VPN-маршрутизаторы
При изменении конфигурации VPN-маршрутизатора, заданной по умолчанию для VPN-подключений "маршрутизатор-маршрутизатор", необходимо определиться со следующими вопросами:
- Необходимость поддержки VPN-подключений удаленного доступа.
По умолчанию все PPTP- и L2TP-порты настроены для работы как с подключениями удаленного доступа (только входящими), так и для работы с подключениями по требованию (как входящими, так и исходящими). Для того, чтобы запретить подключения удаленного доступа и создать выделенный сервер для VPN-подключений "маршрутизатор-маршрутизатор", выполните следующее: откройте оснастку Маршрутизация и удаленный доступ(Routing and Remote Access), щелкните правой кнопкой мыши на элементе Порты (Ports), в контекстном меню выберите Свойства (Properties), нажмите кнопку Изменить (Configure) и снимите флажок Подключения удаленного доступа (только входящие) (Remote access connections (inbound only)).
- Необходимость установки сертификата компьютера.
Если VPN-маршрутизатор работает с L2TP-подключениями или производит проверку подлинности подключений с помощью протокола EAP-TLS и настроен на использование встроенной проверки подлинности Windows, Вам необходимо установить сертификат компьютера. Если VPN-маршрутизатор является вызывающим маршрутизатором и использует протокол EAP-TLS, Вам необходимо установить сертификат пользователя. Для получения дополнительной информации обратитесь к части "Инфраструктура сертификата" этого раздела.
- Использование пользовательских политик удаленного доступа для VPN-подключений. Если для проверки подлинности на VPN-маршрутизаторе используется Windows или RADIUS (и при этом RADIUS-сервер является IAS-сервером), политика удаленного доступа, действующая по умолчанию, отклоняет попытки всех типов подключений до тех пор, пока переключатель в секции разрешения удаленного доступа на вкладке Входящие звонки (Dial-In) в свойствах учетной записи пользователя не будет установлен в положение Разрешить доступ (Allow access). Если Вы хотите управлять авторизацией и параметрами подключения, основываясь на определенных типах подключений или группах, Вам необходимо настроить пользовательские политики удаленного доступа. Для получения дополнительной информации обратитесь к части "Политики удаленного доступа" этого раздела..
- Использование отдельных поставщиков для службы проверки подлинности и для службы учета. Если Вы настраиваете сервер маршрутизации с помощью мастера установки сервера маршрутизации и удаленного доступа, поставщик службы проверки подлинности будет одновременно являться поставщиком службы учета. Тем не менее, по завершении работы мастера Вы сможете указать отдельных поставщиков службы проверки подлинности и службы учета (например, использовать Windows для проверки подлинности, а RADIUS – для учета). Для этого Вам нужно открыть оснастку Маршрутизация и удаленный доступ (Routing and Remote Access), открыть свойства VPN-маршрутизатора и выбрать поставщиков для службы проверки подлинности и для службы учета на вкладке Безопасность (Authentication)..
После того, как VPN-маршрутизатор будет настроен, Вы сможете приступить к созданию интерфейсов вызова по требованию и настройке маршрутов при помощи оснастки Маршрутизация и удаленный доступ(Routing and Remote Access). Для получения дополнительной информации обратитесь к разделам "Развертывание виртуальных частных сетей "маршрутизатор-маршрутизатор" на основе протокола PPTP" и "Развертывание виртуальных частных сетей "маршрутизатор-маршрутизатор" на основе протокола L2TP" этого документа.