Переривання VPN з’єднання перед ISA Firewall - Сторінка 2 - Статті про Microsoft Windows

У першій частині цієї серії з двох статей, присвячених налаштуванню ISA Firewall для підтримки віддалених клієнтів VPN, що перериваються у зовнішнього брандмауера або пристрою NAT, я розповідав про принципи дизайну основної інфраструктури, важливі для працездатності цього рішення. У цій статті обговорювалися мережева архітектура, відносини маршрутизації та умови контролю доступу.

У цій статті я продовжу обговорення, але цього разу приділю особливу увагу конкретним деталям налаштування, а також розповім про деякі найбільш серйозні труднощі та ускладнення, які можуть виникнути з вашою мережею. Ми розглянемо такі дії:

У наступній статті ми закінчимо розповідь про цей дизайн обговоренням правил ISA Firewall, які вам необхідно створити для цього сценарію, процесів налаштування різних типів клієнтів та тестування конфігурації.

Перш ніж переходити до деталей налаштування, вивчимо приклад мережі, використаний у статті. Він показаний малюнку 6.

ISA Firewall встановлений на комп'ютер із двома мережними інтерфейсами: внутрішній для внутрішньої мережі та зовнішній для мережі DMZ за межами ISA Firewall та комп'ютера RRAS NAT, розташованого перед ISA Firewall. ISA Firewall є членом домену, так що в майбутньому ми матимемо можливість використовувати суворий контроль доступу по користувачам/групам з максимальною ефективністю, скориставшись налаштуваннями клієнта Web proxy або брандмауера.

У комп'ютері з RRAS NAT є два мережеві інтерфейси: один інтерфейс підключений до зони DMZ, розташованої між ним і ISA Firewall і зовнішній інтерфейс, підключений до Інтернету або мережі, яка забезпечує доступ до Інтернету. Оскільки я показую цю конфігурацію на прикладі моєї реальної мережі, доступ доІнтернет йде через ISA Firewall, розташований перед сервером RRAS NAT, який використовується в цьому сценарії.

Зовнішній брандмауер/пристрій потребує запису в таблиці маршрутизації, яка інформує його про коректний шлюз у корпоративну мережу. Без подібного запису зовнішній брандмауер/пристрій NAT, що використовується як сервер VPN, буде нездатний правильно маршрутизувати запит і спроби з'єднання будуть безуспішними.

Підіб'ємо підсумки під нашими вимогами до зовнішнього брандмауера/пристрою NAT:

Наступні процедури покажуть вам, як налаштувати Windows Server 2003 RRAS NAT та створити запис у таблиці маршрутизації на комп'ютері RRAS NAT. Якщо ви хочете скопіювати цю конфігурацію у вашій тестовій мережі, або якщо ви використовуєте RRAS NAT як зовнішній VPN шлюз, ця інструкція підійде вам. Якщо ж ви використовуєте як зовнішній пристрій щось інше і не хочете змінювати цю конфігурацію вашої тестової мережі, можете продовжити читання з наступного параграфа, який має назву Налаштування ISA Firewall.

Виконайте такі дії на комп'ютері з інстальованим Windows Server 2003, що використовуватиметься як сервер мережі VPN з віддаленим доступом і пристрій NAT:

1. Натисніть Start, а потім на Administrative Tools. Клацніть на Routing and Remote Access. 2. Служба Routing and Remote Access Service встановлена за промовчанням, але не увімкнена. Щоб увімкнути її, в консолі Routing and Remote Access клацніть правою кнопкою на імені сервера, розташованому на лівій панелі, і натисніть Configure and Enable Routing and Remote Access. 3. Натисніть Next на сторінці майстра встановлення Welcome to the Routing and Remote Access Server Setup Wizard. 4. На сторінці Configuration виберіть опцію Virtual Private Network (VPN) access and NAT та натисніть Next.

5.На сторінці VPN Connection виберіть мережний інтерфейс, який з'єднує сервер VPN з Інтернетом. У цьому прикладі інтерфейс під ім'ям WAN є зовнішнім і ми виберемо його. Відзначимо поле Enable security on selected interface by setting up Basic Firewall. Це налаштує сервер RRAS так, що він допускатиме вхідні VPN з'єднання з потоковою перевіркою трафіку і блокуватиме всі інші вхідні підключення. Натисніть кнопку Next.

6. На сторінці Network Selection, виберіть мережний інтерфейс, що є внутрішнім інтерфейсом сервера RRAS NAT. У цьому прикладі їм буде інтерфейс під назвою LAN. Натисніть кнопку Next.

7. На сторінці IP Address Assignment позначте опцію From a specified range of addresses та натисніть Next. Причина, через яку ми вибрали цю опцію, у тому, що ми не маємо DHCP сервера в мережі DMZ, і програма DHCP Relay Agent для підтримки DHCP серверів, розташованих у внутрішній мережі, не встановлена на ISA Firewall.

9. На сторінці Address Range Assignment натисніть кнопку Next.

10. Налаштування VPN сервера завершено, і тепер ми вибираємо опції щодо сервісу NAT. На сторінці Network Selection виберіть мережний інтерфейс, який повинен дозволяти вихідні NAT з'єднання. У цьому прикладі ми хочемо дозволити вихідні NAT з'єднання з внутрішнього інтерфейсу сервера RRAS NAT. Цим інтерфейсом буде LAN, тому ми виберемо його і натиснемо Next.

12. На сторінці Completing Routing and Remote Access Server Setup Wizard натисніть Finish. У діалоговому вікні, що інформує вас про програму DHCP Relay Agent, натисніть OK.

На цьому етапі ви побачите, як на іконці сервера на лівій панелі з'явиться зелена стрілка, яка вказує вгору. Перевіримо ключові параметри конфігурації VPN сервера та налаштуємо запис у таблиці маршрутизації:

1. Натиснітьправою кнопкою імені сервера на лівій панелі і натисніть Properties.

2. У діалоговому вікні Properties виберіть вкладку IP.

4. Тепер нам потрібно зробити запис у таблиці маршрутизації. Розкрийте список IP Routing на лівій панелі, натисніть правою кнопкою на рядок Static Routes та виберіть New Static Route.

6. Закрийте консоль Routing and Remote Access.

Налаштування ISA Firewall

Тепер, коли завершення налаштування зовнішнього пристрою NAT, ми можемо почати працювати над внутрішнім брандмауером ISA Firewall. Є три ключові процедури з налаштування ISA Firewall, які нам необхідно виконати:

• Створити зовнішню мережу DMZ ISA firewall Network • Налаштувати правило мережі між Default Internal Network FE DMZ Network • Налаштувати політику ISA Firewall для віддалених клієнтів VPN

Створення мережі FE DMZ Network

Виконайте такі дії для створення мережі ISA Firewall Network для сегменту DMZ:

1. У консолі ISA Firewall розкрийте рядок з ім'ям сервера на лівій панелі і потім розкрийте список Configuration. Натисніть Network.

2. Натисніть на рядок Create a New Network на вкладці Tasks панелі завдань.

3..У вікні Welcome to the New Network Wizard введіть ім'я мережі ISA Firewall Network у полі Network name. У цьому прикладі ми назвемо її FE DMZ. Натисніть кнопку Next.

4..На сторінці Network Type виберіть опцію Perimeter Network. Зауважу, що за своїми функціями опція Perimeter Network не відрізняється від опцій Internet Network або External Network. Натисніть кнопку Next.

5. На сторінці Network Addresses натисніть кнопку Add.

7. Натисніть кнопку Next на сторінці Network Addresses.

8. Натисніть Finish на сторінці Completing the New Network Wizard.

На даному етапі на вкладці Networks на середнійпанелі консолі ISA Firewall з'явиться новий список ISA Firewall Network. Наступним кроком буде налаштування мережі для того, щоб вона підтримувала підключення клієнта Web proxy. Це дасть нам можливість зробити віддалених клієнтів VPN клієнтами Web proxy брандмауера ISA Firewall за умови їх підключення до зовнішнього брандмауера/пристрою NAT.

1. Двічі клацніть на запис FE DMZ у списку мереж ISA Firewall Networks на вкладці Networks.

2. У діалоговому вікні FE DMZ Properties виберіть вкладку Web proxy. Залишаючись на ній, позначте поле Enable Web proxy clients.

4. У діалоговому вікні FE DMZ Properties натисніть OK.

Налаштування правила Network Rule між внутрішньою мережею та мережею FE DMZ

Виконайте такі дії для створення правила Network Rule:

1. Натисніть список Networks на лівій панелі консолі ISA Firewall. Виберіть вкладку Network Rules на середній панелі, а потім на вкладці Tasks клацніть на рядок Create a New Network Rule.

2. На сторінці Welcome to the New Network Rule введіть ім'я правила у полі Network rule name. У цьому прикладі ми назвемо правило Internal to DMZ. Натисніть кнопку Next.

3. На сторінці Network Traffic Sources натисніть кнопку Add. У діалоговому вікні Add Network Entities відкрийте папку Networks і двічі клацніть на мережу Internal. Натисніть Close.

4. На сторінці Network Traffic Sources натисніть кнопку Next.

5. На сторінці Network Traffic Destinations натисніть Add. У діалоговому вікні Add Network Entities відкрийте папку Networks і двічі клацніть на запис FE DMZ. Натисніть Close.

6. На сторінці Network Traffic Destinations натисніть кнопку Next.

7. На сторінці Network Relationship виберіть опцію Route та натисніть Next.

8. На сторінці Completing the New Network RuleWizard натисніть Finish.

9. Натисніть Apply, щоб зберегти зміни та оновити політику брандмауера.

10. У діалоговому вікні Apply New Configuration натисніть OK.

У цій статті ми продовжили обговорення того, як переривати віддалені VPN з'єднання на пристрої, розташованому перед ISA Firewall. Ми поговорили про дії, пов'язані з налаштуванням зовнішнього брандмауера/пристрою NAT, створенням мережі DMZ ISA Firewall Network, та створенням правила Network Rule, що контролює відносини маршрутизації між мережами. У наступній та заключній статті цієї серії ми створимо правила доступу, необхідні для надання віддаленим клієнтам VPN доступу до ресурсів у корпоративній мережі.