VPN-маршрутизаторы
Вопросы проектирования: настройка VPN-маршрутизатора
Прежде, чем запускать мастер настройки сервера маршрутизации и удаленного доступа, необходимо определиться со следующими вопросами:
- Поддерживаемые протоколы для работы с VPN-подключениями.
Служба маршрутизации и удаленного доступа позволяет передавать IP- и IPX-пакеты через PPTP- и L2TP-подключения.
- Определение сетевого подключения к Интернету.
Обычно на VPN-маршрутизаторах, подключенных к Интернету, установлено по крайней мере два сетевых адаптера: один из них подключен к Интернету (прямое соединение, либо подключение к сети периметра), а другой – к внутренней сети сайта. Для того, чтобы сетевые подключения было легко различать при работе с мастером настройки сервера маршрутизации и удаленного доступа, переименуйте их в соответствии с их назначением, используя компонент панели управления Сеть и удаленный доступ к сети (Network and Dial-up Connections). Например, если маршрутизатор подключен к Интернету через Подключение к локальной сети 2 (Local Area Connection 2), переименуйте его просто в Интернет.
- Возможность работы VPN-маршрутизатора в качестве DHCP-клиента.
Параметры TCP/IP интерфейса подключения к Интернету VPN-маршрутизатора должны быть заданы вручную. Не рекомендуется использовать DHCP для назначения адресов внутренним интерфейсам VPN-маршрутизатора. Если позволяют технические возможности, старайтесь избегать этого. Следуя требованиям маршрутизации, вручную задайте IP-адрес, маску подсети, серверы DNS и WINS для внутренних интерфейсов, но не указывайте основной шлюз.
Обратите внимание на то, что даже если параметры TCP/IP VPN-маршрутизатора заданы вручную, он все равно может использовать DHCP, чтобы получать динамические IP-адреса для назначения их VPN-клиентам удаленного доступа и вызывающим маршрутизаторам. - Назначение IP-адресов VPN-клиентам удаленного доступа и вызывающим маршрутизаторам.
В зависимости от параметров настройки, VPN-маршрутизатор может либо получать IP-адреса от DHCP-сервера, либо использовать адреса из заданных диапазонов. Использование DHCP для получения сетевых адресов упрощает настройку, однако Вы должны убедиться, что область DHCP имеет достаточное количество свободных адресов для всех компьютеров сайта вызывающего маршрутизатора, физически подключенных к его подсети, а также для максимального количества портов PPTP и L2TP. Например, если во внутренней подсети VPN-маршрутизатора имеется 50 DHCP-клиентов, то для настройки по умолчанию VPN-маршрутизатора область DHCP должна содержать как минимум 307 адресов (50 компьютеров + 128 PPTP-клиентов + 128 L2TP-клиентов + 1 адрес для VPN-маршрутизатора). Подключающиеся VPN-клиенты удаленного доступа и вызывающие маршрутизаторы, для которых не остается свободных адресов, получают адреса с помощью средства ограниченной IP-адресации, называемого средством автоматического назначения частных IP-адресов (Automatic Private IP Addressing, APIPA), из диапазона 169.254.0.0/16.
Если Вы используете статический диапазон адресов, убедитесь, что он содержит достаточное количество адресов для всех портов PPTP и L2TP и один дополнительный адрес для VPN-маршрутизатора. Если статический диапазон содержит недостаточное количество адресов, подключиться смогут только вызывающие VPN-маршрутизаторы под управлением Windows 2000. VPN-клиенты удаленного доступа и вызывающие маршрутизаторы под управлением Windows NT® 4.0 RRAS не смогут выполнить подключение. Вызывающие и отвечающие маршрутизаторы под управлением Windows 2000 запрашивают IP-адреса друг у друга на протяжении всего процесса установки соединения, и даже если один из них не имеет адреса, свободного для назначения, оба маршрутизатора продолжают процесс установки соединения. Логический интерфейс подключения "точка-точка" не имеет назначенного ему IP-адреса. Такие подключения называются ненумерованными. Протоколы маршрутизации, включенные в состав Windows 2000, не работают с ненумерованными подключениями, однако VPN-маршрутизаторы Windows 2000 поддерживают работу с ними.
При настройке статических пулов адресов у Вас могут возникнуть различные вопросы относительно маршрутизации. Для получения дополнительной информации обратитесь к части "Сетевая инфраструктура сайта" этого раздела.
- Выбор поставщиков служб проверки подлинности и учета.
В качестве поставщиков служб проверки подлинности и учета VPN-маршрутизатор может использовать операционную систему Windows или протокол RADIUS.
При использовании Windows в качестве поставщика служб проверки подлинности и учата VPN-маршрутизатор использует систему безопасности Windows 2000 для проверки учетных данных вызывающего маршрутизатора, а также для доступа к свойствам его учетной записи. Локально настроенная политика удаленного доступа авторизует VPN-подключения и заносит данные учета VPN-подключений в локальный журнал учетных данных.
Если в качестве поставщика служб проверки подлинности и учета используется RADIUS, VPN-маршрутизатор использует указанный RADIUS-сервер для проверки учетных данных вызывающего маршрутизатора, авторизации попыток подключения и хранения данных учета VPN-подключений.
- Использование L2TP-подключений.
При использовании L2TP-подключений Вам необходимо установить сертификаты компьютера как на вызывающий, так и на отвечающий маршрутизаторы.
- Проверка подлинности EAP-TLS с использованием сертификатов пользователей.
Если используется этот метод проверки подлинности, Вам необходимо установить сертификат пользователя на компьютер вызывающего маршрутизатора и сертификат компьютера – на сервер, выполняющим проверку подлинности (это может быть компьютер отвечающего маршрутизатора или RADIUS-сервер, в зависимости от того, кто является поставщиком служб проверки подлинности и учета – Windows или RADIUS). Если сервер, выполняющий проверку подлинности, является VPN-маршрутизатором Windows 2000 или IAS-сервером Windows 2000, использование EAP-TLS возможно лишь в том случае, если этот сервер является членом домена Active Directory™.
- Временные ограничения подключений по требованию и ограничения для определенного типа трафика.
Если планируется разрешать подключения только в определенные часы и дни недели, задайте время подключений для интерфейса вызова по требованию вызывающего маршрутизатора. Если нужно разрешить или отклонить определенный тип трафика, используйте фильтры вызова по требованию.
- Установление соответствия между фильтрами IP-пакетов и фильтрами вызова по требованию
Фильтры вызова по требованию применяются перед созданием подключения. Фильтры IP-пакетов применяются после того, как подключение установлено. Чтобы предотвратить создание подключения по требованию для трафика, не разрешенного фильтрами IP-пакетов, выполните одно из следующих действий.
Если Вы настроили фильтры IP-пакетов для исходящего трафика в профиле политики удаленных подключений с параметром Разрешить весь трафик,кроме перечисленных ниже (Receive all packets except those that meet the criteria listed below), настройте такие же фильтры вызова по требованию в свойствах интерфейса вызова по требованию, установив переключатель группы Произвести подключение (Initiate connection)в положение Для всех потоков данных, кроме перечисленных (For all traffic except).;
Если Вы настроили фильтры IP-пакетов для исходящего трафика в профиле политики удаленных подключений с параметром Запретитьвесь трафик,кроме перечисленных ниже (Drop all packets except those that meet the criteria listed below), настройте такие же фильтры вызова по требованию в свойствах интерфейса вызова по требованию, установив переключатель группы Произвести подключение (Initiate connection) в положение Только для перечисленных потоков данных (Only for the following traffic).