VPN-маршрутизаторы
VPN-маршрутизаторы могут инициировать (начинать) или принимать VPN-подключения по требованию и состоят из следующих компонентов:
- Служба маршрутизации и удаленного доступа. Служба маршрутизации и удаленного доступа настраивается в качестве VPN-сервера на вызывающем и отвечающем маршрутизаторах. Для этого используется инструмент Мастер настройки сервера маршрутизации и удаленного доступа (Routing and Remote Access Server Setup Wizard).
- Порты. Порт – это логический или физический канал связи, способный поддерживать одно PPP-подключение. Количество физических портов зависит от установленного на компьютере оборудования. Порты виртуальной частной сети (VPN) являются логическими портами.
- Интерфейсы вызова по требованию. Интерфейс вызова по требованию, настроенный на вызывающем маршрутизаторе, представляет PPP-подключение и содержит следующую конфигурационную информацию:
- Тип используемого порта
- IP-адрес или доменное имя, используемые для создания подключения
- Методы проверки подлинности
- Требования к шифрованию
- Учетные данные проверки подлинности
- В случае двусторонне инициируемых подключений интерфейс вызова по требованию, настроенный на отвечающем маршрутизаторе, представляет PPP-подключение к вызывающему маршрутизатору.
В случае односторонне инициируемых подключений, использующих статические маршруты, которые определены в учетной записи пользователя вызывающего маршрутизатора, нет необходимости настраивать интерфейс вызова по требованию на отвечающем маршрутизаторе.
- Учетная запись пользователя. При проверке подлинности вызывающего маршрутизатора его учетные данные сверяются со свойствами соответствующей ему учетной записи пользователя. Если на отвечающем маршрутизаторе используется встроенная проверка подлинности Windows, необходимо, чтобы учетная запись пользователя, содержащаяся в учетных данных, посылаемых вызывающим маршрутизатором, могла быть проверена службой безопасности Windows. Если на отвечающем маршрутизаторе используется проверка подлинности RADIUS, RADIUS-сервер должен иметь доступ к учетным данным вызывающего маршрутизатора, содержащим учетную запись пользователя.
Учетная запись пользователя должна быть настроена следующим образом:
На вкладке Входящие звонки (Dial-in)переключатель в секции разрешения на удаленный доступ должен быть установлен в положение Разрешить доступ (Allow access) или в положение Управление на основе политики удаленного доступа (Control access through Remote Access Policy). Если Вы создаете учетные записи пользователей с помощью мастера интерфейса вызова по требованию (Demand-Dial Interface Wizard), этот переключатель по умолчанию установлен в положение Разрешить доступ (Allow access).
На вкладке Общие (General) или Учетная запись (Account) должен быть снят флажок Потребовать смену пароля при следующем входе в систему(User must change password at next logon), а флажок Срок действия пароля не ограничен (Password never expires) должен быть установлен. Если Вы создаете учетные записи пользователей с помощью мастера интерфейса вызова по требованию, эти параметры будут установлены автоматически.
Для односторонне инициированных подключений Вы можете определить статические IP-маршруты на вкладке Входящие звонки (Dial-in). Эти маршруты будут добавлены в таблицу маршрутизации отвечающего маршрутизатора при установлении подключения вызова по требованию.
- Маршруты. При передаче данных между маршрутизаторами через VPN-подключения используются таблицы маршрутизации. Таблицы маршрутизации VPN-серверов содержат IP-маршруты, с помощью которых выбирается подходящий интерфейса вызова по требованию.
В случае односторонне инициированных подключений вызывающий маршрутизатор не нуждается в дополнительных настройках. Для отвечающего маршрутизатора Вы можете добавить статические IP-маршруты в учетную запись пользователя, которая будет использоваться в учетных данных вызывающего маршрутизатора при проверке подлинности.
- Политика удаленного доступа. На отвечающем маршрутизаторе или сервере службы проверки подлинности в Интернете (Internet Authentication Service, IAS), который используется отвечающим маршрутизатором в качестве RADIUS-сервера, Вы можете создать политики удаленного доступа для отдельных типов подключений или доменных групп. Для того, чтобы задать параметры подключений вызова по требованию, создайте отдельную политику удаленного доступа и добавьте в список Windows-Groups группу, содержащую все учетные записи, которые используются вызывающими маршрутизаторами. Создание отдельной политики удаленного доступа для подключений вызова по требованию не является обязательным.
Вызывающий маршрутизатор выполняет следующие действия:
- Инициирует VPN-подключения по запросу администратора или при передаче пакета, маршрут которого проходит через интерфейс вызова по требованию.
- Ожидает завершения проверки подлинности и авторизации, прежде чем начать передачу данных.
- Пересылает пакеты между узлами сайта и отвечающим маршрутизатором.
- Выступает в качестве конечной точки VPN-подключения.
Отвечающий маршрутизатор выполняет следующие действия:
- Ожидает попытки VPN-подключений.
- Проверяет подлинность и авторизует VPN-подключения, прежде чем разрешить передачу данных.
- Пересылает пакеты между узлами сайта и вызывающим маршрутизатором.
- Выступает в качестве конечной точки VPN-подключения.