VPN-сервер
Вопросы проектирования: настройка VPN-сервера
Перед запуском мастера установки сервера маршрутизации и удаленного доступа обратите внимание на следующие моменты:
- Протоколы для работы с VPN-подключениями.
Служба маршрутизации и удаленного доступа может передавать IP-, IPX- и NetBEUI- пакеты через PPTP- или L2TP- подключения.
- Сетевое подключение VPN-сервера к Интернету.
Как правило, VPN-серверы, подключенные к Интернету, имеют по крайней мере два сетевых подключения: одно к сети Интернет (напрямую или через сеть периметра), а другое – к интрасети организации. Чтобы сделать различие между подключениями более наглядным в мастере установки сервера маршрутизации и удаленного доступа, переименуйте подключения в соответствии с их назначением или ролью при помощи компонента ОС Сеть и удаленный доступ к сети. Например: измените имя подключения к сети Интернет со стандартного Подключение к локальной сети 2 (Local Area Connection 2) на Интернет. - VPN-сервер в качестве DHCP-клиента.
Параметры TCP/IP интерфейса Интернета VPN-сервера должны быть заданы вручную. Не рекомендуется использовать DHCP для интерфейсов интрасети VPN-сервера, хотя это и технически реализуемо. Следуя требованиям маршрутизации, вручную задайте для интерфейсов интрасети IP-адрес, маску подсети, серверы DNS и WINS, но не указывайте адрес основного шлюза.Обратите внимание на то, что хотя параметры TCP/IP могут быть заданы вручную, VPN-сервер, тем не менее, может продолжать использовать DHCP, чтобы получать IP-адреса для VPN-клиентов.
- Назначение IP-адресов VPN-клиентам удаленного доступа.
VPN-сервер может быть настроен на получение IP-адресов с помощью DHCP или из настроенных вручную диапазонов адресов. Использование DHCP для присвоения сетевых адресов упрощает настройку, тем не менее, Вы должны убедиться, что область DHCP для подсети, к которой подключен интерфейс интрасети VPN-сервера, содержит достаточно адресов для всех компьютеров, физически подключенных к данной подсети, и максимального количества портов PPTP и L2TP. Например, если в подсети, к которой подключен интерфейс интрасети VPN-сервера, имеется 50 DHCP-клиентов, то при стандартной настройке VPN-сервера область DHCP должна содержать, не менее 307 адресов (50 компьютеров + 128 PPTP-клиентов + 128 L2TP-клиентов + 1 адрес для VPN сервера). Если указанная область содержит недостаточно IP-адресов, VPN-клиенты, подключающиеся, после того как все адреса будут заняты, не смогут получить доступ к ресурсам интрасети.При настройке статического пула адресов необходимо учитывать дополнительные требования маршрутизации. За дополнительной информацией обратитесь к разделу "Инфраструктура интрасети" данного документа.
- Поставщик служб проверки подлинности и учета.
VPN-сервер может использовать в качестве поставщика служб проверки подлинности и учета ОС Windows или протокол RADIUS.
При использовании в качестве поставщика служб проверки подлинности и учетных записей Windows VPN-сервер использует средства Windows 2000 для проверки учетных данных VPN-клиента и для обращения к свойствам удаленного доступа учетных записей пользователей. Локально настроенные политики удаленного доступа авторизуют VPN-подключение и заносят данные учета VPN-подключений в локальный журнал учетных данных.
При использовании в качестве поставщика служб проверки подлинности и учетных записей протокола RADIUS VPN-сервер использует указанный RADIUS-сервер для проверки учетных данных VPN-клиента, авторизации попыток подключения и хранения данных учета VPN-подключений.
- Использование нескольких VPN-серверов.
В этом случае создайте несколько записей DNS для сопоставления одного и того же имени VPN-сервера (например: vpn.microsoft.com) разным IP-адресам отдельных VPN-серверов. DNS-карусель (DNS round robin) будет распределять VPN-подключения между VPN-серверами.
При изменении стандартных настроек VPN-сервера для VPN-подключений удаленного доступа обратите внимание на следующие моменты:
- Дополнительные порты PPTP или L2TP.
По умолчанию мастер установки сервера маршрутизации и удаленного доступа настраивает 128 портов PPTP и 128 L2TP портов, разрешая 128 одновременных PPTP-подключений и 128 одновременных L2TP-подключений. Если этого количества одновременных PPTP- или L2TP- подключений недостаточно, Вы можете изменить количество портов PPTP и L2TP, настроив устройства Минипорт WAN (PPTP)(WAN miniport (PPTP)) и Минипорт WAN (L2TP)(WAN miniport (L2TP)) в свойствах объекта Порты (Ports) оснастки Маршрутизация и удаленный доступ (Routing and Remote Access). - Необходимость установки сертификата компьютера.
Если VPN-сервер настроен на использование ОС Windows в качестве поставщика проверки подлинности и поддерживает L2TP-подключения или аутентификацию подключений при помощи протокола проверки подлинности EAP-TLS, то на VPN-сервер Вы должны установить сертификат компьютера, который может использоваться для проверки VPN-клиентами, и корневой сертификат, который будет использоваться для проверки VPN-клиентов.
- Использование пользовательских политик удаленного доступа для VPN-подключений.
Если для проверки подлинности на VPN-сервере используется ОС Windows или протокол RADIUS (причем сервером RADIUS является компьютер под управлением Windows 2000 с установленной службой проверки подлинности в Интернете (Internet Authentication Service, IAS), политика удаленного доступа по умолчанию блокирует все типы попыток подключения до тех пор пока не установлено значение Разрешить доступ (Allow access) на вкладке Входящие звонки (Dial-In) в свойствах учетной записи пользователя. Если Вы хотите управлять проверкой подлинности и параметрами подключений с помощью групп или в зависимости от типа подключений, Вам необходимо настроить пользовательские политики удаленного доступа. Для получения дополнительной информации обратитесь к разделу "Политики удаленного доступа" данного документа. - Использование отдельных поставщиков службы проверки подлинности и учета.
Если Вы настраиваете сервер маршрутизации с помощью мастера установки сервера маршрутизации и удаленного доступа, поставщик службы проверки подлинности будет одновременно являться поставщиком учета. Тем не менее, по завершении работы мастера Вы сможете указать отдельных поставщиков службы проверки подлинности и учета (например, использовать Windows для проверки подлинности, а RADIUS – для учета). Для этого Вам нужно открыть оснастку Маршрутизация и удаленный доступ(Routing and Remote Access), открыть свойства VPN-сервера и выбрать поставщиков для службы проверки подлинности и службы учета на вкладке Безопасность(Authentication).