اندروید. سیستم عامل. چند رسانه ای. رسانه های اجتماعی. ابزار. کدک ها هنرهای گرافیک
شما اینجایید: » »

راه حل SSL VPN. نصب سرور SSL VPN Hypersocket نصب نقش سرور RRAS در سرور VPN

امروزه دسترسی از راه دور بسیار مهم است. با توجه به نیاز بیشتر مردم به دسترسی به اطلاعات ذخیره شده در رایانه های خانگی و محل کار، امکان دسترسی به آن از هر نقطه حیاتی شده است. آن روزها گذشته است که مردم می گفتند: "به محض اینکه به رایانه ام رسیدم این اطلاعات را برای شما ارسال می کنم." اگر می خواهید در دنیای تجارت امروز رقابت کنید، فوراً به این اطلاعات نیاز دارید.

در عصر حجر کامپیوتری راه به دست آوردن دسترسی از راه دورمن از اتصال شماره گیری به کامپیوترم استفاده کردم. اتصالات شماره گیری RAS از طریق خطوط معمولی POTS (سرویس تلفن قدیمی ساده) با سرعت داده تا حدود 56 کیلوبیت بر ثانیه کار می کنند. سرعت مشکل اصلی این اتصالات بود، اما مشکل بزرگ‌تر هزینه اتصال زمانی بود که دسترسی به فواصل طولانی نیاز داشت.

با افزایش محبوبیت اینترنت، اتصالات RAS کمتر و کمتر مورد استفاده قرار می گیرند. دلیل این امر ظهور اتصالات VPN (شبکه خصوصی مجازی) بود. اتصالات VPN همان اتصال نقطه به نقطه اتصال RAS را فراهم می‌کردند، اما این کار را سریع‌تر و ارزان‌تر انجام دادند، زیرا سرعت اتصال VPN می‌تواند با سرعت اتصال به اینترنت و هزینه اتصال برابر باشد. به مکان مقصد بستگی ندارد. تنها چیزی که باید برای آن هزینه کنید اتصال به اینترنت است.

شبکه های خصوصی مجازی

اتصال VPN به رایانه شما امکان ایجاد می دهد مجازیو خصوصیاتصال به شبکه از طریق اینترنت ترکیب مجازیزیرا هنگامی که یک کامپیوتر یک اتصال VPN از طریق اینترنت ایجاد می کند، کامپیوتری که این اتصال را ایجاد می کند به عنوان یک گره که مستقیماً به شبکه متصل است عمل می کند، گویی از طریق یک کابل محلی به شبکه متصل شده است. شبکه های اترنت. کاربر همان دسترسی را به منابع دارد که اگر مستقیماً با استفاده از کابل به شبکه وصل می شد، می داشت. با این حال، در مورد اتصال یک سرویس گیرنده VPN به سرور VPN، اتصال به صورت مجازیزیرا هیچ اتصال اترنت معتبری به مقصد وجود ندارد. اتصال VPN خصوصی، از آنجایی که محتوای جریان داده در داخل این اتصال جریان دارد رمزگذاری شده است، بنابراین هیچ کس در اینترنت نمی تواند داده های ارسال شده از طریق اتصال VPN را رهگیری و بخواند.

سرورها و کلاینت‌های ویندوز از زمان ویندوز NT و ویندوز 95 از اتصالات VPN پشتیبانی می‌کردند. اگرچه کلاینت‌ها و سرورهای ویندوز برای یک دهه از اتصالات VPN پشتیبانی می‌کردند، اما نوع پشتیبانی VPN در طول زمان تکامل یافته است. ویندوز ویستا Service Pack 1 و Windows Server 2008 در حال حاضر از سه نوع پشتیبانی می کنند اتصالات VPN. اینها انواع زیر هستند:

  • L2TP/IPSec

PPTP یک پروتکل تونلی نقطه به نقطه است. PPTP ساده ترین راه برای ایجاد اتصال VPN است، اما، متأسفانه، کمترین امنیت را نیز دارد. دلیل اینکه این نوع کمترین امنیت را دارد این است که اعتبار کاربری از طریق یک کانال ناامن ارسال می شود. به عبارت دیگر، رمزگذاری اتصال VPN آغاز می شود بعد از آننحوه انتقال اختیارات با اينكه اطلاعات معتبراعتبارنامه ها بین کلاینت ها و سرورهای VPN منتقل نمی شوند، مقادیر هش منتقل شده را می توان توسط هکرهای با تجربه برای دسترسی به سرورهای VPN و اتصال به آن استفاده کرد. شبکه شرکتی.

پروتکل L2TP/IPSec VPN قابل اعتمادتر است. L2TP/IPSec به طور مشترک توسط مایکروسافت و سیسکو توسعه داده شد. L2TP/IPSec امن تر از PPTP است زیرا یک جلسه IPSec ایمن قبل از ارسال اعتبارنامه ها از طریق سیم ایجاد می شود. هکرها نمی توانند به اعتبارنامه ها دسترسی داشته باشند و بنابراین نمی توانند آنها را برای استفاده بعدی بدزدند. علاوه بر این، IPSec احراز هویت متقابل بین ماشین‌ها را فراهم می‌کند، بنابراین ماشین‌های ناشناخته نمی‌توانند به کانال L2TP/IPSec VPN متصل شوند. IPSec احراز هویت متقابل، یکپارچگی داده ها، محرمانه بودن و عدم انکار را فراهم می کند. L2TP از مکانیسم‌های احراز هویت کاربر PPP و EAP پشتیبانی می‌کند، که امنیت ورود به سیستم بالایی را فراهم می‌کند زیرا هم احراز هویت ماشین و هم کاربر مورد نیاز است.

Windows Vista SP1 و Windows Server 2008 در حال حاضر پشتیبانی می کنند نوع جدیدپروتکل تونل سازی سوکت ایمن VPN یا SSTP از اتصالات HTTP رمزگذاری شده برای ایجاد اتصالات VPN به دروازه های VPN استفاده می کند زیرا اعتبار کاربر تا زمانی که یک تونل ایمن SSL به دروازه VPN ایجاد نشود، به عنوان PPP نیز شناخته می شود. SSL، به این معنی که می توانید از مکانیسم های احراز هویت PPP و EAP برای ایمن تر کردن اتصال SSTP خود استفاده کنید.

خصوصی به معنای امن نیست

لازم به ذکر است که اتصالات VPN به جای ایمن خصوصی هستند. در حالی که من تشخیص می دهم که حریم خصوصی جزء اساسی ارتباطات ایمن است، به خودی خود این امنیت را تضمین نمی کند. فناوری‌های VPN یک مؤلفه خصوصی برای اتصال اینترنت شما فراهم می‌کنند که از خواندن محتوای ارتباطات شما توسط اشخاص ثالث جلوگیری می‌کند. فناوری‌های VPN همچنین به شما این امکان را می‌دهند که اطمینان حاصل کنید که فقط کاربران مجاز می‌توانند از طریق دروازه VPN به یک شبکه معین متصل شوند. با این حال، مؤلفه خصوصی، احراز هویت و مجوز، امنیت جامعی را فراهم نمی کند.

فرض کنید کارمندی دارید که به وی دسترسی VPN داده اید. از آنجایی که پروتکل VPN Windows Server 2008 شما از احراز هویت کاربر EAP پشتیبانی می کند، تصمیم می گیرید برای کاربران خود کارت های هوشمند ایجاد کنید و از پروتکل L2TP/IPSec VPN استفاده کنید. ترکیبی از کارت های هوشمند و پروتکل L2TP/IPSec به شما امکان می دهد تا به احراز هویت کاربر و استفاده از یک ماشین سالم نیاز داشته باشید. کارت هوشمند و راه حل L2TP/IPSec شما عالی کار می کند و همه راضی هستند.

همه خوشحال هستند تا اینکه یک روز یکی از کاربران شما برای دریافت اطلاعات حسابداری وارد سرور SQL شما می شود و شروع به اشتراک گذاری آن با سایر کارمندان می کند. چی شد؟ آیا اتصال VPN ناامن بود؟ خیر، اتصال VPN به اندازه کافی ایمن بود تا مؤلفه حریم خصوصی، احراز هویت و مجوز را ارائه دهد، اما کنترل دسترسی را فراهم نمی کرد، و کنترل دسترسی جزء اساسی امنیت رایانه است. در واقع، حتی می توان استدلال کرد که بدون کنترل دسترسی، همه اقدامات امنیتی دیگر ارزش نسبتا کمی دارند.

برای اینکه VPN ها واقعا ایمن باشند، باید اطمینان حاصل کنید که دروازه VPN شما قادر به ارائه کنترل دسترسی کاربر/گروه است تا بتوانید سطح مورد نیاز دسترسی را به کاربران VPN بدهید. دروازه‌ها و فایروال‌های پیشرفته‌تر VPN، مانند فایروال ISA، می‌توانند چنین کنترلی را بر روی اتصالات VPN ارائه دهند. به علاوه، فایروال هایی مانند فایروال ISA می توانند بسته آدرس و بازرسی لایه برنامه را در اتصالات VPN مشتری ارائه دهند.

اگرچه Windows Server 2008 VPN کنترل‌های دسترسی کاربر و گروه را ارائه نمی‌کند، اما اگر نمی‌خواهید برای خرید فایروال‌های پیشرفته‌تر و دروازه‌های VPN پولی بپردازید، می‌توانید کنترل‌های دسترسی را روی خود سرور پیکربندی کنید. در این مقاله توجه خود را فقط بر روی اجزای سرورهای VPN متمرکز می کنیم. اگر می خواهید درباره فایروال های ISA و قابلیت های آنها برای سرورهای VPN اطلاعات بیشتری کسب کنید، به www.isaserver.org مراجعه کنید.

چرا از پروتکل جدید VPN استفاده کنیم؟

مایکروسافت قبلاً دو پروتکل VPN قابل اجرا ایجاد کرده است که به کاربران امکان می دهد به شبکه شرکتی متصل شوند، پس چرا یک پروتکل سوم ایجاد کنیم؟ SSTP یک افزودنی عالی برای کاربران ویندوز VPN زیرا SSTP برخلاف پروتکل های PPTP و L2TP/IPSec با فایروال ها و دستگاه های NAT مشکلی ندارد. برای اینکه PPTP روی دستگاه NAT کار کند، دستگاه باید با استفاده از ویرایشگر NAT برای PPTP از PPTP پشتیبانی کند. اگر چنین ویرایشگر NAT برای PPTP در دسترس نباشد این دستگاه، سپس اتصالات PPTP کار نخواهند کرد.

L2TP/IPSec با دستگاه‌ها و فایروال‌های NAT مشکل دارد زیرا فایروال باید یک پورت L2TP UDP 1701 برای اتصالات خروجی، یک پورت IPSec IKE UDP 500 برای اتصالات خروجی و یک پورت IPSec NAT UDP 4500 برای اتصالات خروجی باز داشته باشد. هنگام استفاده از NAT-T به پورت L2TP نیازی نیست). اکثر فایروال ها در مکان های عمومی مانند هتل ها، مراکز همایش، رستوران ها و غیره هستند. تعداد کمی پورت برای اتصالات خروجی باز داشته باشید، مانند HTTP، پورت TCP 80 و HTTPS (SSL)، پورت TCP 443. اگر هنگام خروج از دفتر به پشتیبانی بیش از پروتکل های HTTP و SSL نیاز دارید، شانس شما اتصال موفق به طور قابل توجهی کاهش می یابد. ممکن است پورت های مورد نیاز برای PPTP یا L2TP/IPSec را دریافت نکنید.

برخلاف پروتکل‌های قبلی، اتصالات VPN SSTP از طریق یک کانال SSL با استفاده از پورت TCP 443 می‌رود. از آنجایی که تمام فایروال‌ها و دستگاه‌های NAT دارای پورت باز TCP 443، می توانید از SSTP در هر جایی استفاده کنید. این امر زندگی مسافرانی را که از اتصالات VPN برای اتصال به دفتر استفاده می‌کنند بسیار آسان‌تر می‌کند و همچنین زندگی را برای مدیران شرکت‌هایی که نیاز به حمایت از مسافران دارند، و همچنین به کارکنان در مکان‌های عمومی کمک می‌کند تا دسترسی به اینترنت در هتل‌ها، مراکز کنفرانس و غیره را فراهم کنند. .

فرآیند اتصال SSTP

  1. کلاینت SSTP VPN یک اتصال TCP به دروازه SSTP VPN بین یک پورت منبع تصادفی TCP مشتری SSTP VPN و پورت TCP 443 دروازه SSTP VPN ایجاد می کند.
  2. سرویس گیرنده SSTP VPN SSL را ارسال می کند مشتری-سلامپیام، نشان می دهد که او می خواهد یک جلسه SSL با دروازه VPN SSTP ایجاد کند.
  3. دروازه VPN SSTP ارسال می کند گواهی کامپیوترسرویس گیرنده SSTP VPN.
  4. سرویس گیرنده SSTP VPN گواهی رایانه را با بررسی پایگاه گواهی مراجع صدور گواهینامه Trusted Root تأیید می کند تا مطمئن شود که گواهی CA امضا شده توسط سرور در آن پایگاه داده است. سپس مشتری SSTP VPN روش رمزگذاری را برای جلسه SSL تعیین می کند، کلید جلسه SSL را تولید می کند و آن را با کلید SSTP VPN دروازه عمومی رمزگذاری می کند و سپس فرم رمزگذاری شده کلید جلسه SSL را به دروازه SSTP VPN ارسال می کند.
  5. دروازه VPN SSTP کلید جلسه SSL رمزگذاری شده را با استفاده از کلید خصوصی گواهی های رایانه رمزگشایی می کند. تمام اتصالات بعدی بین مشتری SSTP VPN و دروازه SSTP VPN با استفاده از روش رمزگذاری توافق شده و کلید جلسه SSL رمزگذاری می شود.
  6. سرویس گیرنده SSTP VPN یک پیام درخواست HTTP از طریق SSL (HTTPS) را به دروازه SSTP VPN ارسال می کند.
  7. مشتری SSTP VPN یک کانال SSTP را با دروازه SSTP VPN مذاکره می کند.
  8. مشتری SSTP VPN با سرور SSTP یک اتصال PPP را مذاکره می کند. این مذاکرات شامل احراز هویت کاربر با استفاده از روش احراز هویت استاندارد PPP (یا حتی احراز هویت EAP) و پیکربندی تنظیمات برای ترافیک پروتکل اینترنت نسخه 4 (IPv4) یا پروتکل اینترنت نسخه 6 (IPv6) است.
  9. سرویس گیرنده SSTP شروع به ارسال ترافیک IPv4 یا IPv6 از طریق اتصال PPP می کند.

کسانی که به ویژگی های معماری پروتکل VPN علاقه مند هستند می توانند آنها را در شکل زیر مشاهده کنند. لطفاً توجه داشته باشید که SSTP برخلاف دو پروتکل VPN دیگر دارای یک هدر اضافی است. این به لطف رمزگذاری HTTPS اضافی علاوه بر هدر SSTP است. L2TP و PPTP هدر لایه برنامه برای رمزگذاری اتصال ندارند.

تصویر 1

به عنوان مثال خواهیم گرفت شبکه سادهاز سه ماشین برای دیدن نحوه عملکرد SSTP. نام و مشخصات این سه دستگاه به شرح زیر است:

نسخه تجاری ویستا

ویستا سرویس پک 1

عضو غیر دامنه

W2008RC0-VPNGW:

دو کارت شبکه داخلی و خارجی

WIN2008RC-DC:

Windows Server 2008 Enterprise Edition

کنترل کننده دامنه دامنه MSFIREWALL.ORG

سرور گواهی (Enterprise CA)

لطفا توجه داشته باشید که Vista Service Pack 1 به عنوان مشتری VPN استفاده می شود. در حالی که در گذشته بحث هایی در مورد پشتیبانی Windows XP Service Pack 3 از SSTP وجود داشته است، ممکن است اصلاً اینطور نباشد. من اخیرا نصب کردم نسخه آزمایشی Windows XP Service Pack 3 روی یک کامپیوتر آزمایشی و هیچ مدرکی دال بر پشتیبانی SSTP پیدا نکرد. و این واقعاً بد است، زیرا امروزه بسیاری از لپ‌تاپ‌ها از ویندوز XP استفاده می‌کنند، و شواهد نشان می‌دهد که ویستا برای لپ‌تاپ‌ها بسیار کند است. مشکلات عملکرد ویستا ممکن است با Vista Service Pack 1 حل شود.

پیکربندی سطح بالای یک شبکه نمونه در شکل زیر نشان داده شده است.

شکل 2

پیکربندی Windows Server 2008 به عنوان یک سرور SSL VPN با دسترسی از راه دور

من قصد ندارم تمام مراحل را از ابتدا شروع کنم. من جرأت می‌کنم فرض کنم شما یک کنترل‌کننده دامنه نصب کرده‌اید و نقش‌های DHCP، DNS و Certificate Services را در این سرور فعال کرده‌اید. نوع گواهی سرور باید Enterprise باشد و شما یک CA در شبکه خود دارید. سرور VPN باید قبل از ادامه مراحل زیر به دامنه متصل باشد. قبل از شروع، باید SP1 را برای سرویس گیرنده ویستا نصب کنید.

برای اینکه راه حل ما کار کند باید مراحل زیر را دنبال کنیم:

  • IIS را روی سرور VPN نصب کنید
  • با استفاده از برنامه IIS Certificate Request Wizard یک گواهی ماشین برای سرور VPN درخواست کنید
  • نقش RRAS را روی سرور VPN نصب کنید
  • سرور RRAS را فعال کنید و آن را پیکربندی کنید تا به عنوان سرور VPN و NAT کار کند
  • یک سرور NAT را برای انتشار CRL پیکربندی کنید
  • یک حساب کاربری برای استفاده از اتصالات تلفنی تنظیم کنید
  • IIS را روی Certificate Server پیکربندی کنید تا اتصالات HTTP برای دایرکتوری CRL مجاز باشد
  • فایل HOSTS را برای سرویس گیرنده VPN پیکربندی کنید
  • از PPTP برای ارتباط با سرور VPN استفاده کنید
  • گواهی CA را از Enterprise CA دریافت کنید
  • کلاینت را برای استفاده از SSTP پیکربندی کنید و با استفاده از SSTP به سرور VPN متصل شوید

نصب IIS روی سرور VPN

ممکن است برای شما عجیب باشد که ما با این روش شروع می کنیم، زیرا توصیه می کنم هرگز یک وب سرور را بر روی یک ابزار امنیتی شبکه نصب نکنید. خبر خوباین است که ما مجبور نیستیم وب سرور را روی آن ذخیره کنیم سرور VPN، فقط برای مدتی به آن نیاز خواهیم داشت. دلیل آن این است که سایت ثبت نام همراه با Windows Server 2008 Certificate Server دیگر برای درخواست گواهینامه رایانه مفید نیست. در واقع کاملا بی فایده است. نکته جالب این است که اگر تصمیم بگیرید از سایت ثبت نام برای دریافت گواهی کامپیوتر استفاده کنید، به نظر می رسد که گواهی دریافت و نصب شده است، اما در واقع اینطور نیست، گواهی نصب نشده است.

برای حل این مشکل، از این واقعیت استفاده می کنیم که از یک CA سازمانی استفاده می کنیم. هنگام استفاده از Enterprise CA، می توانید درخواستی را به سرور گواهی آنلاین ارسال کنید. درخواست تعاملی برای گواهی کامپیوتر زمانی امکان پذیر است که از جادوگر درخواست گواهی IIS استفاده می کنید و چیزی را درخواست می کنید که اکنون "گواهی دامنه" نامیده می شود. این تنها در صورتی امکان پذیر است که ماشین درخواست کننده متعلق به همان دامنه Enterprise CA باشد.

برای نصب نقش سرور وب IIS روی سرور VPN، مراحل زیر را دنبال کنید:

  1. ویندوز 2008 را باز کنید مدیر سرور.
  2. در پنل سمت چپ کنسول، روی تب کلیک کنید نقش ها.

تصویر 1

  1. روی منو کلیک کنید نقش ها را اضافه کنیددر سمت راست پنل سمت راست.
  2. کلیک به علاوهدر صفحه قبل از اینکه تو شروع کنی.
  3. یک علامت تیک در کنار خط قرار دهید وب سرور (IIS)در صفحه نقش های سرور را انتخاب کنید. کلیک به علاوه.

شکل 2

  1. می توانید اطلاعات موجود در صفحه را بخوانید وب سرور (IIS)، در صورت تمایل این اطلاعات عمومی کاملاً مفیدی در مورد استفاده از IIS 7 به عنوان وب سرور است، اما از آنجایی که ما قرار نیست از وب سرور IIS در سرور VPN استفاده کنیم، این اطلاعات کاملاً در شرایط ما قابل استفاده نیست. کلیک به علاوه.
  2. در صفحه خدمات نقش را انتخاب کنیدچندین گزینه قبلا انتخاب شده است. با این حال، اگر از گزینه های پیش فرض استفاده کنید، نمی توانید از ویزارد درخواست گواهی استفاده کنید. حداقل وقتی سیستم رو تست کردم اینطوری بود. هیچ سرویس نقشی برای جادوگر درخواست گواهی وجود ندارد، بنابراین سعی کردم کادرهای کنار هر گزینه را علامت بزنم. ایمنی، و به نظر می رسد که کار کرده است. همین کار را برای خودتان انجام دهید و کلیک کنید به علاوه.

شکل 3

  1. اطلاعات صفحه را مرور کنید انتخاب تنظیمات را تأیید کنیدو فشار دهید نصب.
  2. کلیک بستندر صفحه نتایج نصب.

شکل 4

درخواست گواهی ماشین برای سرور VPN با استفاده از جادوگر درخواست گواهی IIS

مرحله بعدی درخواست گواهی ماشین برای سرور VPN است. سرور VPN برای ایجاد یک اتصال SSL VPN با رایانه سرویس گیرنده SSL VPN به گواهی ماشین نیاز دارد. نام مشترک گواهی باید با نامی که مشتری VPN برای اتصال به رایانه دروازه SSL VPN استفاده می کند مطابقت داشته باشد. این بدان معنی است که شما باید یک رکورد DNS عمومی برای نام روی گواهی ایجاد کنید که به آدرس IP خارجی سرور VPN یا آدرس IP دستگاه NAT در مقابل سرور VPN که اتصال را فوروارد می کند حل می شود. به سرور SSL VPN.

برای درخواست گواهی ماشین به سرور SSL VPN، مراحل زیر را دنبال کنید:

  1. که در مدیر سرور، برگه را گسترش دهید نقش هادر قسمت سمت چپ و سپس تب را باز کنید وب سرور (IIS). مطبوعات .

شکل 5

  1. در کنسول مدیر خدمات اطلاعات اینترنتی (IIS).که در سمت راست در پانل سمت چپ ظاهر می شود، روی نام سرور کلیک کنید. در این مثال نام سرور خواهد بود W2008RC0-VPNGW. روی نماد کلیک کنید گواهی های سروردر سمت راست کنسول IIS.

شکل 6

  1. در پنل سمت راست کنسول، روی لینک کلیک کنید یک گواهی دامنه ایجاد کنید.

شکل 7

  1. اطلاعات را در صفحه وارد کنید خواص خاصنام. مهمترین شی در اینجا خواهد بود نام متداول. این نامی است که مشتریان VPN برای اتصال به سرور VPN استفاده می کنند. همچنین برای شناسایی رابط خارجی سرور VPN یا آدرس عمومی NAT دستگاه در مقابل سرور VPN به یک رکورد DNS عمومی برای این نام نیاز دارید. در این مثال از نام رایج استفاده می کنیم sstp.msfirewall.org. ما بعداً ورودی ایجاد خواهیم کرد فایل HOSTSدر رایانه مشتری VPN به طوری که بتواند نام را تشخیص دهد. کلیک به علاوه.

شکل 8

  1. روی دکمه موجود در صفحه کلیک کنید انتخاب کنید. در کادر محاوره ای منبع گواهی را انتخاب کنید، روی نام Enterprise CA کلیک کرده و کلیک کنید خوب. یک نام دوستانه در خط وارد کنید اسم دوستانه. در این مثال از نام استفاده کردیم گواهی SSTPبدانید که برای دروازه SSTP VPN استفاده می شود.

شکل 9

  1. کلیک پایاندر صفحه منبع گواهی آنلاین.

شکل 10

  1. جادوگر شروع می شود و سپس ناپدید می شود. سپس خواهید دید که گواهی در کنسول IIS ظاهر می شود. بر روی گواهی دوبار کلیک کنید و نام رایج را در بخش مشاهده کنید منصوب بهو اکنون کلید خصوصی مربوط به گواهی را داریم. کلیک خوببرای بستن کادر محاوره ای گواهینامه.

شکل 11

اکنون که گواهی را داریم، می‌توانیم نقش سرور RRAS را نصب کنیم. لطفا توجه داشته باشید که چه چیزی بسیار مهم است نصب گواهیقبل از نصب نقش سرور RRAS. اگر این کار را انجام ندهید، خود را برای سردردهای بزرگ آماده خواهید کرد زیرا باید از یک روال نسبتاً پیچیده استفاده کنید. خطوط فرمانبرای مرتبط کردن گواهی با سرویس گیرنده SSL VPN.

نصب نقش سرور RRAS روی سرور VPN

برای نصب نقش سرور RRAS، باید مراحل زیر را انجام دهید:

  1. که در مدیر سرور، روی برگه کلیک کنید نقش هادر قسمت سمت چپ کنسول
  2. در بخش اطلاعات کلینقش هاروی لینک کلیک کنید نقش ها را اضافه کنید.
  3. کلیک به علاوهدر صفحه قبل از اینکه تو شروع کنی.
  4. در صفحه نقش های سرور را انتخاب کنیدکادر کنار خط را علامت بزنید. کلیک به علاوه.

شکل 12

  1. اطلاعات صفحه را بخوانید خط مشی شبکه و خدمات دسترسی. بیشتر آن به سرور سیاست شبکه (که قبلاً سرور تأیید اعتبار اینترنتی نامیده می شد و اساساً یک سرور RADIUS بود) و NAP مربوط می شود، هیچ یک از عناصر در مورد ما قابل اجرا نیستند. کلیک به علاوه.
  2. در صفحه خدمات نقش را انتخاب کنیددر کنار خط یک علامت بزنید خدمات مسیریابی و دسترسی از راه دور. در نتیجه موارد انتخاب خواهند شد خدمات دسترسی از راه دورو مسیریابی. کلیک به علاوه.

شکل 13

  1. کلیک نصبدر پنجره تنظیمات انتخاب شده را تأیید کنید.
  2. کلیک بستندر صفحه نتایج نصب.

فعال کردن سرور RRAS و پیکربندی آن به عنوان سرور VPN و NAT

اکنون که نقش RRAS نصب شده است، باید خدمات RRAS را فعال کنیم، درست مانند آنچه در قبلی انجام دادیم. نسخه های ویندوز. ما باید عملکرد سرور VPN و خدمات NAT را فعال کنیم. فعال کردن مؤلفه سرور VPN کاملاً واضح است، اما ممکن است تعجب کنید که چرا باید سرور NAT را فعال کنید. دلیل فعال کردن سرور NAT این است که مشتریان خارجی می توانند برای اتصال به CRL به Certificate Server دسترسی داشته باشند. اگر مشتری SSTP VPN نتواند CRL را دانلود کند، اتصال SSTP VPN کار نخواهد کرد.

برای باز کردن دسترسی به CRL، سرور VPN را به عنوان یک سرور NAT پیکربندی می کنیم و CRL را با استفاده از NAT برگشت پذیر منتشر می کنیم. در یک محیط شبکه شرکتی، احتمالاً فایروال هایی مانند فایروال ISA در جلوی سرور گواهی خواهید داشت، بنابراین می توانید CRL ها را با استفاده از فایروال ها منتشر کنید. با این حال، در این مثال، تنها فایروال مورد استفاده ما است دیوار آتش ویندوزفایروال روی سرور VPN، بنابراین در این مثال باید سرور VPN را به عنوان یک سرور NAT پیکربندی کنیم.

برای فعال کردن خدمات RRAS مراحل زیر را دنبال کنید:

  1. که در مدیر سروربرگه را گسترش دهید نقش هادر قسمت سمت چپ کنسول برگه را گسترش دهید خط مشی شبکه و خدمات دسترسیو روی تب کلیک کنید. روی تب کلیک راست کرده و کلیک کنید مسیریابی و دسترسی از راه دور را پیکربندی و فعال کنید.

شکل 14

  1. کلیک به علاوهدر پنجره به جادوگر راه اندازی سرور مسیریابی و دسترسی از راه دور خوش آمدید.
  2. در صفحه پیکربندیگزینه را انتخاب کنید دسترسی به شبکه های خصوصی مجازی و NATو فشار دهید به علاوه.

شکل 15

  1. در صفحه اتصال VPN NIC را در بخش انتخاب کنید رابط های شبکه، که نمایانگر رابط خارجی سرور VPN است. سپس کلیک کنید به علاوه.

شکل 16

  1. در صفحه تخصیص آدرس های IPگزینه را انتخاب کنید بطور خودکار. ما می توانیم این گزینه را انتخاب کنیم زیرا یک سرور DHCP روی کنترلر دامنه پشت سرور VPN نصب شده است. اگر سرور DHCP ندارید، باید این گزینه را انتخاب کنید از یک لیست آدرس خاصو سپس لیستی از آدرس هایی را وارد کنید که مشتریان VPN می توانند هنگام اتصال به شبکه از طریق دروازه VPN استفاده کنند. کلیک به علاوه.

شکل 17

  1. در صفحه مدیریت دسترسی از راه دور چندین سرورانتخاب کنید خیر، از مسیریابی و دسترسی از راه دور برای احراز هویت درخواست های اتصال استفاده کنید. زمانی که سرورهای NPS یا RADIUS در دسترس نیستند از این گزینه استفاده می کنیم. از آنجایی که سرور VPN عضو یک دامنه است، می توانید با استفاده از حساب های دامنه، کاربران را احراز هویت کنید. اگر سرور VPN بخشی از یک دامنه نیست، فقط می‌توان از حساب‌های سرور محلی VPN استفاده کرد، مگر اینکه از سرور NPS استفاده کنید. در آینده مقاله ای در مورد استفاده از سرور NPS خواهم نوشت. کلیک به علاوه.

شکل 18

  1. خواندن اطلاعات کلیدر صفحه تکمیل جادوگر پیکربندی مسیریابی و دسترسی از راه دورو فشار دهید پایان.
  2. کلیک خوبدر کادر محاوره ای مسیریابی و دسترسی از راه دورکه به شما می گوید که توزیع پیام DHCP به یک عامل توزیع DHCP نیاز دارد.
  3. در قسمت سمت چپ کنسول، تب را باز کنید مسیریابی و دسترسی از راه دورو سپس بر روی تب کلیک کنید پورت ها. در پنجره میانی خواهید دید که اتصالات WAN Miniport برای SSTP اکنون در دسترس هستند.

شکل 19

پیکربندی یک سرور NAT برای انتشار CRL

همانطور که قبلاً گفتم، سرویس گیرنده SSL VPN باید بتواند یک CRL را دانلود کند تا تأیید کند که گواهی سرور در سرور VPN خراب یا باطل نشده است. برای انجام این کار، باید دستگاه را در مقابل سرور صدور گواهی برای ارسال پیکربندی کنید درخواست های HTTPدر مورد مکان CRL در سرور گواهی.

چگونه بفهمم مشتری SSL VPN برای دانلود CRL باید به کدام URL متصل شود؟ این اطلاعات در خود گواهی وجود دارد. اگر دوباره به سرور VPN رفتید و روی گواهی داخل دوبار کلیک کنید کنسول IIS، مانند قبل، می توانید این اطلاعات را پیدا کنید.

روی دکمه کلیک کنید جزئیاتروی گواهی و به سمت ورودی پایین بروید نقاط توزیع CRL، سپس روی این ورودی کلیک کنید. پانل پایینی نقاط توزیع مختلف را بر اساس پروتکل مورد استفاده برای دسترسی به آن نقاط نشان می دهد. در گواهی نشان داده شده در تصویر زیر، می بینیم که باید به مشتری SSL VPN از طریق یک URL اجازه دسترسی به CRL را بدهیم:

http://win2008rc0-dc.msfirewall.org/CertEnroll/WIN2008RC0-DC.msfirewall.org.crl

شکل 20

به همین دلیل است که باید رکوردهای DNS عمومی برای این نام ایجاد کنید تا مشتریان VPN خارجی بتوانند این نام را به یک آدرس IP یا دستگاهی اختصاص دهند که یک NAT معکوس یا پراکسی معکوس را برای دسترسی به وب سایت سرور گواهی انجام می دهد. در این مثال باید bind کنیم win2008rc0-dc.msfirewall.orgبا یک آدرس IP در رابط خارجی سرور VPN. هنگامی که اتصال به رابط خارجی سرور VPN می رسد، سرور VPN اتصال NAT را به سرور گواهی ارسال می کند.

اگر از یک فایروال پیشرفته مانند فایروال ISA استفاده می کنید، می توانید با اجازه دادن به دسترسی، CRL های سایت انتشار را ایمن تر کنید. فقطبه CRL، نه به کل سایت. با این حال، در این مقاله ما خود را به امکان یک دستگاه NAT ساده، مانند دستگاهی که RRAS NAT ارائه می‌کند، محدود می‌کنیم.

لازم به ذکر است که استفاده از نام پیش فرض سایت CRL ممکن است گزینه ای کمتر امن باشد زیرا نام خصوصی رایانه را در اینترنت آشکار می کند. اگر فکر می کنید نام خصوصی CA خود را در معرض دید عموم قرار می دهید، می توانید یک CDP سفارشی (CRL Distribution Point) ایجاد کنید تا از این امر جلوگیری کنید. رکوردهای DNSخطر امنیتی ایجاد می کند.

برای پیکربندی RRAS NAT برای هدایت درخواست‌های HTTP به سرور گواهی، این مراحل را دنبال کنید:

  1. در پنل سمت چپ مدیر سروربرگه را گسترش دهید مسیریابی و دسترسی از راه دورو سپس برگه را گسترش دهید IPv4. روی تب کلیک کنید NAT.
  2. در برگه NATروی رابط خارجی در پنل میانی کنسول کلیک راست کنید. که در در این مثالنام رابط خارجی بود اتصال منطقه محلی. مطبوعات خواص.

شکل 21

  1. در کادر محاوره ای، کادر کناری را علامت بزنید وب سرور (HTTP). با این کار یک کادر محاوره ای ظاهر می شود سرویس ویرایش. در یک خط متن آدرس خصوصیآدرس IP سرور گواهی را در شبکه داخلی وارد کنید. کلیک خوب.

شکل 22

  1. کلیک خوبدر کادر محاوره ای ویژگی های اتصال منطقه محلی.

شکل 23

اکنون که سرور NAT نصب و پیکربندی شده است، می‌توانیم توجه خود را به پیکربندی سرور CA و سرویس گیرنده SSTP VPN معطوف کنیم.

پیکربندی یک حساب کاربری برای استفاده از اتصالات Dial-up

حساب‌های کاربر قبل از اتصال به مجوزهای دسترسی شماره‌گیری نیاز دارند سرور ویندوز VPN که بخشی از یک دامنه است اکتیو دایرکتوری. اکثر بهترین راهبرای انجام این کار استفاده از سرور سیاست شبکه (NPS) و همچنین مجوز است حسابکاربر پیش فرضی که امکان دسترسی از راه دور را بر اساس خط مشی NPS فراهم می کند. با این حال، در مورد ما، ما یک سرور NPS نصب نکردیم، بنابراین باید مجوز دسترسی شماره گیری کاربر را به صورت دستی پیکربندی کنیم.

در مقاله بعدی من بر استفاده از سرور NPS و تأیید اعتبار گواهی کاربر EAP برای ایجاد ارتباط با سرور SSL VPN تمرکز خواهم کرد.

برای اینکه به یک حساب کاربری خاص دسترسی شماره گیری کنید تا به سرور SSL VPN متصل شود، باید مراحل زیر را انجام دهید. در این مثال، مجوز دسترسی شماره گیری را برای حساب پیش فرض سرپرست دامنه فعال می کنیم:

  1. در کنترلر دامنه، کنسول را باز کنید کاربران و رایانه های Active Directoryاز منو
  2. در قسمت سمت چپ کنسول، نام دامنه را گسترش داده و روی تب کلیک کنید کاربران. روی اکانت دابل کلیک کنید مدیر.
  3. به برگه بروید شماره گیری کنید. تنظیمات پیش فرض خواهد بود کنترل دسترسی از طریق خط مشی شبکه NPS. از آنجایی که در این سناریو سرور NPS نداریم، تنظیمات را به تغییر می‌دهیم اجازه دسترسیهمانطور که در شکل 1 در زیر نشان داده شده است. کلیک کنید خوب.

تصویر 1

پیکربندی IIS در سرور گواهی برای اجازه دادن به اتصالات HTTP برای دایرکتوری CRL

بنا به دلایلی، وقتی جادوگر نصب وب‌سایت Certificate Services را نصب می‌کند، دایرکتوری CRL را برای درخواست اتصال SSL پیکربندی می‌کند. در حالی که از منظر امنیتی این ایده بسیار خوبی به نظر می رسد، مشکل این است که شناسه منبع یکنواخت (URI) در گواهی برای استفاده از SSL پیکربندی نشده است. حدس می‌زنم می‌توانید خودتان یک رکورد CDP برای گواهی ایجاد کنید تا بتواند از SSL استفاده کند، اما شرط می‌بندم مایکروسافت این موضوع را در جایی ذکر نکرده است. از آنجایی که در این مقاله از تنظیمات استاندارد برای CDP استفاده می کنیم، باید SSL را در وب سایت CA برای مسیر CRL دایرکتوری غیرفعال کنیم.

برای غیرفعال کردن نیاز SSL برای دایرکتوری CRL، مراحل زیر را دنبال کنید:

  1. در منو ابزارهای مدیریتمدیر باز مدیر خدمات اطلاعات اینترنتی (IIS)..
  2. در قسمت سمت چپ کنسول IIS، نام سرور را گسترش دهید و سپس آن را گسترش دهید وب سایت ها. برگه را گسترش دهید وب سایت پیش فرضو روی تب کلیک کنید CertEnroll، همانطور که در شکل 2 نشان داده شده است.

شکل 2

  1. اگر به پنل میانی کنسول نگاه کنید، متوجه خواهید شد CRLهمانطور که در شکل زیر نشان داده شده است در این دایرکتوری مجازی قرار دارد. برای مشاهده محتویات این دایرکتوری مجازی، باید روی دکمه کلیک کنید مشاهده مطالبدر پایین پانل وسط.

شکل 3

  1. روی دکمه کلیک کنید مشاهده گزینه هادر پایین پانل وسط. در پایین پنل میانی، روی نماد دوبار کلیک کنید تنظیمات SSL.

شکل 4

  1. صفحه ای در پانل وسط ظاهر می شود تنظیمات SSL. علامت کادر را بردارید نیاز به SSL. کلیک درخواست دادندر قسمت سمت راست کنسول

شکل 5

  1. پس از مشاهده اعلان، کنسول IIS را ببندید تغییرات با موفقیت ذخیره شد.

شکل 6

راه اندازی یک فایل HOSTS برای یک سرویس گیرنده VPN

اکنون می توانیم تمام توجه خود را به مشتری VPN معطوف کنیم. اولین کاری که باید با کلاینت انجام دهیم، تنظیم یک فایل HOSTS است تا بتوانیم یک زیرساخت عمومی DNS را شبیه سازی کنیم. دو نام وجود دارد که باید در فایل HOSTS وارد کنیم (همین کار باید برای عموم انجام شود سرور DNS a، که در شبکه های تولید استفاده خواهید کرد). نام اول نام سرور VPN است، همانطور که توسط نام مشترک/موضوع گواهی که ما با سرور SSL VPN مرتبط کرده ایم تعیین می شود. نام دومی که باید در فایل HOSTS (و سرور DNS عمومی) وارد کنیم، نام URL CDP است که روی گواهی وجود دارد. ما در قسمت 2 این مجموعه به محل اطلاعات CDP نگاه کردیم.

دو نامی که باید در فایل HOSTS در این مثال وارد شوند عبارتند از:

192.168.1.73 sstp.msfirewall.org

192.168.1.73 win2008rc0-dc.msfirewall.org

برای پیکربندی فایل HOSTS برای سرویس گیرنده Vista SP1 VPN، مراحل زیر را دنبال کنید:

  1. در منو شروع کنیدوارد c:\windows\system32\drivers\etc\hostsوارد نوار جستجو شده و ENTER را فشار دهید.
  2. در کادر محاوره ای برای باز کردن باانتخاب کنید نوت بوک.
  3. ورودی های فایل HOSTS را در قالبی که در تصویر زیر نشان داده شده است وارد کنید. حتماً بعد از آخرین خط اینتر را فشار دهید تا مکان نما زیر آن باشد.


شکل 7

  1. فایل را ببندید و گزینه را انتخاب کنید ذخیره تغییرات.

استفاده از PPTP برای اتصال به سرور VPN

ما به تدریج به ایجاد یک اتصال SSL VPN نزدیک می شویم! مرحله بعدی ایجاد یک کانکتور VPN در سرویس گیرنده Vista SP1 است که به ما امکان می دهد یک اتصال VPN اولیه به سرور VPN ایجاد کنیم. در مورد ما، این باید انجام شود زیرا رایانه مشتری عضو دامنه نیست. از آنجایی که دستگاه عضو یک دامنه نیست، گواهی CA به طور خودکار در فروشگاه Trusted Root Certificate Authorities نصب نخواهد شد. اگر دستگاه بخشی از یک دامنه بود، از زمانی که Enterprise CA را نصب کردیم، ثبت خودکار این مشکل را برای ما برطرف می کرد.

ساده ترین راه برای تکمیل این مرحله ایجاد یک اتصال PPTP از سرویس گیرنده Vista SP1 VPN به سرور VPN سرور ویندوز 2008 است. به طور پیش‌فرض، سرور VPN از اتصالات PPTP پشتیبانی می‌کند و مشتری قبل از امتحان L2TP/IPSec و SSTP ابتدا PPTP را امتحان می‌کند. برای انجام این کار، باید یک اتصال VPN یا آبجکت اتصال ایجاد کنیم.

برای ایجاد کانکتور در سرویس گیرنده VPN، این مراحل را دنبال کنید:

  1. در سرویس گیرنده VPN، روی نماد شبکه کلیک راست کرده و کلیک کنید مرکز شبکه و سوئیچینگ (مرکز اشتراک گذاری).
  2. در پنجره Switching Center Network، روی پیوند کلیک کنید یک اتصال یا شبکه ایجاد کنیددر سمت چپ پنجره
  3. در صفحه گزینه های اتصال را انتخاب کنیدروی ورودی ها کلیک کنید به محل کار متصل شوید، سپس کلیک کنید به علاوه.

شکل 8

  1. در صفحه چطوری میخوای وصل بشیگزینه را انتخاب کنید استفاده از اتصال اینترنت من (VPN).

شکل 9

  1. در صفحه آدرس اینترنت را برای اتصال وارد کنیدنام سرور SSL VPN را وارد کنید. مطمئن شوید که این نام و نام رایج در گواهی استفاده شده توسط سرور SSL VPN یکسان است. در این مثال نام بود sstp.msfirewall.org. وارد نام گیرنده. در این مثال از نام گیرنده استفاده خواهیم کرد SSL VPN. کلیک به علاوه.

شکل 14

  1. در پنجره مرکز شبکه و سوئیچینگ، روی لینک کلیک کنید نمایش وضعیتدر فصل SSL VPN، همانطور که در شکل زیر نشان داده شده است. در کادر محاوره ای وضعیت SSL VPNخواهید دید که نوع اتصال VPN PPTP است. کلیک بستندر کادر محاوره ای وضعیت SSL VPN.

شکل 15

  1. یک پنجره خط فرمان باز کنید و یک فرمان ping را به کنترل کننده دامنه ارسال کنید. در این مثال، آدرس IP کنترل کننده دامنه خواهد بود 10.0.0.2 . اگر اتصال VPN شما موفقیت آمیز باشد، یک پاسخ پینگ از کنترل کننده دامنه دریافت خواهید کرد.

شکل 16

دریافت گواهی CA از یک CA سازمانی

مشتری SSL VPN باید به CA که گواهی استفاده شده توسط سرور VPN را صادر کرده است اعتماد کند. برای ایجاد این اعتماد، باید یک گواهی CA را روی CA که گواهی را برای سرور VPN صادر کرده است، نصب کنیم. ما می توانیم این کار را با اتصال به وب سایت ثبت CA در شبکه داخلی و نصب گواهی مشتری VPN در فروشگاه Trusted Root Certification Authorities انجام دهیم.

برای دریافت گواهینامه از سایت ثبت نام مراحل زیر را انجام دهید:

  1. در سرویس گیرنده VPN که از طریق اتصال PPTP به سرور VPN متصل است، وارد کنید http://10.0.0.2/certsrvدر نوار آدرس اینترنت اکسپلورر و ENTER را فشار دهید.
  2. نام کاربری و رمز عبور استفاده شده در کادر محاوره ای اعتبار را وارد کنید. در این مثال، از نام کاربری و رمز عبور حساب کاربری مدیریت دامنه پیش‌فرض استفاده می‌کنیم.
  3. در صفحه با درودسایت ثبت نام لینک را دنبال کنید یک گواهی CA، زنجیره گواهی، یا CRL را آپلود کنید.

شکل 17

  1. یک کادر محاوره ای که به شما هشدار می دهد یک وب سایت می خواهد محتوای وب را با استفاده از این برنامه در رایانه شما باز کند، مطبوعات اجازه. سپس کلیک کنید بستندر کادر محاوره ای آیا به پنجره اطلاعات توجه کرده اید؟، اگر ظاهر شد. دانلود کامل شد.
  2. بسته شدن اینترنت اکسپلورر.

اکنون باید گواهینامه CA را در Trusted Root Certification Authorities Certificate Store ماشین سرویس گیرنده VPN نصب کنیم. برای انجام این کار باید موارد زیر را انجام دهید:

  1. کلیک شروع کنید، سپس وارد شوید mmcدر نوار جستجو و ENTER را فشار دهید.
  2. کلیک ادامه هیددر کادر محاوره ای UAC.
  3. در پنجره کنسول 1منو کلیک کنید فایلو سپس کلیک کنید افزودن/حذف Snap-in.
  4. در کادر محاوره ای افزودن یا حذف snap-inانتخاب کنید گواهینامه هادر لیست لوازم جانبی موجود، سپس فشار دهید اضافه کردن.
  5. در صفحه اسنپ ​​های گواهیگزینه را انتخاب کنید حساب کامپیوتریو کلیک کنید پایان.
  6. در صفحه کامپیوتر را انتخاب کنیدگزینه را انتخاب کنید کامپیوتر محلی و کلیک کنید پایان.
  7. کلیک خوبدر کادر محاوره ای افزودن یا حذف snap-in.
  8. در پنل سمت چپ کنسول، تب را باز کنید گواهینامه ها (رایانه محلی)و سپس تب کلیک کنید پایاندر صفحه تکمیل واردات گواهینامه ها.
  9. کلیک خوبدر یک کادر محاوره ای به شما اطلاع می دهد که واردات با موفقیت انجام شده است.
  10. اکنون گواهی مانند تصویر زیر در کنسول ظاهر می شود.

شکل 24

  1. کنسول MMC را ببندید.

پیکربندی مشتری برای استفاده از SSTP و اتصال به سرور VPN از طریق SSTP

و اکنون همه چیز تقریباً آماده است! اکنون باید اتصال VPN را قطع کنیم و سرویس گیرنده VPN را برای استفاده از SSTP برای پروتکل VPN پیکربندی کنیم. در یک محیط تولید، شما مجبور نخواهید بود از این مرحله برای کاربران استفاده کنید، زیرا از کیت مدیریت اتصال مدیر برای ایجاد یک شیء اتصال VPN برای کاربر استفاده می کنید که شامل کلاینتی است که از SSTP استفاده می کند، یا فقط پورت های SSTP را پیکربندی می کنید. در سرور VPN

این همه به پیکربندی محیط شما بستگی دارد، زیرا باید زمان را برنامه ریزی کنید تا کاربران بتوانند برای مدتی در حین نصب گواهی ها از PPTP استفاده کنند. البته می توانید گواهینامه های CA را به صورت آفلاین نصب کنید، یعنی با دانلود از یک وب سایت یا توسط پست الکترونیک، در این صورت مجبور نخواهید بود به کاربران PPTP اجازه دهید. اما اگر برخی از کلاینت‌ها از SSTP پشتیبانی نمی‌کنند، باید PPTP یا L2TP/IPSec را فعال کنید و نمی‌توانید همه پورت‌های غیر SSTP را غیرفعال کنید. در چنین شرایطی باید به آن تکیه کنید تنظیم دستییا به بسته به روز شده CMAK.

یکی دیگر از گزینه‌های اینجا می‌تواند اتصال مشتری SSTP به یک آدرس IP خاص در سرور RRAS باشد. در این مورد، می توانید یک بسته CMAK سفارشی ایجاد کنید که فقط به آدرس IP سرور SSL VPN در حال گوش دادن به شبکه برای اتصالات SSTP ورودی اشاره دارد. آدرس های دیگر در سرور SSTP VPN برای اتصالات PPTP و/یا L2TP/IPSec به شبکه گوش می دهند.

برای غیرفعال کردن جلسه PPTP و پیکربندی شی اتصال مشتری VPN برای استفاده از SSTP این مراحل را دنبال کنید:

  1. در رایانه سرویس گیرنده VPN، یک پنجره باز کنید مرکز شبکه و سوئیچینگ، همانطور که قبلا انجام دادند.
  2. در پنجره مرکز شبکه و سوئیچینگروی لینک کلیک کنید قطع شدن، که مستقیماً در زیر لینک قرار دارد نمایش وضعیت. فصل SSL VPNاز پنجره ناپدید می شود مرکز شبکه و سوئیچینگ.
  3. در پنجره مرکز شبکه و سوئیچینگروی لینک کلیک کنید مدیریت اتصالات شبکه.
  4. روی لینک کلیک راست کنید SSL VPNو یک برگه را انتخاب کنید خواص.

شکل 25

  1. در کادر محاوره ای ویژگی های SSL VPNبه برگه بروید خالص. در پنجره نوع VPNروی فلش رو به پایین کلیک کنید و یک گزینه را انتخاب کنید پروتکل تونل زنی سوکت ایمن (SSTP)، سپس کلیک کنید

شکل 29

توماس شیندر

در قسمت اول این سری مقالات در مورد راه اندازی ویندوزسرور 2008 به عنوان یک سرور SSL VPN، من در مورد برخی از حقایق تاریخ صحبت کردم سرورهای مایکروسافتپروتکل های VPN و VPN. مقاله قبلی را با توضیح یک شبکه نمونه به پایان رساندیم که در این و قسمت های بعدی این مجموعه از آن استفاده خواهیم کرد. راه اندازی VPNدروازه ای که از اتصالات SSTP با کلاینت های Vista SP1 پشتیبانی می کند.

قبل از شروع، باید اعتراف کنم که از حضور آگاهم راهنمای گام به گامدر ایجاد اتصالات SSTP برای ویندوز سرور 2008 که در وب سایت www.microsoft.com قرار دارد. به نظر من این مقاله محیط واقعی را که سازمان ها برای تخصیص گواهی ها استفاده می کنند منعکس نمی کند. به همین دلیل و به دلیل برخی از مسائل مشکل ساز که در دفترچه راهنمای مایکروسافت به آنها اشاره نشده بود، تصمیم گرفتم این مقاله را بنویسم. من معتقدم اگر از طریق این مقاله من را دنبال کنید چیزهای جدیدی یاد خواهید گرفت.

من قصد ندارم تمام مراحل را از ابتدا شروع کنم. من جرأت می‌کنم فرض کنم شما یک کنترل‌کننده دامنه نصب کرده‌اید و نقش‌های DHCP، DNS و Certificate Services را در این سرور فعال کرده‌اید. نوع گواهی سرور باید Enterprise باشد و شما یک CA در شبکه خود دارید. سرور VPN باید قبل از ادامه مراحل زیر به دامنه متصل باشد. قبل از شروع، باید SP1 را برای سرویس گیرنده ویستا نصب کنید.

برای اینکه راه حل ما کار کند باید مراحل زیر را دنبال کنیم:

  • IIS را روی سرور VPN نصب کنید
  • با استفاده از برنامه IIS Certificate Request Wizard یک گواهی ماشین برای سرور VPN درخواست کنید
  • نقش RRAS را روی سرور VPN نصب کنید
  • سرور RRAS را فعال کنید و آن را پیکربندی کنید تا به عنوان سرور VPN و NAT کار کند
  • یک سرور NAT را برای انتشار CRL پیکربندی کنید
  • یک حساب کاربری برای استفاده از اتصالات تلفنی تنظیم کنید
  • IIS را روی Certificate Server پیکربندی کنید تا اتصالات HTTP برای دایرکتوری CRL مجاز باشد
  • فایل HOSTS را برای سرویس گیرنده VPN پیکربندی کنید
  • از PPTP برای ارتباط با سرور VPN استفاده کنید
  • گواهی CA را از Enterprise CA دریافت کنید
  • کلاینت را برای استفاده از SSTP پیکربندی کنید و با استفاده از SSTP به سرور VPN متصل شوید

نصب IIS روی سرور VPN

ممکن است برای شما عجیب باشد که ما با این روش شروع می کنیم، زیرا توصیه می کنم هرگز یک وب سرور را بر روی یک ابزار امنیتی شبکه نصب نکنید. خبر خوب این است که ما مجبور نیستیم وب سرور را روی سرور VPN ذخیره کنیم، فقط برای مدتی به آن نیاز خواهیم داشت. دلیل آن این است که سایت ثبت نام همراه با Windows Server 2008 Certificate Server دیگر برای درخواست گواهینامه رایانه مفید نیست. در واقع کاملا بی فایده است. نکته جالب این است که اگر تصمیم بگیرید از سایت ثبت نام برای دریافت گواهی کامپیوتر استفاده کنید، به نظر می رسد که گواهی دریافت و نصب شده است، اما در واقع اینطور نیست، گواهی نصب نشده است.

برای حل این مشکل، از این واقعیت استفاده می کنیم که از یک CA سازمانی استفاده می کنیم. هنگام استفاده از Enterprise CA، می توانید درخواستی را به سرور گواهی آنلاین ارسال کنید. درخواست تعاملی برای گواهی کامپیوتر زمانی امکان پذیر است که از جادوگر درخواست گواهی IIS استفاده می کنید و چیزی را درخواست می کنید که اکنون گواهی دامنه نامیده می شود. این تنها در صورتی امکان پذیر است که ماشین درخواست کننده متعلق به همان دامنه Enterprise CA باشد.
برای نصب نقش سرور وب IIS روی سرور VPN، مراحل زیر را دنبال کنید:

  1. ویندوز 2008 را باز کنید مدیر سرور.
  2. در پنل سمت چپ کنسول، روی تب کلیک کنید نقش ها.
  1. روی منو کلیک کنید نقش ها را اضافه کنیددر سمت راست پنل سمت راست.
  2. کلیک به علاوهدر صفحه قبل از اینکه تو شروع کنی.
  3. یک علامت تیک در کنار خط قرار دهید وب سرور (IIS)در صفحه نقش های سرور را انتخاب کنید. کلیک به علاوه.

  1. می توانید اطلاعات موجود در صفحه را بخوانید وب سرور (IIS)، در صورت تمایل این اطلاعات عمومی کاملاً مفیدی در مورد استفاده از IIS 7 به عنوان وب سرور است، اما از آنجایی که ما قرار نیست از وب سرور IIS در سرور VPN استفاده کنیم، این اطلاعات کاملاً در شرایط ما قابل استفاده نیست. کلیک به علاوه.
  2. در صفحه خدمات نقش را انتخاب کنیدچندین گزینه قبلا انتخاب شده است. با این حال، اگر از گزینه های پیش فرض استفاده کنید، نمی توانید از ویزارد درخواست گواهی استفاده کنید. حداقل وقتی سیستم رو تست کردم اینطوری بود. هیچ سرویس نقشی برای جادوگر درخواست گواهی وجود ندارد، بنابراین سعی کردم کادرهای کنار هر گزینه را علامت بزنم. ایمنی، و به نظر می رسد که کار کرده است. همین کار را برای خودتان انجام دهید و کلیک کنید به علاوه.

  1. اطلاعات صفحه را مرور کنید انتخاب تنظیمات را تأیید کنیدو فشار دهید نصب.
  2. کلیک بستندر صفحه نتایج نصب.

درخواست گواهی ماشین برای سرور VPN با استفاده از جادوگر درخواست گواهی IIS

مرحله بعدی درخواست گواهی ماشین برای سرور VPN است. سرور VPN برای ایجاد یک اتصال SSL VPN با رایانه سرویس گیرنده SSL VPN به گواهی ماشین نیاز دارد. نام مشترک گواهی باید با نامی که مشتری VPN برای اتصال به رایانه دروازه SSL VPN استفاده می کند مطابقت داشته باشد. این بدان معنی است که شما باید یک رکورد DNS عمومی برای نام روی گواهی ایجاد کنید که به آدرس IP خارجی سرور VPN یا آدرس IP دستگاه NAT در مقابل سرور VPN که اتصال را فوروارد می کند حل می شود. به سرور SSL VPN.

برای درخواست گواهی ماشین به سرور SSL VPN، مراحل زیر را دنبال کنید:

  1. که در مدیر سرور، برگه را گسترش دهید نقش هادر قسمت سمت چپ و سپس تب را باز کنید وب سرور (IIS). مطبوعات .

  1. در کنسول مدیر خدمات اطلاعات اینترنتی (IIS).که در سمت راست در پانل سمت چپ ظاهر می شود، روی نام سرور کلیک کنید. در این مثال نام سرور خواهد بود W2008RC0-VPNGW. روی نماد کلیک کنید گواهی های سروردر سمت راست کنسول IIS.

  1. در پنل سمت راست کنسول، روی لینک کلیک کنید یک گواهی دامنه ایجاد کنید.

  1. اطلاعات را در صفحه وارد کنید ویژگی های نام تعریف شده. مهمترین شی در اینجا خواهد بود نام متداول. این نامی است که مشتریان VPN برای اتصال به سرور VPN استفاده می کنند. همچنین برای شناسایی رابط خارجی سرور VPN یا آدرس عمومی NAT دستگاه در مقابل سرور VPN به یک رکورد DNS عمومی برای این نام نیاز دارید. در این مثال از نام رایج استفاده می کنیم sstp.msfirewall.org. بعداً ورودی های فایل HOSTS را در رایانه مشتری VPN ایجاد خواهیم کرد تا بتواند این نام را تشخیص دهد. کلیک به علاوه.

  1. روی دکمه موجود در صفحه کلیک کنید انتخاب کنید. در کادر محاوره ای منبع گواهی را انتخاب کنید، روی نام Enterprise CA کلیک کرده و کلیک کنید خوب. یک نام دوستانه در خط وارد کنید اسم دوستانه. در این مثال از نام استفاده کردیم گواهی SSTPبدانید که برای دروازه SSTP VPN استفاده می شود.

  1. کلیک پایاندر صفحه منبع گواهی آنلاین.

  1. جادوگر شروع می شود و سپس ناپدید می شود. سپس خواهید دید که گواهی در کنسول IIS ظاهر می شود. بر روی گواهی دوبار کلیک کنید و نام رایج را در بخش مشاهده کنید منصوب بهو اکنون کلید خصوصی مربوط به گواهی را داریم. کلیک خوببرای بستن کادر محاوره ای گواهینامه.

اکنون که گواهی را داریم، می‌توانیم نقش سرور RRAS را نصب کنیم. لطفا توجه داشته باشید که چه چیزی بسیار مهم است نصب گواهیقبل از نصب نقش سرور RRAS. اگر این کار را انجام ندهید، خود را برای سردردهای بزرگ آماده خواهید کرد زیرا باید از یک روال خط فرمان نسبتاً پیچیده برای مرتبط کردن گواهی با سرویس گیرنده SSL VPN استفاده کنید.

نصب نقش سرور RRAS روی سرور VPN

برای نصب نقش سرور RRAS، باید مراحل زیر را انجام دهید:

  1. که در مدیر سرور، روی برگه کلیک کنید نقش هادر قسمت سمت چپ کنسول
  2. در بخش بررسی اجمالی نقش هاروی لینک کلیک کنید نقش ها را اضافه کنید.
  3. کلیک به علاوهدر صفحه قبل از اینکه تو شروع کنی.
  4. در صفحه نقش های سرور را انتخاب کنیدکادر کنار خط را علامت بزنید. کلیک به علاوه.

  1. اطلاعات صفحه را بخوانید خط مشی شبکه و خدمات دسترسی. بیشتر آن به سرور سیاست شبکه (که قبلاً سرور تأیید اعتبار اینترنتی نامیده می شد و اساساً یک سرور RADIUS بود) و NAP مربوط می شود، هیچ یک از عناصر در مورد ما قابل اجرا نیستند. کلیک به علاوه.
  2. در صفحه خدمات نقش را انتخاب کنیددر کنار خط یک علامت بزنید خدمات مسیریابی و دسترسی از راه دور. در نتیجه موارد انتخاب خواهند شد خدمات دسترسی از راه دورو مسیریابی. کلیک به علاوه.

  1. کلیک نصبدر پنجره تنظیمات انتخاب شده را تأیید کنید.
  2. کلیک بستندر صفحه نتایج نصب.

فعال کردن سرور RRAS و پیکربندی آن به عنوان سرور VPN و NAT

اکنون که نقش RRAS نصب شده است، باید خدمات RRAS را فعال کنیم، درست مانند نسخه های قبلی ویندوز. ما باید عملکرد سرور VPN و خدمات NAT را فعال کنیم. فعال کردن مؤلفه سرور VPN کاملاً واضح است، اما ممکن است تعجب کنید که چرا باید سرور NAT را فعال کنید. دلیل فعال کردن سرور NAT این است که مشتریان خارجی می توانند برای اتصال به CRL به Certificate Server دسترسی داشته باشند. اگر مشتری SSTP VPN نتواند CRL را دانلود کند، اتصال SSTP VPN کار نخواهد کرد.

برای باز کردن دسترسی به CRL، سرور VPN را به عنوان یک سرور NAT پیکربندی می کنیم و CRL را با استفاده از NAT برگشت پذیر منتشر می کنیم. در یک محیط شبکه شرکتی، احتمالاً فایروال هایی مانند فایروال ISA در جلوی سرور گواهی خواهید داشت، بنابراین می توانید CRL ها را با استفاده از فایروال ها منتشر کنید. با این حال، در این مثال تنها فایروال مورد استفاده ما فایروال ویندوز در سرور VPN است، بنابراین در این مثال باید سرور VPN را به عنوان یک سرور NAT پیکربندی کنیم.

برای فعال کردن خدمات RRAS مراحل زیر را دنبال کنید:

  1. که در مدیر سروربرگه را گسترش دهید نقش هادر قسمت سمت چپ کنسول برگه را گسترش دهید خط مشی شبکه و خدمات دسترسیو روی تب کلیک کنید. روی تب کلیک راست کرده و کلیک کنید مسیریابی و دسترسی از راه دور را پیکربندی و فعال کنید.

  1. کلیک به علاوهدر پنجره به جادوگر راه اندازی سرور مسیریابی و دسترسی از راه دور خوش آمدید.
  2. در صفحه پیکربندیگزینه را انتخاب کنید دسترسی به شبکه های خصوصی مجازی و NATو فشار دهید به علاوه.

  1. در صفحه اتصال VPN NIC را در بخش انتخاب کنید رابط های شبکه، که نمایانگر رابط خارجی سرور VPN است. سپس کلیک کنید به علاوه.

  1. در صفحه تخصیص آدرس های IPگزینه را انتخاب کنید بطور خودکار. ما می توانیم این گزینه را انتخاب کنیم زیرا یک سرور DHCP روی کنترلر دامنه پشت سرور VPN نصب شده است. اگر سرور DHCP ندارید، باید این گزینه را انتخاب کنید از یک لیست آدرس خاصو سپس لیستی از آدرس هایی را وارد کنید که مشتریان VPN می توانند هنگام اتصال به شبکه از طریق دروازه VPN استفاده کنند. کلیک به علاوه.

  1. در صفحه مدیریت دسترسی از راه دور چندین سرورانتخاب کنید خیر، از مسیریابی و دسترسی از راه دور برای احراز هویت درخواست های اتصال استفاده کنید. زمانی که سرورهای NPS یا RADIUS در دسترس نیستند از این گزینه استفاده می کنیم. از آنجایی که سرور VPN عضو یک دامنه است، می توانید با استفاده از حساب های دامنه، کاربران را احراز هویت کنید. اگر سرور VPN بخشی از یک دامنه نیست، فقط می‌توان از حساب‌های سرور محلی VPN استفاده کرد، مگر اینکه از سرور NPS استفاده کنید. در آینده مقاله ای در مورد استفاده از سرور NPS خواهم نوشت. کلیک به علاوه.

  1. اطلاعات عمومی صفحه را بخوانید تکمیل جادوگر پیکربندی مسیریابی و دسترسی از راه دورو فشار دهید پایان.
  2. کلیک خوبدر کادر محاوره ای مسیریابی و دسترسی از راه دورکه به شما می گوید که توزیع پیام DHCP به یک عامل توزیع DHCP نیاز دارد.
  3. در قسمت سمت چپ کنسول، تب را باز کنید مسیریابی و دسترسی از راه دورو سپس بر روی تب کلیک کنید پورت ها. در پنجره میانی خواهید دید که اتصالات WAN Miniport برای SSTP اکنون در دسترس هستند.

پیکربندی یک سرور NAT برای انتشار CRL

همانطور که قبلاً گفتم، سرویس گیرنده SSL VPN باید بتواند یک CRL را دانلود کند تا تأیید کند که گواهی سرور در سرور VPN خراب یا باطل نشده است. برای انجام این کار، باید دستگاه را در مقابل سرور گواهی پیکربندی کنید تا درخواست های HTTP برای مکان CRL را به سرور گواهی ارسال کند.

چگونه بفهمم مشتری SSL VPN برای دانلود CRL باید به کدام URL متصل شود؟ این اطلاعات در خود گواهی وجود دارد. اگر به سرور VPN برگردید و مانند قبل روی گواهی در کنسول IIS دوبار کلیک کنید، باید بتوانید این اطلاعات را پیدا کنید.

روی دکمه کلیک کنید جزئیاتروی گواهی و به سمت ورودی پایین بروید نقاط توزیع CRL، سپس روی این ورودی کلیک کنید. پانل پایینی نقاط توزیع مختلف را بر اساس پروتکل مورد استفاده برای دسترسی به آن نقاط نشان می دهد. در گواهی نشان داده شده در تصویر زیر، می بینیم که باید به مشتری SSL VPN از طریق یک URL اجازه دسترسی به CRL را بدهیم:

http://win2008rc0-dc.msfirewall.org/CertEnroll/WIN2008RC0-DC.msfirewall.org.crl

به همین دلیل است که باید رکوردهای DNS عمومی برای این نام ایجاد کنید تا مشتریان VPN خارجی بتوانند این نام را به یک آدرس IP یا دستگاهی اختصاص دهند که یک NAT معکوس یا پراکسی معکوس را برای دسترسی به وب سایت سرور گواهی انجام می دهد. در این مثال باید bind کنیم win2008rc0-dc.msfirewall.orgبا یک آدرس IP در رابط خارجی سرور VPN. هنگامی که اتصال به رابط خارجی سرور VPN می رسد، سرور VPN اتصال NAT را به سرور گواهی ارسال می کند.

اگر از یک فایروال پیشرفته مانند فایروال ISA استفاده می کنید، می توانید با اجازه دادن به دسترسی، CRL های سایت انتشار را ایمن تر کنید. فقطبه CRL، نه به کل سایت. با این حال، در این مقاله ما خود را به امکان یک دستگاه NAT ساده، مانند دستگاهی که RRAS NAT ارائه می‌کند، محدود می‌کنیم.

لازم به ذکر است که استفاده از نام پیش فرض سایت CRL ممکن است گزینه ای کمتر امن باشد زیرا نام خصوصی رایانه را در اینترنت آشکار می کند. اگر فکر می کنید که افشای نام خصوصی CA در یک رکورد DNS عمومی خطر امنیتی ایجاد می کند، می توانید یک CDP سفارشی (CRL Distribution Point) ایجاد کنید تا از این امر جلوگیری کنید.

برای پیکربندی RRAS NAT برای هدایت درخواست‌های HTTP به سرور گواهی، این مراحل را دنبال کنید:

  1. در پنل سمت چپ مدیر سروربرگه را گسترش دهید مسیریابی و دسترسی از راه دورو سپس برگه را گسترش دهید IPv4. روی تب کلیک کنید NAT.
  2. در برگه NATروی رابط خارجی در پنل میانی کنسول کلیک راست کنید. در این مثال، نام رابط خارجی بود اتصال منطقه محلی. مطبوعات خواص.

  1. در کادر محاوره ای، کادر کناری را علامت بزنید وب سرور (HTTP). با این کار یک کادر محاوره ای ظاهر می شود سرویس ویرایش. در یک خط متن آدرس خصوصیآدرس IP سرور گواهی را در شبکه داخلی وارد کنید. کلیک خوب.

  1. کلیک خوبدر کادر محاوره ای ویژگی های اتصال منطقه محلی.

اکنون که سرور NAT نصب و پیکربندی شده است، می‌توانیم توجه خود را به پیکربندی سرور CA و سرویس گیرنده SSTP VPN معطوف کنیم.

نتیجه

در این مقاله به ادامه گفتگو در مورد راه اندازی سرور SSL VPN با استفاده از ویندوز سرور 2008 پرداختیم، نصب IIS بر روی سرور VPN، درخواست و نصب گواهی سرور، نصب و پیکربندی سرویس های RRAS و NAT بر روی سرور VPN را بررسی کردیم. در مقاله بعدی، راه اندازی سرور CA و سرویس گیرنده SSTP VPN را به پایان خواهیم رساند. به امید دیدار! جلد.

منتشر شده در 12 بهمن 1387 توسط · بدون نظر

اگر قسمت های قبلی این مجموعه مقالات را از دست داده اید، لطفاً بخوانید:

در دو قسمت اول این مجموعه در مورد نحوه ساخت سرور SSL VPN در ویندوز سرور 2008، به برخی از اصول ساخت شبکه های VPN پرداختیم و سپس راه اندازی سرور را مورد بحث قرار دادیم. در این مرحله ما آماده هستیم تا تغییرات جزئی را در پیکربندی Active Directory و وب سایت CA انجام دهیم. هنگامی که این تغییرات را انجام دادیم، روی پیکربندی مشتری VPN تمرکز می کنیم و در نهایت اتصال SSL VPN را ایجاد می کنیم.

پیکربندی یک حساب کاربری برای استفاده از اتصالات Dial-up

حساب‌های کاربر قبل از اینکه بتوانند به سرور Windows VPN که بخشی از دامنه Active Directory است متصل شوند، به مجوزهای دسترسی شماره‌گیری نیاز دارند. بهترین راه برای انجام این کار استفاده از سرور سیاست شبکه (NPS) و همچنین مجوز پیش فرض حساب کاربری است که امکان دسترسی از راه دور را بر اساس خط مشی NPS فراهم می کند. با این حال، در مورد ما، ما یک سرور NPS نصب نکردیم، بنابراین باید مجوز دسترسی شماره گیری کاربر را به صورت دستی پیکربندی کنیم.

در مقاله بعدی من بر استفاده از سرور NPS و تأیید اعتبار گواهی کاربر EAP برای ایجاد ارتباط با سرور SSL VPN تمرکز خواهم کرد.

برای اینکه به یک حساب کاربری خاص دسترسی شماره گیری کنید تا به سرور SSL VPN متصل شود، باید مراحل زیر را انجام دهید. در این مثال، مجوز دسترسی شماره گیری را برای حساب پیش فرض سرپرست دامنه فعال می کنیم:

پیکربندی IIS در سرور گواهی برای اجازه دادن به اتصالات HTTP برای دایرکتوری CRL

بنا به دلایلی، وقتی جادوگر نصب وب‌سایت Certificate Services را نصب می‌کند، دایرکتوری CRL را برای درخواست اتصال SSL پیکربندی می‌کند. در حالی که از منظر امنیتی این ایده بسیار خوبی به نظر می رسد، مشکل این است که شناسه منبع یکنواخت (URI) در گواهی برای استفاده از SSL پیکربندی نشده است. حدس می‌زنم می‌توانید خودتان یک رکورد CDP برای گواهی ایجاد کنید تا بتواند از SSL استفاده کند، اما شرط می‌بندم مایکروسافت این موضوع را در جایی ذکر نکرده است. از آنجایی که در این مقاله از تنظیمات استاندارد برای CDP استفاده می کنیم، باید SSL را در وب سایت CA برای مسیر CRL دایرکتوری غیرفعال کنیم.

برای غیرفعال کردن نیاز SSL برای دایرکتوری CRL، مراحل زیر را دنبال کنید:



راه اندازی یک فایل HOSTS برای یک سرویس گیرنده VPN

اکنون می توانیم تمام توجه خود را به مشتری VPN معطوف کنیم. اولین کاری که باید با کلاینت انجام دهیم، تنظیم یک فایل HOSTS است تا بتوانیم یک زیرساخت عمومی DNS را شبیه سازی کنیم. دو نام وجود دارد که باید در فایل HOSTS وارد کنیم (همین کار باید برای سرور عمومی DNS که در شبکه های تولید استفاده می کنید انجام دهید). نام اول نام سرور VPN است، همانطور که با نام مشترک/موضوع گواهی که با سرور SSL VPN مرتبط کرده ایم تعیین می شود. نام دومی که باید در فایل HOSTS (و سرور DNS عمومی) وارد کنیم، نام URL CDP است که روی گواهی وجود دارد. ما به محل اطلاعات CDP در قسمت 2 این مجموعه نگاه کردیم.

دو نامی که باید در فایل HOSTS در این مثال وارد شوند عبارتند از:

192.168.1.73 sstp.msfirewall.org

192.168.1.73 win2008rc0-dc.msfirewall.org

برای پیکربندی فایل HOSTS برای سرویس گیرنده Vista SP1 VPN، مراحل زیر را دنبال کنید:


  1. فایل را ببندید و گزینه را انتخاب کنید ذخیره تغییرات.

استفاده از PPTP برای اتصال به سرور VPN

ما به تدریج به ایجاد یک اتصال SSL VPN نزدیک می شویم! مرحله بعدی ایجاد یک کانکتور VPN در سرویس گیرنده Vista SP1 است که به ما امکان می دهد یک اتصال VPN اولیه به سرور VPN ایجاد کنیم. در مورد ما، این باید انجام شود زیرا رایانه مشتری عضو دامنه نیست. از آنجایی که دستگاه عضو یک دامنه نیست، گواهی CA به طور خودکار در فروشگاه Trusted Root Certificate Authorities نصب نخواهد شد. اگر دستگاه بخشی از یک دامنه بود، از زمانی که Enterprise CA را نصب کردیم، ثبت خودکار این مشکل را برای ما برطرف می کرد.

ساده ترین راه برای تکمیل این مرحله ایجاد یک اتصال PPTP از سرویس گیرنده Vista SP1 VPN به سرور VPN سرور ویندوز 2008 است. به طور پیش‌فرض، سرور VPN از اتصالات PPTP پشتیبانی می‌کند و مشتری قبل از امتحان L2TP/IPSec و SSTP ابتدا PPTP را امتحان می‌کند. برای انجام این کار، باید یک اتصال VPN یا آبجکت اتصال ایجاد کنیم.

برای ایجاد کانکتور در سرویس گیرنده VPN، این مراحل را دنبال کنید:









دریافت گواهی CA از یک CA سازمانی

مشتری SSL VPN باید به CA که گواهی استفاده شده توسط سرور VPN را صادر کرده است اعتماد کند. برای ایجاد این اعتماد، باید یک گواهی CA را روی CA که گواهی را برای سرور VPN صادر کرده است، نصب کنیم. ما می توانیم این کار را با اتصال به وب سایت ثبت CA در شبکه داخلی و نصب گواهی مشتری VPN در فروشگاه Trusted Root Certification Authorities انجام دهیم.

برای دریافت گواهینامه از سایت ثبت نام مراحل زیر را انجام دهید:





  1. کلیک بستندر کادر محاوره ای
  2. بسته شدن اینترنت اکسپلورر.

اکنون باید گواهینامه CA را در Trusted Root Certification Authorities Certificate Store ماشین سرویس گیرنده VPN نصب کنیم. برای انجام این کار باید موارد زیر را انجام دهید:




  1. کنسول MMC را ببندید.

پیکربندی مشتری برای استفاده از SSTP و اتصال به سرور VPN از طریق SSTP

و اکنون همه چیز تقریباً آماده است! اکنون باید اتصال VPN را قطع کنیم و سرویس گیرنده VPN را برای استفاده از SSTP برای پروتکل VPN پیکربندی کنیم. در یک محیط تولید، شما مجبور نخواهید بود از این مرحله برای کاربران استفاده کنید، زیرا از کیت مدیریت اتصال مدیر برای ایجاد یک شیء اتصال VPN برای کاربر استفاده می کنید که شامل کلاینتی است که از SSTP استفاده می کند، یا فقط پورت های SSTP را پیکربندی می کنید. در سرور VPN

این همه به پیکربندی محیط شما بستگی دارد، زیرا باید زمان را برنامه ریزی کنید تا کاربران بتوانند برای مدتی در حین نصب گواهی ها از PPTP استفاده کنند. البته، شما می توانید گواهینامه های CA را به صورت آفلاین نصب کنید، یعنی با دانلود از یک وب سایت یا از طریق ایمیل، در این صورت مجبور نخواهید بود به کاربران PPTP اجازه دهید. اما اگر برخی از کلاینت‌ها از SSTP پشتیبانی نمی‌کنند، باید PPTP یا L2TP/IPSec را فعال کنید و نمی‌توانید همه پورت‌های غیر SSTP را غیرفعال کنید. در این مورد، باید به پیکربندی دستی یا بسته به روز شده CMAK تکیه کنید.

یکی دیگر از گزینه‌های اینجا می‌تواند اتصال مشتری SSTP به یک آدرس IP خاص در سرور RRAS باشد. در این مورد، می توانید یک بسته CMAK سفارشی ایجاد کنید که فقط به آدرس IP سرور SSL VPN در حال گوش دادن به شبکه برای اتصالات SSTP ورودی اشاره دارد. آدرس های دیگر در سرور SSTP VPN برای اتصالات PPTP و/یا L2TP/IPSec به شبکه گوش می دهند.

برای غیرفعال کردن جلسه PPTP و پیکربندی شی اتصال مشتری VPN برای استفاده از SSTP این مراحل را دنبال کنید:




شکل 29

نتیجه

در این بخش پایانی از مجموعه ما در مورد نحوه قرار دادن سرور SSL VPN با استفاده از Windows Server 2008، ما راه اندازی یک حساب کاربری، یک وب سایت CRL و یک سرویس گیرنده SSL VPN را به پایان رساندیم. ما همچنین ایجاد اتصال SSTP را به پایان رساندیم و تأیید کردیم که موفقیت آمیز بود. متشکرم

منبع www.windowsecurity.com


همچنین ببینید:

نظرات خوانندگان (بدون نظر)

صرافی 2007

اگر مایلید قسمت های قبلی این سری مقالات را بخوانید، لطفاً پیوندها را دنبال کنید: Monitoring Exchange 2007 با استفاده از System Manager...

مقدمه در این مقاله چند قسمتی، می‌خواهم فرآیندی را که اخیراً برای مهاجرت از یک محیط موجود Exchange 2003 استفاده کردم را به شما نشان دهم...

اگر قسمت اول این مجموعه را از دست دادید، لطفاً آن را در Using the Tool بخوانید تبادل سرورابزار تحلیل اتصال از راه دور (قسمت...

| به لیست انتشارات

دسترسی از راه دور ایمن از طریق SSL VPN

بوریس بوریسنکو، کارشناس

فن آوری VPN به عنوان وسیله ای برای فراهم کردن دسترسی ایمن کارمندان به شبکه محلی یک شرکت از نقطه ای فیزیکی از راه دور رایج شده است. VPN های مبتنی بر SSL به عنوان یک فناوری مکمل و جایگزین برای دسترسی از راه دور از طریق IPsec VPN توسعه یافته اند. با این حال، هزینه و قابلیت اطمینان سازماندهی کانال های ارتباطی امن، SSL VPN را به یک فناوری بسیار جذاب تبدیل کرده است. متمرکز کننده های VPN SSL دارای قابلیت های اضافی (در مقایسه با دستگاه های VPN سنتی) هستند. اکثر فایروال ها انتشار برنامه های کاربردی وب را به اینترنت از طریق پورت ها، پخش می کنند آدرس های شبکه(NAT) و مسیریابی شبکه، اما محافظت از داده های رمزنگاری را فراتر از سطح ارائه شده توسط برنامه ها ارائه نکنید. کاربران IPsec VPN می توانند یک اتصال به شبکه شرکتی مشابه اتصال مستقیم به یک شبکه محلی برقرار کنند. این همه داده های منتقل شده بین سرور VPN و مشتری را رمزگذاری می کند. با این حال، اکثر دستگاه های VPN به یک برنامه مشتری خاص نیاز دارند. متمرکز کننده های SSL VPN از یک مرورگر استفاده می کنند تا به کارکنان راه دور اجازه دهند نه تنها به وب سایت های داخلی، بلکه به برنامه ها و سرورهای فایل نیز دسترسی داشته باشند. بیایید به برخی از جالب ترین راه حل ها برای سازماندهی دسترسی از راه دور با استفاده از SSL VPN نگاه کنیم.

ZyWALL SSL 10

این یک دروازه شبکه خصوصی مجازی با پشتیبانی از رمزگذاری SSL است که به شما امکان می‌دهد دسترسی از راه دور امن به شبکه‌ها و برنامه‌ها را از طریق اتصال VPN بدون نصب قسمت مشتری سازماندهی کنید. این دستگاه برای شبکه های تجاری کوچک و متوسط ​​ارائه شده است.

برای اتصال به اینترنت یا DMZ، یک رابط WAN، یک سوئیچ با چهار پورت LAN و یک پورت RS 232 DB9 برای کنترل از طریق کنسول وجود دارد (این دستگاه نسبت به همان ZyWALL 1050 امکانات کمتری ارائه می دهد). ZyWALL SSL 10 نه تنها پشتیبانی می کند تجدید نظر مستقیمبه پایگاه داده های کاربران اینترانت، بلکه با Microsoft Active Directory، LDAP و RADIUS نیز کار کنید. علاوه بر این، امکان استفاده وجود دارد احراز هویت دو مرحله ای(با استفاده از کلیدهای ZyWALL OTP).

دسترسی مستقیم به منابع شبکه شرکتی توسط مشتری SecuExtender ارائه می شود که در رایانه های کاربران راه دور دانلود می شود. پس از این، با اجازه مدیران، دسته های خاصی از کاربران می توانند به راحتی تونل های شبکه را با استفاده از IPsec سازماندهی کنند. مدیران همچنین می‌توانند سیاست‌های امنیتی را برای گروه‌های کاربر، محدوده آدرس شبکه یا برنامه‌های مختلف پیکربندی کنند.

ZyWALL SSL 10 از 10 جلسه امن به طور همزمان پشتیبانی می کند که تا 25 جلسه SSL قابل ارتقا است. در یک شبکه، دستگاه می تواند در پشت یک دروازه موجود (شکل 2) یا به عنوان یک دروازه جدید (شکل 3) استفاده شود. در حالت اول، ZyWALL SSL 10 می تواند به پورت DMZ برای بهبود امنیت متصل شود. در دوم - به مودم، و سرور وب - به ZyWALL. ترافیک از وب سرور به کاربر راه دور از طریق تونل VPN عبور می کند.

گزینه های پشتیبانی شده عبارتند از پروتکل TLS، رمزگذاری، گواهی - 256 بیتی AES، IDEA، RSA، هش - MD5، SHA-1. ویژگی جالبانتخاب نسبتاً زیادی از اتصالات برای دوشاخه برق (برای هر سوکت و شبکه) وجود دارد.

Netgear ProSafe SSL VPN متمرکز SSL312

این دستگاه به شما اجازه می دهد تا به طور همزمان با یک شبکه شرکتی تا 25 مشتری راه دور کار کنید. اتصال با استفاده از کامپوننت‌های ActiveX انجام می‌شود که می‌توان آن‌ها را مستقیماً از دستگاه دانلود و نصب کرد.

با این حال، کلاینت باید برای نصب اجزای ActiveX مناسب به سیستم دسترسی مدیریتی داشته باشد. علاوه بر این، مرورگر شما باید طوری پیکربندی شده باشد که اجازه استفاده از اجزای ActiveX را بدهد. همچنین ممکن است نیاز به نصب داشته باشید به روز رسانی ویندوز. سخت افزارشامل دو پورت LAN و یک پورت سریال است. هنگام ورود، گزینه احراز هویت انتخاب می شود: پایگاه داده کاربر، دامنه ویندوز NT، LDAP، Microsoft Active Directory، RADIUS (PAP، CHAP، MSCHAP، MSCHAPv2). هنگامی که از طریق سرور راه دوردومی باید در دسترس باشد و مسیریابی ترافیک باید به آن پیکربندی شود.

اگر مقدار حافظه DRAM برای هر دو Netgear SSL312 و ZyWALL SSL 10 یکسان باشد، فلش مموری Netgear به وضوح پایین تر است (16 در مقابل 128 مگابایت). پردازنده Net-gear SSL312 نیز به ZyWALL شکست می‌خورد (200 در مقابل 266 با شتاب‌دهنده رمزنگاری). برخلاف Netgear SSL312، ZyWALL از نسخه 2.0 پروتکل SSL پشتیبانی می کند.

دو گزینه ممکن برای استفاده از دستگاه وجود دارد. در حالت اول، تنها یکی از دو پورت اترنت Netgear SSL312 استفاده می شود. دروازه باید از طریق HTTPS به Netgear SSL312 دسترسی داشته باشد. مورد استفاده دیگر از هر دو پورت اترنت Netgear SSL312 بدون عبور ترافیک SSL از فایروال استفاده می کند. به یک پورت اترنت دستگاه یک آدرس IP عمومی و دومی یک آدرس IP خصوصی شبکه داخلی اختصاص داده شده است. لازم به ذکر است که Netgear SSL312 کارایی ندارد توابع NATو ITU و جایگزین آنها نمی شود.

برای کار با خدمات شبکه در یک شبکه محلی راه دور، دو گزینه وجود دارد: یک تونل VPN که بین کاربر و دستگاه ایجاد می شود، یا ارسال پورت. هر دو روش مزایا و معایبی دارند. تونل VPN به شما امکان می دهد ارتباط کامل را با یک کنترل از راه دور سازماندهی کنید شبکه محلی، اما به شما اجازه نمی دهد برای هر سرویس تنظیمات جداگانه ای انجام دهید. حمل و نقل پورت به شما امکان می دهد فقط با اتصالات TCP کار کنید (UDP و سایر پروتکل های IP برای هر برنامه به طور جداگانه پشتیبانی نمی شوند).
DNS پویا Netgear از SSL312 پشتیبانی نمی کند که این نیز یک نقطه ضعف است.

SSL VPN Juniper Networks Secure Access 700

راه حل دسترسی از راه دور با استفاده از SSL VPN نیز برای شرکت های کوچک و متوسط ​​طراحی شده است. رابط کاربری هم برای کاربر و هم برای مدیر در قالب یک مرورگر وب سازماندهی شده است. نیازی به نصب سرویس گیرنده VPN روی کامپیوتر راه دور نیست. دو پورت اترنت RJ-45 و یک پورت سریال وجود دارد. Juniper SA 700 به طور خودکار کامپیوتر از راه دور را بررسی می کند و بسته به نتایج نصب شده نرم افزار، حقوق دسترسی مختلفی را اختصاص می دهد.

قادر به پشتیبانی حداکثر از 25 کاربر همزمان. در میان احراز هویت و مجوز، گزینه های زیر امکان پذیر است: Microsoft Active Directory/Windows NT، LDAP، NIS، RADIUS، RSA، SAML، سرور گواهی. این دستگاه دسترسی به منابع فایل Windows/SMB، Unix/NFS، برنامه های کاربردی وب، از جمله مواردی که از جاوا اسکریپت، XML، فلش استفاده می کنند را فراهم می کند. پروتکل های Telnet و SSH پشتیبانی می شوند. دسترسی به ایمیل شرکتی بر اساس منظم سازماندهی شده است سرویس گیرنده پست الکترونیکی، که برای اتصال ایمن از طریق SSL به Juniper SA 700 پیکربندی شده است. با این حال، این به مجوز "Core Clientless Web Access" نیاز دارد.

Juniper SA 700 فراهم می کند بررسی خودکار کامپیوتر از راه دوردر صورتی که نرم افزار ضد ویروس، فایروال شخصی و سایر برنامه های امنیتی روی آن نصب شده باشد. تمام دانلودهای پراکسی و فایل های موقت مورد نیاز در طول جلسه پس از پایان جلسه حذف می شوند.

بیش از یک سال از شروع همکاری ما می گذرد . برخی از تجربیات در استفاده از پیکربندی توصیف شده انباشته شده است، جوانب مثبت و منفی آن شناسایی شده است، و نتایج خاصی گرفته شده است. بر اساس این نتیجه‌گیری‌ها، در این یادداشت به توسعه موضوع راه‌اندازی اتصالات VPN ایمن ادامه می‌دهیم و مراحل لازم برای سازماندهی توانایی کار با استفاده از پروتکل را در نظر می‌گیریم. SSTP (پروتکل تونل زنی سوکت ایمن).

تجربه استفاده L2TP/IPsec VPN نشان داده است که اگر دستورالعمل های گام به گام واضحی برای اتصال وجود داشته باشد، اکثر کاربران می توانند به تنهایی و بدون هیچ مشکلی چنین اتصال VPN را راه اندازی کنند. اما هنوز هم همیشه افرادی هستند که حتی در چنین شرایطی مرتکب اشتباه می شوند و بنابراین ایده نیاز به ساده سازی فرآیند ایجاد اتصال VPN همیشه در جایی چشمک می زند. زمینه. علاوه بر این، در تعدادی از موقعیت ها با مشکل مسدود کردن برخی از پورت های مورد نیاز برای L2TP/IPsec VPN مواجه شدیم که در سطح ارائه دهندگان اینترنت شناسایی شده است. علاوه بر این، گاهی اوقات همه چیز به حد پوچ می رسید، زمانی که همان ارائه دهنده اینترنت، ترافیک L2TP/IPsec را در یک انتهای شهر بدون هیچ مانعی منتقل می کرد، اما در انتهای دیگر شهر مسدود می شد. ما حتی از نظر ذهنی مناطق ارائه دهندگان اینترنت مختلف را به بخش هایی تقسیم کرده ایم که L2TP/IPsec VPN بی عیب و نقص کار می کند و به مناطقی که قطعاً مشکلاتی وجود دارد و باید در مورد آنها فکر کنیم. گزینه های جایگزیندسترسی به منابع شبکه محلی شرکت علاوه بر این، مواردی وجود داشت که مسافران تجاری و مسافرانی که سعی در اتصال از راه دور از طریق "اینترنت هتل" داشتند، به دلیل مشکلات مشابه در مسدود کردن پورت های ضروری، با مشکلاتی روبرو شدند. البته، قبل از معرفی L2TP/IPsec VPN، ما همه این خطرات را درک می کردیم و در اکثریت قریب به اتفاق موقعیت های مشکل، نوعی راه حل وجود داشت، اما "طعم پس از آن" از هر موقعیت ناخوشایند باقی ماند.

من شروع به یادآوری کردم که چرا انتخاب قبلی من روی L2TP/IPsec افتاد. دو عامل تعیین کننده وجود داشت - سطح قابل قبولی از امنیت و پشتیبانی برای طیف وسیع تری از سیستم عامل های مشتری. یادم می آید که در آن زمان به پروتکل علاقه مند بودم SSTP، اما چند عامل وجود داشت که باعث شد من از این فناوری فاصله بگیرم. اولاً، در آن زمان هنوز تعداد کافی مشتری بر اساس آن داشتیم ویندوز مایکروسافت XP و در این سیستم عامل پروتکل SSTP همانطور که می دانید پشتیبانی نمی شود. ثانیاً من نتوانستم از گواهی عمومی با شرکت استفاده کنم نام های دامنهبرای محافظت از اتصالات SSTP، و هیچ تمایلی برای جایگزینی آن با یک گواهی از یک CA اختصاصی داخلی وجود نداشت، زیرا این امر مستلزم مشکلاتی در توزیع گواهی ریشه آن به مشتریان اینترنتی و انتشار لیست ابطال گواهی بود ( لیست ابطال گواهیCRL) در اینترنت.

اما زمان گذشت، تعداد مشتریان بسیار کمتری با ویندوز XP وجود داشت (تقویت خط مشی امنیت اطلاعات شرکتی و کمپین های تبلیغاتی تهاجمی مایکروسافت برای به روز رسانی سیستم عامل کار خود را انجام داد)، و من این فرصت را داشتم که با یک گواهی عمومی کار کنم. علاوه بر این، با اطلاعاتی برخورد کردم که در سیستم عامل هایی مانند لینوکس و اپل مک OS X، نرم افزار مشتری برای پشتیبانی از اتصالات SSTP، برای مدت طولانی با موفقیت مورد استفاده قرار گرفته است، علیرغم این واقعیت که در یک زمان پیش بینی می شد که این پروتکل به دلیل ماهیت اختصاصی آن "منزوی از برد" باشد.

بنابراین، قطعا زمان آن فرا رسیده است که در عمل تمام مزایای SSTP، به ویژه توانایی کار در تقریباً هر محیطی، هر جا که امکان استفاده از یک اتصال اینترنتی استاندارد از طریق پروتکل HTTPS (TCP 443) وجود داشته باشد، را تجربه کنیم. یعنی هنگام استفاده از SSTP، از نظر تئوری، نباید با اتصال VPN در هیچ جا مشکلی داشته باشید، نه از خانه (حتی اگر از انواع NAT ها و انواع تنظیمات محلی کج استفاده کنید. تجهیزات شبکهارائه دهندگان اینترنت)، نه در هتل (حتی اگر از پروکسی استفاده شود)، یا در هر جای دیگری. علاوه بر این، روش راه‌اندازی یک اتصال VPN با استفاده از SSTP در سیستم کلاینت به‌طور باورنکردنی ساده‌شده است و شامل دستکاری گواهی‌های دیجیتال نمی‌شود (به شرطی که یک گواهی عمومی در سمت سرور استفاده شود).

الزامات اولیه به مشتریان و راه اندازی آنها

اگر ما در مورد سیستم های مشتری مبتنی بر سیستم عامل صحبت می کنیم ویندوز مایکروسافت، پس باید در نظر داشته باشید که SSTP روی سیستم هایی که از شروع می شود کار می کند ویندوز ویستا SP1و بعد. برای سیستم های مشتری زیر ویندوز ویستا SP1، از جمله برای "ماموت های زنده" در فرم ویندوز XP، مانند قبل، فرض بر این است که از پروتکل استفاده خواهد شد L2TP/IPsecبا تمام شرایطی که در بالا ذکر کردم. از استفاده از پروتکل PPTP، از آنجایی که مدتهاست به خطر افتاده است، پیشنهاد می شود به طور کلی از آن صرف نظر شود. پیوندهای دستورالعمل‌های به‌روزرسانی شده برای راه‌اندازی اتصال SSTP در سیستم‌عامل‌های کلاینت ویندوز را می‌توانید در انتهای این مقاله بیابید.

برای سیستم های مشتری مبتنی بر سیستم عامل لینوکسیک پروژه با باز کد منبع. من قبلا آماده کردم دستورالعمل های گام به گامبرای کاربران نه چندان با تجربه سیستم های لینوکس با استفاده از مثال پیکربندی درلینوکس اوبونتو 14.04و 15.04 /15.10 .

در مورد سیستم های مشتری مبتنی بر سیستم عامل Apple MacOSمن هنوز نمی توانم چیزی قابل درک بگویم، زیرا آنها را در دسترس ندارم. بر اساس اطلاعات سطحی موجود می توانید استفاده کنید (به عنوان یک گزینه کنسول)، یا می توانید از یک بسته ایجاد شده بر اساس آن استفاده کنیدiSSTP از طریق یک رابط گرافیکی کنترل می شود. امیدوارم در آینده ای نزدیک ویتالی ژاکوب با دستورالعمل های کاربر مناسب ما را خوشحال کند.

یک الزام رایج برای همه مشتریان این است که سرویس گیرنده SSTP VPN باید بتواند لیست های ابطال گواهی (CRL) را بررسی کند تا اطمینان حاصل شود که گواهی ارائه شده توسط سرور VPN باطل نشده است. این نوع بررسی را می توان در سمت مشتری غیرفعال کرد، اما این بهترین راه حل از نظر امنیتی نیست و فقط باید به عنوان آخرین راه حل استفاده شود.

الزامات اساسی برای سرور VPN و پیکربندی آن

بخش سرور اتصال VPN در مورد ما پسوندی خواهد بود سرورهای VPN بر اساس ویندوز سرور 2012 R2با نقش دسترسی از راه دور.

یکی از الزامات اصلی یک سرور VPN، همانطور که احتمالاً از همه موارد بالا مشخص است، وجود گواهی نصب شده بر روی آن است. شما می توانید چنین گواهینامه ای را از CAهای عمومی دریافت کنید و به عنوان یک قاعده، چنین گواهینامه هایی هزینه زیادی دارند. اما به عنوان مثال گزینه های رایگان نیز وجود داردگواهینامه های SSL رایگان WoSign . من خودم هنوز هیچ تجربه ای در ارتباط با چنین CA نداشته ام و بنابراین شنیدن نظرات شما در این مورد جالب خواهد بود.

الزامات گواهی سرور VPN

نکته مهم برای SSTP این است که هنگام ایجاد درخواست برای دریافت گواهی از یک CA عمومی شخص ثالث، باید به خاطر داشته باشید که گواهی درخواستی باید دارای یک خط مشی برنامه باشد ( استفاده از کلید گسترده, EKU) - احراز هویت سرور (1.3.6.1.5.5.7.3.1 ). البته، صادرات کلید خصوصی باید برای چنین گواهینامه ای مجاز باشد، زیرا ممکن است نیاز به نصب گواهی بر روی چندین سرور VPN داشته باشیم، برای مثال، اگر از یک پیکربندی کلاستر استفاده شود.

یک الزام اجباری برای گواهی حاصل نیز این است که لیست ابطال گواهی ( CRL) مشخص شده در گواهی باید در اینترنت قابل دسترسی باشد، زیرا در همان ابتدای ایجاد یک اتصال SSTP کامپیوتر مشتریسعی خواهد کرد بررسی کند که آیا گواهی ارائه شده توسط سرور VPN باطل شده است یا خیر. هیچ CRL در دسترس نخواهد بود - هیچ اتصال SSTP وجود نخواهد داشت.

گواهی حاصل بر روی سرور VPN در فروشگاه گواهی نصب می شود کامپیوتر محلی\شخصیو باید به کلید خصوصی این گواهی متصل شود.

همچنین ناگفته نماند که CA که گواهی را صادر کرده است، نه تنها باید مورد اعتماد سرورهای VPN ما باشد، بلکه باید مورد اعتماد همه مشتریان اینترنتی خارجی ما نیز باشد که با استفاده از پروتکل SSTP به این سرورها متصل می شوند. یعنی گواهی ریشه (ممکن است چندین مورد از آنها وجود داشته باشد) باید در تمام رایانه های موجود در فروشگاه گواهی وجود داشته باشد کامپیوتر محلی\مقامات معتبر صدور گواهینامه ریشه. اطلاعات مربوط به این الزامات را می توان در مقاله یافتکتابخانه TechNet - RRAS را با یک گواهی احراز هویت رایانه پیکربندی کنید . در اکثر سیستم‌عامل‌های مشتری مدرن، مجموعه گواهی‌های ریشه عمومی به‌طور خودکار به‌روزرسانی می‌شوند که اتصال دائمی به اینترنت وجود داشته باشد.

تنظیم نقش دسترسی از راه دور

پس از نصب گواهی بر روی سرور VPN، Snap-in را باز کنید مسیریابی و دسترسی از راه دورو در خصوصیات سرور VPN در برگه امنیتاین گواهی را برای SSTP در بخش انتخاب کنید اتصال گواهی SSL

با تغییر این گزینه از شما خواسته می شود که خدمات RRAS را به طور خودکار راه اندازی مجدد کنید. ما با راه اندازی مجدد خدمات موافقت می کنیم.

در ادامه در بخش پورت هاپورت ها را اضافه کنید SSTP. در مثال ما، بیشتر پورت ها برای اتصالات SSTP و بخش کوچکی از پورت ها برای کلاینت هایی بدون پشتیبانی SSTP، به عنوان مثال ویندوز XP، اختصاص داده شده است. ما قابلیت اتصال از طریق PPTP را به طور کامل غیرفعال می کنیم.

اطلاعات مربوط به نحوه غیرفعال کردن صحیح اتصال PPTP را می توان در مقاله یافتمسیریابی چگونه ... پورت های PPTP یا L2TP را اضافه کنید . مثال در اسکرین شات:

پس از انجام تغییرات، ما TCP Listeners را که روی سرور VPN ما اجرا می شود بررسی می کنیم. در میان آنها، یک شنونده باید برای پورت 443 ظاهر شود، که در آن سرور VPN اتصالات مشتری را از طریق پروتکل SSTP می پذیرد:

netstat -na | findstr 443

فراموش نکنید که فایروال را با فعال کردن قاعده ای که از قبل پس از نصب و پیکربندی نقش دسترسی از راه دور وجود دارد، پیکربندی کنید. پروتکل تونل زنی سوکت ایمن (SSTP-In)

علاوه بر این، می توانید قانون مجاز را برای ورودی غیرفعال کنید PPTP- اتصالات در هر پورت TCP 1723(در پیکربندی پیش فرض این قانون نامیده می شود مسیریابی و دسترسی از راه دور (PPTP-In)")

از آنجایی که سرور VPN ما عضو است NLB-cluster، علاوه بر این باید یک قانون ایجاد کنیم که اجازه تعادل پورت را می دهد TCP 443.

تنظیمات انجام شده برای سرور VPN ما کافی است تا بتواند اتصالات SSTP را با موفقیت بپذیرد.

بررسی اتصال مشتری VPN

در یک دستگاه کلاینت با دسترسی مستقیم به اینترنت از طریق پورت 443، یک اتصال آزمایشی VPN را راه اندازی کنید و وصل کنید...

در سمت سرور، ما مطمئن می شویم که مشتری از یکی از پورت های رایگان SSTP که قبلا ایجاد کرده بودیم استفاده می کند.

دستورالعمل برای کاربران

همانطور که قبلا ذکر شد، دستورالعمل های گام به گام واضح باید برای کاربرانی که از اینترنت به سرورهای VPN شرکتی متصل می شوند، ایجاد شود. من توانستم اتصالات VPN را به عنوان بخشی از سیستم عامل های زیر آزمایش کنم (و در عین حال دستورالعمل های گام به گام برای کاربران توسعه دهم):

  • ویندوز XP RU SP3 32 بیتی
    (دستورالعمل ها با در نظر گرفتن استفاده از L2TP/IPsec بازنویسی شده اند، اما در صورت عدم وجود PPTP فعال. درخواست و نصب گواهی در دو مرحله با استفاده از اسکریپت های مختلف انجام می شود)
  • ویندوز ویستا کسب و کار RU SP2 32 بیتی (SSTP)
  • ویندوز 7 حرفه ای RU SP1 32 بیتی (SSTP)
  • ویندوز 8.1 پرو RU 64 بیتی (SSTP)
  • لینوکس دسکتاپ اوبونتو 14.04 64 بیتی (SSTP)
  • لینوکس دسکتاپ اوبونتو 15.04 64 بیتی (SSTP)
  • لینوکس دسکتاپ اوبونتو 14.10 64 بیتی (SSTP)

دستورالعمل‌هایی با فرمت DOCX (و همچنین فایل‌های اجرایی لازم) که در صورت تمایل می‌توانید با محیط خود تطبیق دهید، می‌توانید از اینجا دانلود کنید.ارتباط دادن . بخشی از دستورالعمل ها برای مشاهده و بحث آنلاین در دسترس است .

عنوان: ویندوز 7
اشتراک گذاری