Настройка TMG Beta 3 для SSTP VPN подключений – часть 2: настройка брандмауэра на прием подключений SSTP

В первой части этого цикла статей я поведал о преимуществах SSTP и о примерной испытательной сети, с которой работаю. Если вы пропустили эту часть, перейдите по этой ссылке, чтоб осознать главные концепты SSTP и конфигурацию испытательной сети.

Сейчас давайте перейдем к задачке сборки рабочей SSTP конфигурации на TMG Beta 3. Следует учесть, что эта конфигурация предназначена для третьей бета версии продукта и после выхода продукта в RTM версии могут быть определенные конфигурации. В этом примере я использую TMG Enterprise Edition в массиве с одним участником. Процедуры будут немного отличаться, если вы устанавливаете TMG VPN решение при помощи массива Enterprise, так как вам придется делать такие вещи, как определение обладателя подключения, и вы не можете использовать DHCP для инфы IP адресов.

Шаги, нужные для сотворения рабочего решения в испытательной сети, включают последующее:

Создание сертификата интернет приемника SSTP
Установка сертификата интернет приемника SSTP
Исправление заморочек с CRL
Настройка VPN конфигурации на брандмауэре TMG
Экспорт ЦС сертификата
Импорт ЦС сертификата в хранилище сертификатов на машине VPN клиента
Создание VPN подключения и проверка работоспособности подключения SSTP

Итак, поехали!

Создание сертификата интернет приемника SSTP Web Listener

TMG употребляет интернет приемник (Web Listener) для принятия подключений от SSTP VPN клиентов. Это немного усложняет дело. Интернет приемник SSTP просит присвоения ему сертификата. Это значит, что вам необходимо выделить IP адресок для интернет приемника SSTP в большинстве ситуаций. Причина этого состоит в том, что интернет приемник SSTP не просит проверки подлинности. Он не только лишь не просит проверки подлинности, вы не можете принудительно ввести аутентификацию на этом интернет приемнике. По этой причине вы навряд ли будете использовать тот же интернет приемник для правила интернет публикации (Web Publishing Rule). Таким макаром, следует запланировать выделение IP адреса на наружном интерфейсе брандмауэра TMG для SSTP приемника.

Последующая неувязка, с которой нам предстоит разобраться, представляет собой фактически получение сертификата. Во времена Windows 2003 получение сертификата с веб-сайта подачи заявок через веб было обычным делом. Но все поменялось с выходом Windows Server 2008, и если вы думаете, что можете использовать веб-сайт подачи заявок через веб для получения сертификата интернет веб-сайта для приемника SSTP, вы будете очень разочарованы. Просто ради энтузиазма сможете испытать. Но не стоит растрачивать очень много времени на это, так как это не сработает.

Вам придется использовать другие методы получения сертификата. Для начала вам нужно решить, какой тип сертификата вы желаете использовать:

Коммерческий сертификат (Commercial Certificate) – Коммерческий сертификат – это сертификат, который вы покупаете в платном центре сертификации. Преимущество платного сертификата заключается в том, что вам не надо (так очень) волноваться об установке ЦС сертификата в хранилище сертификатов доверенных центров сертификации (Trusted Root Certification Authorities) на клиентской машине. Недочетом таких сертификатов будет то, что вам придется платить за их, и время от времени с такими сертификатами появляются препядствия, которые трудно найти и поправить.
Личный сертификат (Private Certificate) – личный сертификат – это сертификат, который вы создаете, используя свою инфраструктуру открытых ключей (PKI). Почти всегда употребляется конкретно собственная PKI, имеющаяся в домене Windows. Преимуществом использования личных сертификатов будет то, что вам не надо платить за их (кроме времени, которое требуется на создание PKI, а это может занимать довольно много времени). Недочетом такового сертификата будет то, что если ваши клиенты не являются членами домена, вам пригодится метод установки ЦС сертификатов в хранилище сертификатов корневого доверенного центра сертификации на машине клиента.

В этом примере я использую личный сертификат. Это значит, что мне придется сделать две вещи, чтоб все работало верно:

Опубликовать собственный внутренний перечень отзыва сертификатов (Certificate Revocation List) - клиент SSTP по дефлоту делает проверку CRL. В силу этого требования мне придется опубликовать собственный CRL.
Поместить ЦС сертификат на VPN клиенте - это нужно сделать, так как клиент должен доверять сертификату интернет веб-сайта, который интернет приемник будет предоставлять ему во время процесса подключения

Как на счет подробностей? Как вы требуете сертификат интернет веб-сайта? Мой доктор гласит, что я должен снижать свое давление крови, потому я решил использовать мастера Windows Server 2003 IIS Web Site Certificate Request Wizard для получения сертификата. Но это только один из методов выполнения данной задачки. Существует масса других методов. Если у вас нет заморочек с давлением либо других заморочек со здоровьем, которые не позволяют вам использовать командную строчку, то безотступно рекомендую вам использовать функцию, описанную Джейсоном Джоунсом.

Сертификат, который я сделал для интернет приемника SSTP, показан на рисунке ниже. Общее имя сертификата будет vpn.msfirewall.org, а усовершенствованный ключ (Enhanced Key Usage) для аутентификации сервера (Server Authentication).

Настройка TMG Beta 3 для SSTP VPN подключений - часть 2: настройка брандмауэра на прием подключений SSTP

Набросок 1

Получите сертификат интернет веб-сайта избранным вами методом и скопируйте его на десктоп на брандмауэре TMG.

Установка сертификата интернет приемника SSTP

Последующим шагом будет установка сертификата интернет веб-сайта на брандмауэр TMG. Это обычная часть. Сделайте последующие шаги на брандмауэре TMG, чтоб установить сертификат:

Нажмите Запуск и перейдите к Выполнить. В текстовом поле Открыть введите MMC и нажмите OK.
В окне консоли Консоль1 перейдите в меню Файл и изберите опцию Добавить либо удалить оснастку.
В диалоговом окне Добавление либо удаление оснастки изберите запись Сертификаты в разделе Доступные оснастки и нажмите Добавить.
В диалоговом окне Оснастка сертификатов изберите опцию Учетная запись компьютера и нажмите Дальше.
В диалоговом окне Выбор компьютера изберите опцию Локальный компьютер и нажмите Окончить.
Нажмите OK в диалоговом окне Добавление либо удаление оснасток.
В левой панели консоли разверните узел Сертификаты (Локальный компьютер) и перейдите в узел Личные. Сейчас нажмите правой кнопкой на узле Личные, наведите курсор на Все задачки и нажмите Импорт.
Нажмите Дальше на приветственной страничке мастера импортирования сертификатов Welcome to the Certificate Import Wizard.
На страничке Импортируемый файл нажмите кнопку Обзор и найдите сертификат, который вы скопировали на десктоп. Название файла появится в текстовом поле Название файла после того, как вы выберете сертификат. Нажмите Дальше.
На страничке Пароль введите пароль, который вы назначаете сертификату (если вы, естественно, назначаете сертификату пароль). Отметьте опцию Пометить этот ключ как экспортируемый (Mark this key as exportable), если желаете без заморочек экспортировать этот сертификат в дальнейшем. Это немногим наименее неопасно, но большой опыт гласит мне, что если не избрать эту опцию, то вы пожалеете об этом в дальнейшем. Этот недочет в безопасности чисто формальный, если вы придерживаетесь наилучших методик во время опции и управления брандмауэром. Нажмите Дальше.
Изберите опцию Помещать все сертификаты в последующее хранилище (Place all certificates in the following store) на страничке Хранилище сертификатов. Личное (Personal) хранилище должно быть автоматом выбрано. Нажмите Дальше.
Нажмите Окончить на заключительной страничке мастера импортирования сертификатов Completing the Certificate Import.
Нажмите OK в диалоговом окне Импортирование удачно завершено.

Импортированный сертификат появится в окне консоли, подобно тому, что показано на рисунке ниже.

Настройка TMG Beta 3 для SSTP VPN подключений - часть 2: настройка брандмауэра на прием подключений SSTP

Набросок 2

Удостоверьтесь в том, что ЦС сертификат установлен в хранилище сертификатов корневого доверенного центра сертификации машины. Брандмауэр TMG, применяемый в лабораторной сети, был настроен в качестве участника домена перед установкой ПО TMG, потому авторегистрация автоматом установила сертификат, так как я использовал производственный ЦС Windows Server 2003 Enterprise CA. Если вы не используете схожую конфигурацию, вам нужно убедиться, что ЦС сертификат установлен на брандмауэре. На рисунке ниже показан ЦС сертификат, установленный в необходимое место.

Настройка TMG Beta 3 для SSTP VPN подключений - часть 2: настройка брандмауэра на прием подключений SSTP

Набросок 3

Исправление заморочек с CRL

Я уже упоминал о дилемме CRL. Когда SSTP VPN клиент делает подключение, он будет инспектировать CRL на предмет отзыва сертификата интернет веб-сайта. Размещение CRL включено в сертификат, как показано на рисунке ниже.

Настройка TMG Beta 3 для SSTP VPN подключений - часть 2: настройка брандмауэра на прием подключений SSTP

Набросок 4

На рисунке 4 видно, что CRL доступен через HTTP подключение. Это значит, что мне необходимо опубликовать собственный интернет веб-сайт CRL. Направьте внимание, что имя по дефлоту включено в сертификат. Есть некие вещи, которые можно сделать с настройкой личного ЦС, чтоб поменять URL, применяемый для публикации CRL, и вам, может быть, придется сделать это в производственной среде. Для подробной инфы об этих конфигурациях нажмите тут.

На данный момент я расскажу вам, а позднее и покажу, что точка распространения CRL Distribution Point недосягаема конкретно с этого URL. Итак, если вы планируете опубликовать собственный CRL, и считаете, что можете пользоваться URL, обозначенным на сертификате, вы будете неприятно удивлены тем, что это не работает. Мы разглядим эту делему более тщательно позднее.

Если вы используете коммерческий сертификат, вам не надо волноваться о публикации собственного CRL веб-сайта. Коммерческий CRL должен быть доступен с хоть какого веб подключения.

Сейчас давайте вернемся вспять к задачке публикации веб-сайта CRL. Она просит сотворения правила интернет публикации (Web Publishing Rule):

В левой панели консоли брандмауэра TMG перейдите в узел Политика брандмауэра (Firewall Policy). Перейдите в закладку Задачки (Tasks) в панели задач и изберите опцию Опубликовать интернет веб-сайты (Publish Web Sites).

Настройка TMG Beta 3 для SSTP VPN подключений - часть 2: настройка брандмауэра на прием подключений SSTP

Набросок 5

На приветственной страничке мастера публикации интернет веб-сайтов Welcome to the New Web Publishing Rule Wizard введите заглавие для правила интернет публикации. В этом примере мы введем CRL Site и нажмем Дальше.

Настройка TMG Beta 3 для SSTP VPN подключений - часть 2: настройка брандмауэра на прием подключений SSTP

Набросок 6

На страничке Выбор деяния правила (Select Rule Action) избираем опцию Разрешить (Allow) и нажимаем Дальше.

Настройка TMG Beta 3 для SSTP VPN подключений - часть 2: настройка брандмауэра на прием подключений SSTP

Набросок 7

На страничке Тип публикации (Publishing Type) избираем опцию Опубликовать один интернет веб-сайт либо компенсатор нагрузки (Publish a single Web site or load balancer) и нажимаем Дальше.

Настройка TMG Beta 3 для SSTP VPN подключений - часть 2: настройка брандмауэра на прием подключений SSTP

Набросок 8

На страничке Безопасность подключения сервера (Server Connection Security) избираем опцию Использовать незащищенное подключение для соединения с общественным интернет сервером либо фермой серверов (Use non-secured connection to connect the published Web server or server farm) и жмем Дальше.

Настройка TMG Beta 3 для SSTP VPN подключений - часть 2: настройка брандмауэра на прием подключений SSTP

Набросок 9

На страничке Подробности внутренней публикации (Internal Publishing Details) вводим полное имя домена сервера интернет веб-сайта CRL в текстовое поле Внутреннее имя веб-сайта (Internal site name). Удостоверьтесь, что брандмауэр TMG может преобразовывать это имя корректно. Либо чтоб обойти делему преобразования имен, вы сможете ввести другое имя либо IP адресок для интернет сервера CRL в поле Имя компьютера либо IP адресок после того, как отметите опцию Использовать имя компьютера либо IP адресок для подключения к общественному серверу (Use a computer name or IP address to connect to the published server). Жмем Дальше.

Настройка TMG Beta 3 для SSTP VPN подключений - часть 2: настройка брандмауэра на прием подключений SSTP

Набросок 10

На страничке Подробности внутренней публикации (Internal Publishing Details) вводим путь к CRL. Если вы поглядите на подробности сертификата интернет веб-сайта, вы увидите путь /CertEnroll/DC.crl, потому мы вводим эту строчку в поле Путь. Это обеспечит доступ только к .crl файлу и никаким другим директориям интернет сервера, что обеспечивает определенную степень малых льгот. Но, как мы увидим позднее, это не будет работать. Жмем Дальше.

Настройка TMG Beta 3 для SSTP VPN подключений - часть 2: настройка брандмауэра на прием подключений SSTP

Набросок 11

На страничке Подробности общественного имени (Public Name Details) избираем опцию Это имя домена (ввести ниже) (This domain name (type below)) из раскрываемого перечня Принять правило для (Accept requests for). В текстовое поле Общественное имя (Public name) вводим общественное имя, которое SSTP клиент будет использовать для доступа к CRL. В этом примере мы использовали имя dc.msfirewall.org. Путь будет введен автоматом на базе сделанных вами на прошлых страничках опций. Жмем Дальше.

Настройка TMG Beta 3 для SSTP VPN подключений - часть 2: настройка брандмауэра на прием подключений SSTP

Набросок 12

На страничке Выбор интернет приемника (Select Web Listener) жмем Новый (New), чтоб сделать HTTP интернет приемник, который будет употребляться этим правилом интернет публикации.

Настройка TMG Beta 3 для SSTP VPN подключений - часть 2: настройка брандмауэра на прием подключений SSTP

Набросок 13

На приветственной страничке Welcome to the New Web Listener Wizard вводим заглавие интернет приемника. В этом примере мы назовем интернет приемник HTTP Listener. Жмем Дальше.

Настройка TMG Beta 3 для SSTP VPN подключений - часть 2: настройка брандмауэра на прием подключений SSTP

Набросок 14

На страничке Безопасность подключения клиента (Client Connection Security) избираем опцию Не добиваться SSL защищенных подключений с клиентами (Do not require SSL secured connections with clients) и жмем Дальше.

Настройка TMG Beta 3 для SSTP VPN подключений - часть 2: настройка брандмауэра на прием подключений SSTP

Набросок 15

На страничке IP адреса интернет приемника (Web Listener IP Addresses) отмечаем опцию Наружный (External). Я использую эту опцию в данном сценарии, так как у меня есть только один IP адресок, присвоенный наружному интерфейсу брандмауэра. Если б у меня было несколько IP адресов, присвоенных наружному интерфейсу, мне бы пришлось надавить кнопку Избрать IP адреса (Select IP Addresses) и избрать определенный IP адресок на наружном интерфейсе брандмауэра. Так как в данном сценарии это не так, я могу просто избрать Внешнюю (External) Сеть. Жмем Дальше.

Настройка TMG Beta 3 для SSTP VPN подключений - часть 2: настройка брандмауэра на прием подключений SSTP

Набросок 16

На страничке Характеристики аутентификации (Authentication Settings) избираем опцию Без проверки подлинности (No Authentication) из раскрывающего перечня Изберите метод предоставления учетных данных клиентами для Forefront TMG (Select how clients will provide credentials to Forefront TMG). Так как SSTP клиент не имеет интерфейса, позволяющего вам задавать учетные данные для CRL проверки, нам нужно разрешить анонимные подключения к CRL. Жмем Дальше.

Настройка TMG Beta 3 для SSTP VPN подключений - часть 2: настройка брандмауэра на прием подключений SSTP

Набросок 17

Жмем Дальше на страничке Характеристики единичной регистрации (Single Sign On Settings).

Настройка TMG Beta 3 для SSTP VPN подключений - часть 2: настройка брандмауэра на прием подключений SSTP

Набросок 18

Жмем Окончить на заключительной страничке мастера Completing the New Web Listener Wizard.

Настройка TMG Beta 3 для SSTP VPN подключений - часть 2: настройка брандмауэра на прием подключений SSTP

Набросок 19

Жмем Дальше на страничке Выбор интернет приемника (Select Web Listener).

Настройка TMG Beta 3 для SSTP VPN подключений - часть 2: настройка брандмауэра на прием подключений SSTP

Набросок 20

Избираем опцию Без делегирования, и клиент не может аутентифицироваться впрямую ( No delegation, and client cannot authenticate directly) из раскрывающегося перечня Выбор способа, применяемого Forefront TMG для аутентификации общественного интернет сервера (Select the method used by Forefront TMG to authenticate to the published Web server). Нажимаем Дальше.

Настройка TMG Beta 3 для SSTP VPN подключений - часть 2: настройка брандмауэра на прием подключений SSTP

Набросок 21

На страничке Ряды юзеров (User Sets) принимаем настройку Все юзеры (All Users) и жмем Дальше.

Настройка TMG Beta 3 для SSTP VPN подключений - часть 2: настройка брандмауэра на прием подключений SSTP

Набросок 22

Жмем Окончить на заключительной страничке мастера Completing the New Web Publishing Rule Wizard.

Настройка TMG Beta 3 для SSTP VPN подключений - часть 2: настройка брандмауэра на прием подключений SSTP

Набросок 23

Жмем кнопку Проверить правило (Test Rule), чтоб убедиться, что правило работает. На рисунке ниже показано доказательство того, интернет веб-сайт находится в режиме онлайн и что правило способно обеспечивать подключения к веб-сайту.

Настройка TMG Beta 3 для SSTP VPN подключений - часть 2: настройка брандмауэра на прием подключений SSTP

Набросок 24

Жмем Окончить на страничке мастера Completing the New Web Publishing Rule Wizard.
Жмем Применить (Apply), чтоб сохранить конфигурации в настройке брандмауэра.
Вводим описание конфигураций в диалоговом окне Описание конфигураций опции (Configuration Change Description) по мере надобности и потом жмем Применить.

Сейчас перебегаем к клиенту и пытаемся зайти на веб-сайт. На моем тестовом клиенте под управлением Windows 7 я введу http://dc.msfirewall.org/CertEnroll/dc.crl и нажму кнопку enter. Вы должны узреть последующее диалоговое окно.

Настройка TMG Beta 3 для SSTP VPN подключений - часть 2: настройка брандмауэра на прием подключений SSTP

Набросок 25

Если вы откроете CRL, вы увидите нечто вроде того, что показано на рисунке ниже.

Настройка TMG Beta 3 для SSTP VPN подключений - часть 2: настройка брандмауэра на прием подключений SSTP

Набросок 26

Сейчас мы знаем, что правило работает. Но мы не знаем, будет ли SSTP клиент по сути использовать путь, обозначенный в правиле. Дам вам подсказку: SSTP клиент не употребляет этот путь. Это значит, что нам необходимо пересмотреть это правило позднее. Но я желаю показать вам процесс подключения SSTP, до того как тщательно обрисовать эти детали, о которых мы побеседуем в последующей части.

Заключение

В этой части цикла о настройке брандмауэра TMG на прием подключений от SSTP VPN клиентов мы обсудили препядствия, связанные с сертификатами, а потом установили сертификат интернет веб-сайта на брандмауэр TMG. После чего мы сделали правило интернет публикации с целью публикации CRL веб-сайта для нашего личного ЦС. Направьте внимание, что вам не надо делать этот шаг, если вы используете коммерческий ЦС. В третьей части этого цикла мы разглядим шаги опции компонент VPN сервера и потом сделаем VPN подключение при помощи SSTP.

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.