Иллюстрированный самоучитель по развертыванию виртуальных частных сетей

VPN-маршрутизаторы

Обычно на VPN-маршрутизаторах установлено два сетевых адаптера. Один из них подключен к Интернету, другой – к интрасети.

При настройке и включении службы маршрутизации и удаленного доступа Вам будет предложено выбрать одну из нескольких конфигураций, определяющих роль, которую будет исполнять компьютер. Для VPN-маршрутизаторов следует выбрать конфигурацию Сервер виртуальной частной сети (VPN)(Virtual private network (VPN) server). Это позволит серверу маршрутизации и удаленного доступа выступать в качестве VPN-сервера, поддерживающего как подключения удаленного доступа, так и VPN-подключения между маршрутизаторами. В случае VPN-подключений удаленного доступа пользователи запускают программное обеспечение VPN-клиента и инициируют подключение удаленного доступа к VPN-серверу. В случае VPN-подключений между маршрутизаторами подключение к VPN-серверу инициируется вызывающим маршрутизатором. VPN-сервер в свою очередь может инициировать подключение к другому VPN-маршрутизатору.

Примечание
 Корпорация Microsoft рекомендует выбирать конфигурацию Сервер виртуальной частной сети (Virtual private network (VPN) server) в мастере настройки сервера маршрутизации и удаленного доступа (Routing and Remote Access Server Setup Wizard), поскольку конфигурация Сетевой маршрутизатор(Network router) не предлагает выбрать интерфейс подключения к Интернету, для которого автоматически настраиваются фильтры пакетов, не предлагает настроить RADIUS-серверы и создает ограниченное количество портов (5 PPTP-портов и 5 L2TP-портов).

Когда Вы выберете конфигурацию Сервер виртуальной частной сети (Virtual private network (VPN) server), мастер настройки сервера маршрутизации и удаленного доступа выполнит следующие шаги:

  1. Вам будет предложено выбрать протоколы передачи VPN-трафика. По умолчанию в списке мастера перечислены все протоколы, которые могут использоваться для работы с подключениями удаленного доступа или с VPN-подключениями "маршрутизатор-маршрутизатор".
  2. Вам будет предложено выбрать интерфейс подключения к Интернету. Для выбранного интерфейса будут автоматически настроены фильтры пакетов, разрешающие только PPTP- и L2TP-трафик. Весь остальной трафик будет отклоняться без какого-либо уведомления. Например, Вы не сможете более проверить связь (с помощью команды ping) с интерфейсом подключения к Интернету вызывающего маршрутизатора. Если Вы не хотите применять автоматически настраиваемые фильтры VPN-пакетов, Вы можете выбрать в диалоговом окне мастера строку (). Если Вы хотите использовать компьютер вызывающего маршрутизатора в качестве транслятора сетевых адресов (NAT), Веб-сервера, или запускать на нем другие службы, обратитесь к Приложению Б.
  3. Если на компьютере маршрутизатора установлено несколько сетевых адаптеров, подключенных к интрасети, Вам будет предложено выбрать интерфейс взаимодействия с серверами DHCP, DNS и WINS.
  4. Вам будет предложено выбрать способ назначения IP-адресов клиентам удаленного доступа или вызывающим маршрутизаторам: автоматически (с помощью DHCP), либо используя заданный диапазон адресов. Если Вы захотите назначать адреса из заданного диапазона, Вам будет предложено добавить один или несколько диапазонов адресов.
  5. Вам будет предложено использовать RADIUS-сервер в качестве поставщика служб проверки подлинности и учета. Если Вы решите использовать RADIUS-сервер, Вам будет предложено настроить основной и дополнительный RADIUS-серверы, а также общий секрет (пароль), используемый для работы с этими серверами

По завершении настройки сервера виртуальной частной сети с помощью мастера Вы получите следующее:

  1. Служба маршрутизации и удаленного доступа работает в качестве сервера удаленного доступа, а также в качестве маршрутизатора локальной сети и вызова по требованию. Если RADIUS-сервер не используется, то поставщиком служб проверки подлинности и учета будет являться встроенная служба Windows. Если на маршрутизаторе установлен только один сетевой адаптер, подключенный к внутренней сети сайта, он будет автоматически определен как интерфейс взаимодействия с серверами DHCP, DNS и WINS. Если установлено несколько сетевых адаптеров, для этих целей будет использоваться адаптер, выбранный в мастере настройки сервера маршрутизации и удаленного доступа. Если были задействованы и добавлены статические диапазоны IP-адресов, они будут использоваться для назначения IP-адресов удаленным клиентам и маршрутизаторам.
  2. Создано 128 PPTP-портов и 128 L2TP-портов. Все они настроены как для входящих подключений удаленного доступа, так и для входящих и исходящих подключений вызова по требованию.
  3. Для указанного интерфейса подключения к Интернету автоматически настроены фильтры входящих и исходящих пакетов, позволяющие передавать только PPTP- и L2TP-трафик.
  4. Настройки выбранных протоколов позволяют осуществлять удаленные подключения и получать доступ к сети, к которой подключен сервер удаленного доступа.
  5. С помощью интерфейса Внутренний (Internal)добавлен агент DHCP-ретрансляции (DHCP Relay Agent). Если во время работы мастера VPN-маршрутизатор является DHCP-клиентом, агенту DHCP-ретрансляции автоматически назначается IP-адрес DHCP-сервера. Если во время работы мастера VPN-маршрутизатор не является DHCP-клиентом, Вам необходимо вручную назначить IP-адрес агенту DHCP-ретрансляции, и этот адрес должен совпадать с IP-адресом DHCP-сервера Вашего сайта. Агент DHCP-ретрансляции передает DHCP-серверу сайта сообщения DHCPInform от VPN-клиентов удаленного доступа.
  6. Добавлен протокол управления Интернет-группами (Internet Group Management Protocol? IGMP). Интерфейс Внутренний (Internal) и все другие интерфейсы локальной сети работают в режиме IGMP-маршрутизатора. Это позволяет VPN-клиентам удаленного доступа отправлять и получать пакеты многоадресной IP-рассылки.

Установка сертификата на VPN-маршрутизатор

Если VPN-маршрутизаторы устанавливают L2TP-подключения или производят проверку подлинности на основе протокола EAP-TLS, на них должны быть установлены сертификаты. В случае L2TP-подключений на вызывающем и на отвечающем маршрутизаторах должны быть установлены сертификаты компьютера, что позволяет производить проверку подлинности при установлении безопасной связи IPSec между компьютерами. Если проверка подлинности выполняется на основе протокола EAP-TLS, то в этом случае на сервере, выполняющем такую проверку (на отвечающем маршрутизаторе или на RADIUS-сервере), должен быть установлен сертификат компьютера, а на вызывающем маршрутизаторе – сертификат пользователя.

Для получения дополнительной информации по установке сертификатов на вызывающие маршрутизаторы, отвечающие маршрутизаторы и на серверы проверки подлинности обратитесь к части Инфраструктура сертификата этого раздела.

Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.