Несколько недель вспять Microsoft выпустила версию Beta 3 Microsoft Forefront TMG (Threat Management Gateway) с массой новых замечательных способностей.

Microsoft Forefront TMG, как и ISA Server 2006, обладает встроенными способностями клиентских VPN и Site to Site VPN. Site to Site VPN устанавливается в согласовании со последующими протоколами:

IPSEC
L2TP через IPSEC
PPTP

Конфигурации Site to Site VPN остались фактически постоянными в TMG по сопоставлению с ISA Server 2006. Одна из новых функциональностей в клиентской VPN в TMG – поддержка VPN по протоколу SSTP (Secure Socket Tunneling Protocol), но эта функциональность – не то, о чем я желаю побеседовать в данной статье.

Перейдем к конфигурации Site to Site VPN. Запустите консоль TMG Management console и перейдите к узлу Remote Access Policy (VPN). В панели task щелкните Create VPN Site-to-Site connection. Будет запущен мастер сотворения удаленного VPN-сайта.

Набросок 1: Конфигурация удаленного VPN-сайта

Следуйте инструкциям мастера VPN Site-to-Site Connection Wizard и укажите имя для сети.

Набросок 2: Сетевое имя Site-to-Site

Изберите протокол для VPN. Для примера в нашей статье избран протокол Point-to-Point Tunneling Protocol (PPTP).

Набросок 3: Выбор VPN-протокола

После выбора протокола PPTP появится всплывающее окно, предупреждающее вас о том, что вы должны сделать пользовательский акк для Site-to-Site VPN с именованием, совпадающим с именованием сети Site-to-Site VPN. Если эти имена не будут совпадать, произойдет ошибка конфигурации, или будет установлено только клиентское VPN-соединение.

Набросок 4: Напоминание о необходимости совпадения имени пользовательского аккаунта и имени сети

Давайте сделаем пользовательский акк для использования сетью Site-to-Site VPN на другом сервере TMG. Назовем этот акк Hannover – так же, как и сеть. Активируйте пункты, не разрешающие изменение пароля либо истечение срока его деяния. Поставьте сильный пароль для этого пользовательского аккаунта.

Набросок 5: Удаленный VPN-аккаунт

Сейчас вы должны включить разрешение доступа к сети для аккаунта Site-to-Site VPN.

Набросок 6: Разрешение доступа к сети

Последующий шаг в процессе опции – выбор способа предназначения Айпишников для удаленного клиентского VPN-соединения с другой стороны Site-to-Site VPN. Также можно пользоваться DHCP либо Айпишниками из статического адресного пула.

Набросок 7: Укажите спектр Айпишников

Если вы используете версию Microsoft Forefront TMG Enterprise, вы должны указать обладателя соединения, когда Network Load Balancing не употребляется; что справедливо для нашего примера. Если NLB употребляется, обладатель соединения назначается автоматом.

Набросок 8: Укажите члена массива TMG в случае использования TMG Enterprise

Укажите Айпишник либо FQDN (Fully Qualified Domain Name) VPN-сервера удаленного веб-сайта.

Набросок 9: VPN-сервер удаленного веб-сайта

Укажите пользовательский акк удаленного веб-сайта, применяемый для соединения Site-to-Site. Этот акк будет употребляться для установления соединения с удаленным веб-сайтом.

Набросок 10: Удаленная аутентификация

Сервер TMG должен знать спектр Айпишников удаленных сетей, к которым будет подключаться TMG. Вам необходимо указать все спектры адресов удаленных веб-сайтов.

Набросок 11: Спектры адресов сети удаленных веб-сайтов

Если вы используете NLB для подключения к удаленным веб-сайтам, вам необходимо указать DIP (Dedicated IP address) шлюза удаленного веб-сайта. В нашем примере мы не используем NLB, потому ничего делать не надо.

Набросок 12: Настройка NLB удаленного веб-сайта, если NLB употребляется

Соединение Site-to-Site VPN просит сетевого правила, соединяющего оба веб-сайта Site-to-Site VPN. Мастер автоматом делает сетевое правило с отношением Route. Можно поменять это сетевое правило после окончания работы мастера.

Набросок 13: Сетевое правило Site-to-Site

Мастер Site-to-Site VPN Wizard также автоматом делает правило сетевого доступа меж 2-мя веб-сайтами. Вы должны указать разрешенные протоколы в сети Site-to-Site. Лучше, чтоб число разрешенных протоколов было наименьшим.

Набросок 14: Правило доступа к сети Site-to-Site

На данном шаге мастер собрал всю нужную информацию для сотворения Site-to-Site VPN. Вы сможете просмотреть конфигурацию, после этого нажмите Finish.

Набросок 15: Окончание работы мастера VPN Site-to-Site Network

Раскроется новое окно, напоминающее вам о том, что вы должны сделать локального юзера для VPN-соединения Site-to-Site, чтоб другой веб-сайт VPN-соединения мог использовать Site-to-Site VPN.

Набросок 16: Напоминание о других нужных шагах опции

Когда вы нажимаете Apply, создается Site-to-Site VPN. Характеристики Site-to-Site VPN можно поменять при желании. Щелкните правой кнопкой мыши на VPN-соединении и щелкните вкладку параметров. Здесь вам стоит направить внимание на connection timeout (истечение времени ожидания соединения) для неактивных соединений на вкладке Connection.

Набросок 17: Характеристики соединения

На вкладке Authentication вы сможете избрать протоколы аутентификации. MS-CHAP v2 – аутентификационный протокол по дефлоту, и изменять этот протокол стоит исключительно в случае последней необходимости, так как все другие протоколы наименее надежны по сопоставлению с MS-CHAP v2.

Набросок 18: Выбор аутентификационных протоколов

Если вы желаете узреть обзор параметров соединения Site-to-Site VPN, щелкните правой кнопкой мыши на правиле Site-to-Site и щелкните Site-to-Site Summary. Все это видно на последующем снимке экрана.

Набросок 19: Итоговая информация по Site-to-Site VPN

Потом вам необходимо проверить правило брандмауэра, сделанное мастером. Так как я использовал протокол PPTP в правиле брандмауэра, вы отыщите правило под узлом Web Access Policy.

Прирастить

Набросок 20: Правило доступа VPN Site-to-Site

И, в конце концов, вам необходимо проверить сетевое правило, сделанное мастером Site-to-Site VPN wizard. Вы отыщите сетевое правило в консоли TMG Management console под узлом Networking на вкладке network rule.

Набросок 21: Сетевое правило VPN Site-to-Site

Мы удачно настроили конфигурацию Site-to-Site VPN на одном веб-сайте TMG. Сейчас вам необходимо настроить сервер TMG на другом веб-сайте сети Site-to-Site VPN аналогичным образом.

Заключение

В этой статье я предоставил вам пример того, как необходимо создавать VPN по схеме Site to Site по протоколу PPTP при помощи Microsoft Forefront Threat Management Gateway. Процесс практически таковой же, как и в ISA Server 2006, потому у вас не должно быть особенных сложностей.

Ссылки по теме

Forefront Threat Management Gateway Beta 3
Выпущен Forefront TMG Beta 3
Что нового в Forefront TMG Beta 2 (Part 1)
Установка и настройка Microsoft Forefront TMG Beta 2