Несколько недель вспять Microsoft выпустила версию Beta 3 Microsoft Forefront TMG (Threat Management Gateway) с массой новых замечательных способностей.
Microsoft Forefront TMG, как и ISA Server 2006, обладает встроенными способностями клиентских VPN и Site to Site VPN. Site to Site VPN устанавливается в согласовании со последующими протоколами:
IPSEC
L2TP через IPSEC
PPTP
Конфигурации Site to Site VPN остались фактически постоянными в TMG по сопоставлению с ISA Server 2006. Одна из новых функциональностей в клиентской VPN в TMG – поддержка VPN по протоколу SSTP (Secure Socket Tunneling Protocol), но эта функциональность – не то, о чем я желаю побеседовать в данной статье.
Перейдем к конфигурации Site to Site VPN. Запустите консоль TMG Management console и перейдите к узлу Remote Access Policy (VPN). В панели task щелкните Create VPN Site-to-Site connection. Будет запущен мастер сотворения удаленного VPN-сайта.
Набросок 1: Конфигурация удаленного VPN-сайта
Следуйте инструкциям мастера VPN Site-to-Site Connection Wizard и укажите имя для сети.
Набросок 2: Сетевое имя Site-to-Site
Изберите протокол для VPN. Для примера в нашей статье избран протокол Point-to-Point Tunneling Protocol (PPTP).
Набросок 3: Выбор VPN-протокола
После выбора протокола PPTP появится всплывающее окно, предупреждающее вас о том, что вы должны сделать пользовательский акк для Site-to-Site VPN с именованием, совпадающим с именованием сети Site-to-Site VPN. Если эти имена не будут совпадать, произойдет ошибка конфигурации, или будет установлено только клиентское VPN-соединение.
Набросок 4: Напоминание о необходимости совпадения имени пользовательского аккаунта и имени сети
Давайте сделаем пользовательский акк для использования сетью Site-to-Site VPN на другом сервере TMG. Назовем этот акк Hannover – так же, как и сеть. Активируйте пункты, не разрешающие изменение пароля либо истечение срока его деяния. Поставьте сильный пароль для этого пользовательского аккаунта.
Набросок 5: Удаленный VPN-аккаунт
Сейчас вы должны включить разрешение доступа к сети для аккаунта Site-to-Site VPN.
Набросок 6: Разрешение доступа к сети
Последующий шаг в процессе опции – выбор способа предназначения Айпишников для удаленного клиентского VPN-соединения с другой стороны Site-to-Site VPN. Также можно пользоваться DHCP либо Айпишниками из статического адресного пула.
Набросок 7: Укажите спектр Айпишников
Если вы используете версию Microsoft Forefront TMG Enterprise, вы должны указать обладателя соединения, когда Network Load Balancing не употребляется; что справедливо для нашего примера. Если NLB употребляется, обладатель соединения назначается автоматом.
Набросок 8: Укажите члена массива TMG в случае использования TMG Enterprise
Укажите Айпишник либо FQDN (Fully Qualified Domain Name) VPN-сервера удаленного веб-сайта.
Набросок 9: VPN-сервер удаленного веб-сайта
Укажите пользовательский акк удаленного веб-сайта, применяемый для соединения Site-to-Site. Этот акк будет употребляться для установления соединения с удаленным веб-сайтом.
Набросок 10: Удаленная аутентификация
Сервер TMG должен знать спектр Айпишников удаленных сетей, к которым будет подключаться TMG. Вам необходимо указать все спектры адресов удаленных веб-сайтов.
Набросок 11: Спектры адресов сети удаленных веб-сайтов
Если вы используете NLB для подключения к удаленным веб-сайтам, вам необходимо указать DIP (Dedicated IP address) шлюза удаленного веб-сайта. В нашем примере мы не используем NLB, потому ничего делать не надо.
Набросок 12: Настройка NLB удаленного веб-сайта, если NLB употребляется
Соединение Site-to-Site VPN просит сетевого правила, соединяющего оба веб-сайта Site-to-Site VPN. Мастер автоматом делает сетевое правило с отношением Route. Можно поменять это сетевое правило после окончания работы мастера.
Набросок 13: Сетевое правило Site-to-Site
Мастер Site-to-Site VPN Wizard также автоматом делает правило сетевого доступа меж 2-мя веб-сайтами. Вы должны указать разрешенные протоколы в сети Site-to-Site. Лучше, чтоб число разрешенных протоколов было наименьшим.
Набросок 14: Правило доступа к сети Site-to-Site
На данном шаге мастер собрал всю нужную информацию для сотворения Site-to-Site VPN. Вы сможете просмотреть конфигурацию, после этого нажмите Finish.
Набросок 15: Окончание работы мастера VPN Site-to-Site Network
Раскроется новое окно, напоминающее вам о том, что вы должны сделать локального юзера для VPN-соединения Site-to-Site, чтоб другой веб-сайт VPN-соединения мог использовать Site-to-Site VPN.
Набросок 16: Напоминание о других нужных шагах опции
Когда вы нажимаете Apply, создается Site-to-Site VPN. Характеристики Site-to-Site VPN можно поменять при желании. Щелкните правой кнопкой мыши на VPN-соединении и щелкните вкладку параметров. Здесь вам стоит направить внимание на connection timeout (истечение времени ожидания соединения) для неактивных соединений на вкладке Connection.
Набросок 17: Характеристики соединения
На вкладке Authentication вы сможете избрать протоколы аутентификации. MS-CHAP v2 – аутентификационный протокол по дефлоту, и изменять этот протокол стоит исключительно в случае последней необходимости, так как все другие протоколы наименее надежны по сопоставлению с MS-CHAP v2.
Набросок 18: Выбор аутентификационных протоколов
Если вы желаете узреть обзор параметров соединения Site-to-Site VPN, щелкните правой кнопкой мыши на правиле Site-to-Site и щелкните Site-to-Site Summary. Все это видно на последующем снимке экрана.
Набросок 19: Итоговая информация по Site-to-Site VPN
Потом вам необходимо проверить правило брандмауэра, сделанное мастером. Так как я использовал протокол PPTP в правиле брандмауэра, вы отыщите правило под узлом Web Access Policy.
Прирастить
Набросок 20: Правило доступа VPN Site-to-Site
И, в конце концов, вам необходимо проверить сетевое правило, сделанное мастером Site-to-Site VPN wizard. Вы отыщите сетевое правило в консоли TMG Management console под узлом Networking на вкладке network rule.
Набросок 21: Сетевое правило VPN Site-to-Site
Мы удачно настроили конфигурацию Site-to-Site VPN на одном веб-сайте TMG. Сейчас вам необходимо настроить сервер TMG на другом веб-сайте сети Site-to-Site VPN аналогичным образом.
Заключение
В этой статье я предоставил вам пример того, как необходимо создавать VPN по схеме Site to Site по протоколу PPTP при помощи Microsoft Forefront Threat Management Gateway. Процесс практически таковой же, как и в ISA Server 2006, потому у вас не должно быть особенных сложностей.
Ссылки по теме
Forefront Threat Management Gateway Beta 3
Выпущен Forefront TMG Beta 3
Что нового в Forefront TMG Beta 2 (Part 1)
Установка и настройка Microsoft Forefront TMG Beta 2