Настройка VPN по схеме Site to Site по протоколу PPTP с помощью Microsoft Forefront TMG

Несколько недель вспять Microsoft выпустила версию Beta 3 Microsoft Forefront TMG (Threat Management Gateway) с массой новых замечательных способностей.

Microsoft Forefront TMG, как и ISA Server 2006, обладает встроенными способностями клиентских VPN и Site to Site VPN. Site to Site VPN устанавливается в согласовании со последующими протоколами:

IPSEC
L2TP через IPSEC
PPTP

Конфигурации Site to Site VPN остались фактически постоянными в TMG по сопоставлению с ISA Server 2006. Одна из новых функциональностей в клиентской VPN в TMG – поддержка VPN по протоколу SSTP (Secure Socket Tunneling Protocol), но эта функциональность – не то, о чем я желаю побеседовать в данной статье.

Перейдем к конфигурации Site to Site VPN. Запустите консоль TMG Management console и перейдите к узлу Remote Access Policy (VPN). В панели task щелкните Create VPN Site-to-Site connection. Будет запущен мастер сотворения удаленного VPN-сайта.

Настройка VPN по схеме Site to Site по протоколу PPTP при помощи Microsoft Forefront TMG

Набросок 1: Конфигурация удаленного VPN-сайта

Следуйте инструкциям мастера VPN Site-to-Site Connection Wizard и укажите имя для сети.

Настройка VPN по схеме Site to Site по протоколу PPTP при помощи Microsoft Forefront TMG

Набросок 2: Сетевое имя Site-to-Site

Изберите протокол для VPN. Для примера в нашей статье избран протокол Point-to-Point Tunneling Protocol (PPTP).

Настройка VPN по схеме Site to Site по протоколу PPTP при помощи Microsoft Forefront TMG

Набросок 3: Выбор VPN-протокола

После выбора протокола PPTP появится всплывающее окно, предупреждающее вас о том, что вы должны сделать пользовательский акк для Site-to-Site VPN с именованием, совпадающим с именованием сети Site-to-Site VPN. Если эти имена не будут совпадать, произойдет ошибка конфигурации, или будет установлено только клиентское VPN-соединение.

Настройка VPN по схеме Site to Site по протоколу PPTP при помощи Microsoft Forefront TMG

Набросок 4: Напоминание о необходимости совпадения имени пользовательского аккаунта и имени сети

Давайте сделаем пользовательский акк для использования сетью Site-to-Site VPN на другом сервере TMG. Назовем этот акк Hannover – так же, как и сеть. Активируйте пункты, не разрешающие изменение пароля либо истечение срока его деяния. Поставьте сильный пароль для этого пользовательского аккаунта.

Настройка VPN по схеме Site to Site по протоколу PPTP при помощи Microsoft Forefront TMG

Набросок 5: Удаленный VPN-аккаунт

Сейчас вы должны включить разрешение доступа к сети для аккаунта Site-to-Site VPN.

Настройка VPN по схеме Site to Site по протоколу PPTP при помощи Microsoft Forefront TMG

Набросок 6: Разрешение доступа к сети

Последующий шаг в процессе опции – выбор способа предназначения Айпишников для удаленного клиентского VPN-соединения с другой стороны Site-to-Site VPN. Также можно пользоваться DHCP либо Айпишниками из статического адресного пула.

Настройка VPN по схеме Site to Site по протоколу PPTP при помощи Microsoft Forefront TMG

Набросок 7: Укажите спектр Айпишников

Если вы используете версию Microsoft Forefront TMG Enterprise, вы должны указать обладателя соединения, когда Network Load Balancing не употребляется; что справедливо для нашего примера. Если NLB употребляется, обладатель соединения назначается автоматом.

Настройка VPN по схеме Site to Site по протоколу PPTP при помощи Microsoft Forefront TMG

Набросок 8: Укажите члена массива TMG в случае использования TMG Enterprise

Укажите Айпишник либо FQDN (Fully Qualified Domain Name) VPN-сервера удаленного веб-сайта.

Настройка VPN по схеме Site to Site по протоколу PPTP при помощи Microsoft Forefront TMG

Набросок 9: VPN-сервер удаленного веб-сайта

Укажите пользовательский акк удаленного веб-сайта, применяемый для соединения Site-to-Site. Этот акк будет употребляться для установления соединения с удаленным веб-сайтом.

Настройка VPN по схеме Site to Site по протоколу PPTP при помощи Microsoft Forefront TMG

Набросок 10: Удаленная аутентификация

Сервер TMG должен знать спектр Айпишников удаленных сетей, к которым будет подключаться TMG. Вам необходимо указать все спектры адресов удаленных веб-сайтов.

Настройка VPN по схеме Site to Site по протоколу PPTP при помощи Microsoft Forefront TMG

Набросок 11: Спектры адресов сети удаленных веб-сайтов

Если вы используете NLB для подключения к удаленным веб-сайтам, вам необходимо указать DIP (Dedicated IP address) шлюза удаленного веб-сайта. В нашем примере мы не используем NLB, потому ничего делать не надо.

Настройка VPN по схеме Site to Site по протоколу PPTP при помощи Microsoft Forefront TMG

Набросок 12: Настройка NLB удаленного веб-сайта, если NLB употребляется

Соединение Site-to-Site VPN просит сетевого правила, соединяющего оба веб-сайта Site-to-Site VPN. Мастер автоматом делает сетевое правило с отношением Route. Можно поменять это сетевое правило после окончания работы мастера.

Настройка VPN по схеме Site to Site по протоколу PPTP при помощи Microsoft Forefront TMG

Набросок 13: Сетевое правило Site-to-Site

Мастер Site-to-Site VPN Wizard также автоматом делает правило сетевого доступа меж 2-мя веб-сайтами. Вы должны указать разрешенные протоколы в сети Site-to-Site. Лучше, чтоб число разрешенных протоколов было наименьшим.

Настройка VPN по схеме Site to Site по протоколу PPTP при помощи Microsoft Forefront TMG

Набросок 14: Правило доступа к сети Site-to-Site

На данном шаге мастер собрал всю нужную информацию для сотворения Site-to-Site VPN. Вы сможете просмотреть конфигурацию, после этого нажмите Finish.

Настройка VPN по схеме Site to Site по протоколу PPTP при помощи Microsoft Forefront TMG

Набросок 15: Окончание работы мастера VPN Site-to-Site Network

Раскроется новое окно, напоминающее вам о том, что вы должны сделать локального юзера для VPN-соединения Site-to-Site, чтоб другой веб-сайт VPN-соединения мог использовать Site-to-Site VPN.

Настройка VPN по схеме Site to Site по протоколу PPTP при помощи Microsoft Forefront TMG

Набросок 16: Напоминание о других нужных шагах опции

Когда вы нажимаете Apply, создается Site-to-Site VPN. Характеристики Site-to-Site VPN можно поменять при желании. Щелкните правой кнопкой мыши на VPN-соединении и щелкните вкладку параметров. Здесь вам стоит направить внимание на connection timeout (истечение времени ожидания соединения) для неактивных соединений на вкладке Connection.

Настройка VPN по схеме Site to Site по протоколу PPTP при помощи Microsoft Forefront TMG

Набросок 17: Характеристики соединения

На вкладке Authentication вы сможете избрать протоколы аутентификации. MS-CHAP v2 – аутентификационный протокол по дефлоту, и изменять этот протокол стоит исключительно в случае последней необходимости, так как все другие протоколы наименее надежны по сопоставлению с MS-CHAP v2.

Настройка VPN по схеме Site to Site по протоколу PPTP при помощи Microsoft Forefront TMG

Набросок 18: Выбор аутентификационных протоколов

Если вы желаете узреть обзор параметров соединения Site-to-Site VPN, щелкните правой кнопкой мыши на правиле Site-to-Site и щелкните Site-to-Site Summary. Все это видно на последующем снимке экрана.

Настройка VPN по схеме Site to Site по протоколу PPTP при помощи Microsoft Forefront TMG

Набросок 19: Итоговая информация по Site-to-Site VPN

Потом вам необходимо проверить правило брандмауэра, сделанное мастером. Так как я использовал протокол PPTP в правиле брандмауэра, вы отыщите правило под узлом Web Access Policy.

Настройка VPN по схеме Site to Site по протоколу PPTP при помощи Microsoft Forefront TMG
Прирастить

Набросок 20: Правило доступа VPN Site-to-Site

И, в конце концов, вам необходимо проверить сетевое правило, сделанное мастером Site-to-Site VPN wizard. Вы отыщите сетевое правило в консоли TMG Management console под узлом Networking на вкладке network rule.

Настройка VPN по схеме Site to Site по протоколу PPTP при помощи Microsoft Forefront TMG

Набросок 21: Сетевое правило VPN Site-to-Site

Мы удачно настроили конфигурацию Site-to-Site VPN на одном веб-сайте TMG. Сейчас вам необходимо настроить сервер TMG на другом веб-сайте сети Site-to-Site VPN аналогичным образом.

Заключение

В этой статье я предоставил вам пример того, как необходимо создавать VPN по схеме Site to Site по протоколу PPTP при помощи Microsoft Forefront Threat Management Gateway. Процесс практически таковой же, как и в ISA Server 2006, потому у вас не должно быть особенных сложностей.

Ссылки по теме

Forefront Threat Management Gateway Beta 3
Выпущен Forefront TMG Beta 3
Что нового в Forefront TMG Beta 2 (Part 1)
Установка и настройка Microsoft Forefront TMG Beta 2

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.