Иллюстрированный самоучитель по развертыванию виртуальных частных сетей

VPN-сервер

VPN-сервером является компьютер под управлением Windows 2000 Server с установленной службой маршрутизации и удаленного доступа. VPN-сервер выполняет следующие функции:

  • Регистрирует попытки подключения по протоколу PPTP и согласования IPSec SA при попытке подключения по протоколу L2TP.
  • Осуществляет проверку подлинности и авторизацию VPN-подключений до начала передачи данных.
  • Действует в качестве маршрутизатора, пересылая данные между VPN-клиентами и ресурсами интрасети.
  • Действует в качестве конечной точки туннеля VPN от клиента туннеля (как правило – VPN-клиента)
  • Действует в качестве конечной точки VPN-подключения VPN-клиента.

Обычно VPN-сервер имеет несколько сетевых адаптеров, из которых один или несколько подключены к Интернету, а другие подключены к интрасети. Настройка VPN-сервера с одним сетевым адаптером обсуждается в "Приложении Б".

Когда Вы включаете и настраиваете службу маршрутизации и удаленного доступа (Routing and Remote Access service), мастер установки сервера маршрутизации и удаленного доступа (Routing and Remote Access Server Setup Wizard) предлагает Вам выбрать роль данного компьютера. Для VPN-серверов следует выбрать параметр Сервер виртуальной частной сети(Virtual private network (VPN) server). Это позволит серверу маршрутизации и удаленного доступа исполнять роль VPN-сервера, поддерживающего как подключения удаленного доступа, так и VPN-подключения между маршрутизаторами. В случае VPN-подключений удаленного доступа пользователи запускают программное обеспечение VPN-клиента и инициируют подключение удаленного доступа к VPN-серверу. В случае VPN-подключений между маршрутизаторами подключение к VPN-серверу инициируется маршрутизатором. VPN-сервер также может инициировать подключение к другому VPN-маршрутизатору.

Когда Вы укажите в качестве параметра роль Сервер виртуальной частной сети (Virtual private network (VPN) server), мастер настройки сервера маршрутизации и удаленного доступа выполнит следующие шаги:

  1. Вначале Вам будет предложено проверить протоколы, которые будут использоваться для передачи VPN-трафика. По умолчанию, перечисляются все протоколы, использующиеся с VPN-подключениями удаленного доступа или "маршрутизатор-маршрутизатор".
  2. Вам будет предложено выбрать интерфейс подключения к Интернету. Если VPN-сервер не подключен к Интернету, Вы должны выбрать значение (). Для выбранного интерфейса будут автоматически настроены фильтры пакетов, которые пропускают только к PPTP- и L2TP-трафик. Весь остальной трафик будет блокирован без уведомления. Например, Вы не сможете более проверить связь с интерфейсом Интернета с помощью служебной утилиты ping. Если Вы хотите использовать VPN-сервер также в качестве транслятора сетевых адресов (NAT), веб-сервера, или для других целей, обратитесь к "Приложению Б".
  3. Если у Вас несколько сетевых адаптеров подключенных к интрасети, Вам будет предложено выбрать интерфейс, взаимодействия со службами DHCP, DNS и WINS.
  4. Вам будет предложено выбрать метод присвоения IP-адресов клиентам удаленного доступа или вызывающим маршрутизаторам: с использованием DHCP или заданного диапазона адресов. Если Вы решите назначать адреса из заданного диапазона, Вам будет предложено добавить один или несколько диапазонов адресов.
  5. Вам будет предложено определить, хотите ли Вы использовать в качестве поставщика служб проверки подлинности и учета протокол RADIUS. Если Вы выберете использование RADIUS, Вам будет предложено настроить первичный и дополнительный серверы RADIUS и указать общий секрет (пароль).

Выбрав роль Сервер виртуальной частной сети (VPN) (Virtual private network (VPN) server) в мастере установки сервера службы маршрутизации и удаленного доступа после завершения работы мастера Вы получите следующий результат:

  1. Служба маршрутизации и удаленного доступа будет работать одновременно и как сервер удаленного доступа, и как маршрутизатор локальной сети, а также маршрутизатора вызова по требованию, с использованием ОС Windows в качестве поставщика служб проверки подлинности и учета (кроме тех случаев, когда для этого был выбран и настроен сервер RADIUS). Если к локальной сети подключен только один сетевой адаптер сервера, этот адаптер будет автоматически использован в качестве IP-интерфейса взаимодействия со службами DHCP, DNS и WINS. В противном случае для получения параметров DHCP, DNS и WINS будет использован адаптер, указанный в мастере установки. При необходимости будет настроен диапазон статических IP-адресов.
  2. Будет создано 128 PPTP-портов и 128 L2TP-портов. Все они будут настроены как для входящих подключений удаленного доступа, так и для входящих и исходящих подключений вызова по требованию.
  3. Для выбранного интерфейса Интернета будут задействованы фильтры входа и выхода, разрешающие передачу только PPTP- и L2TP-трафика.
  4. Настройки выбранных протоколов предоставляют возможность использования подключений удаленного доступа и доступ в сеть, к которой подключен сервер удаленного доступа.
  5. С помощью интерфейса Внутренний (Internal) будет добавлен агент DHCP-ретрансляции (DHCP Relay Agent). Если в момент запуска мастера VPN-сервер является клиентом DHCP, агент DHCP-ретрансляции будет автоматически получит IP-адрес DHCP-сервера. В противном случае Вы должны вручную указать в свойствах агента DHCP-ретрансляции IP-адрес DHCP-сервера Вашей интрасети. Агент DHCP-ретрансляции пересылает пакеты DHCPInform между VPN-клиентами удаленного доступа и DHCP-сервером интрасети.
  6. Будет добавлен протокол IGMP (Internet Group Management Protocol- протокол управления Интернет-группами). Интерфейс Внутренний (Internal) и все другие интерфейсы локальной сети будут работать в режиме IGMP-маршрутизатора. Это позволяет VPN-клиентам удаленного доступа посылать и получать широковещательный трафик.
Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.