Политики удаленного доступа для различных VPN-подключений
Чтобы создать отдельные политики удаленного доступа для PPTP- и L2TP-подключений, выполните действия, которые будут описаны ниже.
Создайте отдельные политики удаленного доступа для PPTP- и L2TP-подключений:
- 1. На компьютере IAS1 создайте новую политику удаленного доступа со следующими свойствами:
Имя политики: PPTP-подключения Условия: Для атрибута NAS-Port-Type указано значение Virtual (VPN) Для атрибута Tunnel-Type указано значение Point-to-Point Tunneling Protocol (PPTP) Разрешение: Предоставить право удаленного доступа Настройки профиля, вкладка IP Фильтр пакетов - От клиента… Действие фильтра: Запретить весь трафик, кроме перечисленных ниже Сеть назначения, IP-адрес: 172.16.0.1 Сеть назначения, маска подсети: 255.255.255.255 Протокол: Любой (Any) Фильтр пакетов - К клиенту… Действие фильтра: Запретить весь трафик, кроме перечисленных ниже Исходная сеть, IP-адрес: 172.16.0.1 Сеть назначения, маска подсети: 255.255.255.255 Протокол: Любой
- 2. Создайте новую пользовательскую политику удаленного доступа со следующими свойствами:
Имя политики: L2TP-подключения Условия: Для атрибута NAS-Port-Type указано значение Virtual (VPN) Для атрибута Tunnel-Type указано значение Layer Two Tunneling Protocol (L2TP) Разрешение: Предоставить право удаленного доступа Настройки профиля, вкладка IP Фильтр пакетов - От клиента… Действие фильтра: Запретить весь трафик, кроме перечисленных ниже Сеть назначения, IP-адрес: 172.16.0.2 Сеть назначения, маска подсети: 255.255.255.255 Протокол: Любой Фильтр пакетов - К клиенту… Действие фильтра: Запретить весь трафик, кроме перечисленных ниже Исходная сеть, IP-адрес: 172.16.0.2 Сеть назначения, маска подсети: 255.255.255.255 Протокол: Любой
Установите PPTP-подключение и проверьте связь:
- На компьютере CLIENT1 установите VPN-подключение к компьютеру VPN1 с помощью подключения PPTPtoCorpnet.
- С помощью команды ping проверьте связь с компьютером DC1 (IP-адрес 172.16.0.1).
- С помощью команды ping проверьте связь с компьютером IAS1 (IP-адрес 172.16.0.2). Эта команда не может быть выполнена успешно, поскольку фильтрация пакетов для всех подключений, соответствующих политике PPTP-подключения, пропускает только трафик, отправляемый на IP-адрес 172.16.0.1 или с этого адреса.
- Разъедините подключение PPTPtoCorpnet.
Установите L2TP-подключение и проверьте связь:
- На компьютере CLIENT1 установите VPN-подключение к компьютеру VPN1 с помощью подключения L2TPtoCorpnet.
- С помощью команды ping проверьте связь с компьютером IAS1 (IP-адрес 172.16.0.2).
- С помощью команды ping проверьте связь с компьютером DC1 (IP-адрес 172.16.0.1). Эта команда не может быть выполнена успешно, поскольку фильтрация пакетов для всех подключений, соответствующих политике L2TP-подключения, пропускает только трафик, отправляемых на IP-адрес 172.16.0.2 или с этого адреса.
- Отключите подключение L2TPtoCorpnet.
Проверьте наличие событий IAS в системном журнале событий:
На компьютере IAS1 с помощью средства просмотра событий просмотрите в системном журнале события службы IAS для PPTP- и L2TP-подключений, созданных с помощью компьютера CLIENT1. Обратите внимание на то, что текст сообщения о событии проверки подлинности содержит имя политики удаленного доступа, согласно которой подключение было принято.
Автор: Артем Васьков aka Fanzuga
Материалы взяты с сайта OSzone.net.