснастке Internet Authentication Service (Служба проверки подлинности в Интер или ввести команду ras add Если сервер IAS входит в домен NT 4.0 и пытается в доверяемом домене Active Directory, он не получает доступа к Active Directory, так как учетную запись его компьютера нельзя включить в группу безопасности RAS and IAS Servers. Но Бы можете включить группу Everyone (Все) в группу 2000 Compatible Access. Для этого командой net 2000 Compatible Access. В случае отрицательного результата команду net localgroup 2000 Compatible everyone /add на контроллере домена и перезагрузите его.
Автономные серверы под управлением Windows Такие можно использовать в очень малых сетях без доменов. Все пользо ватели определяются в локальной базе учетных данных на автономном сервере.
Ниже перечислены средства аутентификации, автономным серве ром IAS под Windows Х Параметры входящих звонков в свойствах учетной записи пользователя:
Х разрешения на удаленный в том числе Allow access доступ), Deny access доступ) и Control access through Remote Access Policy (Управление на основе политики удаленного доступа);
Х Х параметры ответного вызова;
Х статический IP-адрес;
Х статические Автономные серверы Windows 2000 поддерживают универсальные груп пы и Параметры входящих звонков в свойствах учетных записей пользователей можно администрировать через Network Connections (Сеть и удаленный дос туп к сети) или Local and Groups (Локальные и Различия в поведении 1AS под управлением Windows и Windows NT Предыдущая версия IAS поставлялась в составе Windows NT 4.0 Option Pack. Здесь поясняются различия в поведении версий IAS.
IAS в Windows NT Х Если в не имя домена, сервер IAS прове ряет пользователя только по SAM.
ГЛАВА 8 Служба проверки подлинности в Интернете Х Не ответного вызова для любых пользо вателей.
Х Файлы журнала IAS в ASCII.
Поведение IAS в Windows Х В процессе аутентификации IAS разрешает имя имени домена в последовательности.
1. IAS находит в реестре домен но если таковой указан.
2. сервер IAS входит в какой-нибудь домен, пользовате ля в домене.
3. Если сервер IAS не ни в один домен, осуществляется на основе локальной базы SAM.
Х Поддерживаются разрешения ответного для любых пользо вателей, Х Файлы журнала IAS записываются в колировке Некоторые вопросы безопасности В этом разделе рассматриваются вопросы безопасности IAS и даются рекоменда ции по RADIUS-прокси Пользователь должен несколькими методами. Иначе воз никает риск выбора наименее безопасного метода из числа возможных. Во избежа ние этого Вы должны определить для каждого пользователя метод аутентификации. Если пользователю нужно применять разные методы аутентифи кации в разных обстоятельствах, следует назначить ему несколько имен, и с каж дым из свой метод Пароли и другие данные должны храниться на обеих сторонах соединения;
при этом доступ к такой должен быть максимально ограничен.
В идеале секреты должны быть доступны только запрашивающему доступ процес су, чтобы можно было выполнить аутентификацию. Круг лиц, имеющих к секретам, следует свести к минимуму. У посторонних лиц не должно быть ности получить эти секреты.
дополнительную защиту любых служб, работающих в какой-либо операционной системе. В качестве брандмауэра может выступать ком пьютер Windows NT или 2000 с Microsoft Proxy Server или аналогичным программным от стороннего Брандмауэр может работать на том же компьютере, что и сервер IAS.
Один вариантов применения Proxy Server Ч скрытие IP-адреса сервера. В этом случае сервера IP-адресом прокси-сервера. Кроме того, Вы можете брандмауэры от поставщиков и пропускать ко который связан с сервером IAS и на порты, 332 ЧАСТЬ 2 Удаленный доступ сервером RADIUS. Для большей защиты разрешите пропуск к серве ру RADIUS лишь с IP-адресов иди Блокировка учетной записи удаленного доступа блокировки учетных записей позволяет задавать число попы ток аутентификации, по достижении которого любые попытки по дан ной записи будут отклоняться. Подробнее о блокировке учетных записей удаленного см. главу 7 Сервер удаленного в и оптимизация 1} этом Вы найдете по тонкой настройке службы IAS и ее Здесь же дается которая будет полезна при производительности и работоспособности IAS.
При тонкой настройке сервера IAS во внимание следующие соображения.
Х IAS аутентификацию на контроллере домена основного режима, па контроллере должен храниться гло бальный каталог.
Х Соединения между серверами и TAS или сервером IAS и контроллером задержками могут отрицательно сказаться на длительнос ти процесса аутентификации, а также вызывать повторы передачи и При IAS в очень средах (с милли онами удаленных в условиях когда за одну секунду приходится обрабатывать огромное число запросов на аутентификацию и пакетов учетной информации, принять во внимание следующие сооб Х Число запросов на аутентификацию в которое сможет обрабатывать IAS, зависит от оборудования, на контроллере домена. Более быстрый контроллер домена обеспечит более высокую пропускную способность, Х Подумайте об использовании раздельных серверов IAS для аутентификации и Х работы сервера IAS на домена с глобаль ным Это снизит задержки в передане и увеличит пропуск способность.
Х Для достижения максимально способности укажите в параметре реестра число запросов на аутентификацию, одно временно сервером 1AS и контроллером Информацию о нужном параметре реестра см. л справочной системе Windows 2000 Server, Х может несколько серверов 1AS и Win dows Load Service (эта служба имеется только в Windows 2000 Advanced Server) для перенаправления всех NAS на один IP-адрес, представля пул серверов 8 Служба подлинности в Мониторинг производительности и работоспособности сервера IAS Протокол аутентификации RADIUS различает функции клиента и аутентификации через посылают а сер веры отвечают пакетами и Access-Challenge.
обычно клиента и реализуют МПЗ-клиент ции RADIUS;
IAS функции и реализуют аутентификации При сервера чаще используются два счетчика оснастки Х Access Request/sec доступа/сек);
Х Accounting Request/sec (Запросов данных/сек), Наиболее часто используемые для счетчики описываются в следующем разде ле. Подробнее о SNMP поддерживаемых см. главу 10 SNMP в книге Сети TCP/IP* из серии Ресурсы Microsoft Windows 2000 Server.
Выявление и устранение проблем Здесь представлена информация об проблем в работе IAS и о тике с помощью Network Monitor монитор), Проблемы с конфигурацией IAS В этом разделе кратко рассматриваются в конфигурациях IAS и методы их Во всех случаях подлинный пользователь может вой в сеть, а в Event (Просмотр событий) показывается одно из со общений об ошибке.
Unknown user or имя пользователя млн >) The does not exist (Пользователь с указанным не существует) specified domain does not exist домен не Не исключено, что ввел неправильное имя или пароль. имя и пароль в его учетной записи и что они введены правильно и что эта учетная запись допустима для домена, в котором IAS пользователя.
Также что правила замены сфер (realm replacement rules) заданы но или не в том порядке, и этого домена не распознает имя вателя. Исправьте правила замены сфер (см. систему Server).
Если сервер доступа является членом а в ответе от ля нет имени домена, IAS подставляет имя домена, в который входит этот удаленного доступа. Чтобы IAS в таких случаях использовала имя другого присвойте нужное параметру в разделе реестра (на с сервером IAS):
334 ЧАСТЬ 2 Удаленный доступ Внимание Не модифицируйте реестр самостоятельно (с помощью редактора реест ра) Ч это лить в крайнем случае, когда другого выхода нет, В отличие от инструментов управления редактор реестра обходит средства защиты, не допускать ввода конфликтующих значений параметров, а также тех, могут снизить быстродействие системы или привести к ее краху. Прямое редактирование реестра может повлечь за собой непредсказуемые последствия, и Вам придется переустанавливать Windows 2000. Для и конфигурирова ния 2000 по возможности используйте Control Panel (Панель или Microsoft Console (Консоль управления Microsoft).
Некоторые серверы NAS автоматически удаляют имя из имени ля перед его пересылкой серверу RADIUS. Отключите удаление имени домена из имени пользователя. см. документацию на Ваш NAS.
The authentication type is not supported on this тип проверки не поддерживается на этом Пользователь пытается задействовать метод не на этом компьютере. Например, пользователю тип ЕАР, не на сервере. Для включения требуемого протокола измените профиль удаленного доступа.
Если политика доступа отклоняет запрос пользователя на соединение, могут следующие сообщения.
"The user's information did not match a remote access policy (Информация о пользователе не соответствует политике удаленного доступа) The user is not access to network пользователю не доступ к сети) User attempted an unauthorized authentication method пытался применить неразрешенный метод проверки подлинности) User to connect from an unauthorized calling station пытался подключиться через неразрешенную станцию вызова) User tried to dial-In outside permitted hours (Пользователь пытался подключиться за пределами разрешенного времени) User tried to connect by unauthorized NAS phone number (Пользователь подключиться через неразрешенный телефонный номер NAS) User tried to connect using invalid port (Пользователь пытался подключиться через неправильный тип A constraint defined in the remote access policy (лHe выполнено ограничение, определенное в политике удаленного Доступ может быть запрещен пользователю одной из политик доступа.
и проверьте, не исключили ли Вы пользователей, ко торым должен предоставляться доступ. Проверьте в событий, не пытается ли пользователь подключиться с параметрами, не разрешенными политикой уда доступа (например, запрещенное время, через тип ГЛАВА 8 Служба проверки подлинности в Интернете с телефонного или по недоступному для данного вателя телефонному Внесите соответствующие изменения в ки доступа.
Также возможен неверный порядок Запрос на соеди принимается или отклоняется первой политикой, условия которой соответ параметрам данного Переместите нужную с кнопки Move Up (Вверх) выше по списку.
has the счетчик входящих подключений) Если включена функция блокировки учетных записей, предыдущая неудачная по пытка соединения могла привести к учетной данного пользова теля. Если это так, увеличьте пороговое счетчика, используемого цией блокировки.
The account currently locked out and might be to этого пользователя в данный момент заблокирована и не может использоваться входа в Учетная и аутентификация по ней невозможна.
user is not allowed dial-in access to the network пользователю не доступ к сети) Пользователю может быть удаленный доступ. Проверьте, ли пользователю удаленный доступ в учетных данных на контроллере домена или в оснастке Local Users and Groups пользователи и группы). Эта инфор мация переопределяет любую политику, разрешающую The current configuration supports only user accounts (Текущая конфигурация только локальные учетные записи настроен на в локальной данных SAM, а пользователь не в этой базе. В таком случае включите сервер IAS в Active Directory.
The user's account is (Домен учетной записи пользователя недоступен) The server is (Сервер The domain not exist домен не существует) IAS not the Global Catalog (лIAS не доступа к каталогу) Возможна проблема со связью между серверами NAS и IAS или между IAS и контроллером домена или сервером глобального каталога. Для проверки свя с контроллером домена сервером глобального каталога используйте ping. Если команда ping сработала, попробуйте подключиться к серверу коман дой net use Если после этого в журнале IAS не по никакой по журналу событий Windows 2000, не было ли при попытке подключения.
Клиентский компьютер может быть настроен на CHAP, a Active Directory не скон фигурирована на использование нешифрованных паролей. Чтобы использовать протокол аутентификации CHAP, настройте профиль входящих подключений пользователя или на CHAP. NAS и пользовательская программа лозвона до сервера диспетчер подключений) должны быть настроены 336 ЧАСТЬ 2 Удаленный доступ на по CHAP. Вы также должны CHAP на контроллере Некоторые серверы NAS распознают не символы, которые IAS принимает для общих секретов. Попробуйте общий секрет так, чтобы он состоял из алфавитно-цифровых знаков.
Не что сервер NAS посылает пакеты, не соответствующие ожидаемому IAS. Щелкните правой мыши Authentication Service (Служба проверки подлинности в Интернете) и выберите команду Properties (Свойства). Убедитесь, что флажок Log rejected or authentication requ ests отказов на подлинности) а просмотрите журнал на того, не ли какие-нибудь непод ходящие пакеты. Если дело обстоит так, то, придется в IAS какие-то особые атрибуты вендора.
Возможно, что серверу IAS удается подключиться к домену. Убедитесь, что 1AS использует имя домена. Если имя домена корректно, убедитесь, что сер вер 1AS входит в этот домен или что между доменом и доменом, к которому относится IAS, У сервера 1AS нет разрешения на просмотр объектов пользователей в Direc tory. сервер IAS в Active Directory.
Учетная запись в лесу Active Directory, отличном от леса, в который сервер Для запроса на серверу IAS, который включен в другой лес Active используйте прокси.
Пользователь пытается применить 128-битное шифрование. В IAS шифрование тоже разрешено, но в службе маршрутизации и удаленного дос тупа Ч нет. Выберите в службе маршрутизации и удаленного доступа уровень шиф рования (Если переключатель отсутствует, установите Microsoft Pack.) Вашему метод маршрутизации (с разбиением на кадры), а па сервере IAS он не Включите этот метод мар Чтобы включить метод маршрутизации В оснастке IAS раскройте узел Remote Access Policies (Политика удаленного доступа), а затем дважды щелкните имя политики, применяемой к пользовате лям, которым не удается войти в 2. Щелкните кнопку Edit Profile (Изменить профиль), перейдите на вкладку Advanced и щелкните кнопку Add (Добавить).
3. В списке атрибутов RADIUS дважды щелкните атрибут Framed Routing (Framed-Routing).
4. В ноле со списком Attribute value (Значение атрибута) выберите None (None).
Вашему NAS может сжатие для TCP/IP но методу Ван compression), не предлагаемое в IAS по умолчанию. Настрой те IAS на сжатия для TCP/IP по методу Van Jacobsen ГЛАВА 8 Служба проверки подлинности Интернете Чтобы настроить IAS на сжатие для TCP/IP по методу Van Jacobsen:
1. В оснастке IAS раскройте Remote Access Policies, а затем дважды имя политики, применяемой к которым не удается пойти в систему.
2. Щелкните Edit Profile, перейдите вкладку Advanced и Add.
3. В списке атрибутов RADIUS дважды щелкните Compression 4. В со списком Attribute value Van Jacobsen TCP/IP header compression (Van header compression).
Если на сервере NAS установлен параметр а на сервере IAS Ч пет, не смогут в систему. параметр Framed-MTU в JAS и убедитесь, что он тому же параметру на сервере Чтобы изменить значение параметра Framed-MTU:
В оснастке IAS раскройте узел Remote Access Policies, а затем дважды ните имя политики, применяемой к пользователям, которым не удается в систему.
2. Щелкните кнопку Edit Profile, перейдите на вкладку Advanced и щелкните кнопку Add.
3. В списке атрибутов RADIUS щелкните атрибут Framed MTU 4. В поле Attribute value введите значение, соответствующее настройкам NAS.
Если IAS возвращает пакет используя сетевой от того, по которому был принят пакет сервер не та кой пакет, В этом случае проверьте настройки сервера IAS.
Если запрос возвращается через RADIUS-прокси, то не исключено, что он не под держивает некоторые расширения, Х если Вы хотите, чтобы Ваши пользователи по RADIUS-прокси должен поддерживать подписи (в соответствии с расширениями RADIUS);
Х если Вы хотите, чтобы ные туннели, RADIUS-прокси должен шифрование для Х если для требуется Microsoft Encryption, RADIUS-прокси поддерживать шифрование Просмотрите документацию на RADIUS-прокси и проверьте, поддерживает ли он нужные Вам расширения.
Какая-то политика удаленного доступа может принимать запросы на соединение от пользователей, которым должен Проверьте список поли тик и убедитесь, что Вы не включили в одной из доступ которым должен быть запрещен. Проверьте, не заданы ли свойства входящих ков объекта пользователя, переопределяющие параметры в удаленного 338 ЧАСТЬ 2 Удаленный доступ доступа. Также не исключено, что порядок перечисления политик неверен. Доступ или первой же политикой, условия которой приме нимы к пытающемуся подключиться пользователю. Кнопка Move Up по зволяет переместить политику, запрещающую доступ пользователям, выше по списку.
IAS настроена на ведение журнала отказов на запросы аутентификации. Вклю чите эту функциональность IAS и проверьте, не зарегистрированы ли пакеты. NAS может требовать для учета в RADIUS другой общий секрет. что общий секрет для учета идентичен используемому для аутен тификации.
В профиле входящих подключений политики удаленного доступа не выбрано параметры профиля и убедитесь, что IAS настрое на на по CHAP. Также убедитесь, что сервер NAS настроен на этот метод (см. документацию на сервер NAS).
Кроме тото, контроллер домена должен быть настроен на хранение обратимо шиф руемых паролей.
Х После включения режима хранения паролей в обратимо шифруемом виде, теку щие пароли не преобразуются в эту форму автоматически. Вы должны либо сбросить их, либо пароля для каждого пользователя при сле дующем входе в систему.
Х После переключения контроллера из смешанного режима в основной, перезагрузите все контроллеры домена, чтобы репликация из менений.
Х Перезагрузите контроллеры домена, чтобы серверы вновь могли получать к ним доступ.
Если служба и удаленного доступа на аутен тификацию через RADIUS, доступ к политикам возможен только через оснаст ку IAS. Это сделано преднамеренно, Подробнее об устранении проблем с см. справочную систему Windows Server.
Применение Network Если после проверки базовой IAS решить проблему не ис пользуйте Network Monitor (Сетевой монитор) для трассировки и пос ледующего анализа данных.
Применяя NetMon для устранения проблем с IAS, учтите следующие соображения.
Х NetMon должен быть установлен на компьютере, на котором работает сервер IAS.
Х Если Вы NetMon сетевой то увидите лишь трафик, адресованный компьютеру, где запущен NetMon.
Об установке и использовании NetMon см. книгу Сопровождение из серии Microsoft Windows 2000 Server.
Для источника в работе RADIUS средствами NetMon нужно на фильтрацию пакетов RADIUS.
ГЛАВА 8 Служба проверки подлинности в Чтобы фильтровать RADIUS-пакеты в трассировочной информации NetMon:
1. Выполните трассировку в ситуации.
2. Выберите из меню Display (Отображение) команду Filter (Фильтр).
3. Выберите Protocol = Any (Протокол Любой), а затем щелкните Edit Expression Выберите Disable All (Отключить все), отключить все В укажите RADIUS protocol (Прото кол RADIUS) и щелкните Enable (Включить).
4. Щелкните кнопку ОК.
Виртуальные частные сети Windows 2000 виртуальные сети networks.
VPN), позволяющие подключать клиенты и офисы к корпоративным сетям Интернет. Как специалист по сетям, Вы должны области при менения виртуальных частных сетей, а также и на они РРТР Tunneling Protocol), L2TP (Layer Two Tunne ling Protocol), средства адресацию и в и т. д. Кроме того, здесь предполагается, что Вы хорошо TCP/IP, IP-маршрутизацию, и доступа Windows 2000.
В этой главе Обзор РРТР и Защита виртуальных частных сетей Адресация и при виртуальных частных сетей Виртуальные частные сети и брандмауэры частные сети и и проблем См. также Х Подробнее о TCP/IP Ч главу 1 Введение в TCP/IP книге TCP/IP из серии Ресурсы Microsoft Windows Х Об Ч главу 8 в TCP/IP из серии Ре сурсы Microsoft Windows 2000 Server.
Х IP-маршрутизации главу ция в этой книге.
Х О с по требованию Ч главу 6 Маршрутизация с по в этой книге.
ГЛАВА 9 Виртуальные частные сети О сервере удаленного Windows 2000 Ч главу 7 Сервер удаленного до в книге.
Обзор Виртуальная частная сеть private network, VPN) Ч это расширение част ной сети, включающей соединения через общедоступные сети вроде Интернета.
позволяет передавать данные между двумя компьютерами по общедоступным сетям, эмулируя свойства частного канала связи Для канала данные инкапсулируются в пакет с за головком, который содержит о маршрутах, для пересил ки этого пакета в конечную точку по общедоступным сетям. Кроме того, емые данные зашифровываются. Злоумышленник, перехватив такие пакеты в об щедоступной сети, расшифровать их без соответствующих шифроваль ных ключей. Канал которого данные лируются и зашифровываются, называется VPN-соединением.
Логическую концепцию иллюстрирует рис. 9-1.
VPN-соединение Рис. 9-1, Виртуальная частная сеть (VPN) VPN-соединение дает возможность пользователю, работающему дома или в доро ге, получать удаленный доступ к серверу своей организации через инфраструктуру общедоступных сетей, например через Интернет. С точки зрения пользователя, Ч это типа между его том) и сервером организации (VPN-сервером). Конкретная инфраструктура обще сети имеет для него никакого поскольку VPN-соедине 342 ЧАСТЬ 2 Удаленный доступ такое впечатление, будто данные передаются по выделенному част ному каналу, VPN-соединения также организациям создавать маршрутизируемые подключения к территориально удаленным офисам и другим организациям по сетям тина Интернета, в то же время обеспечивая защиту коммуни кационных связей. (routed VPN connection) Интернет на логическом уровне обрабатывается как выделенный WAN-канал.
Обладая свойствами как удаленных, так и маршрутизируемых соединений, VPN организации междугородные выделенные или ком мутируемые линии удаленного доступа на локальные выделенные линии или уда ленный доступ по коммутируемой линии к местному провайдеру (Internet service provider, ISP).
Элементы VPN-соединения VPN-соединение в Windows 2000 включает следующие элементы (рис. 9-2).
VPN-сервер. Компьютер, принимающий на VPN-соединения от VPN-кли ентов. VPN-сервер поддерживает удаленного доступа и VPN-со единения между маршрутизаторами. Подробнее см. раздел лее в этой главе.
VPN-клиент. Компьютер, инициирующий с VPN-сервером. VPN клиент может быть автономным компьютером, используемым для удаленного дос тупа, или маршрутизатором, принимающим VPN-соедине ния. Компьютеры под управлением Windows NT версии 4.0, Windows 2000, Win dows 95 или 98 могут VPN-соединения удаленного доступа с VPN-сервером Windows 2000, а компьютеры под управлением Windows 2000 Server и Windows NT Server 4.0 и службы и удаленного доступа (Routing and Access service, RRAS) Ч межмаршрутизаторные VPN-соединения с VPN-сервером Windows 2000. VPN-клиент может быть клиентом любой реализа ции РРТР Protocol) или L2TP (Layer Two Tunneling Protocol) (не только от Microsoft).
Часть соединения, по которой данные передаются в инкапсулированном виде.
Часть соединения, по которой данные передаются в шифрованном виде. В случае безопасных VPN-соединений данные зашифровываются и инкапсу лируются на и той же части соединения.
Существует возможность туннеля и передачи данных по нему без Но это не так как конфиденциальные дан ные будут передаваться по общедоступной сети в легко читае мом виде.
Протоколы тунпелирования протоколы). Коммуникационные стандарты, применяемые для туннелями и инкапсуляции конфиденци альных данных. также зашифровываются.) Windows включает РРТР и (см. разделы РРТР и и IP-безопасность далее в этой Виртуальные частные сети Данные, которые обычно по частному связи типа точка-точка.
Транзитная межсетевая среда. Открытая или общедоступная межсетевая среда, через которую данные. В случае Windows является межсетевая IP-среда. Транзитной межсетевой может быть Интернет или частная Туннель VPN-соединение VPN-сервер ХТранзитная межсетевая среда VPN-клиент Рис. 9-2. Элементы VPN-соединения Создание VPN-соединения во многом аналогично установлению точка-точка по коммутируемой линии или при маршрутизации с соединением по требованию. Существует два типа VPN-соединений: VPN-соединение удаленного (remote access VPN connection) и VPN-соединение между рами (router-to-router VPN connection).
VPN-соединение удаленного соединение инициируется клиентом доступа (компьютером ин дивидуального который к частной сети.
предоставляет доступ к своим ресурсам или ко всей сети, с которой он связан. Паке передаваемые по VPN-соединению, генерируются удаленного Клиент удаленного доступа (VPN-клиент) на сервере удаленно го доступа (VPN-сервере), а тот Ч на клиенте (в случае взаимной аутентификации).
VPN-соединение маршрутизаторами Данное VPN-соединение инициируется и два та частной сети. VPN-сервер предоставляет соединение с сетью, к которой он При VPN-соединении между пакеты одним из пик и генерируются другими компьютерами.
Вызывающий маршрутизатор (VPN-клиент) аутентифицируется на отвечающем а на вызывающем (в случае взаимной аутенти фикации).
Свойства VPN-соединений VPN-соединения, и поверх обеспечивают:
Х Х аутентификацию подлинности);
344 ЧАСТЬ 2 Удаленный доступ Х данных;
Х назначение адресов и серверов имен.
Инкапсуляция Технология инкапсуляцию частных (конфиденциальных) з пакет с заголовком, необходимым для этих данных тран зитную межсетевую среду.
Для VPN-соединений поддерживается аутентификация двух видов.
Х Аутентификация пользователя. Для VPN-соединения нужно, чтобы VPN-сервер VPN-клиент, соедине ние, и проверял наличие у разрешений. При взаимной аутентификации VPN-клиент тоже что обеспе чивает защиту от VPN-серверов.
Х Аутентификация и проверка целостности данных. Если Вы хотите ровать подлинность источника данных, передаваемых по VPN-соединению, и ис ключить вероятность их модификации в процессе то включать в них криптографическую сумму, которая вычисляется на основе ключа, известного лишь отправителю и получателю Шифрование данных Чтобы гарантировать при передаче по открытой меж сетевой среде, отправитель их, а получатель расшифровывает.
и расшифровки невозможны без знания обеими сторонами общего шифровального ключа.
Пакеты, перехваченные на своем пути по через транзитную меж сетевую среду, бесполезны для злоумышленника, не знающего шифровального клю ча. Существуют вычислительные методы, позволяющие шифровальный ключ, но чем он длиннее, тем больше нужно вычислительных мощностей и ни. Поэтому длина ключа Ч важнейший параметр защиты.
Кроме того, чем больше одним и тем же ключом, легче ее расшифровать. В связи с некоторые технологии шифрования по указывать частоту смены ключа в сеанса связи.
Подробнее об управлении шифровальными ключами применительно к ям в Windows 2000 см. раздел Защита виртуальных частных далее в этой главе.
адресов и серверов имен При VPN-сервера создается виртуальный который ус Когда VPN-клиент запрашивает VPN-соеди нение, на нем тоже создается виртуальный интерфейс. Далее виртуальный интер фейс VPN-клиента к виртуальному интерфейсу VPN-сервера, и со VPN-соединение типа Виртуальным интерфейсам VPN-клиента и сервера должны быть IP-ад реса. Их назначение VPN-сервером. По умолчанию получает IP-адреса для себя и DHCP (Dynamic Host ГЛАВА 9 Виртуальные частные сети ration Protocol), Вы пул IP-адресов, и маске подсети.
Серверы имея и также в процессе установле VPN-клиент получает от IP-адреса DNS- и к к которой VPN-сервер.
через Интернет или интрасети VPN-соединения удобны для пользователей или сетей му каналу типа Типичные VPN-соединения осуществляются либо либо через интрасети.
VPN-соединения через Интернет Используя такие Вы избегаете расходов па междугородную и/или меж дународную связь и в то же все преимущества Интернет-коммуникаций.
Удаленный через Интернет Клиент удаленного Ч вместо того чтобы связываться с корпоративным или доступа сеть междугородной связи Ч мест ному ISP. Установив физическое соединение с 1SP, до ступа VPN-соединение через с VPN-сервером своей создания VPN-соединения клиент удаленного доступа может обра щаться к ресурсам частной интрасети.
Схема удаленного доступа через Интернет показана на рис. 9-3.
г VPN-соединение Интрасеть Рис. 9-3. VPN-соединение, связывающее удаленный клиент с частной сетей через Интернет Когда сети соединяются через (рис. 9-4). один маршрутизатор пересыла ет пакеты другому но VPN-соединению. С точки зрения маршрутизаторов, действует как сети.
ЧАСТЬ 2 доступ Х VPN-соединение Х Выделенный Центральный или коммутируемый канал офис канал связи с ISP с ISP Рис. 9-4. VPN-соединение, связывающее две удаленные сети через Интернет Соединение сетей с использованием выделенных WAN-каналов. Маршрутизато ры офисов подключаются не через дорогостоящий междугородный выделенный WAN-канал, а через Интернет с использованием локальных выделенных WAN-ка налов связи с местными ISP. VPN-соединение инициируется одним из маршрути заторов. После соединения маршрутизаторы могут друг другу любой трафик.
Соединение с использованием коммутируемых WAN-каналов. Маршрути затор филиала Ч того чтобы с корпоративным или сервером доступа в сеть по междугородной или международной теле фонной линии Ч звонит местному ISP. Используя соединение с местным ISP, мар шрутизатор филиала VPN-соединение с корпо ративным маршрутизатором-концентратором черен Интернет. Корпоративный мар шрутизатор-концентратор, выступающий в роли VPN-сервера, должен под ключен к местному ISP по WAN-каналу.
Подробнее о настройке VPN-соединений, создаваемых на коммутируемом чении с местным ISP, см. раздел Адресация и маршрутизация при виртуальных частных далее в главе.
Оба офиса можно подключить к по коммутируемым WAN-каналам, Но это только если ISP поддерживает для своих маршрутизацию с соединением по требованию;
в этом случае ISP, получив IP-дейтаграмму, которую нужно доставить заказчику, маршрутизатор. Такой сервис предостав ляют ISP.
VPN-соединения через интрасети Такое VPN-соединение использует преимущества поддержки IP-соединений в инт расети организации.
доступ через интрасеть В некоторых информация, принадлежащая какому-либо напри мер отделу настолько конфиденциальна, что соответствующий сегмент сети физически отключается от остальной части интрасети Хотя этот спо соб надежно защищает конфиденциальную он создает проблемы с доступом к ней для пользователей, не подключенных к отделенному сегменту сети.
Применение VPN-соединений позволяет физически сегмент сети от дела, имеющего дело с конфиденциальной информацией, к интрасети организации, но отделить VPN-сервером, который не обеспечивает 9 Виртуальные частные сети мое соединение между и отделенным сегментом Пользователи с соответствующими разрешениями могут устанавливать с VPN-сервером VPN-соединения удаленного доступа и обращаться к защищенным ресурсам. Кроме того, все данные, передаваемые по нию, зашифровываются для обеспечения их конфиденциальности.
не имеющим прав на установление такого отделенный сегмент сети не виден.
Схема удаленного доступа через показана на рис. 9-5.
Х VPN-соединение VPN-сервер Защищенная (скрытая) Рис. 9-5. VPN-соединение, обеспечивающее удаленный доступ к защищенной сети через интрасеть Соединение сетей интрасеть Используя VPN-соединение между Вы можете связать две сети VPN-соединение этого типа очень удобно для ком муникационного взаимодействия между двумя которые находятся в ных географических точках и дело с например, чтобы бухгалтерия могла обмениваться с отделом кадров о заработной организации.
Бухгалтерия и отдел кадров подключаются к общей интрасети через работающие в качестве или серверов. Как только VPN-соединение установлено, пользователи любой из двух сетей могут обмениваться альной информацией через корпоративную Рис. иллюстрирует сети, соединенные интрасетью.
Х VPN-соединение Защищенная Защищенная (скрытая) сеть (скрытая) сеть Рис. 9-6. связывающее две сети через интрасеть 348 ЧАСТЬ 2 Удаленный доступ Комбинированные через и интрасети VPN-соединения гибкое средство для создания защищенных подключений типа Менее распространены комбинированные VPN-соединения, также называемые сквозными VPN connection) (рис. Такое соединение удаленному к интрасети одной компании, по лучить доступ через Интернет к ресурсам интрасети другой компании. В этом ва рианте VPN-соединение удаленного доступа достигает интрасети назначения через другую и Интернет.
Х VPN-соединение Туннель Интрасеть Рис. 9-7. VPN-соединение Подробнее о сквозных VPN-соединениях см. раздел далее в этой главе.
Управление виртуальными частными сетями Управление виртуальными частными сетями ничем не отличается от управления любыми другими сетевыми ресурсами, и при использовании VPN-соединений (осо бенно через Интернет) следует тщательно систему те себе на следующие вопросы.
Х Где должны храниться учетные данные пользователей?
Х Как будут назначаться адреса Х Кому разрешено создавать VPN-соединения?
Х Как будет пользователя, пытающегося устано вить VPN-соединение?
Х Как VPN-сервер будет связанную с Х Как добиться того, чтобы VPN-сервером можно было управлять на основе стан дартных протоколов и инфраструктуры сетевого администрирования?
Управление Поскольку хранить разные учетные записи разных серверах для одного и того же пользователя и одновременно поддерживать их в актуальном состоянии слиш ком с административной точки зрения, большинство администрато ров создают главную базу учетных данных (master database) на первичном контроллере домена или на сервере RADIUS Authentication Dial-In User Service). Это позволяет VPN-серверу передавать удостовере ния устройству, отвечающему за централизованную аутентификацию. При этом для удаленного доступа как по коммутируемой линии, так и через одна и та же пользовательская ГЛАВА 9 Виртуальные частные сети Управление адресами и серверами имен VPN-сервер располагать запасом свободных IP-адресов, чтобы иметь воз можность назначать их интерфейсу и при со гласовании по JPCP (IP Control Protocol) в процессе установлении со IP-адрес, VPN-клиенту, на самом присваивается его виртуальному интерфейсу.
VPN-серверы под Windows 2000 по умолчанию получают для DHCP, но Вы можете статический пул Кроме того, должны быть известны адреса и которые он назначает VPN-клиентам согласовании параметров но IPCP (см.
7 Сервер в этой Управление доступом В Windows 2000 для управления удаленным доступом следует настроить парамет ры звонков в учетных записей и в ствующих политиках удаленного доступа.
Доступ учетной записи Если Вы управляете доступом па пользователей для каж дого установите в параметрах их учетных записей разрешение на VPN-соединений как Allow access (Разрешить доступ). Если VPN-сервер обслуживает только VPN-соединения, удалите политику удаленного доступа по умолчанию Allow access if dial-in permission is enabled если и создайте новую политику с име нем, например VPN access allowed by account.
Если VPN-сервер обслуживает как так и удаленный доступ по коммутируемым линиям, оставьте политику доступа по умолчанию но переместите се в самый конец списка политик.
В качестве примера типичных настроек доступа через выберите в свойствах политики удаленного доступа переключатель Deny remote access permis sion (Отказать в праве удаленного доступа), а условия и параметры профиля как в 9-1 и 9-2. Подробнее о настройке этих см. систему Windows 2000 Server.
Таблица Условия политики удаленного доступа для подключения через на основе параметров учетной записи Настройки Virtual (VPN) Если Вы хотите определить для РРТР- и разные параметры аутентификации и создайте политики удаленного у па, которых условие Tunnel-Type (Tunnel-Type) либо как point Tunneling Protocol Tunneling Protocol), либо как Layer Two Tunneling Protocol (Layer Two Protocol).
350 ЧАСТЬ 2 доступ Таблица 9-2. Параметры профиля политики удаленного доступа для подключения через VPN на основе параметров учетной записи Вкладка в профиля Настройки Authentication Установите флажки Microsoft encrypted authentication version (Проверка подлинности) (MS-CHAP v2) проверка (Microsoft, версия 2, MS-CHAP и Microsoft encrypted authentication (MS-CHAP) проверка подлинности Microsoft (MS-CHAP)l Encryption (Шифрование) Выберите переключатель Basic Strong (Стойкое) или Strongest* и сбросьте флажок No Encryption (Без шифрования) Доступ по к группам Если Вы управляете удаленным доступом на уровне групп, укажите разрешение удаленного доступа во всех учетных записях как Control access through Remote Access Policy на основе политики удаленного досту па). Создайте какую-нибудь группу Windows 2000, членам которой будет разреше но устанавливать VPN-соединения удаленного доступа. Если VPN-сервер обслужи вает только VPN-соединения, удалите удаленного доступа по умолчанию Allow access if dial-in permission is enabled (Разрешить доступ, если и создайте новую политику с подходящим именем, напри мер VPN access if member of VPN-allowed group.
Если VPN-сервер обслуживает как VPN-соединения, так и удаленный доступ по коммутируемым линиям, оставьте политику удаленного доступа по но переместите ее в самый конец списка политик.
Таблица 9-3. Условия политики удаленного доступа для подключения через VPN на основе принадлежности к группам Windows Virtual (VPN) [Virtual Windows-Groups Группа Windows 2000. которой имеют право создавать Таблица 9-4. Параметры профиля политики удаленного доступа для подключения через VPN на основе к группам Windows Вкладка в окне профиля Настройки Authentication Установите флажки Microsoft encrypted authentication version (Проверка (MS-CHAP v2) проверка (Microsoft, версия 2, MS-CHAP и Microsoft encrypted authentication (MS CHAP) [Шифрованная проверка подлинности Encryption (Шифрование) Выберите переключатель Basic (Основное), Strong (Стойкое) или Strongest и сбросьте флажок No Encryption (Без Этот уровень поддерживается только после установки Microsoft Encryption Pack, подпадающего под действие экспортных ограничений США. Ч ГЛАВА 9 Виртуальные частные сети В качестве примера типичных удаленного доступа через для членов определенной группы в политики Grant remote access permission (Предоставить право удаленного доступа), а условия и параметры профиля установите, как показано в 9-3 и 9-4. о настройке этих параметров см. справочную систему Windows 2000 Server.
аутентификацией VPN-сервер можно настроить на поддержку аутентификации через Windows или RADIUS. Если в провайдера аутентификации выбрана Windows, удосто верения пользователей, пытающихся установить VPN-соединения, проверяются обычными средствами аутентификации Windows.
Если в качестве провайдера служба удостове рения пользователей и запросов соединения на сервер RADIUS как серия Сервер получает пользователя на соединение от VPN-сервера и аутентифицирует его на основе собственной базы данных записей. На сер вере RADIUS могут централизованно храниться и сведения о пользовате лях. Сервер RADIUS может не ответить да или на запрос о нении, но и предоставить VPN-серверу информацию о параметрах соединения для данного пользователя, например о максимальной продолжительности сеанса, тическом IP-адресе и т. д.
RADIUS может не только отвечать на запросы на собственной базы данных, но и выступать роли клиентского другого сервера базы дан например сервера ODBC (Open Database или первичного контроллера домена под управлением Windows 2000. может как на машине, где сервер RADIUS, так и на другом ютере. Кроме того, сервер RADIUS способен работать как для ленного сервера RADIUS.
Протокол RADIUS описан в RFC 2138 и 2139. Подробнее о протоколе RADIUS и сервере RADIUS, также службой IAS Service) см. главу 8 Служба в в этой книге.
Управление учетом В качестве службы учета VPN-сервер может использовать Windows или RADIUS.
В первом случае учетная информация записывается в файл журнала на вере, во тором с информацией поступают на сервер где накапливаются и хранятся для последующего анализа.
Большинство серверов RADIUS можно настроить так, чтобы они записывали в файл учетной информации сведения о запросах на аутентификацию. Сторонними разработчиками создано программное обеспечение для биллинга и аудита, которое считывает записи с учетной информацией RADIUS и отчеты. Подроб нее об учете в RADIUS см. RFC 2139.
Управление сетью Если на компьютер с Windows 2000, работающий качестве VPN-сервера, устано вить службу он сможет действовать в среде (Simple Network Mana gement Protocol) как SNMP. VPN-сервер управляющую 352 ЧАСТЬ 2 доступ в различных идентификаторах объектов II (Management Information Base), которые устанавливаются со службой Объекты МШ II ваны в RFC 1213.
РРТР РРТР Tunneling Protocol) инкапсулирует кадры РРР Protocol) в IP-дейтаграммы для передачи через межсетевую IP-среду, например или частную РРТР документирован в RFC Для создания, поддержания и туннеля протокол РРТР использует TCP известное под (РРТР control connection), а для инкапсуляции как данных Ч модифицированную версию GRE (Generic Routing Encapsulation). Собственно дан ные инкапсулированных РРР-кадров можно шифровать и/или сжимать.
РРТР требует наличия межсетевой IP-среды между РРТР-клиентом (VPN-клиен том, протокол РРТР) и РРТР-сервером (VPN-сер вером, тот же протокол). может быть уже к межсетевой через которую достижим либо он может доз ваниваться до сервера доступа в сеть (NAS) и устанавливать IP-соединение так же, как и пользователь, доступ в по коммутируемой линии.
Аутентификация, выполняемая создании VPN-соединения на основе РРТР, с применением тех же механизмов, что и при РРР Ч например, ЕАР (Extensible Authentication Protocol), MS-CHAP (Microsoft Protocol), CHAP, SPAP (Shiva Pass word Protocol) и PAP (Password Authentication Protocol). РРТР на следует методы шифрования и/или сжатия полезных данных РРР от протокола РРР. В случае Windows 2000 для шифрования этих данных по методу МРРЕ (Micro soft Point-to-Point Encryption) следует использовать либо EAP-TLS Level Security), либо MS-CHAP.
МРРЕ не на пути передачи данных (между клиен тским и на котором размещен ресурс или исполь зуемый этим приложением), а при их прохождении по каналу. Для шифрова ния на всем пути передачи данных нужно использовать который шиф ровать IP-трафик после создания РРТР-сервер на основе Интернет-стандартов представляет собой с поддержкой при этом один из его интерфейсов подключен к а другой Ч к Поддержание туннеля с помощью управляющего РРТР-соединения Управляющее устанавливается между динамически назначаемым TCP-портом РРТР-клиента и зарезервированным По этому соединению РРТР управляет вызовами и передает управляющие со общения, используемые для поддержания К ним относятся РТР сообщения Echo-Request и Echo-Reply, распознавать обрыв связи между РРТР-клиентом и сервером. Пакет, передаваемый по управляющему РРТР состоит из IP- и TCP-заголовков, управляющего РРТР-сообщения, а также заголовка и концевой части канальною уровня (рис, 9-8).
ГЛАВА 9 Виртуальные частные сети Концевая Заголовок Управляющее канального TCP канального Рис. 9-8. Пакет, передаваемый по управляющему В таблице 9-5 перечислены основные мые по РРТР-соединению. Конкретный всех управляющих но Таблица 9-5. Основные управляющие РРТР-сообщения Сообщение Посылается для установления ющего До передачи любых других сообщений для каждого нужно управляющее Посылается РРТР-сервером в па Посылается РРТР-клиентом для создания ля. В это сообщение включается идентификатор (Call используемый в для определе ния трафика, по кон туннелю.
- Reply Посылается в ответ на Outgoing-Call-Request.
Посылается РРТР-клиентом или для провер Echo-Request ки активности Если на сообщение не поступает, РРТР-туннель и закрывается.
Ответ на Echo-Request.
Примечание: РРТР-сообщения Echo-Request и Echo Reply не имеют никакого отношения к Echo Request и Echo Reply (Эхо-ответ), WAN-Error-Notify Посылается РРТР-сервером всем сообщить о какой-либо ошибке, возникшей на РРР интерфейсе РРТР-сервера.
РРТР-клиентом или сервером для Set-Link-Info ки согласованных Посылается РРТР-клиентом для закрытия Посылается РРТР-сервером в ответ на Call Clear-Request или по другим причинам.
должен быть закрыт.
Посылается РРТР-клиентом или сервером для уведом другой стороны о закрытии управляющего соеди нения.
Ответ на Детальные сведения о точной структуре управляющих РРТР-сообщений см. в RFC 2637.
354 ЧАСТЬ 2 Удаленный доступ Туннелирование данных средствами РРТР Такое осуществляется путем многоуровневого Структура средствами РРТР, на рис. 9-9.
Шифрованные Концевая да либо Рис. Данные, средствами РРТР РРР-кадра Исходные полезные данные РРР зашифровываются и инкапсулируются в кадр с (РРР-кадр). Затем этот кадр инкапсулируется в пакет с модифи цированным GRE-заголовком. GRE документирован в RFC 1701 и 1.702 и изначаль но был разработан в качестве простого универсального механизма инкапсуляции данных, передаваемых через межсетевые IP-среды. GRE является клиентским про токолом IP и использует идентификатор IP-протокола 47.
GRE-заголовок модифицируется для РРТР следующим образом.
Х Бит подтверждения указывает на наличие 32-битного поля Х Поле ключа заменяется 16-битными полями длины полезных данных и иденти фикатора вызова. Последнее устанавливается при создании Х 32-битное поле Внутри GRE-заголовка в поле типа протокола записывается значение ис пользуемое как для РРР-кадра.
Примечание GRE иногда используется ISP для информации о маршру тизации внутри своих сетей. Чтобы информация не пересылалась на маршру тизаторы Интернет-магистралей backbone routers), ISP отфильтровывают на интерфейсах, к Интернет-магистралям. В результа те такой создавать с использованием управляющих можно, но пересылать данные, туннелированные средствами РРТР, нельзя. Если Вы подозреваете этой проблемы, свяжитесь со своим Р.
GRE-пакет далее инкапсулируется в пакет с IP-заголовком, в котором указывают ся IP-адреса отправителя и получателя (в роли которых выступают и сервер).
Инкапсуляция канального уровня Для передачи по локальной сети (LAN) или WAN-каналу созданная на предыду щем этапе инкапсулируется в пакет с заголовком и концевой час тью канального уровня, применяемого на данном физическом интерфейсе. Напри мер, при передаче через Ethernet-интерфейс IP-дейтаграмма инкапсулируется в пакет с Ethernet-заголовком и частью, а при передаче по ГЛАВА 9 Виртуальные частные сети типа (аналоговой телефонной линии или ISDN) Ч в пакет с РРР и концевой частью.
данных Получив средствами РРТР данные, РРТР-клиент или сервер выполняет следующие операции.
1. Обрабатывает и удаляет заголовок и концевую часть канального уровня.
2. Обрабатывает и удаляет IP-заголовок.
3. Обрабатывает и удаляет и 4. Расшифровывает и/или данные РРР (если это нужно), 5. Обрабатывает полезные данные или пересылает их.
и сетевая архитектура Windows Рис. 9-10 иллюстрирует путь, который проходят туннелированные данные (от VPN клиента по VPN-соединению удаленного доступа, установленному с помощью логового модема) через компоненты сетевой архитектуры Windows 2000. Вот на этом пути.
1. IP- или либо NetBEUI-кадр передается соответствующим про токолом через (Network Driver Interface Specification) на виртуальный интерфейс, представляющий VPN-соединение.
2. NDIS передает пакет NDISWAN, который и/или рует данные и предоставляет включающий только поле фикатора Поля флагов и (Frame Check Sequence) не до бавляются. Это предполагает, что на процесса установления было согласовано сжатие полей адреса и управления. Подробнее о РРР и LCP см. главу 7 Сервер удаленного в этой книге.
3. NDISWAN передает драйверу протокола РРТР, который в пакет с В поле идентификатора вызова в GRE-;
;
a записывается идентифицирующее туннель.
4. Полученный пакет драйвер протокола РРТР передает драйверу TCP/IP.
5. Этот драйвер инкапсулирует туннелированные средствами РРТР данные в па кет с IP-заголовком и его через NDIS представляющему соединение доступа с местным ISP.
6. NDIS передает пакет который добавляет и концевую часть.
7. NDISWAN передает полученный РРР-кадр минипорт-драйверу WAN, представ ляющему аппаратные удаленного доступа, асинхронный (в случае модемного соединения).
Бы можете согласовать использование по коммутируемому соединению с ISP. делать это не рекомендуется, так данные, передаваемые по туннелю, уже зашифрованы. Дополнительный уровень может отрицательно повлиять на производительность.
356 ЧАСТЬ 2 Удаленный Пакет начинает свой путь отсюда NDIS Х.25 ISDN ' Шифрованные РРР РРР-заголовок (IP- или часть РРР,.. :
Структура пакета Рис. 9-10. Обработка в сетевой архитектуре Windows Network Balancing и РРТР Network Load Balancing к Windows 2000 Server позволяет со здать кластер для более надежной VPN-соединений.
Формируя такой кластер с балансировкой следующей схемы.
t. Сконфигурируйте каждого участника кластера как Windows 2000.
Подробнее на тему см. систему Windows 2000 Server.
2. Настройте набор как кластер Network Load Подроб о настройке Network Load Balancing см. систему Windows Advanced Server. Настраивая Network Load на каждом на интерфейсе, запро сы на Учтите, что этому интерфейсу IP-адрес кластера и IP-адрес. Чтобы избежать проблем при с 95. Windows NT 4.0 и Windows 98, уда лите выделенный IP-адрес на запросы на РРТР-со единения. Для этого каждом РРТР-сервере кластера используйте окно свойств TCP/IP, открываемое Network and Dial-up Connections (Сеть и удаленный доступ к сети).
3. Удаление выделенного IP-адреса не позволит удаленно управлять индивидуаль ными серверами с использованием IP-адреса. Поэтому для управления отдельными в кластере нужно установить на каж дом сервере дополнительный LAN-интерфейс и подключить его к сегменту сети, отличному от того, к которому подключен интерфейс, запросы на У РРТР-сервера обычно имеется дополнитель ный интерфейс После удаления выделенного IP-адреса на Интернет ГЛАВА 9 Виртуальные частные сети интерфейсе Вы сможете удаленно управлять этим ром (но не из Интернета).
Пока Вы не удалите IP-адрес входящего кластер, Windows 95, NT 4.0 и Windows 98, вероятно, не смогут к нему. Это с тем, что такие клиенты посылают запросы на IP-адрес а индивидуальный может ответить на запрос не с а с IP-адреса. В последнем обнаружит, что ответ поступил с IP-адреса, отличного от того, на который он посылал запрос, сочтет это нарушением безопасности и вет связь.
L2TP и IP-безопасность (Layer Two Protocol) Ч это комбинация и Forwarding), технологии, предложенной компанией Ciscoо Systems. Inc. Чтобы два несовместимых протокола не конкурировали на и запу тывали заказчиков, IETF распорядился две технологии в один протокол туннелирования, который бы в себе лучшие качества РРТР и документирован в 2661, L2TP передаваемые по сетям IP, Frame Relay ATM. В настоящее время определен стандарт только на L2TP поверх IP. При даче по межсетевой инкапсулируются как Ч туннелирования, пригодный для как в так и в L2TP UDP-сообщения в межсетевых IP-средах для управления лями и данных. данные могут быть зашифрованы и/или сжаты;
однако под уп Windows 2000 не могут использовать для По этому шифрование для таких соединений реализуется счет ESP.
Windows 2000 позволяет создавать шифруемые с помощью Но в таком случае Вы не получите VPN-соединение, скольку конфиденциальные данные, инкапсулируемые окажутся незашиф Нешифруемые можно использовать в качестве менной меры при устранении каких-либо проблем с поддержкой поверх IPSec;
при этом Вы исключаете согласования.
L2TP требует наличия межсетевой том, использующим протокол и IPSec) и использующим тот же протокол и IPSec). может уже подключен к межсетевой IP-среде, через которую достижим он может дозваниваться до сервера NAS и устанавливать IP-соединение Ч так же как и пользователь, получающий доступ в Интернет по линии.
Аутентификация, при создании осуществляется тех же механизмов, что и при Ч на пример, ЕАР, CHAP, SPAP и PAP.
358 ЧАСТЬ 2 Удаленный доступ на основе Интернет-стандартов представляет собой сервер удаленно го доступа с поддержкой при этом один из его интерфейсов подключен к Интернету, а другой Ч к Пакеты с информацией, управляющей и дан ными имеют одинаковую структуру.
Поддержание туннеля с помощью управляющих Ч в отличие от РРТР Ч не требует для туннеля отдельного TCP-соединения. передается между и сервером в виде В 2000 для этого используется 1701.
Примечание и сервер в Windows 2000 всегда UDP-порт 1701. Однако под управлением Windows 2000 поддерживает L2TP работающие с другим Управляющие сообщения поверх IP посылаются как В варианте, реализованном в Windows 2000, передаются в виде зашифрованных полезных ESP (рис.
Концевая Заголовок IP- ESP- часть канального ESP Authentication уровня Х Шифруется Рис. 9-11. Управляющее Поскольку TCP-соединение не используется, L2TP Ч чтобы гарантировать достав ку Ч применяет их (message sequencing). Поля Next-Received (по аналогии с TCP-полем подтверждения) и Next-Sent (по анало гии с TCP-полем номера последовательности) внутри управляющего предназначены для слежения за последовательностью сообщений. Пакеты, выпадающие из должной последовательности, отбрасываются. Поля и Next-Received могут также для упорядоченной доставки и управ потоком поддерживает по несколько вызовов на каждом туннеле. С этой целью в уп в данных присутству ют поля идентификатора туннеля и идентификатора (для данного туннеля).
Основные управляющие перечислены в таблице 9-6.
Таблица 9-6. Основные управляющие Посылается для установления уп соединения. До любых других для каждого нужно создать свое управляющее соединение.
ГЛАВА 9 частные сети Таблица 9-6.
Сообщение Описание Connection-Reply Посылается в ответ на сообщение (см. также ниже).
Start-Control-Connection-Connected Посылается в ответ на Посылается для создания туннеля. В это сообщение включается назначенный идентификатор вызова (Assigned Call определя ющий конкретный вызов по данному туннелю.
Посылается в на сообщение Outgoing-Call-Reply Start-Control-Connection-Connected Посылается в ответ на сообщение Outgoing-Call-Reply.
Посылается или сервером для верки активности соединения. Если прием этого сообщения не подтверждается, определенное время закрывается.
Посылается всем VPN-клиентам, WAN-Error-Notify чтобы сообщить о какой-либо ошибке, на Set-Link-Info Посылается или сервером для новки согласованных или клиентом для уве домления другой стороны о том, что данный вызов в данном туннеле должен завершен.
Посылается или клиентом для уве домления другой стороны о том, что туннель быть закрыт.
Детальные сведения о точной структуре управляющих см. в про екте Интернет-документа по данных средствами L2TP Такое осуществляется путем Структура средствами L2TP, показана на рис. 9-12.
Х Полезные данные Концевая часть часть ESP канального ловок канал либо уровня Подписывается для аутентификации по ESP Рис. 9-12. Инкапсуляция 360 ЧАСТЬ 2 доступ Инкапсуляция Изначальные полезные РРР с использованием РРР- и Пакет, инкапсулированный инкапсулируется в сообщение с а отправителя и получателя как 1701.
Инкапсуляция зашифровывается па политики IP-безопасности и инкап сулируется в пакет с и концевой частью ESP (Encapsulating Security Payload);
кроме того, добавляется часть ESP Authentication, необходимая для по в IP-дейтаграмму с IP-заголовком, который содержит IP-адреса и получателя, соответствующие и серверу.
Для передачи по сети или WAN-каналу созданная на предыдущем этапе IP-дейтаграмма инкапсулируется в пакет с заголовком и частью каналь ного уровня, применяемого на данном физическом интерфейсе. Например, при пе редаче через Ethernet-интерфейс IP-дейтаграмма инкапсулируется в с Ether net-заголовком и концевой частью, а при по типа точка-точ ка (аналоговой телефонной линии или Ч в пакет с и кон цевой частью.
Обработка данных, L2TP поверх IPSec Получив поверх IPSec, или сервер выполняет следующие операции.
Обрабатывает и заголовок и концевую часть уровня, 2. Обрабатывает и удаляет IP-заголовок.
3. Используя концевую проверяет подлинность полез данных IP и 4. зашифрованную часть пакета.
5. Обрабатывает и передает протоколу 6. считывает содержимое полей идентификатора туннеля и идентификатора в чтобы определить конкретный 7. по РРР-заголовку полезные данные РРР и передает их драй соответствующего протокола для обработки.
Пакеты L2TP поверх IPSec и сетевая архитектура Windows Рис. 9-13 иллюстрирует путь, который проходят данные (от VPN клиента по VPN-соединению установленному с ана логового модема) сетевой архитектуры Windows 2000. Вот что происходит на этом пути.
ГЛАВА 9 сети 1. IP- или IPX-дейтаграмма либо NetBEUI-кадр передается соответствующим протоколом через NDIS на виртуальный интерфейс, и 2. NDIS передает который декомпрессирует данные (при ходимости) и предоставляет включающий только иденти фикатора Поля флагов и FCS 3. передает драйверу протокола L2TP, инкапсули рует этот в пакет с В поля идентификаторов и в записываются значения, и вызов.
4. пакет драйвер протокола L2TP передает драйверу протоколов TCP/IP и уведомляет его о том, что данный следует отправить как с 1701 клиента в UDP-порт 1701 сервера (при клиента и сервера).
5. Драйвер протоколов TCP/IP формирует добавляя и Далее этот IP-пакет анализируется и приводится в соот ветствие с текущей политикой IP-безопасности. В зависимости от политики шифрует IP-пакета и добавляет вок и части ESP. Перед началом добавляется [Р со в поле 50. Затем протоко лов TCP/IP передает пакет через NDIS представляю щему соединение доступа с местным ISP.
6. NDIS передает пакет который РРР-заголовок и часть.
7. WAN РРР-кадр минипорт-драйверу WAN, представ ляющему аппаратные средства доступа.
Пакет начинает свай путь ' NDIS РРР-за- ESP-заго часть головок часть часть Структура пакета Рис. Обработка в сетевой архитектуре Windows 362 ЧАСТЬ 2 Удаленный доступ Вы можете согласовать использование шифруемого по коммутируемому с ISP. Однако это не рекомендуется, так как данные, передаваемые по туннелю, уже Дополнительный уровень шифрования может отрицательно повлиять на производительность.
Защита виртуальных частных сетей Защита Ч важный VPN. В следующих разделах описываются средства за щиты, поддерживаемые РРТР и L2TP поверх для VPN-соединений.
РРТР-соединения РРТР аутентификацию и шифрование данных.
Аутентификация пользователей с РРР Пользователь, запрашивающий аутентифицируется по одному из аутентификации: ЕАР, MS-CHAP, CHAP, SPAP или PAP. Для настоятельно рекомендуется использовать в сочетании со смарт-картами либо MS-CHAP версии 2, именно эти протоколы под держивают взаимную аутентификацию и являются самыми безопасными методами обмена удостоверениями.
Шифрование методом РРТР поддерживает шифрование методом МРРЕ, который основан на алгоритме RSA RC4. МРРЕ доступен только при использовании или MS-CHAP (версии 1 или 2).
МРРЕ с 56- или 128-битными шифровальными ключами. 40-битный ключ предназначен для обратной совместимости с клиентами под опе рационной системы, отличной от 2000. По умолчанию VPN-клиент и сер вер договариваются о применении самого стойкого ключа из числа поддерживае мых. Если VPN-сервер требует более стойкого не VPN клиентом, запрос на соединение отклоняется.
Изначально МРРЕ был разработан для данных на пути их передачи по каналу связи тина где пакеты принимаются в том порядке, в ка ком они были отправлены, и пакетов невелики. В такой среде расшифровка пакета зависит от результатов расшифровки предыдущего.
Однако в случае VPN-соединений IP-дейтаграммы, по могут поступать вовсе не в том порядке, в котором они отправлялись, а пакеты те ряются чаще. В связи с этим МРРЕ для VPN-соединении отдельный шифровальный ключ для каждого пакета, и очередного пакета не за висит от результатов расшифровки предыдущего. В включается но мер последовательности. Если пакеты теряются или поступают в другом порядке, шиф ровальные ключи меняются в соответствии с этим номером последовательности.
Фильтрация средствами РРТР VPN-сервер на основе РРТР двумя интерфейсами:
один подключен к общедоступной сети (например, к Интернету), другой Ч к част ной Кроме того, у него имеется виртуальный интерфейс, соединяющий 9 Виртуальные частные сети его со всеми Чтобы VPN-сервер мог пересылать трафик между VPN-клиентами, всех его интерфейсах нужно включить поддержку ки. Однако включение поддержки пересылки между двумя физическими интерфей сами приводит к тому, что VPN-сервер весь IP-трафик сети в Для от трафика Вы дол жны фильтрацию пакетов в РРТР так, чтобы VPN-сервер только между VPN-клиентами и и блокировал обмен между интрасетью и опасными общедоступной сети.
Фильтрацию средствами РРТР можно настроить либо на либо на промежуточном брандмауэре (см. раздел частные сети и далее в этой главе).
Соединения L2TP поверх поверх обеспечивает аутентификацию пользователей, аутентификацию компьютеров, шифрование, аутентификацию данных и проверку их целостности.
Аутентификация пользователей с помощью поверх IPSec Аутентификация VPN-клиента на двух уровнях: сначала проверя ется подлинность компьютера, затем Ч пользователя, IPSec аутентификация компьютеров аутентификация компьютеров VPN-клиента и сервера выполняется пу тем машинными сертификатами при создании ESP со поставления безопасности (security SA). IPSec SA устанавливается на в го ром процесса к этому времени стороны также выбирают алгоритмы шифрования и и договариваются о шифровальных Для использования поверх JPSec у и сервера должны быть ма шинные сертификаты. Вы можете получать их автоматически, выбрав в Group Policy (Групповая политика) автоматический запрос сертификатов, или вручную Ч через оснастку Certificates (Сертификаты). Подробнее на эту тему см. справочную систему Windows 2000 Server.
на уровне пользователей Пользователь, запрашивающий аутентифицируется по из РРР-протоколов аутентификации: ЕАР, MS-CHAP, CHAP, SPAP или PAP.
ку процесс установления защищается средствами шифрования IPSec, можно использовать любой метод Взаимная аутенти фикация на пользователей только при выборе MS-CHAP или Аутентификация В процессе установления протокол L2TP аутентифици конечные точки этого туннеля. Эта операция называется аутентификацией По умолчанию Windows 2000 ее не выполняет. Подробнее о Windows 2000 на аутентификацию см. по ссылке Knowledge Base на Web-странице resources.
364 ЧАСТЬ 2 Удаленный доступ Шифрование с L2TP поверх Метод установлении IPSec SA. Доступные методы включают:
Х DES с 56-битным ключом;
Х 3DES (Triple DES), использующий три 56-битных ключа и для сред с жесткими к Так как IPSec рассчитан на межсетевые IP-среды, в которых возможна потеря па кетов и их доставка в неверпом порядке, каждый независимо от других Исходные шифровальные ключи генерируются IP При соединениях с шифрованием по методу DES новые шифровальные ключи ге нерируются через каждые 5 минут 250 Мб переданной информации, а при со с шифрованием по методу 3DES Ч каждый час или через каждые 2 Гб информации. Для защищаемых АН, новые тоже генерируются каждый час или через каждые 2 Гб переданной информации, Подробнее об IPSec см. главу 8 в книге TCP/IP из се рии Microsoft Windows 2000 Server.
Аутентификация данных и проверка их целостности средствами L2TP поверх IPSec Аутентификация и проверка реализуется одним из следующих алгоритмов:
Х (Hash Message Code) MD5 (Message Digest 5) Ч рует хэш полезных данных;
Х НМАС (Secure Hash Algorithm) Ч генерирует 160-битный хэш данных.
Фильтрация пакетов средствами L2TP поверх IPSec Как и в случае VPN-соединений на РРТР, включение поддержки пересылки между интерфейсами общедоступной сети и приводит к что VPN сервер весь IP-трафик из общедоступной сети в Для за щиты интрасети от постороннего трафика Вы должны настроить фильтрацию па кетов средствами поверх IPSec так, чтобы передавал данные только между VPN-клиентами и и блокировал обмен пакетами между и потенциально опасными пользователями общедоступной сети.
пакетов средствами поверх IPSec можно настроить либо на VPN-сервере, либо на промежуточном брандмауэре (см. раздел час сети и далее в главе).
Адресация и маршрутизация при использовании виртуальных частных сетей Чтобы понять, как работают виртуальные частные сети (VPN), Вы должны разоб раться в том, как VPN-соединений доступа и VPN-соедине нии между на и маршрутизацию. VPN-соеди виртуальный интерфейс, которому нужно назначить соответствую ГЛАВА 9 Виртуальные частные сети IP-адрес;
следует изменить или добавить маршруты, чтобы емый трафик но защищенному а межсетевой среде.
удаленного доступа При VPN-соединении подключается к VPN-серве ру. В процессе установления VPN-сервер назначает VPN-клиенту IP адрес и изменяет маршрут по умолчанию на клиенте, чтобы соответству ющий трафик передавался по виртуальному интерфейсу.
IP-адреса и VPN-клиент доступа удаленного созданием VPN-соединения с VPN-серве ром сначала подключается к Интернету и получает два IP-адреса:
Х при установлении NAS-сервер ISP IP-адрес (в согласования);
Х создании VPN-сервер (в согласования) клиенту IP-адрес из диапазона адресов своей интрасети. Этот рес может быть общим (видимым в Интернете) или частным (невидимым в в зависимости от того, адреса используются в данной интра сети Ч общие или В любом случае IP-адрес, выделенный быть достижим для хостов в и наоборот, В таблице на VPN-сервере должны быть записи, позволяющие связаться с любыми хостами в интрасети, а в ных на маршрутизаторах Ч необходимые для взаимодействия с VPN-клиентами.
В IP-заголовке данных, посылаемых указываются адрес, выделенный клиенту VPN-сервером, и адрес интрасети, а во головке Ч IP-адрес, выделенный клиенту и общий адрес VPN-серве ра. Поскольку маршрутизаторы в Интернете обрабатывают только головки, они пересылают данные на общий IP-адрес VPN-сервера.
Пример адресации при удаленном доступе на рис. В интрасе ти используются адреса, и, кроме того, данные переда ются в виде IP-дейтаграмм.
Маршруты по умолчанию и клиенты удаленного доступа Когда клиент удаленного дозванивается до ISP, он обычно IP-адрес от При этом адрес в IPCP-пропессе согласования не назначается. Поэтому, чтобы возможность по любым адресам в клиент добавляет в свою таблицу маршрутизации маршрут по умолчанию, использующий интерфейс удаленного подключенный к ISP В результате может посылать IP-дейтаграммы 1SP, через который они на нужные адреса R Если у клиента нет других схема ему и нужна. Но может вызвать проблемы в случае имеющих LAN-подключение к какой-либо В этом маршрут по уже и па локальный маршрутизатор 366 ЧАСТЬ 2 Удаленный доступ интрасети. Когда клиент удаленного доступа устанавливает соединение со своим исходный маршрут по умолчанию остается в таблице но по лучает метрику с более высоким Кроме того, добавляется новый марш рут по умолчанию с меньшей метрикой, подключению к ISP.
В итоге адреса в интрасети, находящиеся вне сети, к которой клиент удаленного доступа напрямую, оказываются недостижимыми в течение всего се анса связи с ISP. Если бы в таблице не появлялся новый марш рут по клиенту бы доступны любые адреса в интрасети, но не в Интернете.
Клиент удаленного доступа под Windows 2000 создает такой маршрут автоматически (по умолчанию).
Х Общие адреса ~ адреса назначения:
назначения:
VPN-сервер целевая интрасеть IP-адрес источника:
IP-адрес источника:
ISP VPN-сервер Данные РРР ISP Клиент доступа Рис. 9-14, Общие и частные адреса в РРТР Чтобы запретить создание маршрута по умолчанию:
1 В свойствах TCP/IP объекта соединения удаленного доступа откройте диалого вое окно Advanced TCP/IP Settings параметры TCP/IP), пе рейдите на вкладку General и сбросьте флажок Use gateway on remote network (Использовать основной в удаленной сети), Чтобы обеспечить связь как с адресами в интрасети, так и с адресами пока активно соединение с ISP, не сбрасывайте флажок Use default gateway on remote network, а в таблицу на клиенте удаленного доступа добавь те маршруты к интрасети. Эти маршруты можно добавить как статические ГЛАВА 9 Виртуальные частные сети дои route) или, если в используется протокол марифутизации RIP Пер сии 1, воспользоваться службой Route Listening Service для тра фика RiP vl и добавления маршрутов. Тогда после соеди нения с ISP все в интрасети будут достижимы через к а все адреса в Интернете маршрут по умолчанию.
Маршруты по умолчанию и VPN-соединения через Интернет Когда клиент доступа дозванивается до ISP, он добавляет в свою лицу марифутизации маршрут по умолчанию, использующий с (рис. 9-15). С этого момента ему доступны все адреса в Интернете маршру тизатор NAS-сервере ISP.
г Маршрут по умолчанию Интрасеть Рис. 9-15. Маршрут по умолчанию, созданный после установления с Когда VPN-клиент создает в его таблицу добав ляются еще один маршрут по умолчанию и маршрут к хосту, которые указывают IP-адрес (рис. 9-16). Прежний маршрут по умолчанию со храняется, но его метрика увеличивается. Добавление нового маршрута по нию означает, что все адреса в Интернете, кроме сервера туннелирова ния, недостижимы до закрытия VPN-соединения.
г VPN-соединение Туннель - Маршрут по умолчанию ISI Интрасеть Рис. 9-16. Маршрут по умолчанию, созданный после инициации VPN-соединения 368 ЧАСТЬ 2 Удаленный доступ Как и в случае клиента удаленного доступа, к Интернегу, созда ние VPN-клиентом удаленного VPN-соединения с частной интрасетью че рез влечет за собой одно из следующих последствий:
Х пока VPN-соединение неактивно, адреса в Интернете достижимы, а в интрасе ти Ч пет;
Х пока активно, адреса в интрасети достижимы, а в Интернете Ч нет.
Для VPN-клиентов, подключенных к Интернету, такая не со здает никаких проблем, потому что они, как правило, поддерживают коммуника ционную либо с интрасетью. либо с Интернетом, но не то и другое одновре менно.
Л что касается VPN-клиентов, которым установления VPN-соединения ну жен доступ и к интрасети, и к Интернету, то конкретное решение от типа в интрасети. Но в случае объект VPN-соедине ния следует настроить так, чтобы основной шлюз не добавлялся. Тогда пос ле создания VPN-соединения маршрут по умолчанию будет по-прежнему указывать ISP, что позволит обращаться по любым адресам в Интернете.
Исходя из тина адресации в интрасети доступ к ресурсам интрасе ти и Интернета реализуется следующим Общие адреса. Добавьте статические постоянные маршруты к общим адресам ин трасети с использованием IP-адреса виртуального интерфейса VPN-сервера в ка честве IP-адреса шлюза.
Частные адреса. Добавьте статические постоянные маршруты к частным адресам интрасети с использованием IP-адреса виртуального интерфейса VPN-сервера в качестве IP-адреса шлюза.
Перекрывающиеся или недопустимые адреса. в интрасети используются перекрывающиеся (overlapping) или недопустимые (illegal) адреса ры IP-сетей, которые являются и либо не зарегистрированы в Inter получены от ISP), эти могут дублировать общие адреса в Ин Если в таблицу маршрутизации на добавляются статические постоянные маршруты с то с ними ад реса в Интернете недостижимы.
В каждом из этих случаев в таблицу на VPN-клиенте нужно до статические маршруты к сетей, мым в интрасети. Постоянные маршруты записываются в реестр, В Windows NT 4. с Service Pack 3 (или выше) и в Windows 2000 постоянные маршруты на самом деле добавляются в таблицу (и невидимы команде route print в Windows 2000) до тех пока IP-адрес шлюза не станет достижимым. А это про исходит после установления VPN-соединения.
Каждый маршрут добавляется следующей командой:
ROUTE ADD -р IP-адрес шлюза в командах route для каждого маршрута интрасети Ч IP-адрес виртуального VPN-сервера, а не Интернет-интерфейса.
ГЛАВА Э Виртуальные частные сети Вы можете IP-адрес виртуального интерфейса VPN-сервера но IP-ад ресу Internal в оснастке Routing and Remote Access (Маршрутизация и удаленный доступ) IP Routing и General (Общие). Если IP-адреса для VPN-клиентов и доступа к се тям выделяются через DHCP, то IP-адрес виртуального интерфейса VPN-сервера первым полученным от DHCP. Если Вы сконфигурировали статический пул IP-адресов, то IP-адрес VPN-сервера Ч первый IP-адрес из пула. Вы можете выяснить IP-адрес интер фейса VPN-сервера и таким способом: дважды объект активного VPN соединения и в окне Status перейдите на вкладку Details (Сведения).
Внимание Будьте очень осторожны при чтобы вать передачу трафика, связанного с по а не по с ISP. Если Вы добавите неправильные маршруты, то трафик, который должен был бы пересылаться в зашифрованном виде, будет передаваться через Интернет открытым текстом. Например, если идентификатор сети для Вашей равен 207.46.130.0/24 (маска подсети Ч 255.255.255.0) и Вы по ошибке до бавили статический маршрут к 207.46.131.0/24, то весь трафик в рассть 207.46.130.0/24 будет пересылаться через Интернет открытым текстом, а не через в виде.
VPN-соединения между маршрутизаторами В случае маршрутизаторами пакетов осуществ ляется через интерфейс по требованию interface), иваемый следующим образом.
Х На General (Общие) хост-имя или IP-адрес Х На вкладке Security (Безопасность) выберите либо шифрование и дан либо переключатель Custom (особые Выб рав Custom. Вы должны подходящие параметры и тификации.
Х На Networking (Сеть) укажите нужный тип сервера и протоколы, лежащие маршрутизации. Если в качестве типа сервера Вы выбрали вариант Automatic то сначала предпринимается соединение затем Х В Interface Credentials данные для введите пользователя, пароль и имя домена, для проверки маршрутизатора.
В создании интерфейсов соединения по требованию Demand-Dial Interface Wizard (Мастер интерфейса вызова по Имя такого интерфейса на отвечающем маршрутизаторе должно совпадать с име нем в удостоверениях (учетных вызывающего тора и наоборот Ч иначе Вам не удастся установить между марш рутизаторами (см. главу 6 Маршрутизация с соединением по требованию в книге).
370 ЧАСТЬ 2 Удаленный доступ Временные и постоянные VPN-соединения между маршрутизаторами между маршрутизаторами могут быть временными или постоян ными.
Х Временные соединения создаются для пересылки пакетов через VPN-интерфейс соединения по требованию и закрываются по истечении време ни простоя. Этот интервал задается как на VPN-клиенте (вызывающем марш так и на VPN-сервере (вызываемом маршрутизаторе). По умолча нию простоя для интерфейсов соединения по требованию на VPN-клиен те не ограничено, а на VPN-сервере Ч составляет 20 минут. Эти интервалы мож но изменить по своему усмотрению. Временные VPN-соединения между марш рутизаторами рекомендуется в филиалах, сначала подключающих ся к Интернету через местных провайдеров.
Х Постоянные создаются при запуске маршрутизатора и от пересылается по ним трафик или нет. Если VPN-соедине ние закрывается, оно восстанавливается. Используйте постоян ные между маршрутизаторами офисах, располагающих по стоянными подключениями к Интернету.
Чтобы сделать соединение временным или постоянным:
1. В оснастке Routing and Remote Access (Маршрутизация и удаленный выберите Routing Interfaces 2. Щелкните правой кнопкой мыши интерфейс соединения по требова нию и выберите команду Properties (Свойства).
3. На вкладке Options (Параметры) в разделе Connection Type (Тип подключения) выберите один из переключателей: либо Demand dial (Вызов по требованию), либо Persistent (Постоянное подключение).
VPN-соединения через подключение удаленного с ISP Если и VPN-сервер, и VPN-клиент к Интернету по посто WAN-каналу типа Т1 или Frame Relay, VPN-соединение может быть посто янным и действовать Однако, если у Вас нет постоянного WAN-ка или если его применение Вы можете сконфигурировать VPN соединение между маршрутизаторами, устанавливаемое по требованию и исполь зующее подключение удаленного доступа к ISP.
Для этого VPN-соединения нужно два интерфейса соединения по требованию: один обеспечивает подключение к местному TSP, другой Ч создание VPN-соединения между маршрутизаторами.
Временное VPN-соединение между маршрутизаторами устанавливается автомати чески, когда маршрутизатор филиала принимает трафик, подлежащий пересылке по Например, получив пакет, который переслать в ральный офис, маршрутизатор филиала сначала связывается с ISP по ком мутируемой линии. к Интернету, маршрутизатор филиала создает VPN-соединение с маршрутизатором рального офиса (VPN-сервером).
ГЛАВА 9 Виртуальные частные сети Чтобы настроить маршрутизатор филиала:
1. Добавьте интерфейс по требованию для к Интернету и настройте его на использование нужного оборудования (модема или ISDN устройства). Затем телефонный номер местного ISP, имя и пароль пользователя, необходимые для получения доступа в 2. Добавьте интерфейс соединения по требованию для с маршрутизатором офиса и настройте его на РРТР или L2TP Затем укажите IP-адрес или хост-имя Интер нет-интерфейса VPN-сервера центрального офиса, а также имя и пароль пользо которые проверить VPN-сервер. Имя пользователя со впадать с именем интерфейса соединения по на VPN-сервере рального офиса.
3. Создайте статический маршрут к хосту для Интернет-интерфейса VPN-сервера;
этот маршрут должен использовать интерфейс по тре бованию, через который маршрутизатор связывается с местным ISP.
4. Создайте статический маршрут или маршруты для сетей в корпоративной эти маршруты должны использовать VPN-интерфейс по требованию.
Чтобы настроить маршрутизатор офиса:
1. Добавьте интерфейс по требованию для VPN-соединения с марш филиала и настройте его на использование VPN-устройства (РРТР- или Имя по требованию должно совпадать с именем в удостоверениях мар шрутизатора филиала.
2. Создайте статический маршрут или маршруты для идентификаторов сетей в интрасети филиала;
эти маршруты должны использовать соеди нения но требованию.
VPN-соединение между маршрутизаторами автоматически маршру и вот что этом происходит.
1. Пакеты, передаваемые в корпоративную сеть от пользователя в сети пересылаются клиентским компьютером этого пользователя на филиала.
2. Маршрутизатор филиала просматривает свою маршрутизации и находит нужный маршрут, использующий соединения по требованию.
3. Маршрутизатор филиала проверяет VPN-интерфейс соединения по требованию и обнаруживает, что находится состоянии.
4. Маршрутизатор филиала считывает параметры этого интер фейса.
5. На основе параметров маршрутизатор филиала пытается инициа лизировать VPN-соединение между маршрутизаторами, используя VPN-сервера в Интернете.
Для создания VPN-соединения нужно либо установить TCP-соединение (при РРТР), либо выполнить процесс согласования с VPN-сер вером. С этой целью генерируется пакет запроса на VPN-соединение.
372 ЧАСТЬ 2 доступ 7. Чтобы переслать этот пакет маршрутизатору офиса, маршрутиза тор филиала отыскивает в своей таблице маршрутизации маршрут к хосту, ука зывающий на ISP-интерфейс по 8. Маршрутизатор филиала проверяет ISP-интерфейс по требованию и обнаруживает, что в отключенном 9. Маршрутизатор филиала считывает конфигурационные параметры этого интер фейса.
10. На полученных маршрутизатор филиала со единение с местным ISP по модему или через ISDN-адаптер.
11. Установив с 1SP, маршрутизатор филиала посылает маршрутизато ру центрального офиса пакет запроса на VPN-соединение.
12. После этого оба маршрутизатора согласуют параметры VPN-соединения. В про цессе согласования маршрутизатор филиала посылает удо стоверения, проверяемые центрального офиса.
13. Маршрутизатор офиса проверяет свои по требованию и выбирает тот, чье имя совпадает с пользователя, указан ным при аутентификации. Затем интерфейс переводится в подключенное состояние.
14. Маршрутизатор филиала пакеты по а VPN-сер вер их па соответствующий адрес в корпоративной Статическая и динамическая маршрутизация Создав интерфейсы соединения по и сделав выбор временными и постоянными Вы должны решить, каким способом следует добав лять о маршрутах в маршрутизации.
1. В случае временных соединений Вы можете вручную добавить нужные стати ческие маршруты, адресов в сетях других Этот вариант подходит для малых межсетевых сред с небольшим числом маршрутов.
2. В случае Вы можете автостати ческих для периодического статических маршрутов, обеспечивающих передачу пакетов VPN-соединению между маршрутизато рами. Этот вариант хорошо работает в крупных межсетевых средах с большим количеством маршрутов. об автостатических обновлениях главу Маршрутизация с по требованию в этой книге.
3. В разрешите прото колов маршрутизации через VPN-соединение между маршрутизаторами. Про токолы будут считать это VPN-соединение каналом связи типа Примечание В отличие от маршрутизации с соединением по требованию на прямых в случае IP-маршрут по умолчанию, со зданный для VPN-интерфейса соединения по требованию, не годится для сумми рования всех маршрутов через Поскольку маршрути затор к маршрут по должен суммировать все маршруты Интернета, и Вы должны настроить на Интернет-ин ГЛАВА 9 Виртуальные частные сети Аутентификация на основе общего ключа при использовании поверх для VPN-соединений между маршрутизаторами По умолчанию и 2000 настраиваются на на сертификатов. Вы устанавливаете L2TP поверх IPSec, автоматически создается политика заставля ющая IKE (Internet Key Exchange) в согласования параметров защиты для использовать на основе сертификатов. Это означает, что у и сервера быть сертификаты. Они могут получены от сертификации authority, CA), либо на каждом копия корневого сертификата СА другой сторо ны, полученная хранилища корневого центра сертификации. ] роб эту тему см. книгу Распределенные системы из серии Micro soft Windows Иногда на основе сертификатов для меж ду маршрутизаторами с использованием L2TP Ч например, когда у Вас небольшая организация и Вы пе хотите развертывать инфраструктуру серти фикации или Вы подключаетесь к не такой вид В таких случаях Вы можете вручную создать политику заставляющую при VPN-соединений меж ду маршрутизаторами использовать общие ключи keys). ключ действует как простой пароль в обе под тверждают, что им этот пароль, значит, они доверяют друг другу и могут продолжить согласование закрытых шифрования и фических параметров защиты Общий ключ IKE считается менее надежным, чем сертификаты, поскольку (и доверие) зависит лить от одного ключа, ко торого хранится в политике открытым Любой человек, просмотрев параметры этой узнает общего ключа. Получив ключ, мог бы сконфигурировать свою систему в с параметрами IPSec Вашей системы. Однако требует на уровне пользователя с применением одного из аутентификации. Поэтому для успешного установления соединения L2TP IPSec одного общего ключа мало Ч нужно знать еще и данные.
Для на аутентификацию на основе общего ключа к L2TP поверх IPSec реестр и соответственно настроить параметры IP-безопасности.
Чтобы запретить службе маршрутизации и доступа автоматически со здавать политику IP-безопасности для присвойте параметру в реестра значение 1. По умолчанию равен 0.
Когда Вы меняете ProhibitlpSec на 1, параметры шифрования для интер фейса соединения по требованию на вызывающем маршрутизаторе замещаются параметрами шифрования из созданной Вами политики IP-безопасности. Перезаг рузите чтобы эти изменения в силу.
374 ЧАСТЬ 2 доступ Настройка зависит от следующего.
Х Если VPN-сервер является автономным или входит в домен Windows NT 4.0, Вы должны настроить локальную политику IP-безопасности.
Х Если VPN-сервер входит в домен Windows 2000, локальные политики [Р-безо замещаются политиками IP-безопасности данного домена. Чтобы сформировать политику IP-безопасности, только к Вашему VPN создайте в службе каталогов Active Directory организационную едини цу (OU), включите в нее учетную запись компьютера VPN-сервера и исполь зуйте политику для создания и назначения политик IP-безопаснос ти для в которую входит VPN-сервер. Тогда эти политики будут распрост ранены на Ваш VPN-сервер, Прежде создавать политику IP-безопасности, Вы должны решить, будут ли все подключаемые сайты использовать одинаковый общий ключ или для каждого со единения потребуется свой общий ключ. От этого решения зависит характер на стройки списка фильтров IPSec и политики.
Одинаковый общий ключ приемлем, если обе конечные точки кон тролируются одним администратором. Если же создаются между си стемами, управляемыми разными администраторами, желательно от общий ключ на каждое VPN-соединение. Так, единственный VPN-сервер Windows 2000 может быть настроен на связь с шестью бизнес партнерами, каждому из которых для понадобится свой общий ключ.
В следующих разделах рассматривается два примера конфигурации IPSec для мар шрутизатора, на основе общего ключа при меж VPN-соединениях IPSec с центральным офисом в Нью-Йорке и двумя филиалами Ч в Бостоне и Лондоне.
Примечание Если Ваш VPN-сервер Windows 2000 взаимодействует с другими или серверами, используя на основе сер тификатов (она умолчанию), но для одного из лей Вам IP See-аутентификация на основе общего ключа, тогда Вы должны включить в политику IP-безопасности и правило для аутентификации на общего ключа, и правила на основе сертификатов (предназна ченные для остальных систем).
Одинаковый общий ключ для всех соединений Чтобы использовать одинаковый общий ключ для всех поверх IPSec, выполните следующие операции.
1. Откройте оснастку Routing and Access (Маршрутизация и удаленный доступ) и создайте нужные интерфейсы соединения по требованию. В данном случае два интерфейса соединения по один Ч для подклю чения к филиалу в Бостоне, другой Ч для подключения к филиалу в Лондоне.
2. Откройте оснастку IP Security Policies (Политики IP) и опреде лите действие которое запрещает незащищенную 3. Создайте список для всех соединений поверх IPSec, ис пользующих одинаковый общий ЖЕ. Каждый фильтр внутри списка дол ГЛАВА 9 Виртуальные частные сети быть предназначен для адреса. В нашем спи из двух фильтров, из которых для маршру тизатора в Бостоне, а другой - для маршрутизатора 4. Создайте новую политику IP-безопасности с правилом оно использовать фильтра, незащищенную список фильтров для всех соединений поверх и аутентифи кацию на основе ключа.
Определение действия Чтобы определить действие фильтра, запрещающее незащищенную онную по настройте следующие свойства.
Х вкладке General (Общие):
Х в поле Name (Имя) введите Secure Х в поле Description (Описание) например: Требует согласования па раметров входящего запросы открытым текстом.
Заставляет согласовывать параметры соединения, Х На вкладке Security Methods (Методы безопасности):
Х выберите переключатель Negotiate security (Согласовать и добавьте в список тип High (Высокая) (как минимум). При необходимости включите в дополнительные типы;
Х сбросьте флажки Accept unsecured but always respond IPSec (Принимать связь, но отвечать с и Allow unsecured with computer (Разрешать связь с поддерживающими IPSec). При установите фла жок Session key Perfect Forward Secrecy [Сеансовые циклы пе (PFS)J*.
В рассматриваемом здесь примере для всех адресов назначения используется рование одинаковой стойкости. Однако Вам могут понадобиться фильт ра, специфичные для конкретного адреса назначения (зависящие от возможностей удаленной системы в IP-безопасности).
фильтра для Бостона требует шифрования по методу 3DES, а для Лондона по методу (из-за ограничений па технологий шифрования). Тогда те список методов безопасности для одного и того же действия фильтра, поместив метод 3DES первым, чтобы он использовался в тех случаях, когда это возможно.
Создание списка фильтров при использовании одинакового общего ключа для всех соединений Чтобы получить список фильтров, охватывающий все VPN соединения на основе L2TP, создайте список фильтров и настройте следующие его свойства.
Х Имя: (образец).
Х Описание: Адреса для с аутентификацией по об щему ключу (образец).
* этого флажка в версии 2000 Server требует пояснения: этот флажок ключи и для ключей повторно не Ч Прим.
376 ЧАСТЬ 2 Удаленный доступ Теперь для каждого (в рамках списка) со сле дующей Х На Addressing (Адресация):
Х Source Address (Адрес источника пакетов) выберите A specific IP Address IP-адрес) и Интернет-интерфейса локаль ного В данном случае укажите IP-адрес Интернет-интер фейса в Нью-Йорке:
Х в Destination Address (Адрес пакетов) выберите A specific IP Address и введите IP-адрес Интернет-интерфейса маршрутизатора на другой стороне данного VPN-соединения. В случае укажите IP-адрес Интернет-интерфейса в Бостоне;
Х флажок Mirrored (Отраженный).
Х На вкладке Protocol (Протокол):
Х в Select a protocol type протокола) выберите Х в Set the IP protocol port порта для протокола IP) выберите пе реключатель From this port (Пакеты из этого порта) и тип 1701, а затем вы берите переключатель То any port (Пакеты на любой порт).
Х На вкладке Description (Описание):
Х в Description введите соответствующий пояснительный текст. Например, для соединения с Бостоном введите с Бос тоном. Этот текст появится в утилите для мониторинга Настройка политики IP-безопасности на использование одинакового общего ключа Чтобы сформировать политику одинаковый об ключ для всех VPN-соединений на основе со здайте политику IP-безопасности со следующими свойствами.
Х На вкладке General (Общие):
Х в поле Name (Имя) введите L2TP Connections (образец);
Х в поле Description введите, например: на ключа для межмаршрутизаторных VPN-соединений по верх Х при необходимости модифицируйте значения параметров Check for policy changes every политику на наличие изменений каждые) и Ad vanced Х На вкладке Rules (Правила):
Х удалите Default Response (Отклик по умолчанию).
Добавьте правило со свойствами.
Х На вкладке IP Filter List (Список фильтров IP):
Х IP-фильтров, соответствующий всем со всеми филиалами. В нашем примере список L2TP connections.
Х На вкладке Filter Action (Действие фильтра):
Х выберите действие фильтра, В на шем примере это Secure L2TP.
ГЛАВА 9 Виртуальные частные сети Х На вкладке Authentication Methods Х в разделе Authentication Method preference order (Порядок методов проверки определите на основе общего ключа. Укажите содержимое этого ключа, одинакового для всех мар шрутизаторов, с которыми маршрутизатор устанавливает с па основе общего клю ча. Учтите, что ключ должен быть длиной не менее 20 символов и что он дол жен состоять из набора верхнего и нижнего регистра, чисел и препинания.
Х На Tunnel Setting This rule does not specify an IPSec tunnel (Это правило не указы туннель IPSec).
Х На вкладке Connection Type (Тип подключения):
Х All network connections (Все сетевые подключения).
Поскольку список фильтров охватывает все адреса для VPN-соедине ний между маршрутизаторами на основе L2TP, в политике IP-безопасности требу ется одно правило.
Раздельные общие ключи для разных соединений Чтобы общие ключи для всех VPN-соединений между на основе поверх IPSec, выполните следующие операции.
1. Создайте интерфейсы по требованию. В данном случае до бавьте два таких интерфейса: один Ч для соединения с филиалом в Бостоне, другой Ч для с филиалом в Лондоне.
2. Определите действие фильтра, запрещающее 3. Создайте список с единственным фильтром для L2TP поверх IPSec с определенным В нашем примере нужно создать два списка фильтров, каждый с фильтром;
при этом один адресуемый маршрутизатору в Бостоне, а направляемый в Лондоне.
Создайте новую политику с набором правил;
каждое действие фильтра, запрещающее незащищенную связь, список фильтров для определенного L2TP и на основе общего ключа для этого соединения.
Определение действия фильтра Здесь Ваши действия идентичны уже рассмотренным при использовании оди общего ключа для всех соединений.
Создание списка фильтров при использовании разных общих для каждого соединения Чтобы получить список охватывающий торное VPN-соединение па основе создайте список фильтров и сто (на примере соединения с Бостоном).
Х Имя: key connection to (образец).
Х Описание: с Бостоном, общий ключ 378 ЧАСТЬ 2 Удаленный доступ создайте единственный фильтр со следующей конфигурацией.
Х На Addressing Х в Address источника выберите A specific IP Address IP-адрес) и введите локаль ного маршрутизатора. В данном случае укажите IP-адрес Интернет-интер фейса маршрутизатора в Нью-Йорке;
Х в Destination Address (Адрес выберите A specific IP Address и введите IP-адрес маршрутизатора на другой стороне данного межмаршрутизаторного VPN-соединения. В данном случае укажите Интернет-интерфейса маршрутизатора в Бостоне;
Х установите флажок Mirrored (Отраженный).
Х На вкладке Protocol (Протокол):
Х в Select a protocol type тип протокола) выберите Х в Set the protocol port (Установка порта для протокола IP) выберите пе реключатель From this port (Пакеты из этого порта) и тип 1701, а затем вы берите переключатель То this port (Пакеты на этот порт).
Х На вкладке Description поле Description (Описание) введите соответствующий пояснительный текст. Например, для соединения с Бостоном введите с Этот текст появится в утилите для Повторите эту процедуру для каждого межмаршрутизаторного VPN-соединения на основе поверх IPSec. В данном случае проделайте то же самое применитель но к соединению с маршрутизатором в Лондоне.
политики IP-безопасности на разных общих ключей для каждого Чтобы сформировать политику IP-безопасности, использующую отдельный общий ключ для каждого межмаршрутизаторного VPN-соединения на основе со здайте политику IP-безопасности со свойствами.
Х На вкладке General (Общие):
Х в поле Name (Имя) введите: key L2TP Connections (образец);
Х в поле Description введите, например: па общего ключа для по верх Х при необходимости значения параметров Check policy changes every (Проверять политику на наличие изменений каждые) и Ad vanced (Дополнительно).
Х На вкладке (Правила):
Х удалите правило Default Response (Отклик по Для каждого межмаршрутизаторного VPN-соединения на основе добавьте правило со следующими свойствами (на примере соединения с Бостоном).
Х На IP Filter List (Список фильтров IP):
ГЛАВА. 9 частные сети Х выберите список соответствующий с фили алом в Бостоне. В примере это pre-shared key connec tion to Boston.
Х На Filter Action (Действие фильтра):
Х действие фильтра, на примере это Secure L2TP.
Х На вкладке Authentication Methods (Методы проверки подлинности);
Х в разделе Authentication Method preference order (Порядок методов подлинности) определите метод на основе общего ключа. Укажите содержимое этого ключа, одинакового для мар между которыми устанавливается данное VPN-соединение поверх В нашем примере это VPN-соединение между маршру тизаторами в и Бостоне. что ключ должен быть не менее 20 символов и что он должен состоять из набора букв верхнего и нижнего регистра, чисел и знаков Х На вкладке Tunnel Setting (Параметры туннеля);
Х выберите This rule does not specify an IPSec tunnel (Это правило не указы вает туннель IPSec), Х На вкладке Connection Type (Тип подключения):
Х выберите АН network connections (Все сетевые подключения).
Действуя таким образом, добавьте отдельное правило для каждого VPN-соединения на основе L2TP поверх IPSec. В нашем примере те правило для соединения с в Лондоне.
Примечание В случае соединений поверх IPSec служба зации и доступа обращается к IPSec, чтобы определить согласованный тип используемого IPSec SA для который в 1701. Если SA для этого трафика установлено, в ответ на запрос воз тип шифрования для SA. При нулевом значении параметра реестра SA всегда устанавливается для этого вида трафика, потому что служ ба маршрутизации и удаленного доступа автоматически создает фильтры Далее тип шифрования с типами шифрования, в профиле политики удаленного которая для данного Если тип полученный в результате запроса к IPSec, не от к числу в профиле запрос на соединение ется. Когда параметр ProhibitlpSec 1 и фильтр для та 1701 сопоставление безопасности (SA) для IP-трафика, мого в UDP-порт 1701, не и шифрование не применяется. Это может привести к запроса на соединение, если в профиле соответству ющей политики удаленного доступа сброшен флажок No encryption (Без вания). Следовательно, возможен разрыв шифруемого соединения IPSec в случаях, когда использующий общий ключ для IP-трафика, есть, а фильтра для трафика, в UDP порт 1701, нет.
380 ЧАСТЬ 2 Удаленный доступ Создание политики с помощью IPSecPol Политику IP-безопасности для соединений поверх об щий можно сформировать и с помощью утилиты IPSecPol из набора инстру средств, предлагаемого на компакт-диске Windows 2000 Подробнее на эту тему см. Windows 2000 Resource Kit Tools Help.
Виртуальные частные сети и брандмауэры Брандмауэр (firewall) применяет пакетов, разрешая или запрещая переда чу определенных видов сетевого трафика. позво ляет какой может проходить через брандмауэр. Филь трация очень важна при подключении частных к общедос тупным сетям вроде Конфигурации VPN-сервера и брандмауэра Существует два подхода к в сочетании с VPN-сервером:
Х VPN-сервер к а размещается между VPN сервером и Х брандмауэр к а VPN-сервер размещается между бран дмауэром и VPN-сервер перед брандмауэром При размещении VPN-сервера к Интернету (рис. 9-17). Вы должны создать пакетов на Интернет-интерфейсе VPN сервера, и прием только VPN-трафика.
данные входящего трафика расшифровываются VPN-сервером и пересылаются брандмауэру, и тот применяет к ним свои фильтры, пропуская в лишь трафик. Поскольку через VPN-сервер проходит трафик, создаваемый VPN-клиентами, в дан ном варианте используется исключительно для того, чтобы VPN-клиенты не мог ли обращаться к определенным в интрасети.
Так как единственный в интрасети, сначала про ходит через VPN-сервер, в этом варианте блокируется и возможность доступа по пользователей к FTP- Web-ресурсам интрасети.
Туннель Брандмауэр \ VPN-сервер VPN-клиент Рис. 9-17. VPN-сервер, подключенный к Интернету перед брандмауэром 9 Виртуальные частные сети Если Вы выбрали именно вариант, то сконфигурировать для Интер VPN-сервера следующие и выходные фильтры. С этой целью оснастку and Remote Access.
Фильтрация пакетов для РРТР Настройте входные фильтры, в которых фильтра как Drop packets except those that meet the below (Игнорировать кроме тех, что указанным ниже критериям).
Х IP-адрес сети назначения для Интернет-интерфейса VPN-сервера, маска ти - 255.255.255.255 и TCP-порт - Этот фильтр разрешает трафика от РРТР-серверу.
Х IP-адрес сети для Интернет-интерфейса VPN-сервера, маска подсе ти Ч 255.255.255.255 и идентификатор IP-протокола Ч Этот фильтр разрешает передачу средствами РРТР, от РРТР-клиента РРТР-серверу.
Х IP-адрес сети для маска полсе ти Ч 255.255.255.255 и TCP-порт источника Ч 1723 (ОхОбВВ);
Вы должны выб рать вариант TCP [established] (TCP нужен, только если VPN-сервер выступает в роли VPN-клиента маршрутизатора) при VPN-соединении между ми. Когда Бы выбираете TCP [established], трафик принимается лишь том случае, если VPN-сервер инициирует Настройте в которых действие фильтра как packets except those that meet the criteria below.
Х IP-адрес сети Интернет-интерфейса VPN-сервера, маска подсе ти - 255.255.255.255 и TCP-порт источника - 1723 (ОхОбВВ).
Этот фильтр разрешает передачу трафика от Х IP-адрес исходной для Интернет-интерфейса VPN-сервера, маска подсе ти Ч 255.255.255.255 и идентификатор IP-протокола 47 (Ox2F).
Этот фильтр передачу данных, средствами от РРТР-клиенту.
Х IP-адрес исходной сети для VPN-сервера, маска подсе ти Ч 255.255.255.255 и TCP-порт Ч 1723 (ОхОбВВ);
Вы должны выб рать вариант TCP [established].
Этот фильтр нужен, только если VPN-сервер в роли VPN-клиента маршрутизатора) при VPN-соединении между ми. Когда Вы TCP [established], трафик передается лишь в том слу чае, если VPN-сервер Фильтры пакетов для L2TP поверх Настройте фильтры, в которых действие фильтра определено как Drop all packets except those that meet the criteria below (Игнорировать все пакеты, кроме тех, что отвечают указанным ниже критериям).
382 ЧАСТЬ 2 Удаленный доступ Х IP-адрес сети для VPN-сервера, маска подсе ти - 255.255.255.255 и UDP-порт - 500 (Ox01F4).
фильтр разрешает трафика IKE (Internet Key Exchange) на VPN Х IP-адрес сети назначения для Интернет-интерфейса VPN-сервера, маска подсе ти 255.255.255.255 и UDP-порт - (Ох6А5).
Этот фильтр разрешает от VPN-клиента VPN-серверу.
Настройте выходные фильтры, в которых действие фильтра определено как Drop all packets except those that meet the criteria below.
Х IP-адрес исходной сети для Интернет-интерфейса VPN-сервера, маска подсе ти - 255.255.255.255 и UDP-порт - 500 (Ox01F4).
Этот фильтр разрешает передачу трафика IKE от VPN-сервера.
Х IP-адрес исходной сети для Интернет-интерфейса VPN-сервера, маска подсе ти - 255.255.255.255 и UDP-порт источника - 1701 (Ох6А5).
Этот передачу от VPN-сервера VPN-клиенту.
Для ESP-трафика к IP-протоколу 50 фильтров не требу ется. После того как из пакета удаляется ESP-заголовок (модулем в TCP/ IP), применяются фильтры службы маршрутизации и удаленного за брандмауэром В более распространенной конфигурации (рис. 9-18) подключается не посредственно к Интернету, а VPN-сервер является одним из ресурсов в демилитаризованной зоне (demilitarized zone, DMZ). Ч это IP-сети, в котором обычно находятся ресурсы, доступные пользователям Интернета, напри мер Web- и Один интерфейсов VPN-сервера подключается к а другой Ч к интрасети.
При таком подходе для Интернет-интерфейса брандмауэра входные и выходные фильтры, которые к VPN-серверу трафик, управляющий туннелями, и данные. Дополнительные фильтры могут пропуск трафика к Web- и FTP-серверам, а также другим типам серверов Поскольку у брандмауэра нет шифровальных ключей для VPN-соединений, он мо жет осуществлять только па основе заголовков тун данных, а значит, все данные свободно проходят через Однако это не проблем с безопасностью, так как VPN соединения требуют которая блокирует попытки несанкциониро ванного доступа.
Для брандмауэра нужно создать следующие входные и вы ходные фильтры (при этом используется обеспечение брандмауэра).
Фильтры пакетов для РРТР Настройте входные фильтры, в которых действие фильтра как all packets except those that meet the criteria below все пакеты, кроме что отвечают указанным критериям).
Х IP-адрес сети для VPN-сервера и TCP-порт назна чения - ГЛАВА 9 Виртуальные частные сети Этот фильтр разрешает передачу управляющего трафика от IP-адрес сети назначения для DMZ-интерфейса VPN-сервера и идентификатор IP-протокола Ч 47 (Ox2F).
Этот фильтр разрешает передачу средствами от РРТР-клиента IP-адрес сети назначения для DMZ-интерфейса VPN-сервера и TCP-порт источ ника Ч 1723 Вы должны выбрать вариант TCP (TCP Этот фильтр только VPN-сервер выступает в роли VPN-клиента маршрутизатора) при VPN-соединении между Когда Вы TCP [established], трафик лишь том случае, если VPN-сервер инициирует VPN-соединение Г DMZ VPN-клиент Рис. 9-18. VPN-сервер за брандмауэром, подключенным к Интернету Настройте выходные фильтры, в которых действие фильтра определено как Drop all packets except those that meet the criteria below.
Х IP-адрес исходной сети для DMZ-интерфейса VPN-сервера и TCP-порт источ ника 1723 (ОхОбВВ).
Этот фильтр разрешает передачу управляющего трафика от РРТР-сервера Х IP-адрес исходной сети для DMZ-интерфейса VPN-сервера и идентификатор IP протокола Ч 47 (Ox2F).
Этот фильтр передачу туннелированных средствами РРТР, от РРТР-сервсра Х IP-адрес исходной сети для DMZ-интерфейса VPN-сервера и TCP-порт чения - 1723 (ОхОбВВ);
Вы должны выбрать вариант TCP [established].
Этот фильтр нужен, только если VPN-сервер выступает в роли (вызывающего при VPN-соединении между ми. Когда Вы выбираете TCP [established], трафик передается лишь в том слу чае, если VPN-сервер инициирует TCP-соединение.
384 ЧАСТЬ 2 Удаленный доступ Фильтры пакетов для L2TP поверх Настройте фильтры, в которых действие фильтра определено как Drop all packets except those that meet the criteria below, Х IP-адрес сети назначения для VPN-сервера и на значения - Этот фильтр передачу трафика IKE на VPN-сервер.
Х сети для DMZ-интерфейса и идентификатор IP-протокола Ч 50 (0x32).
Этот фильтр разрешает передачу ESP-трафика от фильтры, в которых фильтра как Drop all packets except those that meet the criteria below.
Х IP-адрес исходной сети для DMZ-интерфейса VPN-сервера и UDP-порт источ ника - 500 (0x Этот фильтр разрешает передачу трафика IKE от VPN-сервера.
Х IP-адрес исходной сети для VPN-сервера и идентификатор IP протокола Ч (0x32).
Этот фильтр передачу ESP-трафика от VPN-сервера VPN-клиенту.
Для направляемого в UDP-порт 1701, никаких фильтров требу ется. На весь в том числе управляющий туннелями и данные, зашифровывается как полезная нагрузка ла ESP Виртуальные частные сети и NAT Транслятор сетевых (network address NAT) Ч это IP-маршрути затор, IP-адреса и в пересыла емых пакетах. что малое предприятие подключает свои компьютеры к По правилам оно должно было бы подучить общий адрес для каждого компьютера в собственной сети. Но при наличии NAT малому не тре буется столько общих адресов. Оно может использовать в своем сегменте частные адреса (как в RFC 1597) и с помощью NAT увязать частные ад реса с одним или несколькими общими IP-адресами, выделенными ISP.
нальность NAT в RFC 1631.
Например, если адрес частной сети малого предприятия Ч 10.0.0.0/8 и ISP выдал общий IP-адрес то NAT или увязывает все час IP-адреса в сети 10.0.0.0/8 с общим IP-адресом В исходящих пакетах IP-адрес источника транслируется в кроме номе ра TCP/UDP-портов могут быть Во пакетах IP-адрес назна чения и номера TCP/UDP-портов преобразуются в частный IP-адрес и исходный TCP/UDP-порта.
По умолчанию NAT транслирует и Если об IP-адресе и портах только в IP- и никаких проблем трансляция не вызывает. Пример - HTTP-трафик в Web.
приложения и протоколы храпят об IP-адресах и в FTP, например, записывает ГЛАВЛ 9 Виртуальные частные сети десятичное IP-адресов в для FTP port. Если NAT IP-адрес в мо жет возникнуть проблема с Более некоторые прото колы для идентификации потоков данных используют не TCP- или V DP -за голов ки, а поля в Когда NAT приходится дополнительные преобразования и учитывать данные не в TCP- и нужен Этот редактор так модифицирует иначе пе данные, бы NAT их на правильные адреса.
Трансляция адресов и номеров портов для VPN-трафика Чтобы туннели РРТР и могли работать через NAT, должен обрабатывать потоков данных, на ственный IP-адрес или с него.
РРТР-трафик РРТР-трафик с TCP-соединением, используемым управления и с инкапсуляцией в Первая часть транслируется самим NAT, а вторая часть Ч только в комбина ции со специфическим В данных конкретный определяется по IP-адресу источ ника и нолю идентификатора в Когда к одному обращается несколько в частной сети за NAT, весь трафик имеет один и тот же IP-адрес источника. Кроме того, поскольку ничего не знают о трансляции адресов, они могут выб рать идентификаторы вызова при создании Во избежание этой проблемы для РРТР должен отслеживать фор и создавать раздельные сопоставления частных IP-ад ресов и идентификаторов вызова, используемых ми, с общим IP-ад ресом и уникальными идентификаторами вызова, принимаемыми в Интернете.
Протокол службой и уда ленного доступа, NAT-редактор для РРТР, который преобразует идентификаторов и позволяет различать со здаваемые частной сети за NAT.
Трафик поверх IPSec Этот трафик не обрабатывается NAT, потому что номер в зашиф рован и его защищено криптографической контрольной суммой. Трафик L2TP поверх IPSec не транслируется даже с по причи нам, изложенным ниже.
Нельзя различить данных ESP содержит поле индекса безопасности (security parame ters в сочетании с в неза шифрованных IP-заголовке и заголовке одного из или АН) Ч для идентификации (SA).
386 ЧАСТЬ 2 доступ В исходящем от NAT трафике IP-адрес не изменяется, а во входящем в NAT трафике этот должен преобразован в частный. Как и в случае не скольких в частной сети за NAT, IP-адрес назначения несколь ких входящих потоках данных ESP тоже Чтобы отли чить один поток от исходные IP-адрес и следовало бы в частные IP-адрес и SPI. Однако из-за того, что в кон цевой части ESP Authentication содержится криптографическая контрольная сум ма, удостоверяющая и данных, SPI нельзя - иначе контрольная сумма будет Нельзя суммы TCP и В пакетах поверх каждый и содержит конт рольную сумму, IP-адреса и взятые из шифрованного IP-заголовка. Это что Вы не можете изменить адреса в незашифрованном IP-заголовке, изменив контрольные суммы в TCP- и А обновлять эти суммы нельзя, потому что они входят в зашифрованную часть полезных данных ESP.
Сквозные Как уже говорилось в разделе через Интернет или (pass-through VPN) клиенту удаленного подклю к одной компании, обращаться через Интернет к ресурсам в другой компании. VPN-соединение удаленного доступа к одной интра сети проходит через другую и Интернет.
В типичном случае компании А и В являются бизнес-партнерами, и сотрудники компании А посещают сетевые ресурсы В. Когда сотрудник А, участвующий в совместном совещании, подключает свой портативный компьютер к интрасети компании В, его система получает информацию о IP адресов этой интрасети. Если этому сотруднику нужно к интрасе ти своей компании, это делается из двух способов.
Х По телефонной линии в комнате совещаний сотрудник компании А может либо напрямую подключиться к серверу удаленного доступа этой компании и уста новить соединение удаленного доступа с ее либо связаться с мест ным ISP и создать с интрасетью компании А.
Х Как показано на рис. 9-19, технология VPN и соответствующая инфраструктура позволяют сотруднику компании А создать туннель через компании В в Интернет, а затем другой туннель Ч через компании В и Интернет в интрасетъ компании А.
При способе с интрасетью компании А создается за счет активизации двух подключения и использования существующего локаль ного физического сетевого соединения. Заметьте, что второй туннель формируется внутри первого, Конфигурирование VPN-сервера компании А Настроите VPN-сервер А на прием VPN-соединений удаленного па от клиентов через Интернет и создайте политики удаленного доступа, ГЛАВА 9 Виртуальные частные сети щие наиболее типы аутентификации и шифрования. см, систему Windows 2000 Server.
Г VPN-соединение т "X Компьютер сотрудника компании А Туннель компании В компании В Интернет компании А компании А Рис. 9-19. Сквозная VPN Конфигурирование VPN-сервера компании В Настройте VPN-сервер В следующим образом.
1. Сконфигурируйте этот на прием VPN-соединений удаленного тупа. см. справочную систему Windows 2000 Server.
2. Создайте вручную пул общих IP-адресов.
3. группу Windows 2000 для пользовательских учетных записей ников другой компании, устанавливающих сквозные VPN-соединения, напри мер, группу 4. Создайте пользовательские учетные записи для сотрудников А.
Если сквозные сотрудников из других компаний обслуживаются только этим VPN-сервером, удалите политику по умолчанию Allow access if dial in permission is enabled (Разрешить если разрешены входящие подключе ния) и создайте свою, назвав ее, например, VPN for Business Partners.
В этой политике нужно установить разрешение на удаленный доступ как Grant remote access permission (Предоставить право удаленного доступа). Потом задай те условия и параметры профиля, как показано в таблицах 9-7 и 9-8. Подробнее о этих параметров см, справочную систему Windows 2000 Server, Параметры политики удаленного доступа, перечисленные в таблицах 9-7 и 9-8, предполагают управление удаленным доступом на основе групп. С этой целью во всех пользовательских учетных записях нужно установить разрешение на удален ный доступ как Control access through Remote Access Policy (Управление на нове политики удаленного доступа).
388 ЧАСТЬ 2 Удаленный Таблица 9-7, Условия политики удаленного доступа для VPN-сервера компании В Условие Настройки Virtual (VPN) [Virtual интерфейса VPN-сервера, принимающего Например, Таблица 9-8. Параметры профиля политики удаленного доступа для VPN-сервера компании В Вкладка в окне профиля Настройки Authentication Установите флажок Microsoft Encrypted Authentication подлинности) (MS-CHAP) [Шифрованная проверка подлинности Microsoft Encryption (Шифрование) Basic Strong (Стойкое) или No encryption (Без шифрования) Примечание Параметры профиля политики удаленного доступа не требуют шиф Туннель от компьютера сотрудника компании А до компа нии В не в поскольку шифрование применяется к тун нелю от сотрудника А до VPN-сервера компании А. Шиф рование первого и может повлиять на дительность.
Настройка фильтрации VPN-сервер компании В, к ограничивался толь ко приемом и пересылкой сквозного VPN-трафика, сконфигурируйте с помощью оснастки Routing and Remote Access набор фильтров, описываемых ниже.
Чтобы настроить Настройте для интерфейса входные IP-фильтры, в которых действие фильтра определено как Drop all packets except those that meet the criteria below (Игнорировать кроме тех, что отвечают ниже кри териям).
Х IP-адрес сети назначения для интрасети VPN-сервера, маска под сети Ч 255.255.255.255 и TCP-порт назначения 1723.
Х IP-адрес сети назначения для интерфейса интрасети VPN-сервера, маска под сети Ч 255.255.255.255 и идентификатор IP-протокола 47.
2. Настройте для фильтры, в которых действие IP-фильтра определено как Drop all packets except those that meet the criteria below.
Х IP-адрес исходной сети для интерфейса интрасети VPN-сервера, маска под сети Ч 255.255.255.255 и TCP-порт источника Ч 1723.
Х IP-адрес исходной сети для интрасети маска под сети Ч 255.255.255.255 и идентификатор IP-протокола Ч 47.
ГЛАВА 9 Виртуальные частные 3. Настройте для входные IP-фильтры, в которых фильтра определено как Drop all packets except those that meet the criteria below.
Х IP-адрес сети назначения и маску подсети для пула общих IP-адресов, а так же TCP-порт источника Ч 1723.
Х IP-адрес сети назначения и маску подсети для пула общих IP-адресов, а так же идентификатор IP-протокола Ч 47.
4. Настройте для выходные IP-фильтры, в которых фильтра определено как Drop all packets except those that meet the criteria below.
Х IP-адрес исходной сети и маску подсети для пула общих IP-адресов, а также TCP-порт назначения Ч 1723.
Х IP-адрес исходной сети и маску подсети для пула общих IP-адресов, а также IP-протокола Ч 47.
Чтобы настроить фильтрацию L2TP поверх 1. Настройте для интерфейса IP-фильтры, в которых действие фильтра как Drop packets except those that meet the criteria below все кроме тех, что отвечают указанным ниже критериям).
Х IP-адрес сети назначения для интерфейса маска под сети Ч 255.255.255.255 и Ч Х сети назначения для интерфейса маска под сети 255.255.255.255 и UDP-порт Ч 2. Настройте для интерфейса интрассти выходные фильтры, в которых действ IP-фильтра определено как Drop packets except those that meet the criteria below.
Х исходной сети для интерфейса VPN-сервера, маска сети - 255.255.255.255 и UDP-порт источника - 1701.
Х IP-адрес исходной сети для интерфейса иптрассти VPN-сервера, маска под сети - 255.255.255.255 и UDP-порт источника Ч 500.
3. Настройте для Интернет-интерфейса IP-фильтры, в которых действие фильтра определено как Drop all packets except those that meet the criteria below.
Х IP-адрес сети назначения и маску подсети для пула общих IP-адресов, а так же Ч 50.
Х сети назначения и маску подсети для пула общих а так же UDP-порт источника Ч 500.
4. Настройте для выходные IP-фильтры, в которых действие фильтра определено как Drop all packets except those that meet the below.
Х IP-адрес исходной сети и маску подсети для пула общих IP-адресов, а идентификатор IP-протокола Ч 50.
Х IP-адрес исходной сети и маску подсети для пула общих IP-адресов, а UDP-порт назначения 500.
390 ЧАСТЬ 2 Удаленный доступ Настройка компьютера VPN-клиента на использование сквозной VPN Здесь рассматривается VPN-клиента Windows 2000 для создания на основе РРТР и поверх Чтобы настроить 1. объект VPN-соединения, подключающий сотрудника компании А к VPN-серверу компании В:
Х на вкладке General (Общие) хост-имя или IP-адрес интерфейса ин В;
Х на вкладке Security (Безопасность) выберите шифрование только пароля;
Х на вкладке Networking выберите в качестве типа сервера Point-to Point Tunneling Protocol (PPTP) протокол точка-точка 2. Создайте объект подключающий сотрудника компании А к VPN-серверу А:
Х на вкладке General введите хост-имя или Интернет-интерфейса VPN-сервера компании А;
Х на вкладке Security выберите либо пароля и данных, либо переключатель Custom (особые Выбрав Custom, Вы должны указать подходящие параметры шифрования и аутен тификации;
Х на вкладке Networking в качестве типа сервера Point-to-Point Tunneling Protocol (PPTP).
Чтобы настроить соединение IPSec:
1. объект VPN-соединения, подключающий сотрудника А к VPN-серверу компании В:
Х на вкладке General (Общие) введите хост-имя или IP-адрес интерфейса VPN-сервера компании В;
Х на вкладке Security выберите шифрование только пароля;
Х на вкладке Networking (Сеть) выберите в качестве типа сервера Tunneling Protocol (L2TP) [Туннельный протокол уровня 2. Создайте объект VPN-соединения, подключающий сотрудника компании А к VPN-серверу компании А:
Х на вкладке General введите хост-имя или IP-адрес VPN-сервера компании А;
Х на вкладке Security либо пароля и данных, либо переключатель (особые Выбрав Custom, Вы должны указать подходящие параметры и аутен Х на вкладке Networking выберите в типа сервера Tunneling Protocol (L2TP).
ГЛАВА 9 Виртуальные частные сети Создание сквозного VPN-соединения Как только будет установлено сквозное VPN-соединение (см. следующую дуру), сотрудник компании А сможет обращаться к любому сетевому ресурсу ей компании.
Чтобы создать сквозное соединение:
Данная процедура предназначена для сотрудника компании А, который создает VPN-соединение с VPN-сервером компании А, подключенным к 1. Дважды щелкните объект соединения, создающий туннель с VPN-сервером пании В в интрасети.
2. Когда появится приглашение, введите учетные которые соответствуют специальной пользовательской учетной записи, созданной в компании В.
3. Дважды щелкните объект соединения, создающий с VPN-сервером компа нии А в Интернете.
4. Когда появится приглашение, введите учетные данные, которые соответствуют Вашей пользовательской учетной записи, имеющейся в компании А.
Выявление и устранение проблем Устанавливая причины проблем с виртуальными частными сетями, Вы поддержку IP-соединений, установления соединений по тре бованию и удаленного доступа, маршрутизацию и Наиболее распространенные проблемы с VPN Проблемы с VPN, как правило, делятся на несколько категорий:
Х запрос на соединение отклоняется, хотя должен быть принят;
Х запрос на соединение принимается, хотя должен быть отклонен;
Х адреса за VPN-сервером недостижимы;
Х не удается создать туннель.
Ниже даются рекомендации но устранению ошибок в конфигурации или инфра структуре, вызывающих эти проблемы с Запрос на хотя должен быть принят Используя команду ping, возможно ли соединение с VPN-сервером по его хост-имени или IP-адресу. Если Вы имеете дело с хост-именем, проверь те, правильно ли оно разрешается в IP-адрес. Если выполнение команды ping заканчивается неудачей, то, возможно, фильтрация пакетов препятствует даче на VPN-сервер или от Х Убедитесь, что на VPN-сервере работает служба маршрутизации и удаленного доступа.
Х В случае VPN-соединений удаленного доступа убедитесь, что на VPN-сервере разрешен удаленный доступ. В случае VPN-соединений между рами проверьте, настроен ли VPN-сервер на маршрутизацию с соединением по требованию.
392 ЧАСТЬ 2 доступ В случае VPN-соединений доступа убедитесь, что и L2TP настроены на прием соединений удаленного доступа. В случае VPN-соединений между проверьте, настроены ли РРТР- и на входящие и исходящие соединения по требованию.
Убедитесь, что VPN-клиент и сервер, на котором действует политика удаленно го доступа, хотя бы один общий метод аутентификации и/или шиф рования.
что запроса на соединение согласуются с параметрами политик удаленного доступа.
Для установления параметры в запросе на соединение должны:
Х всем условиям но крайней одной политики доступа;
Х предоставлять право на удаленный доступ либо через access шить доступ) в пользовательской учетной записи, либо через Control access through Remote Access Policy (Управление на основе политики удаленного доступа) в пользовательской учетной записи и Grant remote access per mission (Предоставить право удаленного доступа) в политике удаленного доступа;
Х соответствовать всем параметрам профиля;
Х соответствовать параметрам звонков в свойствах пользова тельской учетной записи.
Подробнее о политиках удаленного доступа см. справочную систему Win dows 2000 Server и главу 7 Сервер в этой книге.
Убедитесь, что настройки в профиле политики удаленного доступа не конфлик туют со свойствами VPN-сервера.
Профиль политики удаленного и свойства VPN-сервера предусматри настройки для:
Х Х протокола ВАР;
Х протоколов аутентификации.
Если настройки в профиле соответствующей удаленного доступа кон фликтуют со свойствами VPN-сервера, запрос на соединение будет отклонен.
Например, если в профиле указан протокол аутентификации EAP-TLS, по в свойствах VPN-сервера не последний будет отклонять зап росы на Если VPN-сервер является рядовым в домене 2000, который работает в или режиме и сконфигурирован на аутентифи кацию Windows 2000, что:
Х в службе каталогов Active Directory имеется группа безопасности RAS and IAS Servers (Серверы и Если этой группы нет, создайте ее, указав тип Security и область действия Domain local (Локальная доменная);
ГЛАВА 9 Виртуальные частные сети Х у группы and IAS Servers имеется разрешение на объекта RAS and IAS Servers Access Check;
Pages: | 1 | ... | 4 | 5 | 6 | 7 | 8 | ... | 11 | Книги, научные публикации