Развертывание VPN-серверов
Развертывание VPN-серверов для VPN-подключений удаленного доступа состоит из следующих этапов:
- Настройка подключения VPN-сервера к интрасети.
- Запуск мастера установки сервера маршрутизации и удаленного доступа.
Настройка подключения VPN-сервера к интрасети
Для всех VPN-серверов настройте подключение к интрасети вручную, указав параметры TCP/IP (IP-адрес, маску подсети, DNS- и WINS-серверы интрасети). Обратите внимание на то, что Вы не должны указывать основной шлюз для подключения к интрасети, чтобы предотвратить возникновение конфликтов, связанных с маршрутом по умолчанию Интернета.
Запуск мастера установки сервера маршрутизации и удаленного доступа
Запустите мастер установки сервера маршрутизации и удаленного доступа для настройки всех VPN-серверов Windows 2000. Выполните следующие шаги:
- Нажмите Пуск (Start), выберите Программы (Programs), Администрирование (Administrative Tools) и нажмите Маршрутизация и удаленный доступ (Routing and Remote Access).
- Щелкните правой кнопкой мыши по имени Вашего сервера и выберите Настроить и включить маршрутизацию и удаленный доступ (Configure and Enable Routing and Remote Access).
- В окне Общие параметры (Common Configurations)выберите Сервер виртуальной частной сети (VPN) (Virtual Private Network (VPN) server) и затем нажмите кнопку Далее (Next). Если Вы хотите использовать компьютер VPN-сервера в качестве транслятора сетевых адресов (network address translator, NAT), веб-сервера или для других целей, обратитесь к "Приложению Б".
- Убедитесь, что в окне Протоколы удаленных клиентов (Remote Client Protocols) присутствуют все протоколы данных, используемые Вашими VPN-клиентами удаленного доступа. В случае необходимости добавьте протоколы и затем нажмите кнопку Далее.
- В окне Подключение к Интернету (Internet Connection) щелкните по подключению, соответствующему интерфейсу сети Интернет или сети периметра, и затем нажмите кнопку Далее.
- В окне Назначение IP-адресов (IP Address Assignment) выберите параметр Автоматически (Automatic), если VPN-сервер будет использовать протокол DHCP для присвоения IP-адресов VPN-клиентам удаленного доступа. В противном случае выберите параметр Из заданного диапазона адресов (From a specified range of addresses) для использования одного или нескольких статических диапазонов адресов. Если хотя бы один из статических диапазонов адресов является диапазоном адресов, не принадлежащих подсети, в инфраструктуру маршрутизации необходимо добавить маршруты, чтобы сделать VPN-клиенты доступными. После выбора способа назначения IP-адресов нажмите кнопку Далее.
- Если для проверки подлинности и учета Вы используете протокол RADIUS, в окне Управление несколькими серверами удаленного доступа (Managing Multiple Remote Access Servers), нажмите Да, использовать RADIUS-сервер (Yes, I want to use a RADIUS server), и затем нажмите Далее.
В окне Выбор RADIUS-сервера (RADIUS Server Selection) настройте основной (обязательный) и дополнительный (необязательный) RADIUS-серверы и введите общий секрет. Затем нажмите кнопку Далее.
- Нажмите кнопку Готово (Finish).
- Когда будет предложено, запустите службу маршрутизации и удаленного доступа.
По умолчанию на устройстве WAN Miniport (L2TP)настраивается только 128 портов L2TP. Если необходимо больше количество портов L2TP, откройте оснастку Маршрутизация и удаленный доступ (Routing and Remote Access), перейдите в свойства объекта Порты (Ports) и укажите необходимое количество устройств Минипорт WAN (L2TP).
По умолчанию включены только протоколы MS-CHAP и MS-CHAPv2. Если для проверки подлинности Вы используете смарт-карты или сертификаты пользователя, откройте оснастку Маршрутизация и удаленный доступ, затем свойства VPN-сервера, перейдите на вкладку Безопасность (Security) и нажмите кнопку Методы проверки подлинности (Authentication Methods). В открывшемся диалоговом окне установите флажок Протокол расширенной проверки подлинности (EAP) (Extensible Authentication Protocol (EAP)).