Настройка TMG Beta 3 для SSTP VPN подключений – часть 3: настройка TMG VPN параметров и создание подключения

Во 2-ой части этого цикла статей о настройке брандмауэра TMG на прием SSTP VPN клиентских подключений мы обсудили вопросы, связанные с сертификатами, а потом установили сертификат интернет веб-сайта на брандмауэр TMG. Мы сделали правило интернет публикации для публикации веб-сайта CRL нашего личного ЦС. Направьте внимание, что вам не надо производить этот шаг, если вы используете коммерческий ЦС. В этой заключительной части мы разглядим шаги опции компонента VPN сервера, а потом сделаем подключение VPN при помощи SSTP. Мы также узнаем, что нам необходимо поправить правило интернет публикации для веб-сайта CRL, так как наш сертификат околпачил нас в том, какой URL будет употребляться для доступа к CRL.

ПРЕДУПРЕЖДЕНИЕ: в этой бета версии брандмауэра TMG вы не можете удалить интернет приемник SSTP Web Listener после его сотворения. Это значит, что IP адресок, который вы используете для этого интернет приемника, будет повсевременно назначен для приемника SSTP, и вы не можете использовать его для правила интернет публикации SSL Web Publishing Rule. Хотя эта неувязка будет исправлена к выходу RTM версии продукта, вам необходимо добавить IP адреса для дополнительных правил интернет публикации SSL, либо переустановить свою машину, чтоб избавиться от SSTP приемника.

Настройка VPN конфигурации на брандмауэре TMG

Сейчас давайте перейдем к основной задачке ‘ настройке VPN конфигурации на брандмауэре TMG. Хотя было бы хорошо обрисовать все подробности конфигурации TMG VPN, я собираюсь использовать более узенький подход в этой статье и расскажу только о тех качествах опции, которые затрагивают SSTP конфигурацию. Если вы желаете выяснить больше о VPN конфигурации брандмауэра TMG в общем, непременно приобретите нашу книжку о TMG, которая выйдет через пару месяцев.

Выполнение последующих шагов для инициации конфигурации VPN сервера на брандмауэре TMG:

Открываем консоль брандмауэра TMG, и перебегаем в узел Политика удаленного доступа (Remote Access Policy (VPN)) в левой панели, как показано на рисунке ниже.

Настройка TMG Beta 3 для SSTP VPN подключений - часть 3: настройка TMG VPN характеристик и создание подключения

Набросок 1

В закладке Задачки в панели задач перебегаем по ссылке Включить доступ для VPN клиентов (Enable VPN Client Access).

Настройка TMG Beta 3 для SSTP VPN подключений - часть 3: настройка TMG VPN характеристик и создание подключения

Набросок 2

Ха! Вы заметите, что древняя ошибка в коде, которая была частью конфигурации VPN в брандмауэре ISA, была перенесена и в брандмауэр TMG. До того как включить VPN доступ, нужно поначалу настроить предназначение адресов. Было бы здорово, если б панель задач делала все функции конфигурации VPN труднодоступными, пока не произведена настройка предназначения адресов для VPN клиентов. Нет заморочек. Жмем тут OK и исправляем делему.

Настройка TMG Beta 3 для SSTP VPN подключений - часть 3: настройка TMG VPN характеристик и создание подключения

Набросок 3

В панели задач избираем команду Найти предназначение адресов (Define Address Assignments) . Последующее окно отображено на рисунке ниже. Так как у меня установлен DHCP сервер на контроллере домена, я собираюсь избрать опцию Dynamic Host Configuration Protocols (DHCP). Если вы решили избрать опцию Пул статических адресов (Static Address Pool), удостоверьтесь, что адреса, которые вы вводите в пул, не употребляются ни в одной другой Дефиниции Сети (Network Definition) ‘ в неприятном случае такая настройка работать не будет, и вы увидите отчет об ошибке в разделе предупреждений (Alerts) в консоли брандмауэра TMG. Жмем OK.

Настройка TMG Beta 3 для SSTP VPN подключений - часть 3: настройка TMG VPN характеристик и создание подключения

Набросок 4

Сейчас перебегаем по ссылке Включить доступ для VPN клиентов (Enable VPN Client Access) в панели задач. Значок поменяется и появится, как Отключить доступ для VPN клиентов (Disable VPN Client Access), после того как вы включите его.

Настройка TMG Beta 3 для SSTP VPN подключений - часть 3: настройка TMG VPN характеристик и создание подключения

Набросок 5

Перебегаем по ссылке Настроить доступ клиента VPN (Configure VPN ClientAccess) в панели задач. В диалоговом окне Характеристики клиента VPN (VPN Clients Properties) перебегаем в закладку Протоколы (Protocols). Функция Включить PPTP (Enable PPTP) будет включена по дефлоту. Отмечаем опцию Включить SSTP (Enable SSTP). Жмем кнопку Настроить (Configure), чтоб начать процесс сотворения интернет приемника для SSTP подключений.

Настройка TMG Beta 3 для SSTP VPN подключений - часть 3: настройка TMG VPN характеристик и создание подключения

Набросок 6

В диалоговом окне Выбор интернет приемника для SSTP (Choose Web Listener for SSTP) вы увидите перечень возможных интернет приемников, которые можно использовать для SSTP подключений. Так как на этом брандмауэре пока нет ни 1-го интернет приемника с включенной SSL, нам придется его сделать. Жмем кнопку Новый (New), чтоб начать создание приемника.

Настройка TMG Beta 3 для SSTP VPN подключений - часть 3: настройка TMG VPN характеристик и создание подключения

Набросок 7

На приветственной страничке мастера Welcome to the New Web Listener Wizard вводим имя для интернет приемника в текстовом поле Имя интернет приемника (Web listener name). В этом примере мы назовем его SSTP Listener. Примечание: Вы, возможно, возжелаете выделить этот интернет приемник под SSTP подключения в силу его особенной конфигурации. Это значит, что если вам необходимо опубликовать другие SSL веб-сайты, вам потребуются дополнительные IP адреса для этих веб-сайтов, так как вы не можете использовать SSTP Web Listener для их.

Настройка TMG Beta 3 для SSTP VPN подключений - часть 3: настройка TMG VPN характеристик и создание подключения

Набросок 8

На страничке IP адреса интернет приемника (Web Listener IP Addresses) я собираюсь избрать опцию Наружный (External), отметив подобающую строчку. Я делаю это, так как у меня есть только один IP адресок, присвоенный наружному интерфейсу брандмауэра TMG. Если б у меня было больше IP адресов, присвоенных наружному интерфейсу брандмауэра TMG, мне бы пришлось надавить кнопку Выбор IP адресов (Select IP Addresses) и избрать определенные IP адреса для этого интернет приемника. Примечание: это достаточно увлекательная функция, которая обычно недосягаема для других типов VPN подключений (PPTP, L2TP/IPsec) к брандмауэру TMG ‘ другими словами, с другими VPN протоколами вы не можете держать под контролем определенные IP адреса (ну, либо, по последней мере, не можете сделать это просто), с которых разрешены подключения. В SSTP вы сможете ограничить, какие адреса принимают SSTP подключения методом опции интернет приемника на разрешение подключений только с избранных вами IP адресов. Жмем Дальше.

Настройка TMG Beta 3 для SSTP VPN подключений - часть 3: настройка TMG VPN характеристик и создание подключения

Набросок 9

На страничке SSL сертификаты приемника (Listener SSL Certificates) жмем кнопку Избрать сертификат (Select Certificate).

Настройка TMG Beta 3 для SSTP VPN подключений - часть 3: настройка TMG VPN характеристик и создание подключения

Набросок 10

В диалоговом окне Выбор сертификата (Select Certificate) вы увидите сертификат, который я сделал для SSTP подключений и потом установил в хранилище сертификатов машины брандмауэра TMG. Направьте внимание, что у меня есть ЦС предприятия в домене, к которому принадлежит брандмауэр TMG, потому ЦС сертификат центра сертификации, который сделал этот сертификат интернет веб-сайта, уже установлен на брандмауэре TMG. Если вы используете коммерческий сертификат, вам не надо волноваться об этом шаге. Как я уже гласил в предшествующей части, существует огромное количество методов запроса и получения сертификата, потому я не вдавался в подробности той конфигурации. Тут принципиально только то, что вы сможете установить сертификат и показать его в этом диалоговом окне, как показано на рисунке ниже. Я выбираю сертификат vpn.msfirewall.org и нажимаю Избрать (Select).

Настройка TMG Beta 3 для SSTP VPN подключений - часть 3: настройка TMG VPN характеристик и создание подключения
Прирастить

Набросок 11

Сейчас сертификат появится на страничке SSL сертификаты приемника (Listener SSL Certificates). Жмем Дальше.

Настройка TMG Beta 3 для SSTP VPN подключений - часть 3: настройка TMG VPN характеристик и создание подключения

Набросок 12

Жмем Окончить на страничке мастера Completing the New Web Listener Wizard.

Настройка TMG Beta 3 для SSTP VPN подключений - часть 3: настройка TMG VPN характеристик и создание подключения

Набросок 13

В диалоговом окне Выбор интернет приемника для SSTP (Choose Web Listener for SSTP) мы лицезреем подробности этого приемника. Жмем OK.

Настройка TMG Beta 3 для SSTP VPN подключений - часть 3: настройка TMG VPN характеристик и создание подключения

Набросок 14

Жмем OK в диалоговом окне Характеристики VPN клиента (VPN Clients Properties).

Настройка TMG Beta 3 для SSTP VPN подключений - часть 3: настройка TMG VPN характеристик и создание подключения

Набросок 15

Когда вы перебегайте в узел Политика брандмауэра (Firewall Policy) в левой панели консоли, нажимаете на закладке Инструменты в панели задач, потом нажимаете Объекты сети (Network Objects) и перебегайте к Интернет приемники (Web Listeners), вы видите собственный SSTP Listener в перечне интернет приемников.

Настройка TMG Beta 3 для SSTP VPN подключений - часть 3: настройка TMG VPN характеристик и создание подключения

Набросок 16

Очередное увлекательное изменение можно отыскать в Системной политике (System Policy). Если вы развернете системную политику в узле Политика брандмауэра в консоли, вы увидите, что правило системной политики SSTP Публикация было автоматом включено.

Настройка TMG Beta 3 для SSTP VPN подключений - часть 3: настройка TMG VPN характеристик и создание подключения
Прирастить

Набросок 17

Жмем Применить (Apply), чтоб сохранить конфигурации и обновить конфигурацию. Жмем Применить в диалоговом окне Описания конфигураций конфигурации (Configuration Change Descriptions). Жмем OK в диалоговом окне Сохранение конфигураций конфигурации (Saving Configuration Changes).

Экспорт ЦС сертификата

Клиенты должны доверять сертификату, который SSTP приемник представляет им. Если вы используете коммерческий сертификат, это не будет неувязкой, так как они уже доверяют центру сертификации, в каком вы заполучили сертификат. Если же вы используете личный ЦС, как мы в этой статье, то вам нужно убедиться, что клиенты доверяют ЦС, который подписал сертификат интернет веб-сайта SSTP.

Если клиенты являются членами домена и вы используете ЦС предприятия, то у вас не возникнет никаких заморочек, так как ЦС сертификат будет автоматом помещен в хранилище сертификатов машины в клиентском доверенном корневом центре сертификации (Trusted Root Certification Authorities). Но если ваши клиенты не являются членами домена либо вы не используете ЦС предприятия, то вам нужно импортировать этот сертификат. В данном случае вам необходимо получить ЦС сертификат. На рисунке ниже показан ЦС сертификат, применяемый SSTP приемником в оснастке сертификатов консоли MMC.

Настройка TMG Beta 3 для SSTP VPN подключений - часть 3: настройка TMG VPN характеристик и создание подключения

Набросок 18

Два раза жмем на сертификате и перебегаем в закладку Путь сертификата (Certificate Path). Вы увидите ЦС, издавший этот сертификат интернет веб-сайта в верху перечня. Два раза жмем на этом ЦС. Потом вы увидите диалоговое окно Сертификат для ЦС сертификата. Перебегаем в закладку Тщательно (Details). В закладке Тщательно этого ЦС сертификата жмем кнопку Копировать в файл (Copy to File).

Настройка TMG Beta 3 для SSTP VPN подключений - часть 3: настройка TMG VPN характеристик и создание подключения
Прирастить

Набросок 19

Мастер проведет вас через шаги экспортирования ЦС сертификата. Когда вы экспортировали собственный сертификат, скопируйте его на клиента, с которого собираетесь подключаться.

Импортирование ЦС сертификата в хранилище сертификатов машины VPN клиента

Давайте сосредоточим свое внимание на клиенте Windows 7 VPN. Открываем оснастку сертификатов в консоли MMC и разворачиваем узел Доверенные корневые центры сертификации (Trusted Root Certificate Authorities) в левой панели консоли. Нажимаем правой кнопкой на узле Сертификаты (Certificates), наводим курсор на Все задачки (All Tasks) и жмем Импортировать (Import).

Помните ‘ вы импортируете этот сертификат в хранилище сертификатов машины. Вы не импортируете его в хранилище сертификатов юзера либо служб.

Настройка TMG Beta 3 для SSTP VPN подключений - часть 3: настройка TMG VPN характеристик и создание подключения
Прирастить

Набросок 20

Следуем инструкциям мастера. Когда вы дошли до странички Импортируемый файл (File to Import), непременно изберите ЦС сертификат, который экспортировали ранее. Жмем Дальше.

Настройка TMG Beta 3 для SSTP VPN подключений - часть 3: настройка TMG VPN характеристик и создание подключения

Набросок 21

Когда работа мастера завершена, вы увидите сертификат в узле Доверенные корневые центры сертификацииСертификаты (Trusted Root Certification AuthoritiesCertificates). Два раза нажмите на сертификате и увидите подробности этого ЦС сертификата.

Настройка TMG Beta 3 для SSTP VPN подключений - часть 3: настройка TMG VPN характеристик и создание подключения
Прирастить

Набросок 22

Создаем VPN подключение и проверяем работу SSTP

Сейчас можно малость повеселиться. На Windows 7 клиенте откройте окно Управление сетевыми подключениями и общим доступом (Network and Sharing). Перейдите по ссылке Сделать новое подключение либо сеть (Set up a new connection or network) на этой страничке.

Настройка TMG Beta 3 для SSTP VPN подключений - часть 3: настройка TMG VPN характеристик и создание подключения

Набросок 23

На страничке Создание нового подключения либо сети (Set Up a Connection or Network) перейдите по ссылке Подключиться к рабочему месту (Connect to a workplace) и нажмите Дальше.

Настройка TMG Beta 3 для SSTP VPN подключений - часть 3: настройка TMG VPN характеристик и создание подключения

Набросок 24

На страничке Как вы желаете подключиться (How do you want to connect)? изберите опцию Использовать мое интернет-соединение (VPN) (Use my Internet connection (VPN)).

Настройка TMG Beta 3 для SSTP VPN подключений - часть 3: настройка TMG VPN характеристик и создание подключения

Набросок 25

На страничке Ввод веб адреса, к которому необходимо подключиться (Type the Internet address to connect to) введите FQDN сервера SSTP VPN. Направьте внимание, что так как мы используем SSL и интернет приемник, необходимо подключаться к FQDN, а не к IP адресу. Этот FQDN должно быть таким же, что общее либо субъектное имя на сертификате SSTP интернет веб-сайта. Также введите имя, чтоб можно было распознать по нему это подключение. Жмем Дальше.

Настройка TMG Beta 3 для SSTP VPN подключений - часть 3: настройка TMG VPN характеристик и создание подключения

Набросок 26

Вводим имя юзера и пароль для проверки подлинности на брандмауэре TMG VPN. Удостоверьтесь, что политика домена настроена на включение dial in доступа для пользовательских учетных записей на базе политики.

Жмем Подключиться (Connect), чтоб сделать соединение.

Настройка TMG Beta 3 для SSTP VPN подключений - часть 3: настройка TMG VPN характеристик и создание подключения

Набросок 27

Ого! Сейчас мы подключены! Это было очень просто. Да, это было очень просто.

Настройка TMG Beta 3 для SSTP VPN подключений - часть 3: настройка TMG VPN характеристик и создание подключения

Набросок 28

Если вы проверите подробности собственного VPN подключения, вы будете малость разочарованы. То, что, по-нашему воззрению, было SSTP подключением, по сути оказалось PPTP подключением. Что тут не так?

Настройка TMG Beta 3 для SSTP VPN подключений - часть 3: настройка TMG VPN характеристик и создание подключения

Набросок 29

Что не так с тем, что показано на рисунке ниже. Тут вы видите строчку, указывающую на то, что SSTP клиент пробует получить доступ к CRL.

И что не так? Это не адреса CRL, обозначенные на сертификате! OK, если б все было так просто, не было бы обстоятельств для написания этой статьи. Нам необходимо добавить этот путь в свое правило интернет публикации CRL.

Настройка TMG Beta 3 для SSTP VPN подключений - часть 3: настройка TMG VPN характеристик и создание подключения
Прирастить

Набросок 30

Перебегаем к правилу интернет публикации, которое мы сделали для CRL ранее и добавляем новый путь. Это будет /CertEnroll/DC+.crl. На рисунке ниже показано, где это необходимо сделать.

Настройка TMG Beta 3 для SSTP VPN подключений - часть 3: настройка TMG VPN характеристик и создание подключения

Набросок 31

Не забудьте сохранить конфигурации конфигурации.

Когда вы отключите клиентский компьютер, а потом опять повторите попытку подключения, вы заметите, что клиент опять пробует использовать PPTP для подключения. В качестве самого обычного метода решения этой задачи необходимо в принудительном порядке вынудить VPN клиента использовать SSTP, как показано на рисунке ниже. Можно также перезапустить службу брандмауэра, если желаете, но принуждение клиента VPN к использованию SSTP наименее проблематично.

Настройка TMG Beta 3 для SSTP VPN подключений - часть 3: настройка TMG VPN характеристик и создание подключения

Набросок 32

Опять запускаем VPN подключение. На этот раз, после подключения проверьте его характеристики. Тут вы будете приятно удивлены, так как клиент по сути сделал SSTP подключение. Отлично!

Настройка TMG Beta 3 для SSTP VPN подключений - часть 3: настройка TMG VPN характеристик и создание подключения

Набросок 33

Если вы проверите логи брандмауэра TMG, вы обнаружите, что CRL проверка прошла удачно, так как мы добавили новый путь, как показано на рисунке ниже.

Настройка TMG Beta 3 для SSTP VPN подключений - часть 3: настройка TMG VPN характеристик и создание подключения

Набросок 34

Естественно, только тот факт, что мы способны подключаться к VPN, совсем не значит, что у нас есть доступ к хоть каким ресурсам корпоративной сети. Необходимо будет создавать правила брандмауэра, управляющие тем, каким клиентам VPN будет разрешен доступ к сети после их подключения. По дефлоту нет никаких правил, потому на данном шаге VPN клиент подключен через SSTP, но он не имеет доступа к ресурсам. Когда вы создадите правила брандмауэра, дающие VPN клиентам сетевой доступ к ресурсам корпоративной сети, они сумеют подключаться к этим ресурсам.

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.