Понедельник, 2024-12-02, 5:27 PM
 
Начало Форум Регистрация Вход
Вы вошли как Гость
[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
  • Страница 1 из 1
  • 1
Модератор форума: denix  
Объединение двух сетей c использованием VPN
denixДата: Среда, 2006-06-07, 1:27 AM | Сообщение # 1
Admin
Группа: Администраторы
Сообщений: 531
Репутация: 0
Статус: Offline
В данной статье мы дадим описание процесса создания VPN туннеля для установления связи между локальными сетями двух удаленных офисов через интернет и организации совместной работы пользователей этих сетей посредством установления доверительных отношений между контролерами доменов локальных сетей этих офисов.

Исходные данные:

В каждом офисе имеется локальная сеть со своим доменом.

Адресация сети первого офиса: 192.168.11.0/255.255.255.0

Адресация сети второго офиса: 192.168.10.0/255.255.255.0

Выход в интернет осуществляется посредством Microsoft ISA сервер.

Необходимо объединить обе сети посредством создания VPN туннеля, настроить доверительные отношения между доменами для организации совместной работы пользователей.

Настройка туннеля средствами Microsoft ISA сервер
В состав Microsoft ISA сервера входят мастера обеспечивающие настройку VPN и механизма безопасности. Они позволяют сконфигурировать VPN для работы в самых различных ситуациях, например для подключения мобильных пользователей или филиалов между собой.
Для создания VPN-подключений предусмотрены три мастера, которые доступны из узла Network Configuration дерева консоли ISA Management.

Мастер Local ISA Server VPN – применяется для настройки локального ISA сервера, принимающего подключения. Локальный ISA сервер также можно настроить на инициирование подключений к другому компьютеру.

Мастер Remote ISA Server VPN – применяется для настройки удаленного ISA сервера, инициирующего и принимающего подключения других компьютеров.

Мастер ISA Virtual Private Network – применяется для подключения перемещающихся пользователей.

На первом этапе нам следует определить роли ISA серверов. Один из наших серверов будет являться принимающим, а второй вызывающим. Тут стоит исходить из потребностей пользователей локальных сетей и их необходимости в использовании сетевых ресурсов удаленного офиса. В последствии мы сделаем наш VPN туннель постоянным, но все же данный шаг по нашему мнению не стоит игнорировать.

Для упрощения настройка VPN-подключений мы будем использовать мастера ISA-сервера, запуск которых осуществляется из узла Network Configuration дерева консоли ISA Management.

На ISA сервере, который будет выступать в роли принимающего соединения, выбираем Set Up Local ISA VPN Server,

далее следуя указаниям мастера, вводим имена локального и удаленного VPN-соединения.

Здесь следует учесть, что данные имена будут впоследствии использованы ISA сервером как индикационные имена для создаваемого соединения, фильтров и пользователя от имени которого ISA сервер будет инициировать это соединение.

Следующим шагом мы выбираем протокол, который мы будем использовать при соединении по VPN туннелю.

Если вы не знаете, какой из протоколов будет вами использован то отметьте последний пункт, это позволит использовать при необходимости любой из протоколов, не внося значительных изменений в конфигурацию ISA сервера.

Тип используемого протокола, как правило, выбирают исходя из конкретных требований реализации и ограничений выбираемых технологий. Основное ограничение L2TP IPsec – отсутствие возможности работы через NAT. Соответственно, в случае использовании на внешнем адаптере ISA сервера IP адресов из частного диапазона (192.168.0.0/16, 172.16.0.0/11, 10.0.0.0/8) следует учитывать что где-то за ISA сервером работает NAT и туннелирование необходимо организовывать с использованием PPTP.
Далее мы выбираем, каким образом будет инициироваться соединение между ISA серверами. Так как мы конфигурирует принимающий соединения ISA сервер то мы можем, не отмечая опции Both the local and remote ISA VPN computers can initiate communication просто перейти к следующему шагу, но в этом случае пользователи этой локальной сети не смогут установить соединение с удаленной сетью, если VPN соединение не инициировано вызывающим ISA сервером.

На первом этапе мы рекомендовали вам определить роли ISA серверов исходя из потребностей в пользователей сети в доступе к ресурсам удаленной сети, на данном шаге мы с вами закрепляем эти роли за ISA серверам.
В нашем случае мы указываем, что оба наших ISA сервера могут инициировать VPN соединение.
В первое поле необходимо ввести полное DNS имя или IP адрес удаленного VPN сервера.

Во второе поле мы необходимо ввести NetBIOS имя удаленного VPN сервера или имя удаленного домена, если данный сервер является контролером домена.

На следующем этапе мы задаем диапазон сетевых адресов используемых в удаленной сети. Данный шаг позволит ISA серверу настроить маршрутизацию запросов локальных пользователей в удаленную сеть.

Если в удаленной сети используется несколько диапазонов адресов (подсетей), то необходимо добавить их все.
На следующем этапе мы выбираем IP адрес локального VPN сервера с которым будет соединяться удаленный ISA VPN сервер.

Здесь же приведен заданный ранее нами диапазон адресов удаленной сети необходимый ISA серверу для создания статического маршрута в эту подсеть.

На последнем этапе конфигурации принимающего ISA VPN сервера мы задаем имя файла куда будет сохранена конфигурация для удаленного ISA VPN сервера и при необходимости пароль.

На самом последнем этапе мы создаем VPN соединение с заданными нами ранее параметрами.
Перед запуском генерации VPN можно просмотреть конфигурацию создаваемого ISA сервер VPN соединения.

Листинг:
ISA Server Virtual Private Network (VPN) connection identification:
network1_network2 will be created on this router.
network2_network1 will be written to file.
VPN protocol type:
Use L2TP over IPSec, if available. Otherwise, use PPTP.
Destination address of the remote ISA Server computer:
123.45.67.8
Dial-out credentials used to connect to remote computer running ISA Server:
User account: network2_network1.
Domain name: SERVER2.
Remote Network IP addresses range:
192.168.10.0 - 192.168.10.254.
Remote ISA computer configuration:
IP address of this machine: 195.85.112.65.
Local Network IP addresses range:
192.168.11.0 - 192.168.11.254.
The configuration file created for the remote ISA Server computer:
D:isa-vpnremote-conf.vpc
Dial-in credentials created:
The user account network1_network2 was created on this computer,
with the password set to never expire.
Note:
A strong password was generated for the user account.
Changes made to the password will need to be applied to
the dial-on-demand credentials of the remote computer.
Созданный ISA сервер конфигурационный файл необходимо передать на удаленный ISA сервер.

Для конфигурации удаленного ISA сервера и создания на нем вызывающего VPN соединения необходимо запустить мастер Set Up Remote VPN Server.

Далее следуя указаниям мастера, указываем файл конфигурации и пароль.

После установления соединения между VPN интерфейсами ISA серверов мы можем просмотреть состояние соединения через оснастку RRAS.
Источник: http://www.winzone.ru

 
  • Страница 1 из 1
  • 1
Поиск:


Бесплатный хостинг uCoz