Android. Ოპერაციული სისტემა. მულტიმედია. Სოციალური ქსელები. ინსტრუმენტები. კოდეკები. გრაფიკა
Აქ ხარ: » »

SSL VPN გადაწყვეტა. SSL VPN სერვერის ჰიპერსოკეტის ინსტალაცია VPN სერვერზე RRAS სერვერის როლის ინსტალაცია

დისტანციური წვდომა დღეს ძალიან მნიშვნელოვანია. იმ ადამიანთა მზარდ რაოდენობასთან ერთად, რომლებსაც ესაჭიროებათ წვდომა სახლისა და სამუშაო კომპიუტერებზე შენახულ ინფორმაციაზე, ასეთი წვდომის შესაძლებლობა ნებისმიერი ადგილიდან გახდა კრიტიკული. გავიდა ის დრო, როდესაც ხალხი ამბობდა: "ამ ინფორმაციას გამოგიგზავნით, როგორც კი ჩემს კომპიუტერს მივაღწევ". ეს ინფორმაცია დაუყოვნებლივ გჭირდებათ, თუ გსურთ კონკურენცია გაუწიოთ დღევანდელ ბიზნეს სამყაროში.

კომპიუტერიზაციის ქვის ხანაში, კომპიუტერზე დისტანციური წვდომის გზა იყო dial-up კავშირის გამოყენება. RAS dial-up კავშირები მუშაობდა ჩვეულებრივ POTS (Plain Old Telephone Service) ხაზებზე, მონაცემთა სიჩქარით დაახლოებით 56 kbps. სიჩქარე იყო ამ კავშირების მთავარი პრობლემა, მაგრამ კავშირის ღირებულება კიდევ უფრო დიდი პრობლემა იყო, როდესაც წვდომა დიდ დისტანციებს მოითხოვდა.

ინტერნეტის მზარდი პოპულარობით, RAS კავშირები სულ უფრო და უფრო ნაკლებად გამოიყენება. ამის მიზეზი VPN (ვირტუალური კერძო ქსელი) კავშირების გაჩენა გახდა. VPN კავშირები უზრუნველყოფდა იმავე წერტილამდე დაკავშირებას, როგორც RAS dial-up კავშირებს, მაგრამ მათ ეს გააკეთეს უფრო სწრაფად და იაფად, რადგან VPN კავშირის სიჩქარე შეიძლება იყოს იგივე, რაც ინტერნეტ კავშირის სიჩქარე და კავშირის ღირებულება არ არის დამოკიდებული დანიშნულების ადგილის მდებარეობა. ერთადერთი, რისთვისაც უნდა გადაიხადოთ, არის თქვენი ინტერნეტ კავშირი.

ვირტუალური პირადი ქსელი

VPN კავშირი საშუალებას აძლევს თქვენს კომპიუტერს შექმნას ვირტუალურიდა კერძოᲘნტერნეტ კავშირი. ნაერთი ვირტუალურირადგან როდესაც კომპიუტერი ქმნის VPN კავშირს ინტერნეტით, კომპიუტერი, რომელიც ქმნის ამ კავშირს, მოქმედებს როგორც პირდაპირ დაკავშირებული კვანძი ქსელთან, თითქოს ის დაკავშირებულია ქსელთან Ethernet კაბელის გამოყენებით. მომხმარებელს აქვს იგივე წვდომა რესურსებზე, რაც მას ექნებოდა პირდაპირი კავშირი ქსელთან კაბელის გამოყენებით. ამასთან, VPN კლიენტის მიერ VPN სერვერთან დაკავშირების შემთხვევაში, კავშირი ვირტუალურადვინაიდან არ არის მოქმედი Ethernet კავშირი დანიშნულებასთან. VPN კავშირი კერძოვინაიდან მონაცემთა ნაკადის შინაარსი ამ კავშირის შიგნით დაშიფრულიამიტომ ინტერნეტში ვერავინ შეძლებს VPN კავშირის საშუალებით გადაცემული მონაცემების აღკვეთას და წაკითხვას.

Windows სერვერები და კლიენტები მხარს უჭერდნენ VPN კავშირებს Windows NT და Windows 95-ის დღეებიდან. მიუხედავად იმისა, რომ Windows კლიენტები და სერვერები მხარს უჭერდნენ VPN კავშირებს ათწლეულის განმავლობაში, VPN მხარდაჭერის ტიპი დროთა განმავლობაში განვითარდა. Windows Vista Service Pack 1 და Windows Server 2008 ამჟამად მხარს უჭერს სამი ტიპის VPN კავშირს. ეს არის შემდეგი ტიპები:

  • L2TP / IPSec

PPTP არის წერტილიდან წერტილამდე გვირაბის პროტოკოლი. PPTP არის უმარტივესი გზა VPN კავშირის შესაქმნელად, მაგრამ სამწუხაროდ ის ასევე ყველაზე ნაკლებად უსაფრთხოა. ამ ტიპის ყველაზე ნაკლებად უსაფრთხო მიზეზი არის ის, რომ მომხმარებლის სერთიფიკატები იგზავნება დაუცველ არხზე. სხვა სიტყვებით რომ ვთქვათ, VPN კავშირის დაშიფვრა იწყება ამის შემდეგროგორ გადაეცა მანდატები. მიუხედავად იმისა, რომ VPN კლიენტებსა და სერვერებს შორის არ გადაეცემა მოქმედი რწმუნებათა სიგელები, მიღებული ჰეშის მნიშვნელობები შეიძლება გამოყენებულ იქნას გამოცდილ ჰაკერების მიერ VPN სერვერებზე წვდომის მოსაპოვებლად და კორპორატიულ ქსელთან დასაკავშირებლად.

VPN პროტოკოლი L2TP / IPSec უფრო საიმედოა. L2TP / IPSec ერთობლივად შეიქმნა Microsoft-ისა და Cisco-ს მიერ. L2TP / IPSec უფრო უსაფრთხოა, ვიდრე PPTP, რადგან უსაფრთხო IPSec სესია იქმნება მანამ, სანამ რწმუნებათა სიგელები გაიგზავნება სადენზე. ჰაკერებს არ შეუძლიათ წვდომა სერთიფიკატებზე და, შესაბამისად, არ შეუძლიათ მათი მოპარვა და მოგვიანებით გამოყენება. უფრო მეტიც, IPSec უზრუნველყოფს მანქანების ორმხრივ ავთენტიფიკაციას, ამიტომ უცნობი მანქანები ვერ დაუკავშირდებიან L2TP / IPSec VPN არხს. IPSec უზრუნველყოფს ორმხრივ ავთენტიფიკაციას, მონაცემთა მთლიანობას, კონფიდენციალურობას და არაუარყოფას. L2TP მხარს უჭერს PPP და EAP მომხმარებლის ავთენტიფიკაციის მექანიზმებს, რომლებიც უზრუნველყოფენ შესვლის მაღალ უსაფრთხოებას, ვინაიდან საჭიროა როგორც მანქანის, ასევე მომხმარებლის ავტორიზაცია.

Windows Vista SP1 და Windows Server 2008 ახლა მხარს უჭერენ VPN პროტოკოლის ახალ ტიპს, სახელწოდებით "Secure Socket Tunneling Protocol ან SSTP. SSTP იყენებს SSL დაშიფრულ HTTP კავშირებს VPN კავშირების შესაქმნელად VPN კარიბჭეებთან. SSTP უსაფრთხოა, რადგან მომხმარებლის რწმუნებათა სიგელები არ გადაიცემა მანამ, სანამ უსაფრთხო SSL გვირაბი იხსნება VPN კარიბჭის დასაკავშირებლად SSTP ასევე ცნობილია როგორც PPP SSL-ზე, რაც ნიშნავს, რომ შეგიძლიათ გამოიყენოთ PPP და EAP ავთენტიფიკაციის მექანიზმები თქვენი SSTP კავშირი უფრო უსაფრთხოდ.

პირადი არ ნიშნავს უსაფრთხოებას

უნდა აღინიშნოს, რომ VPN კავშირები უფრო პირადია, ვიდრე უსაფრთხო. მიუხედავად იმისა, რომ ვაღიარებ, რომ კონფიდენციალურობა კომუნიკაციის უსაფრთხოების ფუნდამენტური კომპონენტია, ის თავისთავად არ უზრუნველყოფს ამ უსაფრთხოებას. VPN ტექნოლოგიები უზრუნველყოფს კერძო კომპონენტს ინტერნეტით დაკავშირებისას, რომელიც ხელს უშლის არაავტორიზებულ პირებს თქვენი კომუნიკაციის შინაარსის წაკითხვაში. VPN ტექნოლოგიები ასევე საშუალებას გაძლევთ უზრუნველყოთ, რომ მხოლოდ ავტორიზებულ მომხმარებლებს შეუძლიათ დაუკავშირდნენ მოცემულ ქსელს VPN კარიბჭის საშუალებით. თუმცა, პირადი კომპონენტი, ავთენტიფიკაცია და ავტორიზაცია არ უზრუნველყოფს ყოვლისმომცველ უსაფრთხოებას.

ვთქვათ, გყავთ თანამშრომელი, რომელსაც გახსენით VPN წვდომა. ვინაიდან თქვენი Windows Server 2008 VPN პროტოკოლი მხარს უჭერს EAP მომხმარებლის ავთენტიფიკაციას, თქვენ გადაწყვიტეთ შექმნათ ჭკვიანი ბარათები თქვენი მომხმარებლებისთვის და გამოიყენოთ L2TP / IPSec VPN პროტოკოლი. სმარტ ბარათებისა და L2TP/IPSec-ის კომბინაცია საშუალებას იძლევა საჭირო გახდეს მომხმარებლის ავტორიზაცია და ჯანსაღი მანქანა. თქვენი სმარტ ბარათი და L2TP / IPSec გამოსავალი მშვენივრად მუშაობს და ყველა ბედნიერია.

ყველა ბედნიერია, სანამ ერთ დღეს თქვენი ერთ-ერთი მომხმარებელი არ შევა თქვენს SQL სერვერზე, რათა მიიღოს სააღრიცხვო ინფორმაცია და დაიწყებს მის გაზიარებას სხვა თანამშრომლებთან. Რა მოხდა? VPN კავშირი დაუცველი იყო? არა, VPN კავშირი საკმარისად უსაფრთხო იყო მხოლოდ პირადი (პირადი) კომპონენტის, ავთენტიფიკაციისა და ავტორიზაციის უზრუნველსაყოფად, მაგრამ ის არ უზრუნველყოფდა წვდომის კონტროლს და წვდომის კონტროლი კომპიუტერის უსაფრთხოების ერთ-ერთი ფუნდამენტური კომპონენტია. სინამდვილეში, შეიძლება ითქვას, რომ წვდომის კონტროლის გარეშე, უსაფრთხოების ყველა სხვა ზომა შედარებით მცირე ღირებულებაა.

VPN ჭეშმარიტად უსაფრთხო რომ იყოს, თქვენ უნდა დარწმუნდეთ, რომ თქვენს VPN კარიბჭეს შეუძლია უზრუნველყოს მომხმარებლის / ჯგუფის წვდომის კონტროლი, ასე რომ თქვენ შეგიძლიათ გახსნათ წვდომის საჭირო დონე VPN მომხმარებლებისთვის. უფრო მოწინავე VPN კარიბჭეებმა და ბუხარელებმა, როგორიცაა ISA Firewall, შეუძლიათ უზრუნველყონ ამ ტიპის კონტროლი VPN კავშირებზე. გარდა ამისა, Firewall-ებს, როგორიცაა ISA Firewall, შეუძლიათ უზრუნველყონ მისამართების პაკეტის და აპლიკაციის ფენის შემოწმება კლიენტის VPN კავშირებზე.

მიუხედავად იმისა, რომ Windows Server 2008 VPN სერვერი არ უზრუნველყოფს მომხმარებლის და ჯგუფური წვდომის კონტროლს, არსებობს სხვა გზები, რომლითაც შეგიძლიათ თავად სერვერზე წვდომის კონტროლის მორგება, თუ არ გსურთ გადაიხადოთ უფრო მოწინავე ფეიერვოლებისა და VPN კარიბჭეების შესაძენად. ამ სტატიაში ჩვენ ყურადღებას ვამახვილებთ მხოლოდ VPN სერვერის კომპონენტებზე. თუ გსურთ გაიგოთ მეტი ISA firewalls-ის შესახებ და მათი შესაძლებლობები VPN სერვერებისთვის, გადადით www.isaserver.org

რატომ გამოვიყენოთ ახალი VPN პროტოკოლი?

Microsoft-მა უკვე შექმნა ორი სიცოცხლისუნარიანი VPN პროტოკოლი, რომელიც მომხმარებლებს საშუალებას აძლევს დაუკავშირდნენ კორპორატიულ ქსელს, ასე რომ, რატომ უნდა ავაშენოთ მესამე? SSTP შესანიშნავი დამატებაა Windows VPN-ის მომხმარებლებისთვის, რადგან SSTP-ს არ აქვს Firewall და NAT მოწყობილობის პრობლემები, განსხვავებით PPTP და L2TP / IPSec. იმისათვის, რომ PPTP იმუშაოს NAT მოწყობილობით, მოწყობილობამ უნდა უზრუნველყოს PPTP მხარდაჭერა PPTP NAT რედაქტორის გამოყენებით. თუ ამ მოწყობილობაზე არ არის ასეთი NAT რედაქტორი PPTP-სთვის, მაშინ PPTP კავშირები არ იმუშავებს.

L2TP / IPSec-ს აქვს პრობლემები NAT მოწყობილობებთან და ფაიერვოლებთან, რადგან ფაირვოლს უნდა ჰქონდეს L2TP UDP პორტი 1701 გახსნილი გამავალი კავშირებისთვის, IPSec IKE პორტი, UDP 500 ღია გამავალი კავშირებისთვის და IPSec NAT გარე პორტი, UDP 4500 ღია გამავალი კავშირებისთვის. (L2TP პორტი არ არის საჭირო NAT-T-ის გამოყენებისას). ფეიერვოლების უმეტესობა საჯარო ადგილებში, როგორიცაა სასტუმროები, საკონფერენციო ცენტრები, რესტორნები და ა.შ. გქონდეთ ღია პორტების მცირე რაოდენობა გამავალი კავშირებისთვის, როგორიცაა HTTP, TCP პორტი 80 და HTTPS (SSL), TCP პორტი 443. თუ გჭირდებათ მხარდაჭერა HTTP და SSL პროტოკოლების მიღმა, ოფისიდან გასვლისას, თქვენი წარმატებული კავშირის შანსია. მნიშვნელოვნად შემცირდა... თქვენ შეიძლება არ მიიღოთ PPTP ან L2TP / IPSec-ისთვის საჭირო პორტები.

წინა პროტოკოლებისგან განსხვავებით, SSTP VPN კავშირები გადადის SSL-ზე TCP პორტის 443-ის გამოყენებით. ვინაიდან ყველა ბუხარსა და NAT მოწყობილობას აქვს TCP პორტი 443 ღია, შეგიძლიათ გამოიყენოთ SSTP ყველგან. ეს ბევრად აადვილებს ცხოვრებას მოგზაურთათვის, რომლებიც იყენებენ VPN კავშირებს ოფისთან დასაკავშირებლად, და ასევე უადვილებს ცხოვრებას კორპორატიული ადმინისტრატორებისთვის, რომლებსაც სჭირდებათ მოგზაურების მხარდაჭერა, ასევე საზოგადოებრივ ადგილებში თანამშრომლების დახმარება, უზრუნველყონ ინტერნეტი სასტუმროებში, კონვენციების ცენტრებში. და ა.შ.

SSTP კავშირის პროცესი

  1. SSTP VPN კლიენტი ქმნის TCP კავშირს SSTP VPN კარიბჭესთან SSTP VPN კლიენტის შემთხვევითი TCP წყაროს პორტსა და SSTP VPN კარიბჭის TCP პორტს 443 შორის.
  2. SSTP VPN კლიენტი აგზავნის SSL-ს კლიენტი - გამარჯობაშეტყობინება, რომელიც მიუთითებს იმაზე, რომ მას სურს შექმნას SSL სესია SSTP VPN კარიბჭით.
  3. SSTP VPN კარიბჭე აგზავნის კომპიუტერის სერთიფიკატი SSTP VPN კლიენტი.
  4. SSTP VPN კლიენტი ამოწმებს კომპიუტერის სერტიფიკატს Trusted Root Certification Authorities-ის სერტიფიკატების მონაცემთა ბაზის შემოწმებით, რათა დარწმუნდეს, რომ სერვერზე ხელმოწერილი CA სერთიფიკატი არის სერტიფიკატების მონაცემთა ბაზაში. შემდეგ SSTP VPN კლიენტი განსაზღვრავს დაშიფვრის მეთოდს SSL სესიისთვის, ქმნის SSL სესიის კლავიშს და შიფრავს მას საჯარო კარიბჭის SSTP VPN გასაღების გამოყენებით და შემდეგ აგზავნის SSL სესიის გასაღების დაშიფრულ ფორმას SSTP VPN კარიბჭეში.
  5. SSTP VPN კარიბჭე შიფრავს დაშიფრული SSL სესიის გასაღებს კომპიუტერის სერთიფიკატების პირადი გასაღების გამოყენებით. ყველა შემდგომი კავშირი SSTP VPN კლიენტსა და SSTP VPN კარიბჭეს შორის დაშიფრული იქნება მითითებული დაშიფვრის მეთოდით და სესიის SSL გასაღებით.
  6. SSTP VPN კლიენტი აგზავნის HTTP-ზე SSL (HTTPS) მოთხოვნის შეტყობინებას SSTP VPN კარიბჭეზე.
  7. SSTP VPN კლიენტი აწარმოებს მოლაპარაკებას SSTP არხზე SSTP VPN კარიბჭესთან.
  8. SSTP VPN კლიენტი აწარმოებს მოლაპარაკებას PPP კავშირზე SSTP სერვერთან. ეს მოლაპარაკებები მოიცავს მომხმარებლის რწმუნებათა სიგელების ავთენტიფიკაციას სტანდარტული PPP ავტორიზაციის მეთოდის (ან თუნდაც EAP ავთენტიფიკაციის) გამოყენებით და პარამეტრების კონფიგურაციას ინტერნეტ პროტოკოლის ვერსიის მეოთხე (IPv4) ან ინტერნეტ პროტოკოლის ვერსიის მეექვსე (IPv6) ტრაფიკისთვის.
  9. SSTP კლიენტი იწყებს IPv4 ან IPv6 ტრაფიკის გაგზავნას PPP კავშირის საშუალებით.

ვისაც აინტერესებს VPN პროტოკოლების არქიტექტურის მახასიათებლები, შეგიძლიათ იხილოთ ისინი ქვემოთ მოცემულ ფიგურაში. გაითვალისწინეთ, რომ SSTP-ს აქვს დამატებითი სათაური სხვა ორი VPN პროტოკოლისგან განსხვავებით. ეს არის დამატებითი HTTPS დაშიფვრის წყალობით SSTP სათაურის გარდა. L2TP-ს და PPTP-ს არ აქვთ აპლიკაციის ფენის სათაურები კავშირის დასაშიფრად.

სურათი 1

ჩვენ ავიღოთ მარტივი სამმანქანიანი ქსელი, როგორც მაგალითი, რათა დავინახოთ როგორ მუშაობს SSTP. ამ სამი მანქანის სახელები და მახასიათებლები შემდეგია:

Vista Business Edition

Vista Service Pack 1

არადომენის წევრი

W2008RC0-VPNGW:

ორი NIC "შიდა და გარე

WIN2008RC-DC:

Windows Server 2008 Enterprise Edition

MSFIREWALL.ORG დომენის დომენის კონტროლერი

სერთიფიკატის სერვერი (Enterprise CA)

გთხოვთ გაითვალისწინოთ, რომ Vista Service Pack 1 გამოიყენება როგორც VPN კლიენტი. მიუხედავად იმისა, რომ წარსულში იყო დისკუსიები Windows XP Service Pack 3-ის SSTP-ის მხარდაჭერის შესახებ, ეს შეიძლება ასე არ დასრულდეს. მე ახლახან დავაინსტალირე Windows XP Service Pack 3-ის საცდელი ვერსია სატესტო კომპიუტერზე და ვერ ვიპოვე SSTP მხარდაჭერის მტკიცებულება. ეს მართლაც ცუდია, რადგან დღეს ძალიან ბევრი ლეპტოპი მუშაობს Windows XP-ზე და მტკიცებულებები ვარაუდობენ, რომ Vista ძალიან ნელია ლეპტოპებისთვის. Vista-ს მუშაობის პრობლემები შეიძლება მოგვარდეს Vista Service Pack 1-ით.

მაგალითის ქსელის მაღალი დონის კონფიგურაცია ნაჩვენებია ქვემოთ მოცემულ ფიგურაში.

სურათი 2

Windows Server 2008-ის კონფიგურაცია, როგორც დისტანციური წვდომის SSL VPN სერვერი

მე არ ვაპირებ ყველა საფეხურის გადახედვას საფუძვლიდან. მე ვივარაუდებ, რომ თქვენ დააინსტალირეთ დომენის კონტროლერი და გაააქტიურეთ DHCP, DNS და სერთიფიკატის სერვისების როლები ამ სერვერზე. სერვერის სერტიფიცირების ტიპი უნდა იყოს Enterprise და თქვენ გაქვთ CA თქვენს ქსელში. VPN სერვერი უნდა იყოს დაკავშირებული დომენთან, სანამ გააგრძელებთ შემდეგ ნაბიჯებს. სანამ დაიწყებთ, თქვენ უნდა დააინსტალიროთ Vista Client SP1.

იმისათვის, რომ ჩვენი გადაწყვეტა იმუშაოს, ჩვენ უნდა დავასრულოთ შემდეგი პროცედურები:

  • დააინსტალირეთ IIS VPN სერვერზე
  • მოითხოვეთ მანქანის სერთიფიკატი VPN სერვერისთვის IIS Certificate Request Wizard-ის გამოყენებით
  • დააინსტალირეთ RRAS როლი VPN სერვერზე
  • გააქტიურეთ RRAS სერვერი და დააკონფიგურირეთ VPN და NAT სერვერად მუშაობისთვის
  • NAT სერვერის კონფიგურაცია CRL-ების გამოსაქვეყნებლად
  • მომხმარებლის ანგარიშის კონფიგურაცია, რათა გამოიყენოს dial-up კავშირები
  • დააკონფიგურირეთ IIS სერტიფიკატის სერვერზე, რათა დაუშვას HTTP კავშირები CRL დირექტორიაში
  • HOSTS ფაილის კონფიგურაცია VPN კლიენტისთვის
  • გამოიყენეთ PPTP VPN სერვერთან დასაკავშირებლად
  • მიიღეთ CA სერთიფიკატი Enterprise CA-სგან
  • დააკონფიგურირეთ კლიენტი, რომ გამოიყენოს SSTP და დაუკავშირდით VPN სერვერს SSTP-ის გამოყენებით

IIS-ის ინსტალაცია VPN სერვერზე

შეიძლება უცნაურად მოგეჩვენოთ, რომ დავიწყოთ ამ კონკრეტული პროცედურისგან, რადგან გირჩევთ, არასოდეს დააინსტალიროთ ვებ სერვერი ქსელის უსაფრთხოების მოწყობილობაზე. კარგი ამბავი ის არის, რომ ჩვენ არ გვჭირდება ვებ სერვერის შენახვა VPN სერვერზე, ის მხოლოდ ცოტა ხნით გვჭირდება. ეს იმიტომ ხდება, რომ Windows Server 2008 Certificate Server-ში შემავალი სარეგისტრაციო საიტი აღარ გამოდგება კომპიუტერის სერთიფიკატების მოთხოვნისთვის. სინამდვილეში, ეს ზოგადად უსარგებლოა. საინტერესოა, რომ თუ მაინც გადაწყვეტთ სარეგისტრაციო საიტის გამოყენებას კომპიუტერის სერთიფიკატის მისაღებად, ყველაფერი ისე გამოიყურება, თითქოს სერთიფიკატი მიღებულია და დაინსტალირებულია, მაგრამ სინამდვილეში ასე არ არის, სერთიფიკატი არ არის დაინსტალირებული.

ამ პრობლემის გადასაჭრელად, ჩვენ ვისარგებლებთ იმით, რომ ვიყენებთ საწარმოს CA. Enterprise CA-ის გამოყენებისას შეგიძლიათ გაგზავნოთ მოთხოვნა ონლაინ სერტიფიცირების სერვერზე. კომპიუტერის სერთიფიკატის ინტერაქტიული მოთხოვნა შესაძლებელია, როდესაც იყენებთ IIS Certificate Request Wizard-ს და ითხოვთ იმას, რასაც ახლა „დომენის სერთიფიკატი“ ეწოდება. ეს შესაძლებელია მხოლოდ იმ შემთხვევაში, თუ მომთხოვნი მანქანა ეკუთვნის იმავე დომენს, როგორც Enterprise CA.

მიჰყევით ამ ნაბიჯებს, რომ დააინსტალიროთ IIS ვებ სერვერის როლი VPN სერვერზე:

  1. გახსენით Windows 2008 სერვერის მენეჯერი.
  2. კონსოლის მარცხენა პანელში დააწკაპუნეთ ჩანართზე როლები.

სურათი 1

  1. დააჭირეთ მენიუს როლების დამატებამარჯვენა ფანჯრის მარჯვენა მხარეს.
  2. ვაჭერთ Უფროგვერდზე Სანამ დაიწყებ.
  3. ხაზის წინ ვდებთ ტკიპს ვებ სერვერი (IIS)გვერდზე აირჩიეთ სერვერის როლები... ვაჭერთ Უფრო.

სურათი 2

  1. შეგიძლიათ წაიკითხოთ ინფორმაცია გვერდზე ვებ სერვერი (IIS)თუ თქვენ გსურთ. ეს არის საკმაოდ სასარგებლო ზოგადი ინფორმაცია IIS 7-ის ვებსერვერად გამოყენების შესახებ, მაგრამ ვინაიდან ჩვენ არ ვაპირებთ IIS ვებ სერვერის გამოყენებას VPN სერვერზე, ეს ინფორმაცია ნამდვილად არ გამოიყენება ჩვენს სიტუაციაში. ვაჭერთ Უფრო.
  2. გვერდზე აირჩიეთ როლური სერვისებირამდენიმე ვარიანტი უკვე შერჩეულია. თუმცა, თუ იყენებთ ნაგულისხმევ ვარიანტებს, ვერ შეძლებთ სერტიფიკატის მოთხოვნის ოსტატის გამოყენებას. ყოველ შემთხვევაში ასე იყო, როცა სისტემა გამოვცადე. არ არსებობს როლური სერვისი სერთიფიკატის მოთხოვნის ოსტატისთვის, ამიტომ შევეცადე მომემოწმებინა ველები თითოეული ვარიანტის გვერდით უსაფრთხოებადა როგორც ჩანს, მუშაობდა. იგივე გააკეთე შენთვის და დააკლიკე Უფრო.

სურათი 3

  1. გადახედეთ ინფორმაციას გვერდზე დაადასტურეთ პარამეტრების შერჩევადა დააჭირეთ Დაინსტალირება.
  2. Დააკლიკეთ დახურვაგვერდზე ინსტალაციის შედეგები.

სურათი 4

მანქანის სერთიფიკატის მოთხოვნა VPN სერვერისთვის IIS სერთიფიკატის მოთხოვნის ოსტატის გამოყენებით

შემდეგი ნაბიჯი არის მანქანის სერთიფიკატის მოთხოვნა VPN სერვერისთვის. VPN სერვერი მოითხოვს მანქანის სერთიფიკატს SSL VPN კლიენტის კომპიუტერთან SSL VPN კავშირის შესაქმნელად. სერტიფიკატის საერთო სახელი უნდა შეესაბამებოდეს სახელს, რომელსაც VPN კლიენტი გამოიყენებს SSL VPN კარიბჭის კომპიუტერთან დასაკავშირებლად. ეს ნიშნავს, რომ თქვენ უნდა შექმნათ საჯარო DNS ჩანაწერი სახელისთვის სერტიფიკატზე, რომელიც გადაჭრის VPN სერვერის გარე IP მისამართს, ან NAT მოწყობილობის IP მისამართს VPN სერვერის წინ, რომელიც გადასცემს კავშირი SSL VPN სერვერთან.

მიჰყევით ამ ნაბიჯებს, რათა მოითხოვოთ აპარატის სერტიფიკატი SSL VPN სერვერზე:

  1. სერვერის მენეჯერი, გააფართოვეთ ჩანართი როლებიმარცხენა პანელში და შემდეგ გააფართოვეთ ჩანართი ვებ სერვერი (IIS)... Დაჭერა .

სურათი 5

  1. კონსოლში ინტერნეტ საინფორმაციო სერვისების (IIS) მენეჯერირომელიც გამოჩნდება მარჯვნივ მარცხენა პანელში, დააწკაპუნეთ სერვერის სახელზე. ამ მაგალითში სერვერის სახელი იქნება W2008RC0-VPNGW... დააწკაპუნეთ ხატულაზე სერვერის სერთიფიკატები IIS კონსოლის მარჯვენა პანელში.

სურათი 6

  1. კონსოლის მარჯვენა პანელში დააწკაპუნეთ ბმულზე შექმენით დომენის სერთიფიკატი.

სურათი 7

  1. შეიყვანეთ ინფორმაცია გვერდზე კონკრეტული სახელის თვისებები... აქ ყველაზე მნიშვნელოვანი ობიექტი იქნება საერთო სახელი... ეს არის სახელი, რომელსაც VPN კლიენტები გამოიყენებენ VPN სერვერთან დასაკავშირებლად. თქვენ ასევე დაგჭირდებათ ამ სახელის საჯარო DNS ჩანაწერი, რათა ამოიცნოთ VPN სერვერის გარე ინტერფეისი, ან NAT მოწყობილობის საჯარო მისამართი VPN სერვერის წინ. ამ მაგალითში ჩვენ ვიყენებთ საერთო სახელს sstp.msfirewall.org... მოგვიანებით, ჩვენ შევქმნით HOSTS ფაილის ჩანაწერებს VPN კლიენტის კომპიუტერზე, რათა მან შეძლოს ამ სახელის ამოცნობა. ვაჭერთ Უფრო.

Ფიგურა 8

  1. გვერდზე დააჭირეთ ღილაკს აირჩიეთ... დიალოგურ ფანჯარაში აირჩიეთ სერთიფიკატების წყაროდააწკაპუნეთ Enterprise CA-ზე და დააწკაპუნეთ კარგი... შეიყვანეთ მეგობრული სახელი ხაზზე მეგობრული სახელი... ამ მაგალითში ჩვენ გამოვიყენეთ სახელი SSTP სერთიფიკატიიცოდეთ, რომ ის გამოიყენება SSTP VPN კარიბჭისთვის.

სურათი 9

  1. ვაჭერთ Დამთავრებაგვერდზე სერთიფიკატების ონლაინ წყარო.

სურათი 10

  1. ოსტატი დაიწყება და შემდეგ გაქრება. ამის შემდეგ, ნახავთ, რომ სერთიფიკატი გამოჩნდება IIS კონსოლში. ორჯერ დააწკაპუნეთ სერთიფიკატზე და ნახეთ საერთო სახელი განყოფილებაში დაინიშნადა ახლა ჩვენ გვაქვს სერტიფიკატის შესაბამისი პირადი გასაღები. ვაჭერთ კარგიდიალოგის დახურვისთვის Სერტიფიკატი.

სურათი 11

ახლა, როდესაც გვაქვს სერთიფიკატი, შეგვიძლია დავაყენოთ RRAS სერვერის როლი. გთხოვთ გაითვალისწინოთ რა არის ძალიან მნიშვნელოვანი დააინსტალირეთ სერტიფიკატი RRAS სერვერის როლის დაყენებამდე. თუ ამას არ გააკეთებთ, საკუთარ თავს ბევრი თავის ტკივილი შეგექმნებათ, რადგან თქვენ უნდა გამოიყენოთ საკმაოდ რთული ბრძანების ხაზი, რომ დააკავშიროთ სერთიფიკატი SSL VPN კლიენტთან.

RRAS სერვერის როლის დაყენება VPN სერვერზე

RRAS სერვერის როლის დასაყენებლად, მიჰყევით ამ ნაბიჯებს:

  1. სერვერის მენეჯერი, დააწკაპუნეთ ჩანართზე როლებიკონსოლის მარცხენა პანელში.
  2. განყოფილებაში როლების გაგებადააწკაპუნეთ ბმულზე როლების დამატება.
  3. Დააკლიკეთ Უფროგვერდზე Სანამ დაიწყებ.
  4. გვერდზე აირჩიეთ სერვერის როლებიშეამოწმეთ ყუთი ხაზის გვერდით. Დააკლიკეთ Უფრო.

სურათი 12

  1. წაიკითხეთ ინფორმაცია გვერდზე ქსელის პოლიტიკა და წვდომის სერვისები... უმეტესობა ეხება ქსელის პოლიტიკის სერვერს (რომელსაც ადრე ეწოდებოდა ინტერნეტ ავთენტიფიკაციის სერვერი და არსებითად იყო RADIUS სერვერი) და NAP, რომელთაგან არცერთი არ გამოიყენება ჩვენს შემთხვევაში. ბიძგი Უფრო.
  2. გვერდზე აირჩიეთ როლური სერვისებიდააყენეთ ტიკი ხაზის წინ მარშრუტიზაციისა და დისტანციური წვდომის სერვისები... შედეგად, ნივთები შეირჩევა დისტანციური წვდომის სერვისებიდა მარშრუტიზაცია... ვაჭერთ Უფრო.

სურათი 13

  1. ვაჭერთ Დაინსტალირებაფანჯარაში დაადასტურეთ არჩეული პარამეტრები.
  2. ვაჭერთ დახურვაგვერდზე ინსტალაციის შედეგები.

RRAS სერვერის გააქტიურება და მისი VPN და NAT სერვერის კონფიგურაცია

ახლა, როდესაც RRAS როლი დაინსტალირებულია, ჩვენ უნდა გავააქტიუროთ RRAS სერვისები, ისევე როგორც Windows-ის წინა ვერსიებში. ჩვენ უნდა გავააქტიუროთ VPN სერვერის ფუნქცია და NAT სერვისები. ყველაფერი ნათელია VPN სერვერის კომპონენტის გააქტიურებით, მაგრამ შეიძლება გაგიკვირდეთ, რატომ გჭირდებათ NAT სერვერის გააქტიურება. NAT სერვერის გააქტიურების მიზეზი არის ის, რომ გარე კლიენტებს შეუძლიათ წვდომა სერტიფიკატის სერვერზე CRL-თან დასაკავშირებლად. თუ SSTP VPN კლიენტი ვერ ჩამოტვირთავს CRL-ს, SSTP VPN კავშირი არ იმუშავებს.

CRL-ზე წვდომის გასახსნელად, ჩვენ დავაკონფიგურირებთ VPN სერვერს, როგორც NAT სერვერს და გამოვაქვეყნებთ CRL-ს შექცევადი NAT-ის გამოყენებით. კორპორატიული ქსელის გარემოში, დიდი ალბათობით, გექნებათ ბუხარი, როგორიცაა ISA Firewall, სერტიფიკატის სერვერის წინ, ასე რომ თქვენ შეგიძლიათ გამოაქვეყნოთ CRL-ები ფეიერვოლების გამოყენებით. თუმცა, ამ მაგალითში, ერთადერთი firewall, რომელსაც ჩვენ გამოვიყენებთ, არის Windows Firewall VPN სერვერზე, ამიტომ ამ მაგალითში ჩვენ გვჭირდება VPN სერვერის კონფიგურაცია NAT სერვერად.

RRAS სერვისების გასააქტიურებლად, მიჰყევით ამ ნაბიჯებს:

  1. სერვერის მენეჯერიგააფართოვეთ ჩანართი როლებიკონსოლის მარცხენა პანელში. გააფართოვეთ ჩანართი ქსელის პოლიტიკა და წვდომის სერვისებიდა დააწკაპუნეთ ჩანართზე. დააწკაპუნეთ მარჯვენა ღილაკით ჩანართზე და დააჭირეთ მარშრუტიზაციის და დისტანციური წვდომის კონფიგურაცია და გააქტიურება.

სურათი 14

  1. Დააკლიკეთ Უფროფანჯარაში კეთილი იყოს თქვენი მობრძანება მარშრუტიზაციის და დისტანციური წვდომის სერვერის დაყენების ოსტატში.
  2. გვერდზე კონფიგურაციააირჩიეთ ვარიანტი VPN და NAT-ზე წვდომადა დააჭირეთ Უფრო.

სურათი 15

  1. გვერდზე VPN კავშირიაირჩიეთ NIC განყოფილებაში ქსელის ინტერფეისებირომელიც წარმოადგენს VPN სერვერის გარე ინტერფეისს. შემდეგ დააჭირეთ Უფრო.

სურათი 16

  1. გვერდზე IP მისამართების მინიჭებააირჩიეთ ვარიანტი ავტომატურად... ჩვენ შეგვიძლია ავირჩიოთ ეს ვარიანტი, რადგან ჩვენ გვაქვს დაინსტალირებული DHCP სერვერი დომენის კონტროლერზე VPN სერვერის უკან. თუ არ გაქვთ DHCP სერვერი, მაშინ უნდა აირჩიოთ ვარიანტი მისამართების კონკრეტული სიიდანდა შემდეგ დაამატეთ მისამართების სია, რომლებიც VPN კლიენტებს შეუძლიათ გამოიყენონ ქსელში VPN კარიბჭის მეშვეობით დაკავშირებისას. ვაჭერთ Უფრო.

სურათი 17

  1. გვერდზე მრავალი სერვერის დისტანციური წვდომის კონტროლიაირჩიე არა, გამოიყენეთ მარშრუტიზაცია და დისტანციური წვდომა კავშირის მოთხოვნების ავთენტიფიკაციისთვის... ჩვენ ვიყენებთ ამ პარამეტრს, როდესაც NPS ან RADIUS სერვერები მიუწვდომელია. ვინაიდან VPN სერვერი არის დომენის წევრი, შეგიძლიათ მომხმარებლების ავთენტიფიკაცია დომენის ანგარიშების გამოყენებით. თუ VPN სერვერი არ არის დომენის ნაწილი, მაშინ შესაძლებელია მხოლოდ ადგილობრივი VPN სერვერის ანგარიშების გამოყენება, თუ არ გადაწყვეტთ NPS სერვერის გამოყენებას. მომავალში დავწერ სტატიას NPS სერვერის გამოყენების შესახებ. ვაჭერთ Უფრო.

სურათი 18

  1. წაიკითხეთ ზოგადი ინფორმაცია გვერდზე მარშრუტიზაციისა და დისტანციური წვდომის ოსტატის კონფიგურაციის დასრულებადა დააჭირეთ Დამთავრება.
  2. Დააკლიკეთ კარგიდიალოგურ ფანჯარაში მარშრუტიზაცია და დისტანციური წვდომარომელიც გეუბნებათ, რომ DHCP დისტრიბუცია მოითხოვს DHCP დისტრიბუციის აგენტს.
  3. კონსოლის მარცხენა პანელში გააფართოვეთ ჩანართი მარშრუტიზაცია და დისტანციური წვდომადა შემდეგ დააწკაპუნეთ ჩანართზე პორტები... შუა პანელში ნახავთ, რომ WAN Miniport კავშირები SSTP-სთვის ახლა უკვე ხელმისაწვდომია.

სურათი 19

NAT სერვერის კონფიგურაცია CRL გამოქვეყნებისთვის

როგორც ადრე ვთქვი, SSL VPN კლიენტს უნდა შეეძლოს CRL-ის ჩამოტვირთვა, რათა შეამოწმოს, რომ სერვერის სერტიფიკატი VPN სერვერზე არ არის დაზიანებული ან გაუქმებული. ამისათვის თქვენ უნდა დააკონფიგურიროთ მოწყობილობა სერტიფიკაციის სერვერის წინ, რათა გაგზავნოს HTTP მოთხოვნები CRL-ის ადგილმდებარეობის შესახებ სერტიფიკაციის სერვერზე.

როგორ გავიგო, რომელ URL-თან უნდა დაუკავშირდეს SSL VPN კლიენტი CRL-ის ჩამოსატვირთად? ეს ინფორმაცია მოცემულია თავად სერთიფიკატში. თუ დაბრუნდებით VPN სერვერზე და ორჯერ დააწკაპუნეთ სერთიფიკატზე IIS კონსოლში, როგორც ეს ადრე გააკეთეთ, თქვენ უნდა იპოვოთ ეს ინფორმაცია.

დააჭირეთ ღილაკს დეტალებისერთიფიკატზე და გადადით ქვემოთ ჩასაწერად CRL განაწილების წერტილები, შემდეგ დააწკაპუნეთ ამ ჩანაწერზე. ქვედა პანელი აჩვენებს სხვადასხვა განაწილების წერტილებს ამ წერტილებზე წვდომისთვის გამოყენებული პროტოკოლის საფუძველზე. ქვემოთ მოყვანილ ფიგურაში ნაჩვენები სერთიფიკატში ხედავთ, რომ ჩვენ უნდა გავხსნათ SSL VPN კლიენტის წვდომა CRL-ზე URL-ის მეშვეობით:

http://win2008rc0-dc.msfirewall.org/CertEnroll/WIN2008RC0-DC.msfirewall.org.crl

სურათი 20

სწორედ ამიტომ, თქვენ უნდა შექმნათ საჯარო DNS ჩანაწერები ამ სახელისთვის, რათა გარე VPN კლიენტებმა შეძლონ ამ სახელის დახატვა IP მისამართზე ან მოწყობილობაზე, რომელიც შეასრულებს შექცევად NAT-ს ან შექცევად პროქსის სერტიფიცირების სერვერის ვებსაიტზე წვდომისთვის. ამ მაგალითში ჩვენ გვჭირდება ბმული win2008rc0-dc.msfirewall.org IP მისამართით VPN სერვერის გარე ინტერფეისზე. როდესაც კავშირი მიაღწევს VPN სერვერის გარე ინტერფეისს, VPN სერვერი გადასცემს NAT კავშირს სერტიფიკაციის სერვერზე.

თუ იყენებთ მოწინავე ფაირვოლს, როგორიც არის ISA Firewall, შეგიძლიათ CRL საიტების გამოქვეყნება უფრო უსაფრთხო გახადოთ. მხოლოდ CRL-ზე და არა მთელ საიტზე. თუმცა, ამ სტატიაში ჩვენ შემოვიფარგლებით მარტივი NAT მოწყობილობით, როგორიცაა RRAS NAT-ის მიერ მოწოდებული.

უნდა აღინიშნოს, რომ ნაგულისხმევი საიტის CRL სახელის გამოყენება შეიძლება ნაკლებად უსაფრთხო იყოს, რადგან ის აჩვენებს კერძო კომპიუტერის სახელს ინტერნეტში. ამის თავიდან ასაცილებლად შეგიძლიათ შექმნათ მორგებული CDP (CRL Distribution Point), თუ ფიქრობთ, რომ თქვენი CA-ს პირადი სახელის გამჟღავნება საჯარო DNS ჩანაწერში უსაფრთხოების რისკს წარმოადგენს.

RRAS NAT-ის კონფიგურაციისთვის HTTP მოთხოვნების სერტიფიცირების სერვერზე გადასატანად, მიჰყევით ამ ნაბიჯებს:

  1. მარცხენა პანელში სერვერის მენეჯერიგააფართოვეთ ჩანართი მარშრუტიზაცია და დისტანციური წვდომადა შემდეგ გააფართოვეთ ჩანართი IPv4... დააწკაპუნეთ ჩანართზე NAT.
  2. ჩანართში NATდააწკაპუნეთ მარჯვენა ღილაკით გარე ინტერფეისზე კონსოლის შუა პანელში. ამ მაგალითში ფრონტენტის სახელი იყო ლოკალური კავშირი... დაჭერა Თვისებები.

სურათი 21

  1. დიალოგურ ფანჯარაში მონიშნეთ გვერდის ველი ვებ სერვერი (HTTP)... ამით გამოჩნდება დიალოგური ფანჯარა რედაქტირების სერვისი... ტექსტის ხაზში პირადი მისამართიშეიყვანეთ სერტიფიცირების სერვერის IP მისამართი შიდა ქსელში. Დააკლიკეთ კარგი.

სურათი 22

  1. Დააკლიკეთ კარგიდიალოგურ ფანჯარაში ლოკალური ზონის კავშირის თვისებები.

სურათი 23

ახლა, როდესაც NAT სერვერი დაინსტალირებული და კონფიგურირებულია, ჩვენ შეგვიძლია ყურადღება მივაქციოთ CA სერვერის და SSTP VPN კლიენტის კონფიგურაციას.

მომხმარებლის ანგარიშის დაყენება Dial-up კავშირების გამოსაყენებლად

მომხმარებლის ანგარიშებს ესაჭიროებათ dial-up წვდომის ნებართვები, სანამ ისინი დაუკავშირდებიან Windows VPN სერვერს, რომელიც Active Directory დომენის ნაწილია. ამის გაკეთების საუკეთესო გზაა ქსელის პოლიტიკის სერვერის (NPS) და ასევე მომხმარებლის ანგარიშის ნაგულისხმევი ნებართვის გამოყენება, რომელიც NPS პოლიტიკის საფუძველზე დისტანციური წვდომის საშუალებას იძლევა. თუმცა, ჩვენს შემთხვევაში, ჩვენ არ დავაინსტალირეთ NPS სერვერი, ამიტომ მოგვიწევს მომხმარებლის ნებართვის ხელით კონფიგურაცია dial-in წვდომისთვის.

შემდეგ სტატიაში მე ყურადღებას გავამახვილებ NPS სერვერისა და EAP მომხმარებლის სერთიფიკატის ავტორიზაციის გამოყენებაზე SSL VPN სერვერთან კავშირების შესაქმნელად.

იმისათვის, რომ კონკრეტული მომხმარებლის ანგარიშზე აკრიფეთ წვდომა SSL VPN სერვერთან დასაკავშირებლად, მიჰყევით ამ ნაბიჯებს. ამ მაგალითში, ჩვენ გავააქტიურებთ აკრიფეთ წვდომის ნებართვას დომენის ადმინისტრატორის ნაგულისხმევი ანგარიშისთვის:

  1. დომენის კონტროლერზე გახსენით კონსოლი Active Directory მომხმარებლები და კომპიუტერებიმენიუდან.
  2. კონსოლის მარცხენა პანელში გააფართოვეთ დომენის სახელი და დააწკაპუნეთ ჩანართზე მომხმარებლები... ორჯერ დააწკაპუნეთ ანგარიშზე ადმინისტრატორი.
  3. გადადით ჩანართზე Ნომრის აკრეფა... ნაგულისხმევი პარამეტრი იქნება წვდომის კონტროლი NPS ქსელის პოლიტიკის მეშვეობით... ვინაიდან ამ სცენარში არ გვაქვს NPS სერვერი, ჩვენ შევცვლით პარამეტრს Დაუშვას, როგორც ნაჩვენებია ქვემოთ სურათზე 1. დააწკაპუნეთ კარგი.

სურათი 1

IIS-ის კონფიგურაცია სერტიფიკატის სერვერზე, რათა დაუშვას HTTP კავშირები CRL დირექტორიაში

რატომღაც, როდესაც ინსტალაციის ოსტატი დააინსტალირებს სერტიფიკატების სერვისების ვებსაიტს, ის აკონფიგურირებს CRL დირექტორიას SSL კავშირის მოთხოვნით. მიუხედავად იმისა, რომ უსაფრთხოების თვალსაზრისით ეს კარგი იდეაა, პრობლემა ის არის, რომ სერთიფიკატზე Uniform Resource Identifier (URI) არ არის კონფიგურირებული SSL-ის გამოსაყენებლად. ვფიქრობ, თქვენ თავად შეგიძლიათ შექმნათ CDP ჩანაწერი სერთიფიკატისთვის, რათა მან გამოიყენოს SSL, მაგრამ ვატყობ, რომ მაიკროსოფტს არასოდეს უხსენებია ეს საკითხი არსად. ვინაიდან ამ სტატიაში ჩვენ ვიყენებთ CDP-სთვის ნაგულისხმევ პარამეტრებს, უნდა გამორთოთ SSL მოთხოვნა CA ვებსაიტზე CRL დირექტორიაში ბილიკისთვის.

CRL-ისთვის SSL მოთხოვნის გამორთვისთვის, მიჰყევით ამ ნაბიჯებს:

  1. მენიუში ადმინისტრაციის ინსტრუმენტებიგახსენით მენეჯერი ინტერნეტ საინფორმაციო სერვისების (IIS) მენეჯერი.
  2. IIS კონსოლის მარცხენა პანელში გააფართოვეთ სერვერის სახელი და შემდეგ გააფართოვეთ ჩანართი ვებსაიტები... გააფართოვეთ ჩანართი ნაგულისხმევი ვებსაიტიდა დააწკაპუნეთ ჩანართზე CertEnrollროგორც ნაჩვენებია სურათზე 2.

სურათი 2

  1. თუ დააკვირდებით კონსოლის შუა პანელს, ხედავთ ამას CRLმდებარეობს ამ ვირტუალურ დირექტორიაში, როგორც ეს ნაჩვენებია ქვემოთ მოცემულ ფიგურაში. ამ ვირტუალური დირექტორიას შინაარსის სანახავად, თქვენ უნდა დააჭიროთ ღილაკს კონტენტის ნახვაშუა პანელის ბოლოში.

სურათი 3

  1. დააჭირეთ ღილაკს პარამეტრების ნახვაშუა პანელის ბოლოში. შუა პანელის ბოლოში ორჯერ დააწკაპუნეთ ხატულაზე SSL პარამეტრები.

სურათი 4

  1. გვერდი გამოჩნდება შუა პანელში. SSL პარამეტრები... მოხსენით ხაზი მოითხოვეთ SSL... Დააკლიკეთ მიმართეთკონსოლის მარჯვენა პანელში.

სურათი 5

  1. დახურეთ IIS კონსოლი შეტყობინების ნახვის შემდეგ ცვლილებები წარმატებით იქნა შენახული.

სურათი 6

HOSTS ფაილის კონფიგურაცია VPN კლიენტისთვის

ახლა ჩვენ შეგვიძლია მთელი ყურადღება მივაქციოთ VPN კლიენტს. პირველი, რაც უნდა გავაკეთოთ კლიენტთან არის HOSTS ფაილის დაყენება, რათა შევძლოთ საჯარო DNS ინფრასტრუქტურის სიმულაცია. არსებობს ორი სახელი, რომელიც უნდა ჩავსვათ HOSTS ფაილში (იგივე უნდა გაკეთდეს საჯარო DNS სერვერისთვის, რომელსაც გამოიყენებთ საწარმოო ქსელებში). პირველი სახელი არის VPN სერვერის სახელი, როგორც ეს განისაზღვრება სერთიფიკატის საერთო / საგნის სახელით, რომელიც ჩვენ დავაკავშირეთ SSL VPN სერვერთან. მეორე სახელი, რომელიც უნდა შევიტანოთ HOSTS ფაილში (და საჯარო DNS სერვერზე) არის CDP URL-ის სახელი, რომელიც ნაპოვნია სერტიფიკატზე. ჩვენ გავაშუქეთ CDP ინფორმაციის მდებარეობა ამ სერიის მეორე ნაწილში.

ორი სახელი, რომელიც უნდა შეიყვანოთ HOSTS ფაილში ამ მაგალითში იქნება:

192.168.1.73 sstp.msfirewall.org

192.168.1.73 win2008rc0-dc.msfirewall.org

Vista SP1 VPN კლიენტისთვის HOSTS ფაილის კონფიგურაციისთვის, მიჰყევით ამ პროცედურებს:

  1. მენიუში დაწყებაშედი c: \ windows \ system32 \ drivers \ etc \ hostsსაძიებო ზოლში და დააჭირეთ ENTER.
  2. დიალოგურ ფანჯარაში გასახსნელადაირჩიე ნოუთბუქი.
  3. შეიყვანეთ ჩანაწერები HOSTS ფაილში ფორმატში, როგორც ნაჩვენებია ქვემოთ მოცემულ ფიგურაში. დარწმუნდით, რომ დააჭირეთ enter ბოლო ხაზის შემდეგ, რათა კურსორი იყოს მის ქვეშ.


სურათი 7

  1. დახურეთ ფაილი და აირჩიეთ ვარიანტი ცვლილებების შენახვა.

PPTP-ის გამოყენება VPN სერვერთან დასაკავშირებლად

ჩვენ თანდათან ვუახლოვდებით SSL VPN კავშირის შექმნას! შემდეგი ნაბიჯი არის VPN კონექტორის შექმნა Vista SP1 კლიენტზე, რომელიც მოგვცემს საშუალებას შევქმნათ საწყისი VPN კავშირი VPN სერვერთან. ჩვენს შემთხვევაში, ეს უნდა გაკეთდეს, რადგან კლიენტის კომპიუტერი არ არის დომენის წევრი. ვინაიდან მოწყობილობა არ არის დომენის წევრი, CA სერთიფიკატი ავტომატურად არ დაინსტალირდება მის Trusted Root Certificate Authorities მაღაზიაში. თუ მანქანა იყო დომენის წევრი, ავტომატური რეგისტრაცია იზრუნებდა ამ საკითხზე ჩვენთვის, რადგან ჩვენ დავაინსტალირეთ Enterprise CA.

ამ ნაბიჯის დასრულების ყველაზე მარტივი გზაა PPTP კავშირის შექმნა Vista SP1 VPN კლიენტიდან Windows Server 2008 VPN სერვერთან. ნაგულისხმევად, VPN სერვერი მხარს დაუჭერს PPTP კავშირებს და კლიენტი შეეცდება PPTP-ს L2TP / IPSec და SSTP-ს ცდის წინ. ამისათვის ჩვენ უნდა შევქმნათ VPN Connector ან კავშირის ობიექტი.

მიჰყევით ამ ნაბიჯებს VPN კლიენტის კონექტორის შესაქმნელად:

  1. VPN კლიენტზე დააწკაპუნეთ მარჯვენა ღილაკით ქსელის ხატულაზე და დააწკაპუნეთ ქსელისა და გაზიარების ცენტრი.
  2. გაზიარების ცენტრის ქსელის ფანჯარაში დააწკაპუნეთ ბმულზე შექმენით კავშირი ან ქსელიფანჯრის მარცხენა მხარეს.
  3. გვერდზე აირჩიეთ კავშირის პარამეტრებიდააჭირეთ ჩანაწერებს დაკავშირება სამუშაო ადგილზეშემდეგ დააჭირეთ Უფრო.

Ფიგურა 8

  1. გვერდზე როგორ გინდა დაკავშირებააირჩიეთ ვარიანტი გამოიყენეთ ჩემი ინტერნეტ კავშირი (VPN).

სურათი 9

  1. გვერდზე დასაკავშირებლად შეიყვანეთ ინტერნეტ მისამართიშეიყვანეთ SSL VPN სერვერის სახელი. დარწმუნდით, რომ ეს სახელი და საერთო სახელი იგივეა SSL VPN სერვერის მიერ გამოყენებული სერთიფიკატში. ამ მაგალითში სახელი იყო sstp.msfirewall.org... შედი დანიშნულების დასახელება... ამ მაგალითში ჩვენ გამოვიყენებთ მიმღების სახელს SSL VPN... Დააკლიკეთ Უფრო.

სურათი 14

  1. ფანჯარაში ქსელისა და გაზიარების ცენტრი, დააწკაპუნეთ ბმულზე სტატუსის ჩვენებათავში SSL VPNროგორც ნაჩვენებია ქვემოთ მოცემულ სურათზე. დიალოგურ ფანჯარაში SSL VPN სტატუსითქვენ ნახავთ, რომ VPN კავშირის ტიპი არის PPTP. Დააკლიკეთ დახურვადიალოგურ ფანჯარაში SSL VPN სტატუსი.

სურათი 15

  1. გახსენით Command Prompt ფანჯარა და დაარეგისტრირეთ დომენის კონტროლერი. ამ მაგალითში, დომენის კონტროლერის IP მისამართი იქნება 10.0.0.2 ... თუ თქვენი VPN კავშირი წარმატებულია, თქვენ მიიღებთ პინგ პასუხს დომენის კონტროლერისგან.

სურათი 16

CA სერთიფიკატის მიღება Enterprise CA-სგან

SSL VPN კლიენტი უნდა ენდოს CA-ს, რომელმაც გასცა სერთიფიკატი, რომელიც გამოიყენება VPN სერვერის მიერ. ამ ნდობის შესაქმნელად, ჩვენ უნდა დავაყენოთ CA სერთიფიკატი CA-ზე, რომელმაც გასცა სერთიფიკატი VPN სერვერისთვის. ჩვენ შეგვიძლია ამის გაკეთება ინტრანეტში CA რეგისტრაციის ვებსაიტთან დაკავშირებით და VPN კლიენტის სერტიფიკატის დაყენებით მის Trusted Root Certification Authorities მაღაზიაში.

რეგისტრაციის საიტიდან სერთიფიკატის მისაღებად, მიჰყევით ამ ნაბიჯებს:

  1. VPN კლიენტზე, რომელიც დაკავშირებულია VPN სერვერთან PPTP კავშირის საშუალებით, შეიყვანეთ http://10.0.0.2/certsrv Internet Explorer-ის მისამართების ზოლში და დააჭირეთ ENTER.
  2. შეიყვანეთ მომხმარებლის სახელი და პაროლი, რომელიც გამოიყენება სავალდებულო დიალოგურ ფანჯარაში. ამ მაგალითში, ჩვენ გამოვიყენებთ ნაგულისხმევი დომენის ადმინისტრატორის ანგარიშის მომხმარებლის სახელსა და პაროლს.
  3. გვერდზე სალამირეგისტრაციის საიტი მიჰყევით ბმულს ატვირთეთ CA სერთიფიკატი, სერთიფიკატების ჯაჭვი ან CRL.

სურათი 17

  1. დიალოგურ ფანჯარაში გაფრთხილებთ ამის შესახებ ვებსაიტს სურს გახსნას ვებ შიგთავსი ამ პროგრამის გამოყენებით თქვენს კომპიუტერში, დააწკაპუნეთ დაშვება... შემდეგ დააჭირეთ დახურვადიალოგურ ფანჯარაში შენიშნეთ საინფორმაციო ფანჯარათუ გამოჩნდება. ჩამოტვირთვა დასრულებულია.
  2. დახურვა Internet Explorer.

ახლა ჩვენ უნდა დავაყენოთ CA სერთიფიკატი VPN კლიენტის აპარატის Trusted Root Certification Authorities Certificate Store-ში. ამისათვის თქვენ უნდა გააკეთოთ შემდეგი:

  1. ვაჭერთ დაწყება, შემდეგ შევდივართ mmcსაძიებო ზოლში და დააჭირეთ ENTER.
  2. ვაჭერთ გაგრძელება UAC დიალოგში.
  3. ფანჯარაში კონსოლი 1დააჭირეთ მენიუს ფაილიდა შემდეგ დააწკაპუნეთ Snap-in-ის დამატება/წაშლა.
  4. დიალოგურ ფანჯარაში Snaps-ის დამატება ან წაშლააირჩიე სერთიფიკატებისიაში ხელმისაწვდომი მოწყობილობები, შემდეგ დააწკაპუნეთ დამატება.
  5. გვერდზე Snap სერთიფიკატებიაირჩიეთ ვარიანტი კომპიუტერის ანგარიშიდა დააწკაპუნეთ Დამთავრება.
  6. გვერდზე აირჩიეთ კომპიუტერიაირჩიეთ ვარიანტი ლოკალური კომპიუტერიდა დააწკაპუნეთ Დამთავრება.
  7. ვაჭერთ კარგიდიალოგურ ფანჯარაში დაამატეთ ან წაშალეთ სნეპ-ინები.
  8. კონსოლის მარცხენა პანელში გააფართოვეთ ჩანართი სერთიფიკატები (ადგილობრივი კომპიუტერი)და შემდეგ გააფართოვეთ ჩანართი დააჭირეთ Დამთავრებაგვერდზე სერთიფიკატების იმპორტის დასრულება.
  9. ვაჭერთ კარგიდიალოგურ ფანჯარაში, რომელიც აცნობებს, რომ იმპორტი წარმატებით დასრულდა.
  10. სერთიფიკატი ახლა გამოჩნდება კონსოლში, როგორც ეს ნაჩვენებია ქვემოთ მოცემულ სურათზე.

სურათი 24

  1. დახურეთ MMC კონსოლი.

კლიენტის კონფიგურაცია, რომ გამოიყენოს SSTP და დაუკავშირდეს VPN სერვერს SSTP-ის საშუალებით

ახლა კი თითქმის დაასრულე! ახლა ჩვენ გვჭირდება VPN კავშირის გათიშვა და VPN კლიენტის კონფიგურაცია, რათა გამოიყენოს SSTP VPN პროტოკოლისთვის. საწარმოო გარემოში, თქვენ არ დაგჭირდებათ ამ ნაბიჯის გამოყენება მომხმარებლებისთვის, რადგან თქვენ გამოიყენებთ Connection Manager Administration Kit მომხმარებლისთვის VPN კავშირის ობიექტის შესაქმნელად, რომელიც მოიცავს კლიენტს SSTP-ის გამოყენებით, ან თქვენ მხოლოდ დააკონფიგურირებთ SSTP პორტებს. VPN სერვერზე.

ეს ყველაფერი დამოკიდებულია გარემოს კონფიგურაციაზე, რადგან თქვენ უნდა გამოყოთ დრო ისე, რომ მომხმარებლებმა შეძლონ PPTP-ის გამოყენება გარკვეული დროის განმავლობაში სერტიფიკატების დაყენებისას. რა თქმა უნდა, თქვენ შეგიძლიათ დააინსტალიროთ CA სერთიფიკატები ქსელის გარეთ, ანუ ჩამოტვირთეთ ვებსაიტიდან ან ელექტრონული ფოსტით, ამ შემთხვევაში თქვენ არ უნდა დაუშვათ PPTP მომხმარებლები. მაგრამ შემდეგ, თუ ზოგიერთ კლიენტს არ აქვს SSTP-ის მხარდაჭერა, თქვენ უნდა ჩართოთ PPTP ან L2TP / IPSec და ვერ შეძლებთ ყველა არა-SSTP პორტის გამორთვას. ამ შემთხვევაში, თქვენ მოგიწევთ დაეყრდნოთ მექანიკურ კონფიგურაციას ან განახლებულ CMAK პაკეტს.

აქ კიდევ ერთი ვარიანტია SSTP კლიენტის მიბმა კონკრეტულ IP მისამართთან RRAS სერვერზე. ამ შემთხვევაში, თქვენ შეგიძლიათ შექმნათ მორგებული CMAK პაკეტი, რომელიც ეხება მხოლოდ IP მისამართს SSL VPN სერვერზე, რომელიც უსმენს ქსელში შემომავალი SSTP კავშირებს. SSTP VPN სერვერის სხვა მისამართები მოუსმენენ ქსელში PPTP და / ან L2TP / IPSec კავშირებს.

მიჰყევით ამ ნაბიჯებს PPTP სესიის გათიშვისა და VPN კლიენტის კავშირის ობიექტის კონფიგურაციისთვის SSTP გამოსაყენებლად:

  1. VPN კლიენტის კომპიუტერზე გახსენით ფანჯარა ქსელისა და გაზიარების ცენტრიროგორც ადრე.
  2. ფანჯარაში ქსელისა და გაზიარების ცენტრიდააწკაპუნეთ ბმულზე სევერირომელიც უშუალოდ ბმულის ქვეშ მდებარეობს სტატუსის ჩვენება... თავი SSL VPNგაქრება ფანჯრიდან ქსელისა და გაზიარების ცენტრი.
  3. ფანჯარაში ქსელისა და გაზიარების ცენტრიდააწკაპუნეთ ბმულზე ქსელის კავშირის მართვა.
  4. დააწკაპუნეთ ბმულზე მარჯვენა ღილაკით SSL VPNდა აირჩიეთ ჩანართი Თვისებები.

სურათი 25

  1. დიალოგურ ფანჯარაში SSL VPN თვისებებიგადადით ჩანართზე ქსელი... ფანჯარაში VPN ტიპიდააწკაპუნეთ ქვემოთ ისარს და აირჩიეთ ვარიანტი Secure Socket Tunneling Protocol (SSTP)შემდეგ დააჭირეთ

სურათი 29

თომას შინდერი

ამ სტატიის სერიის პირველ ნაწილში Windows Server 2008-ის, როგორც SSL VPN სერვერის კონფიგურაციის შესახებ, მე გავაშუქე რამდენიმე ფაქტი Microsoft VPN სერვერებისა და VPN პროტოკოლების ისტორიის შესახებ. წინა სტატია დავასრულეთ ქსელის ნიმუშით, რომელსაც გამოვიყენებთ სერიის ამ და შემდგომ განვადებაში VPN კარიბჭის კონფიგურაციისთვის, რომელიც მხარს უჭერს SSTP კავშირებს Vista SP1 კლიენტებთან.

სანამ დავიწყებთ, უნდა ვაღიარო, რომ მე ვიცი ხელმისაწვდომობის ნაბიჯ-ნაბიჯ სახელმძღვანელო Windows Server 2008-ისთვის SSTP კავშირების შესაქმნელად, რომელიც განთავსებულია www.microsoft.com ვებსაიტზე. მეჩვენებოდა, რომ ეს სტატია არ ასახავს რეალურ სამყაროს, რომელსაც ორგანიზაციები იყენებენ სერტიფიკატების მინიჭებისთვის. სწორედ ამიტომ, და რამდენიმე პრობლემური პუნქტის გამო, რომელიც არ იყო გაშუქებული Microsoft-ის სახელმძღვანელოში, გადავწყვიტე დამეწერა ეს სტატია. მჯერა, რომ ცოტა ახალს შეიტყობთ, თუ ამ სტატიაში მომყვებით.

მე არ ვაპირებ ყველა საფეხურის გადახედვას საფუძვლიდან. მე ვივარაუდებ, რომ თქვენ დააინსტალირეთ დომენის კონტროლერი და გაააქტიურეთ DHCP, DNS და სერთიფიკატის სერვისების როლები ამ სერვერზე. სერვერის სერტიფიცირების ტიპი უნდა იყოს Enterprise და თქვენ გაქვთ CA თქვენს ქსელში. VPN სერვერი უნდა იყოს დაკავშირებული დომენთან, სანამ გააგრძელებთ შემდეგ ნაბიჯებს. სანამ დაიწყებთ, თქვენ უნდა დააინსტალიროთ Vista Client SP1.

იმისათვის, რომ ჩვენი გადაწყვეტა იმუშაოს, ჩვენ უნდა დავასრულოთ შემდეგი პროცედურები:

  • დააინსტალირეთ IIS VPN სერვერზე
  • მოითხოვეთ მანქანის სერთიფიკატი VPN სერვერისთვის IIS Certificate Request Wizard-ის გამოყენებით
  • დააინსტალირეთ RRAS როლი VPN სერვერზე
  • გააქტიურეთ RRAS სერვერი და დააკონფიგურირეთ VPN და NAT სერვერად მუშაობისთვის
  • NAT სერვერის კონფიგურაცია CRL-ების გამოსაქვეყნებლად
  • მომხმარებლის ანგარიშის კონფიგურაცია, რათა გამოიყენოს dial-up კავშირები
  • დააკონფიგურირეთ IIS სერტიფიკატის სერვერზე, რათა დაუშვას HTTP კავშირები CRL დირექტორიაში
  • HOSTS ფაილის კონფიგურაცია VPN კლიენტისთვის
  • გამოიყენეთ PPTP VPN სერვერთან დასაკავშირებლად
  • მიიღეთ CA სერთიფიკატი Enterprise CA-სგან
  • დააკონფიგურირეთ კლიენტი, რომ გამოიყენოს SSTP და დაუკავშირდით VPN სერვერს SSTP-ის გამოყენებით

IIS-ის ინსტალაცია VPN სერვერზე

შეიძლება უცნაურად მოგეჩვენოთ, რომ დავიწყოთ ამ კონკრეტული პროცედურისგან, რადგან გირჩევთ, არასოდეს დააინსტალიროთ ვებ სერვერი ქსელის უსაფრთხოების მოწყობილობაზე. კარგი ამბავი ის არის, რომ ჩვენ არ გვჭირდება ვებ სერვერის შენახვა VPN სერვერზე, ის მხოლოდ ცოტა ხნით გვჭირდება. ეს იმიტომ ხდება, რომ Windows Server 2008 Certificate Server-ში შემავალი სარეგისტრაციო საიტი აღარ გამოდგება კომპიუტერის სერთიფიკატების მოთხოვნისთვის. სინამდვილეში, ეს ზოგადად უსარგებლოა. საინტერესოა, რომ თუ მაინც გადაწყვეტთ სარეგისტრაციო საიტის გამოყენებას კომპიუტერის სერთიფიკატის მისაღებად, ყველაფერი ისე გამოიყურება, თითქოს სერთიფიკატი მიღებულია და დაინსტალირებულია, მაგრამ სინამდვილეში ასე არ არის, სერთიფიკატი არ არის დაინსტალირებული.

ამ პრობლემის გადასაჭრელად, ჩვენ ვისარგებლებთ იმით, რომ ვიყენებთ საწარმოს CA. Enterprise CA-ის გამოყენებისას შეგიძლიათ გაგზავნოთ მოთხოვნა ონლაინ სერტიფიცირების სერვერზე. კომპიუტერის სერთიფიკატის ინტერაქტიული მოთხოვნა შესაძლებელია, როდესაც იყენებთ IIS Certificate Request Wizard-ს და ითხოვთ იმას, რასაც ახლა „დომენის სერთიფიკატი“ ეწოდება. ეს შესაძლებელია მხოლოდ იმ შემთხვევაში, თუ მომთხოვნი მანქანა ეკუთვნის იმავე დომენს, როგორც Enterprise CA.
მიჰყევით ამ ნაბიჯებს, რომ დააინსტალიროთ IIS ვებ სერვერის როლი VPN სერვერზე:

  1. გახსენით Windows 2008 სერვერის მენეჯერი.
  2. კონსოლის მარცხენა პანელში დააწკაპუნეთ ჩანართზე როლები.
  1. დააჭირეთ მენიუს როლების დამატებამარჯვენა ფანჯრის მარჯვენა მხარეს.
  2. ვაჭერთ Უფროგვერდზე Სანამ დაიწყებ.
  3. ხაზის წინ ვდებთ ტკიპს ვებ სერვერი (IIS)გვერდზე აირჩიეთ სერვერის როლები... ვაჭერთ Უფრო.

  1. შეგიძლიათ წაიკითხოთ ინფორმაცია გვერდზე ვებ სერვერი (IIS)თუ თქვენ გსურთ. ეს არის საკმაოდ სასარგებლო ზოგადი ინფორმაცია IIS 7-ის ვებსერვერად გამოყენების შესახებ, მაგრამ ვინაიდან ჩვენ არ ვაპირებთ IIS ვებ სერვერის გამოყენებას VPN სერვერზე, ეს ინფორმაცია ნამდვილად არ გამოიყენება ჩვენს სიტუაციაში. ვაჭერთ Უფრო.
  2. გვერდზე აირჩიეთ როლური სერვისებირამდენიმე ვარიანტი უკვე შერჩეულია. თუმცა, თუ იყენებთ ნაგულისხმევ ვარიანტებს, ვერ შეძლებთ სერტიფიკატის მოთხოვნის ოსტატის გამოყენებას. ყოველ შემთხვევაში ასე იყო, როცა სისტემა გამოვცადე. არ არსებობს როლური სერვისი სერთიფიკატის მოთხოვნის ოსტატისთვის, ამიტომ შევეცადე მომემოწმებინა ველები თითოეული ვარიანტის გვერდით უსაფრთხოებადა როგორც ჩანს, მუშაობდა. იგივე გააკეთე შენთვის და დააკლიკე Უფრო.

  1. გადახედეთ ინფორმაციას გვერდზე დაადასტურეთ პარამეტრების შერჩევადა დააჭირეთ Დაინსტალირება.
  2. Დააკლიკეთ დახურვაგვერდზე ინსტალაციის შედეგები.

მანქანის სერთიფიკატის მოთხოვნა VPN სერვერისთვის IIS სერთიფიკატის მოთხოვნის ოსტატის გამოყენებით

შემდეგი ნაბიჯი არის მანქანის სერთიფიკატის მოთხოვნა VPN სერვერისთვის. VPN სერვერი მოითხოვს მანქანის სერთიფიკატს SSL VPN კლიენტის კომპიუტერთან SSL VPN კავშირის შესაქმნელად. სერტიფიკატის საერთო სახელი უნდა შეესაბამებოდეს სახელს, რომელსაც VPN კლიენტი გამოიყენებს SSL VPN კარიბჭის კომპიუტერთან დასაკავშირებლად. ეს ნიშნავს, რომ თქვენ უნდა შექმნათ საჯარო DNS ჩანაწერი სახელისთვის სერტიფიკატზე, რომელიც გადაჭრის VPN სერვერის გარე IP მისამართს, ან NAT მოწყობილობის IP მისამართს VPN სერვერის წინ, რომელიც გადასცემს კავშირი SSL VPN სერვერთან.

მიჰყევით ამ ნაბიჯებს, რათა მოითხოვოთ აპარატის სერტიფიკატი SSL VPN სერვერზე:

  1. სერვერის მენეჯერი, გააფართოვეთ ჩანართი როლებიმარცხენა პანელში და შემდეგ გააფართოვეთ ჩანართი ვებ სერვერი (IIS)... Დაჭერა .

  1. კონსოლში ინტერნეტ საინფორმაციო სერვისების (IIS) მენეჯერირომელიც გამოჩნდება მარჯვნივ მარცხენა პანელში, დააწკაპუნეთ სერვერის სახელზე. ამ მაგალითში სერვერის სახელი იქნება W2008RC0-VPNGW... დააწკაპუნეთ ხატულაზე სერვერის სერთიფიკატები IIS კონსოლის მარჯვენა პანელში.

  1. კონსოლის მარჯვენა პანელში დააწკაპუნეთ ბმულზე შექმენით დომენის სერთიფიკატი.

  1. შეიყვანეთ ინფორმაცია გვერდზე კონკრეტული სახელის თვისებები... აქ ყველაზე მნიშვნელოვანი ობიექტი იქნება საერთო სახელი... ეს არის სახელი, რომელსაც VPN კლიენტები გამოიყენებენ VPN სერვერთან დასაკავშირებლად. თქვენ ასევე დაგჭირდებათ ამ სახელის საჯარო DNS ჩანაწერი, რათა ამოიცნოთ VPN სერვერის გარე ინტერფეისი, ან NAT მოწყობილობის საჯარო მისამართი VPN სერვერის წინ. ამ მაგალითში ჩვენ ვიყენებთ საერთო სახელს sstp.msfirewall.org... მოგვიანებით, ჩვენ შევქმნით HOSTS ფაილის ჩანაწერებს VPN კლიენტის კომპიუტერზე, რათა მან შეძლოს ამ სახელის ამოცნობა. ვაჭერთ Უფრო.

  1. გვერდზე დააჭირეთ ღილაკს აირჩიეთ... დიალოგურ ფანჯარაში აირჩიეთ სერთიფიკატების წყაროდააწკაპუნეთ Enterprise CA-ზე და დააწკაპუნეთ კარგი... შეიყვანეთ მეგობრული სახელი ხაზზე მეგობრული სახელი... ამ მაგალითში ჩვენ გამოვიყენეთ სახელი SSTP სერთიფიკატიიცოდეთ, რომ ის გამოიყენება SSTP VPN კარიბჭისთვის.

  1. ვაჭერთ Დამთავრებაგვერდზე სერთიფიკატების ონლაინ წყარო.

  1. ოსტატი დაიწყება და შემდეგ გაქრება. ამის შემდეგ, ნახავთ, რომ სერთიფიკატი გამოჩნდება IIS კონსოლში. ორჯერ დააწკაპუნეთ სერთიფიკატზე და ნახეთ საერთო სახელი განყოფილებაში დაინიშნადა ახლა ჩვენ გვაქვს სერტიფიკატის შესაბამისი პირადი გასაღები. ვაჭერთ კარგიდიალოგის დახურვისთვის Სერტიფიკატი.

ახლა, როდესაც გვაქვს სერთიფიკატი, შეგვიძლია დავაყენოთ RRAS სერვერის როლი. გთხოვთ გაითვალისწინოთ რა არის ძალიან მნიშვნელოვანი დააინსტალირეთ სერტიფიკატი RRAS სერვერის როლის დაყენებამდე. თუ ამას არ გააკეთებთ, საკუთარ თავს ბევრი თავის ტკივილი შეგექმნებათ, რადგან თქვენ უნდა გამოიყენოთ საკმაოდ რთული ბრძანების ხაზი, რომ დააკავშიროთ სერთიფიკატი SSL VPN კლიენტთან.

RRAS სერვერის როლის დაყენება VPN სერვერზე

RRAS სერვერის როლის დასაყენებლად, მიჰყევით ამ ნაბიჯებს:

  1. სერვერის მენეჯერი, დააწკაპუნეთ ჩანართზე როლებიკონსოლის მარცხენა პანელში.
  2. განყოფილებაში როლების გაგებადააწკაპუნეთ ბმულზე როლების დამატება.
  3. Დააკლიკეთ Უფროგვერდზე Სანამ დაიწყებ.
  4. გვერდზე აირჩიეთ სერვერის როლებიშეამოწმეთ ყუთი ხაზის გვერდით. Დააკლიკეთ Უფრო.

  1. წაიკითხეთ ინფორმაცია გვერდზე ქსელის პოლიტიკა და წვდომის სერვისები... უმეტესობა ეხება ქსელის პოლიტიკის სერვერს (რომელსაც ადრე ეწოდებოდა ინტერნეტ ავთენტიფიკაციის სერვერი და არსებითად იყო RADIUS სერვერი) და NAP, რომელთაგან არცერთი არ გამოიყენება ჩვენს შემთხვევაში. ბიძგი Უფრო.
  2. გვერდზე აირჩიეთ როლური სერვისებიდააყენეთ ტიკი ხაზის წინ მარშრუტიზაციისა და დისტანციური წვდომის სერვისები... შედეგად, ნივთები შეირჩევა დისტანციური წვდომის სერვისებიდა მარშრუტიზაცია... ვაჭერთ Უფრო.

  1. ვაჭერთ Დაინსტალირებაფანჯარაში დაადასტურეთ არჩეული პარამეტრები.
  2. ვაჭერთ დახურვაგვერდზე ინსტალაციის შედეგები.

RRAS სერვერის გააქტიურება და მისი VPN და NAT სერვერის კონფიგურაცია

ახლა, როდესაც RRAS როლი დაინსტალირებულია, ჩვენ უნდა გავააქტიუროთ RRAS სერვისები, ისევე როგორც Windows-ის წინა ვერსიებში. ჩვენ უნდა გავააქტიუროთ VPN სერვერის ფუნქცია და NAT სერვისები. ყველაფერი ნათელია VPN სერვერის კომპონენტის გააქტიურებით, მაგრამ შეიძლება გაგიკვირდეთ, რატომ გჭირდებათ NAT სერვერის გააქტიურება. NAT სერვერის გააქტიურების მიზეზი არის ის, რომ გარე კლიენტებს შეუძლიათ წვდომა სერტიფიკატის სერვერზე CRL-თან დასაკავშირებლად. თუ SSTP VPN კლიენტი ვერ ჩამოტვირთავს CRL-ს, SSTP VPN კავშირი არ იმუშავებს.

CRL-ზე წვდომის გასახსნელად, ჩვენ დავაკონფიგურირებთ VPN სერვერს, როგორც NAT სერვერს და გამოვაქვეყნებთ CRL-ს შექცევადი NAT-ის გამოყენებით. კორპორატიული ქსელის გარემოში, დიდი ალბათობით, გექნებათ ბუხარი, როგორიცაა ISA Firewall, სერტიფიკატის სერვერის წინ, ასე რომ თქვენ შეგიძლიათ გამოაქვეყნოთ CRL-ები ფეიერვოლების გამოყენებით. თუმცა, ამ მაგალითში, ერთადერთი firewall, რომელსაც ჩვენ გამოვიყენებთ, არის Windows Firewall VPN სერვერზე, ამიტომ ამ მაგალითში ჩვენ გვჭირდება VPN სერვერის კონფიგურაცია NAT სერვერად.

RRAS სერვისების გასააქტიურებლად, მიჰყევით ამ ნაბიჯებს:

  1. სერვერის მენეჯერიგააფართოვეთ ჩანართი როლებიკონსოლის მარცხენა პანელში. გააფართოვეთ ჩანართი ქსელის პოლიტიკა და წვდომის სერვისებიდა დააწკაპუნეთ ჩანართზე. დააწკაპუნეთ მარჯვენა ღილაკით ჩანართზე და დააჭირეთ მარშრუტიზაციის და დისტანციური წვდომის კონფიგურაცია და გააქტიურება.

  1. Დააკლიკეთ Უფროფანჯარაში კეთილი იყოს თქვენი მობრძანება მარშრუტიზაციის და დისტანციური წვდომის სერვერის დაყენების ოსტატში.
  2. გვერდზე კონფიგურაციააირჩიეთ ვარიანტი VPN და NAT-ზე წვდომადა დააჭირეთ Უფრო.

  1. გვერდზე VPN კავშირიაირჩიეთ NIC განყოფილებაში ქსელის ინტერფეისებირომელიც წარმოადგენს VPN სერვერის გარე ინტერფეისს. შემდეგ დააჭირეთ Უფრო.

  1. გვერდზე IP მისამართების მინიჭებააირჩიეთ ვარიანტი ავტომატურად... ჩვენ შეგვიძლია ავირჩიოთ ეს ვარიანტი, რადგან ჩვენ გვაქვს დაინსტალირებული DHCP სერვერი დომენის კონტროლერზე VPN სერვერის უკან. თუ არ გაქვთ DHCP სერვერი, მაშინ უნდა აირჩიოთ ვარიანტი მისამართების კონკრეტული სიიდანდა შემდეგ დაამატეთ მისამართების სია, რომლებიც VPN კლიენტებს შეუძლიათ გამოიყენონ ქსელში VPN კარიბჭის მეშვეობით დაკავშირებისას. ვაჭერთ Უფრო.

  1. გვერდზე მრავალი სერვერის დისტანციური წვდომის კონტროლიაირჩიე არა, გამოიყენეთ მარშრუტიზაცია და დისტანციური წვდომა კავშირის მოთხოვნების ავთენტიფიკაციისთვის... ჩვენ ვიყენებთ ამ პარამეტრს, როდესაც NPS ან RADIUS სერვერები მიუწვდომელია. ვინაიდან VPN სერვერი არის დომენის წევრი, შეგიძლიათ მომხმარებლების ავთენტიფიკაცია დომენის ანგარიშების გამოყენებით. თუ VPN სერვერი არ არის დომენის ნაწილი, მაშინ შესაძლებელია მხოლოდ ადგილობრივი VPN სერვერის ანგარიშების გამოყენება, თუ არ გადაწყვეტთ NPS სერვერის გამოყენებას. მომავალში დავწერ სტატიას NPS სერვერის გამოყენების შესახებ. ვაჭერთ Უფრო.

  1. წაიკითხეთ ზოგადი ინფორმაცია გვერდზე მარშრუტიზაციისა და დისტანციური წვდომის ოსტატის კონფიგურაციის დასრულებადა დააჭირეთ Დამთავრება.
  2. Დააკლიკეთ კარგიდიალოგურ ფანჯარაში მარშრუტიზაცია და დისტანციური წვდომარომელიც გეუბნებათ, რომ DHCP დისტრიბუცია მოითხოვს DHCP დისტრიბუციის აგენტს.
  3. კონსოლის მარცხენა პანელში გააფართოვეთ ჩანართი მარშრუტიზაცია და დისტანციური წვდომადა შემდეგ დააწკაპუნეთ ჩანართზე პორტები... შუა პანელში ნახავთ, რომ WAN Miniport კავშირები SSTP-სთვის ახლა უკვე ხელმისაწვდომია.

NAT სერვერის კონფიგურაცია CRL გამოქვეყნებისთვის

როგორც ადრე ვთქვი, SSL VPN კლიენტს უნდა შეეძლოს CRL-ის ჩამოტვირთვა, რათა შეამოწმოს, რომ სერვერის სერტიფიკატი VPN სერვერზე არ არის დაზიანებული ან გაუქმებული. ამისათვის თქვენ უნდა დააკონფიგურიროთ მოწყობილობა სერტიფიკაციის სერვერის წინ, რათა გაგზავნოს HTTP მოთხოვნები CRL-ის ადგილმდებარეობის შესახებ სერტიფიკაციის სერვერზე.

როგორ გავიგო, რომელ URL-თან უნდა დაუკავშირდეს SSL VPN კლიენტი CRL-ის ჩამოსატვირთად? ეს ინფორმაცია მოცემულია თავად სერთიფიკატში. თუ დაბრუნდებით VPN სერვერზე და ორჯერ დააწკაპუნეთ სერთიფიკატზე IIS კონსოლში, როგორც ეს ადრე გააკეთეთ, თქვენ უნდა იპოვოთ ეს ინფორმაცია.

დააჭირეთ ღილაკს დეტალებისერთიფიკატზე და გადადით ქვემოთ ჩასაწერად CRL განაწილების წერტილები, შემდეგ დააწკაპუნეთ ამ ჩანაწერზე. ქვედა პანელი აჩვენებს სხვადასხვა განაწილების წერტილებს ამ წერტილებზე წვდომისთვის გამოყენებული პროტოკოლის საფუძველზე. ქვემოთ მოყვანილ ფიგურაში ნაჩვენები სერთიფიკატში ხედავთ, რომ ჩვენ უნდა გავხსნათ SSL VPN კლიენტის წვდომა CRL-ზე URL-ის მეშვეობით:

http://win2008rc0-dc.msfirewall.org/CertEnroll/WIN2008RC0-DC.msfirewall.org.crl

სწორედ ამიტომ, თქვენ უნდა შექმნათ საჯარო DNS ჩანაწერები ამ სახელისთვის, რათა გარე VPN კლიენტებმა შეძლონ ამ სახელის დახატვა IP მისამართზე ან მოწყობილობაზე, რომელიც შეასრულებს შექცევად NAT-ს ან შექცევად პროქსის სერტიფიცირების სერვერის ვებსაიტზე წვდომისთვის. ამ მაგალითში ჩვენ გვჭირდება ბმული win2008rc0-dc.msfirewall.org IP მისამართით VPN სერვერის გარე ინტერფეისზე. როდესაც კავშირი მიაღწევს VPN სერვერის გარე ინტერფეისს, VPN სერვერი გადასცემს NAT კავშირს სერტიფიკაციის სერვერზე.

თუ იყენებთ მოწინავე ფაირვოლს, როგორიც არის ISA Firewall, შეგიძლიათ CRL საიტების გამოქვეყნება უფრო უსაფრთხო გახადოთ. მხოლოდ CRL-ზე და არა მთელ საიტზე. თუმცა, ამ სტატიაში ჩვენ შემოვიფარგლებით მარტივი NAT მოწყობილობით, როგორიცაა RRAS NAT-ის მიერ მოწოდებული.

უნდა აღინიშნოს, რომ ნაგულისხმევი საიტის CRL სახელის გამოყენება შეიძლება ნაკლებად უსაფრთხო იყოს, რადგან ის აჩვენებს კერძო კომპიუტერის სახელს ინტერნეტში. ამის თავიდან ასაცილებლად შეგიძლიათ შექმნათ მორგებული CDP (CRL Distribution Point), თუ ფიქრობთ, რომ თქვენი CA-ს პირადი სახელის გამჟღავნება საჯარო DNS ჩანაწერში უსაფრთხოების რისკს წარმოადგენს.

RRAS NAT-ის კონფიგურაციისთვის HTTP მოთხოვნების სერტიფიცირების სერვერზე გადასატანად, მიჰყევით ამ ნაბიჯებს:

  1. მარცხენა პანელში სერვერის მენეჯერიგააფართოვეთ ჩანართი მარშრუტიზაცია და დისტანციური წვდომადა შემდეგ გააფართოვეთ ჩანართი IPv4... დააწკაპუნეთ ჩანართზე NAT.
  2. ჩანართში NATდააწკაპუნეთ მარჯვენა ღილაკით გარე ინტერფეისზე კონსოლის შუა პანელში. ამ მაგალითში ფრონტენტის სახელი იყო ლოკალური კავშირი... დაჭერა Თვისებები.

  1. დიალოგურ ფანჯარაში მონიშნეთ გვერდის ველი ვებ სერვერი (HTTP)... ამით გამოჩნდება დიალოგური ფანჯარა რედაქტირების სერვისი... ტექსტის ხაზში პირადი მისამართიშეიყვანეთ სერტიფიცირების სერვერის IP მისამართი შიდა ქსელში. Დააკლიკეთ კარგი.

  1. Დააკლიკეთ კარგიდიალოგურ ფანჯარაში ლოკალური ზონის კავშირის თვისებები.

ახლა, როდესაც NAT სერვერი დაინსტალირებული და კონფიგურირებულია, ჩვენ შეგვიძლია ყურადღება მივაქციოთ CA სერვერის და SSTP VPN კლიენტის კონფიგურაციას.

დასკვნა

ამ სტატიაში ჩვენ გავაგრძელეთ საუბარი SSL VPN სერვერის კონფიგურაციის შესახებ Windows Server 2008-ის გამოყენებით. ჩვენ განვიხილეთ, თუ როგორ უნდა დააინსტალიროთ IIS VPN სერვერზე, მოითხოვოთ და დააინსტალიროთ სერვერის სერთიფიკატი, დააინსტალიროთ და დააკონფიგურიროთ RRAS და NAT სერვისები VPN სერვერზე. შემდეგ სტატიაში ჩვენ დავასრულებთ CA სერვერის და SSTP VPN კლიენტის კონფიგურაციას. Გნახავ! მოცულობა.

გამოქვეყნებულია 2009 წლის 3 თებერვალს კომენტარების გარეშე

თუ გამოტოვეთ ამ სტატიების სერიის წინა ნაწილები, გთხოვთ, წაიკითხოთ:

ამ სტატიის სერიის პირველ ორ ნაწილში, როგორ ავაშენოთ SSL VPN სერვერი Windows Server 2008-ით, ჩვენ განვიხილეთ VPN-ების აგების ზოგიერთი საფუძვლები და შემდეგ განვიხილეთ სერვერის კონფიგურაცია. ამ ეტაპზე, ჩვენ მზად ვართ შევასრულოთ მცირე ცვლილებები Active Directory-ის კონფიგურაციაში და CA ვებსაიტზე. ამ ცვლილებების განხორციელების შემდეგ, ჩვენ ყურადღებას გავამახვილებთ VPN კლიენტის კონფიგურაციაზე და საბოლოოდ შევქმნით SSL VPN კავშირს.

მომხმარებლის ანგარიშის დაყენება Dial-up კავშირების გამოსაყენებლად

მომხმარებლის ანგარიშებს ესაჭიროებათ dial-up წვდომის ნებართვები, სანამ ისინი დაუკავშირდებიან Windows VPN სერვერს, რომელიც Active Directory დომენის ნაწილია. ამის გაკეთების საუკეთესო გზაა ქსელის პოლიტიკის სერვერის (NPS) და ასევე მომხმარებლის ანგარიშის ნაგულისხმევი ნებართვის გამოყენება, რომელიც NPS პოლიტიკის საფუძველზე დისტანციური წვდომის საშუალებას იძლევა. თუმცა, ჩვენს შემთხვევაში, ჩვენ არ დავაინსტალირეთ NPS სერვერი, ამიტომ მოგვიწევს მომხმარებლის ნებართვის ხელით კონფიგურაცია dial-in წვდომისთვის.

შემდეგ სტატიაში მე ყურადღებას გავამახვილებ NPS სერვერისა და EAP მომხმარებლის სერთიფიკატის ავტორიზაციის გამოყენებაზე SSL VPN სერვერთან კავშირების შესაქმნელად.

იმისათვის, რომ კონკრეტული მომხმარებლის ანგარიშზე აკრიფეთ წვდომა SSL VPN სერვერთან დასაკავშირებლად, მიჰყევით ამ ნაბიჯებს. ამ მაგალითში, ჩვენ გავააქტიურებთ აკრიფეთ წვდომის ნებართვას დომენის ადმინისტრატორის ნაგულისხმევი ანგარიშისთვის:

IIS-ის კონფიგურაცია სერტიფიკატის სერვერზე, რათა დაუშვას HTTP კავშირები CRL დირექტორიაში

რატომღაც, როდესაც ინსტალაციის ოსტატი დააინსტალირებს სერტიფიკატების სერვისების ვებსაიტს, ის აკონფიგურირებს CRL დირექტორიას SSL კავშირის მოთხოვნით. მიუხედავად იმისა, რომ უსაფრთხოების თვალსაზრისით ეს კარგი იდეაა, პრობლემა ის არის, რომ სერთიფიკატზე Uniform Resource Identifier (URI) არ არის კონფიგურირებული SSL-ის გამოსაყენებლად. ვფიქრობ, თქვენ თავად შეგიძლიათ შექმნათ CDP ჩანაწერი სერთიფიკატისთვის, რათა მან გამოიყენოს SSL, მაგრამ ვატყობ, რომ მაიკროსოფტს არასოდეს უხსენებია ეს საკითხი არსად. ვინაიდან ამ სტატიაში ჩვენ ვიყენებთ CDP-სთვის ნაგულისხმევ პარამეტრებს, უნდა გამორთოთ SSL მოთხოვნა CA ვებსაიტზე CRL დირექტორიაში ბილიკისთვის.

CRL-ისთვის SSL მოთხოვნის გამორთვისთვის, მიჰყევით ამ ნაბიჯებს:



HOSTS ფაილის კონფიგურაცია VPN კლიენტისთვის

ახლა ჩვენ შეგვიძლია მთელი ყურადღება მივაქციოთ VPN კლიენტს. პირველი, რაც უნდა გავაკეთოთ კლიენტთან არის HOSTS ფაილის დაყენება, რათა შევძლოთ საჯარო DNS ინფრასტრუქტურის სიმულაცია. არსებობს ორი სახელი, რომელიც უნდა ჩავსვათ HOSTS ფაილში (იგივე უნდა გაკეთდეს საჯარო DNS სერვერისთვის, რომელსაც გამოიყენებთ საწარმოო ქსელებში). პირველი სახელი არის VPN სერვერის სახელი, როგორც ეს განისაზღვრება სერთიფიკატის საერთო / საგნის სახელით, რომელიც ჩვენ დავაკავშირეთ SSL VPN სერვერთან. მეორე სახელი, რომელიც უნდა შევიტანოთ HOSTS ფაილში (და საჯარო DNS სერვერზე) არის CDP URL-ის სახელი, რომელიც ნაპოვნია სერტიფიკატზე. ჩვენ გავაშუქეთ CDP ინფორმაციის მდებარეობა ამ სერიის მეორე ნაწილში.

ორი სახელი, რომელიც უნდა შეიყვანოთ HOSTS ფაილში ამ მაგალითში იქნება:

192.168.1.73 sstp.msfirewall.org

192.168.1.73 win2008rc0-dc.msfirewall.org

Vista SP1 VPN კლიენტისთვის HOSTS ფაილის კონფიგურაციისთვის, მიჰყევით ამ პროცედურებს:


  1. დახურეთ ფაილი და აირჩიეთ ვარიანტი ცვლილებების შენახვა.

PPTP-ის გამოყენება VPN სერვერთან დასაკავშირებლად

ჩვენ თანდათან ვუახლოვდებით SSL VPN კავშირის შექმნას! შემდეგი ნაბიჯი არის VPN კონექტორის შექმნა Vista SP1 კლიენტზე, რომელიც მოგვცემს საშუალებას შევქმნათ საწყისი VPN კავშირი VPN სერვერთან. ჩვენს შემთხვევაში, ეს უნდა გაკეთდეს, რადგან კლიენტის კომპიუტერი არ არის დომენის წევრი. ვინაიდან მოწყობილობა არ არის დომენის წევრი, CA სერთიფიკატი ავტომატურად არ დაინსტალირდება მის Trusted Root Certificate Authorities მაღაზიაში. თუ მანქანა იყო დომენის წევრი, ავტომატური რეგისტრაცია იზრუნებდა ამ საკითხზე ჩვენთვის, რადგან ჩვენ დავაინსტალირეთ Enterprise CA.

ამ ნაბიჯის დასრულების ყველაზე მარტივი გზაა PPTP კავშირის შექმნა Vista SP1 VPN კლიენტიდან Windows Server 2008 VPN სერვერთან. ნაგულისხმევად, VPN სერვერი მხარს დაუჭერს PPTP კავშირებს და კლიენტი შეეცდება PPTP-ს L2TP / IPSec და SSTP-ს ცდის წინ. ამისათვის ჩვენ უნდა შევქმნათ VPN Connector ან კავშირის ობიექტი.

მიჰყევით ამ ნაბიჯებს VPN კლიენტის კონექტორის შესაქმნელად:









CA სერთიფიკატის მიღება Enterprise CA-სგან

SSL VPN კლიენტი უნდა ენდოს CA-ს, რომელმაც გასცა სერთიფიკატი, რომელიც გამოიყენება VPN სერვერის მიერ. ამ ნდობის შესაქმნელად, ჩვენ უნდა დავაყენოთ CA სერთიფიკატი CA-ზე, რომელმაც გასცა სერთიფიკატი VPN სერვერისთვის. ჩვენ შეგვიძლია ამის გაკეთება ინტრანეტში CA რეგისტრაციის ვებსაიტთან დაკავშირებით და VPN კლიენტის სერტიფიკატის დაყენებით მის Trusted Root Certification Authorities მაღაზიაში.

რეგისტრაციის საიტიდან სერთიფიკატის მისაღებად, მიჰყევით ამ ნაბიჯებს:





  1. ბიძგი დახურვადიალოგურ ფანჯარაში.
  2. დახურვა Internet Explorer.

ახლა ჩვენ უნდა დავაყენოთ CA სერთიფიკატი VPN კლიენტის აპარატის Trusted Root Certification Authorities Certificate Store-ში. ამისათვის თქვენ უნდა გააკეთოთ შემდეგი:




  1. დახურეთ MMC კონსოლი.

კლიენტის კონფიგურაცია, რომ გამოიყენოს SSTP და დაუკავშირდეს VPN სერვერს SSTP-ის საშუალებით

ახლა კი თითქმის დაასრულე! ახლა ჩვენ გვჭირდება VPN კავშირის გათიშვა და VPN კლიენტის კონფიგურაცია, რათა გამოიყენოს SSTP VPN პროტოკოლისთვის. საწარმოო გარემოში, თქვენ არ დაგჭირდებათ ამ ნაბიჯის გამოყენება მომხმარებლებისთვის, რადგან თქვენ გამოიყენებთ Connection Manager Administration Kit მომხმარებლისთვის VPN კავშირის ობიექტის შესაქმნელად, რომელიც მოიცავს კლიენტს SSTP-ის გამოყენებით, ან თქვენ მხოლოდ დააკონფიგურირებთ SSTP პორტებს. VPN სერვერზე.

ეს ყველაფერი დამოკიდებულია გარემოს კონფიგურაციაზე, რადგან თქვენ უნდა გამოყოთ დრო ისე, რომ მომხმარებლებმა შეძლონ PPTP-ის გამოყენება გარკვეული დროის განმავლობაში სერტიფიკატების დაყენებისას. რა თქმა უნდა, თქვენ შეგიძლიათ დააინსტალიროთ CA სერთიფიკატები ქსელის გარეთ, ანუ ჩამოტვირთეთ ვებსაიტიდან ან ელექტრონული ფოსტით, ამ შემთხვევაში თქვენ არ უნდა დაუშვათ PPTP მომხმარებლები. მაგრამ შემდეგ, თუ ზოგიერთ კლიენტს არ აქვს SSTP-ის მხარდაჭერა, თქვენ უნდა ჩართოთ PPTP ან L2TP / IPSec და ვერ შეძლებთ ყველა არა-SSTP პორტის გამორთვას. ამ შემთხვევაში, თქვენ მოგიწევთ დაეყრდნოთ მექანიკურ კონფიგურაციას ან განახლებულ CMAK პაკეტს.

აქ კიდევ ერთი ვარიანტია SSTP კლიენტის მიბმა კონკრეტულ IP მისამართთან RRAS სერვერზე. ამ შემთხვევაში, თქვენ შეგიძლიათ შექმნათ მორგებული CMAK პაკეტი, რომელიც ეხება მხოლოდ IP მისამართს SSL VPN სერვერზე, რომელიც უსმენს ქსელში შემომავალი SSTP კავშირებს. SSTP VPN სერვერის სხვა მისამართები მოუსმენენ ქსელში PPTP და / ან L2TP / IPSec კავშირებს.

მიჰყევით ამ ნაბიჯებს PPTP სესიის გათიშვისა და VPN კლიენტის კავშირის ობიექტის კონფიგურაციისთვის SSTP გამოსაყენებლად:




სურათი 29

დასკვნა

ჩვენი სერიის ამ ბოლო ნაწილში იმის შესახებ, თუ როგორ შევქმნათ SSL VPN სერვერი Windows Server 2008-ის გამოყენებით, ჩვენ დავასრულეთ მომხმარებლის ანგარიშის, ვებსაიტის CRL და SSL VPN კლიენტის დაყენება. ჩვენ ასევე დავასრულეთ SSTP კავშირის შექმნა და დავადასტურეთ, რომ ის წარმატებული იყო. მადლობა!

წყარო www.windowsecurity.com


Იხილეთ ასევე:

მკითხველთა კომენტარები

გაცვლა 2007 წ

თუ გსურთ ამ სტატიების სერიის წინა ნაწილების წაკითხვა, იხილეთ ბმულები: Monitoring Exchange 2007 სისტემის მენეჯერით ...

შესავალი ამ მრავალნაწილიან სტატიაში, მინდა გაჩვენოთ პროცესი, რომელიც ახლახან გამოვიყენე Exchange 2003 არსებული გარემოდან გადასასვლელად...

თუ გამოტოვეთ ამ სერიის პირველი ნაწილი, გთხოვთ, წაიკითხოთ ის Exchange Server Remote Connectivity Analyzer Tool-ში (ნაწილი ...

| პუბლიკაციების სიაში

უსაფრთხო დისტანციური წვდომა SSL VPN-ის საშუალებით

ბორის ბორისენკო, ექსპერტი

ტექნოლოგია VPN ფართოდ გავრცელდა, როგორც თანამშრომლისთვის საწარმოს ლოკალურ ქსელში უსაფრთხო წვდომის უზრუნველყოფის საშუალება ფიზიკურად შორეული წერტილიდან. SSL VPN შემუშავებულია, როგორც აქსესუარი და ალტერნატიული ტექნოლოგია IPsec VPN-ზე დისტანციური წვდომისთვის. თუმცა, უსაფრთხო საკომუნიკაციო არხების მიწოდების ღირებულებამ და საიმედოობამ SSL VPN მიმზიდველ ტექნოლოგიად აქცია. SSL VPN კონცენტრატორები გთავაზობთ დამატებით შესაძლებლობებს ტრადიციულ VPN მოწყობილობებთან შედარებით. Firewall-ების უმეტესობა უზრუნველყოფს ვებ აპლიკაციების პორტზე დაფუძნებულ გამოქვეყნებას ინტერნეტში, ქსელის მისამართის თარგმნას (NAT) და ქსელის მარშრუტიზაციას, მაგრამ არ უზრუნველყოფს კრიპტოგრაფიულ დაცვას აპლიკაციის დონის მიღმა. IPsec VPN მომხმარებლებს შეუძლიათ დაუკავშირდნენ კორპორატიულ ქსელს პირდაპირი LAN კავშირის მსგავსად. ეს შიფრავს VPN სერვერსა და კლიენტს შორის გადაცემულ ყველა მონაცემს. ამასთან, VPN მოწყობილობების უმეტესობას სჭირდება გამოყოფილი კლიენტის პროგრამა. SSL VPN კონცენტრატორები იყენებენ ბრაუზერს, რათა დისტანციურ მუშაკებს მისცენ წვდომა არა მხოლოდ შიდა ვებსაიტებზე, არამედ აპლიკაციებსა და ფაილურ სერვერებზეც. მოდით გადავხედოთ SSL VPN-ის გამოყენებით დისტანციური წვდომის რამდენიმე ყველაზე საინტერესო გადაწყვეტილებას.

ZyWALL SSL 10

ეს არის SSL VPN კარიბჭე, რომელიც უზრუნველყოფს უსაფრთხო დისტანციურ წვდომას ქსელებსა და აპლიკაციებზე VPN კავშირის საშუალებით კლიენტის წინასწარი ინსტალაციის გარეშე. მოწყობილობა შემოთავაზებულია მცირე და საშუალო ბიზნესის ქსელებისთვის.

ინტერნეტთან ან DMZ-თან დასაკავშირებლად არის WAN ინტერფეისი, გადამრთველი ოთხი LAN პორტისთვის, RS 232 DB9 პორტი კონსოლის საშუალებით კონტროლისთვის (ეს მოწყობილობა იძლევა ნაკლებ ვარიანტს, ვიდრე იგივე ZyWALL 1050). ZyWALL SSL 10 მხარს უჭერს არა მხოლოდ პირდაპირ წვდომას მომხმარებლის ინტრანეტის მონაცემთა ბაზებზე, არამედ მუშაობს Microsoft Active Directory-თან, LDAP-თან და RADIUS-თან. გარდა ამისა, შესაძლებელია ორფაქტორიანი ავთენტიფიკაციის გამოყენება (ZyWALL OTP გასაღებების გამოყენებით).

კორპორატიული ქსელის რესურსებზე პირდაპირ წვდომას უზრუნველყოფს SecuExtender კლიენტი, რომელიც ჩამოტვირთულია დისტანციური მომხმარებლების კომპიუტერებზე. ამის შემდეგ, ადმინისტრატორების ნებართვით, გარკვეული კატეგორიის მომხმარებლებისთვის შესაძლებელი იქნება IPsec-ის გამოყენებით ქსელის გვირაბების მარტივად ორგანიზება. ასევე, ადმინისტრატორებს შეუძლიათ უსაფრთხოების პოლიტიკის კონფიგურაცია მომხმარებელთა ჯგუფებისთვის, ქსელის მისამართების დიაპაზონისთვის ან სხვადასხვა აპლიკაციებისთვის.

ZyWALL SSL 10 მხარს უჭერს 10 ერთდროულ უსაფრთხო სესიას, გაფართოების 25 SSL სესიამდე. ქსელში, მოწყობილობა შეიძლება გამოყენებულ იქნას როგორც არსებული კარიბჭის უკან (სურათი 2) ან როგორც ახალი კარიბჭე (სურათი 3). პირველ შემთხვევაში, ZyWALL SSL 10 შეიძლება დაუკავშირდეს DMZ ​​პორტს უსაფრთხოების გაზრდისთვის. მეორეში, მოდემზე და ვებ სერვერზე ZyWALL-ზე. ტრაფიკი ვებ სერვერიდან დისტანციურ მომხმარებელამდე გადის VPN გვირაბით.

მხარდაჭერილი ვარიანტები მოიცავს TLS პროტოკოლს, დაშიფვრას, სერთიფიკატებს - 256-ბიტიანი AES, IDEA, RSA, ჰეშინგს - MD5, SHA-1. საინტერესო მახასიათებელია საქშენების საკმაოდ დიდი არჩევანი დენის დანამატისთვის (ნებისმიერი სოკეტებისა და ქსელებისთვის).

Netgear ProSafe SSL VPN კონცენტრატორი SSL312

მოწყობილობა საშუალებას აძლევს 25-მდე დისტანციურ კლიენტს, ერთდროულად იმუშაოს კორპორატიულ ქსელთან. კავშირი ხდება ActiveX კომპონენტების გამოყენებით, რომელთა ჩამოტვირთვა და ინსტალაცია შესაძლებელია პირდაპირ მოწყობილობიდან.

თუმცა, კლიენტს უნდა ჰქონდეს წვდომა სისტემაზე ადმინისტრატორის პრივილეგიებით, რათა დააინსტალიროს შესაბამისი ActiveX კომპონენტები. გარდა ამისა, ბრაუზერი უნდა იყოს კონფიგურირებული, რათა ჩართოს ActiveX კომპონენტების გამოყენება. მას ასევე შეიძლება დასჭირდეს Windows განახლებების ინსტალაცია. აპარატურა მოიცავს ორ LAN პორტს და ერთ სერიულ პორტს. სისტემაში შესვლისას არჩეულია ავტორიზაციის ვარიანტი: მომხმარებლის მონაცემთა ბაზა, Windows NT დომენი, LDAP, Microsoft Active Directory, RADIUS (PAP, CHAP, MSCHAP, MSCHAPv2). დისტანციური სერვერის საშუალებით წვდომისას, ეს უკანასკნელი ხელმისაწვდომი უნდა იყოს და ტრაფიკის მარშრუტი უნდა იყოს კონფიგურირებული მის წინ.

თუ DRAM-ის რაოდენობა ერთნაირია Netgear SSL312-ისთვის და ZyWALL SSL 10-ისთვის, მაშინ Netgear-ის ფლეშ მეხსიერება აშკარად დაბალია (16 128 მბ-ის წინააღმდეგ). Net-gear SSL312 პროცესორი ასევე კარგავს ZyWALL-ს (200 წინააღმდეგ 266 კრიპტოგრაფიული ამაჩქარებლით). Netgear SSL312-ისგან განსხვავებით, ZyWALL მხარს უჭერს SSL პროტოკოლის 2.0 ვერსიას.

მოწყობილობის გამოყენების ორი ვარიანტი არსებობს. პირველ შემთხვევაში, Netgear SSL312 Ethernet-ის ორი პორტიდან მხოლოდ ერთი გამოიყენება. შემდეგ კარიბჭე უნდა შედიოდეს Netgear SSL312-ზე HTTPS-ით. გამოყენების სხვა შემთხვევა იყენებს Netgear SSL312-ის ორივე Ethernet პორტს და SSL ტრაფიკი არ გადის firewall-ში. მოწყობილობის ერთ Ethernet პორტს ენიჭება საჯარო IP მისამართი, ხოლო მეორეს ენიჭება პირადი IP მისამართი შიდა ქსელში. უნდა აღინიშნოს, რომ Netgear SSL312 არ მოქმედებს როგორც NAT ან ITU და არ ცვლის მათ.

დისტანციური ლოკალური ქსელის ქსელურ სერვისებთან მუშაობისთვის, არსებობს ორი ვარიანტი: VPN გვირაბი, რომელიც დამყარებულია მომხმარებელსა და მოწყობილობას შორის, ან პორტის გადამისამართება (Port Forwarding). ორივე მეთოდს აქვს დადებითი და უარყოფითი მხარეები. VPN გვირაბი საშუალებას გაძლევთ მოაწყოთ სრულფასოვანი კავშირი დისტანციურ ლოკალურ ქსელთან, მაგრამ ამავე დროს ის არ გაძლევთ საშუალებას გააკეთოთ ცალკეული პარამეტრები თითოეული სერვისისთვის. პორტის გადამისამართება საშუალებას გაძლევთ იმუშაოთ მხოლოდ TCP კავშირებთან (UDP და სხვა IP პროტოკოლები არ არის მხარდაჭერილი), თითოეული აპლიკაციის წესები დაყენებულია ცალკე.
დინამიური DNS არ არის მხარდაჭერილი Netgear SSL312-ში, რაც ასევე მინუსია.

SSL VPN Juniper Networks Secure Access 700

SSL VPN დისტანციური წვდომის გადაწყვეტა ასევე შექმნილია მცირე და საშუალო ბიზნესისთვის. როგორც მომხმარებლის, ასევე ადმინისტრატორის ინტერფეისი ორგანიზებულია ვებ ბრაუზერის სახით. არ არის საჭირო VPN კლიენტის დაყენება დისტანციურ კომპიუტერზე. არსებობს ორი RJ-45 Ethernet პორტი და ერთი სერიული პორტი. Juniper SA 700 ავტომატურად ამოწმებს დისტანციურ კომპიუტერს და ანიჭებს სხვადასხვა წვდომის უფლებას დაყენებული პროგრამული უზრუნველყოფის შედეგების მიხედვით.

შეუძლია არაუმეტეს 25 ერთდროული მომხმარებლის მხარდაჭერა. ავთენტიფიკაციისა და ავტორიზაციის ვარიანტებს შორის შესაძლებელია შემდეგი პარამეტრები: Microsoft Active Directory / Windows NT, LDAP, NIS, RADIUS, RSA, SAML, სერტიფიკატის სერვერი. მოწყობილობა უზრუნველყოფს წვდომას Win-dows / SMB, Unix / NFS, ვებ აპლიკაციების ფაილურ რესურსებზე, მათ შორის JavaScript, XML, Flash-ის გამოყენებით; მხარდაჭერილი ზარები Telnet და SSH პროტოკოლებით. კორპორატიულ ელ. ფოსტაზე წვდომა ორგანიზებულია ჩვეულებრივი ფოსტის კლიენტის საფუძველზე, რომელიც კონფიგურირებულია SSL-ით უსაფრთხო კავშირისთვის Juniper SA 700-თან. თუმცა, ეს მოითხოვს "Core Clientless Web Access" ლიცენზიას.

Juniper SA 700 ითვალისწინებს დისტანციური კომპიუტერის ავტომატურ სკანირებას, თუ მასზე დამონტაჟებულია ანტივირუსული პროგრამა, პერსონალური ITU და უსაფრთხოების სხვა პროგრამები. სესიის დროს საჭირო პროქსის ყველა ჩამოტვირთვა და დროებითი ფაილი იშლება სესიის დასრულების შემდეგ.

ერთ წელზე მეტი გავიდა მას შემდეგ რაც დავიწყეთ მუშაობა ... დაგროვდა აღწერილი კონფიგურაციის გამოყენების გარკვეული გამოცდილება, გამოვლინდა მისი დადებითი და უარყოფითი მხარეები და გაკეთდა გარკვეული დასკვნები. ამ დასკვნების საფუძველზე, ამ პოსტში ჩვენ გავაგრძელებთ უსაფრთხო VPN კავშირების კონფიგურაციის თემის შემუშავებას და განვიხილავთ პროტოკოლთან მუშაობის უნარის ორგანიზებისთვის საჭირო ნაბიჯებს. SSTP (უსაფრთხო სოკეტის გვირაბის პროტოკოლი).

გამოყენების გამოცდილება L2TP / IPsec VPN-მ აჩვენა, რომ მკაფიო ნაბიჯ-ნაბიჯ კავშირის ინსტრუქციებით, მომხმარებელთა უმეტესობას შეუძლია დამოუკიდებლად დააყენოს ასეთი VPN კავშირი უპრობლემოდ. მაგრამ მაინც, ყოველთვის არიან პიროვნებები, რომლებიც ახერხებენ შეცდომის დაშვებას თუნდაც ასეთ პირობებში და, შესაბამისად, იდეა VPN კავშირის შექმნის პროცესის გამარტივების აუცილებლობის შესახებ ყოველთვის სადღაც უკანა პლანზე ანათებს. გარდა ამისა, რიგ სიტუაციებში შეგვხვდა L2TP / IPsec VPN-სთვის საჭირო ზოგიერთი პორტის დაბლოკვის პრობლემა, რომელიც გამოვლინდა ინტერნეტ პროვაიდერების დონეზე. და ხანდახან აბსურდულობამდე მიდიოდა, როცა L2TP/IPsec ტრაფიკი ქალაქის ერთ ბოლოში გადაიცემა შეუფერხებლად იმავე ინტერნეტ პროვაიდერის მიერ და იბლოკებოდა ქალაქის მეორე ბოლოში. ჩვენ გონებრივადაც კი დავყავით სხვადასხვა ინტერნეტ პროვაიდერის ზონები სეგმენტებად, სადაც L2TP / IPsec VPN იმუშავებს უნაკლოდ და ზონებად, სადაც აუცილებლად იქნება პრობლემები და უნდა ვიფიქროთ ლოკალური კორპორატიული ქსელის რესურსებზე წვდომის ალტერნატიულ ვარიანტებზე. გარდა ამისა, იყო შემთხვევები, როდესაც საქმიან მოგზაურებსა და „დამსვენებლებს“, რომლებიც დისტანციურად ცდილობდნენ „სასტუმრო ინტერნეტის“ საშუალებით დაკავშირებას, იგივე პრობლემების გამო შეექმნათ პრობლემები საჭირო პორტების დაბლოკვისას. რა თქმა უნდა, სანამ L2TP / IPsec VPN შემოვიდოდით, ჩვენ გვესმოდა ყველა ეს რისკი და პრობლემური სიტუაციების დიდ უმრავლესობაში იყო რაიმე სახის გამოსავალი, მაგრამ თითოეული ასეთი სიტუაციიდან "შემდგომი გემო" უსიამოვნო რჩებოდა.

დავიწყე იმის გახსენება, თუ რატომ დაეცა ადრე ჩემი არჩევანი L2TP / IPsec-ზე. იყო ორი განმსაზღვრელი ფაქტორი - უსაფრთხოების მისაღები დონე და კლიენტის ოპერაციული სისტემების უფრო ფართო სპექტრის მხარდაჭერა. მახსოვს, იმ დროს პროტოკოლი მაინტერესებდა SSTP, მაგრამ იყო რამდენიმე ფაქტორი, რამაც მაიძულა ამ ტექნოლოგიიდან გადავსულიყავი. ჯერ ერთი, იმ დროს ჩვენ ჯერ კიდევ გვქონდა კლიენტების საკმარისი რაოდენობა Microsoft Windows XP-ზე დაფუძნებული და ამ OS-ში SSTP პროტოკოლი, როგორც მოგეხსენებათ, არ არის მხარდაჭერილი. მეორეც, მე არ მქონდა შესაძლებლობა გამომეყენებინა საჯარო სერტიფიკატი კორპორატიული დომენის სახელებით SSTP კავშირების დასაცავად და არ მქონია სურვილი მისი ჩანაცვლება შიდა გამოყოფილი CA-ს სერთიფიკატით, რადგან ამან გამოიწვია პრობლემები, რომლებიც დაკავშირებულია მისი root განაწილებასთან. სერტიფიკატი ინტერნეტ კლიენტებისთვის და CRL-ის გამოქვეყნება ( სერთიფიკატის გაუქმების სიაCRL) ინტერნეტში.

მაგრამ რაც დრო გადიოდა, Windows XP-ის მქონე კლიენტები ზომით ნაკლები იყო (კორპორატიული ინფორმაციის უსაფრთხოების პოლიტიკის გაძლიერებამ და Microsoft-ის აგრესიულმა სარეკლამო კამპანიამ OS-ის განახლებისთვის თავისი საქმე გააკეთა) და მე მივიღე შესაძლებლობა მემუშავა საჯარო სერტიფიკატით. გარდა ამისა, მე წავაწყდი ინფორმაციას, რომ ისეთ OC-ებზე, როგორებიცაა Linux და Apple Mac OS X, SSTP კავშირების მხარდაჭერის კლიენტის პროგრამული უზრუნველყოფა საკმაოდ წარმატებით გამოიყენება დიდი ხნის განმავლობაში, მიუხედავად იმისა, რომ ერთ დროს ამ პროტოკოლს იწინასწარმეტყველეს "გამარჯვების იზოლაცია". „მისი საკუთრების ბუნებიდან გამომდინარე.

ამრიგად, ჩვენთვის ნამდვილად დროა პრაქტიკაში შევამოწმოთ SSTP-ის ყველა უპირატესობა, კერძოდ, თითქმის ნებისმიერ პირობებში მუშაობის უნარი, სადაც არის HTTPS პროტოკოლით (TCP 443) სტანდარტული ინტერნეტ კავშირის გამოყენების შესაძლებლობა. ანუ, SSTP-ის გამოყენებისას, თეორიულად, არსად არ უნდა გქონდეთ პრობლემა VPN კავშირთან, არც სახლიდან (თუნდაც იყენებთ ყველა სახის NAT-ს და ყველა სახის მრუდის პარამეტრს ინტერნეტ პროვაიდერების ლოკალური ქსელის აღჭურვილობისთვის), არც სასტუმრო (თუნდაც პროქსის გამოყენების პირობა), ან სხვაგან. გარდა ამისა, კლიენტის სისტემაზე SSTP-ის გამოყენებით VPN კავშირის დაყენების პროცედურა სამარცხვინოდ გამარტივებულია და არ გულისხმობს ციფრული სერთიფიკატების მანიპულირებას (იმ პირობით, რომ საჯარო სერტიფიკატი გამოიყენება სერვერის მხარეს).

პირველადი მოთხოვნები კლიენტებს და მათ პერსონალიზაციას

რაც შეეხება OS-ზე დაფუძნებულ კლიენტ სისტემებს Microsoft Windows, მაშინ უნდა გაითვალისწინოთ, რომ SSTP მუშაობს სისტემებზე დაწყებული Windows Vista SP1და მოგვიანებით. Windows Vista SP1-ის ქვემოთ კლიენტური სისტემებისთვის, მათ შორის ჯერ კიდევ "ცოცხალი მამონტებისთვის" ფორმაში Windows XP, როგორც ადრე, უნდა გამოიყენოს პროტოკოლი L2TP / IPsecყველა იმ გარემოებით, რაც ზემოთ აღვნიშნე. პროტოკოლის გამოყენებისგან PPTP, როგორც უკვე დიდი ხანია კომპრომეტირებული იყო, შემოთავაზებულია საერთოდ მიტოვება. Windows კლიენტის ოპერაციულ სისტემებზე SSTP კავშირების კონფიგურაციის განახლებული ინსტრუქციების ბმულები შეგიძლიათ იხილოთ ამ სტატიის ბოლოს.

OS-ზე დაფუძნებული კლიენტური სისტემებისთვის Linuxღია კოდის პროექტი საკმაოდ ეფექტურია. მე უკვე მოვამზადე ნაბიჯ-ნაბიჯ ინსტრუქციები Linux სისტემების არც თუ ისე დახვეწილი მომხმარებლებისთვის, დაყენების მაგალითის გამოყენებითUbuntu Linux 14.04და 15.04 /15.10 .

OS-ზე დაფუძნებული კლიენტის სისტემების შესახებ Apple Mac OSჯერ ვერაფერს ვერ ვიტყვი გასაგებად, რადგან ისინი უბრალოდ ხელთ არ მაქვს. ზედაპირზე არსებული ინფორმაციის საფუძველზე, შეგიძლიათ გამოიყენოთ (როგორც კონსოლის ვარიანტი), ან შეგიძლიათ გამოიყენოთ მის საფუძველზე შექმნილი პაკეტიiSSTP გრაფიკული ინტერფეისის კონტროლით. ვიმედოვნებ, რომ უახლოეს მომავალში ვიტალი იაკობი გაგვახარებს შესაბამისი მომხმარებლის სახელმძღვანელოთი.

საერთო მოთხოვნა ყველა კლიენტისთვის არის ის, რომ SSTP VPN კლიენტს უნდა შეეძლოს სერტიფიკატების გაუქმების სიების (CRL) შემოწმება, რათა დაადასტუროს, რომ VPN სერვერის მიერ მოწოდებული სერტიფიკატი გაუქმებული არ არის. ამ სახის გადამოწმება შეიძლება გამორთოთ კლიენტის მხრიდან, მაგრამ ეს არ არის საუკეთესო გამოსავალი უსაფრთხოების თვალსაზრისით და აზრი აქვს მხოლოდ ექსტრემალურ შემთხვევებში გამოყენებას.

ძირითადი მოთხოვნები VPN სერვერისთვის და მისი კონფიგურაციისთვის

VPN კავშირის სერვერის ნაწილი ჩვენს შემთხვევაში იქნება გაფართოება VPN სერვერზე დაფუძნებული Windows Server 2012 R2როლთან ერთად დისტანციური წვდომა.

VPN სერვერის ძირითადი მოთხოვნებიდან, როგორც თქვენ ალბათ უკვე იცით ყოველივე ზემოთქმულიდან, არის მასზე დაინსტალირებული სერტიფიკატის არსებობა. ასეთი სერთიფიკატის მიღება შეგიძლიათ საჯარო CA-ებიდან და, როგორც წესი, ასეთი სერთიფიკატები ძვირი ჯდება. მაგრამ ასევე არსებობს უფასო ვარიანტები, მაგალითად WoSign უფასო SSL სერთიფიკატები ... მე თვითონ ჯერ არ მქონია ასეთ CA-სთან კომუნიკაციის გამოცდილება და, შესაბამისად, საინტერესო იქნება თქვენი კომენტარების მოსმენა ამ საკითხთან დაკავშირებით.

VPN სერვერის სერთიფიკატის მოთხოვნები

SSTP-სთვის მნიშვნელოვანია ის, რომ მესამე მხარის საჯარო CA-დან სერტიფიკატის მოთხოვნის გენერირებისას, უნდა გახსოვდეთ, რომ მოთხოვნილი სერტიფიკატი უნდა შეიცავდეს განაცხადის პოლიტიკას ( გაფართოებული გასაღების გამოყენება, EKU) - სერვერის ავთენტიფიკაცია (1.3.6.1.5.5.7.3.1 ). რა თქმა უნდა, ასეთი სერთიფიკატისთვის, პირადი გასაღების ექსპორტი უნდა იყოს დაშვებული, რადგან შეიძლება დაგვჭირდეს სერთიფიკატის დაყენება რამდენიმე VPN სერვერზე, თუ, მაგალითად, გამოიყენება კლასტერული კონფიგურაცია.

მიღებული სერტიფიკატის სავალდებულო მოთხოვნაა სერტიფიკატის გაუქმების სია ( CRL) სერთიფიკატში მითითებული უნდა იყოს ხელმისაწვდომი ინტერნეტში, რადგან SSTP კავშირის შექმნის დასაწყისშივე, კლიენტის კომპიუტერი შეეცდება შეამოწმოს, გაუქმებულია თუ არა VPN სერვერის მიერ მოწოდებული სერტიფიკატი. არ არის ხელმისაწვდომი CRL - არ არის SSTP კავშირი.

მიღებული სერტიფიკატი დაინსტალირებულია VPN სერვერზე სერტიფიკატების მაღაზიაში ლოკალური კომპიუტერი\პირადიდა უნდა იყოს მიბმული ამ სერტიფიკატის პირად გასაღებთან.

ასევე ნათელია, რომ CA, რომელმაც გასცა სერთიფიკატი, უნდა იყოს სანდო არა მხოლოდ ჩვენი VPN სერვერების, არამედ ყველა ჩვენი გარე ინტერნეტ კლიენტისთვის, რომლებიც დაუკავშირდებიან ამ სერვერებს SSTP პროტოკოლის გამოყენებით. ანუ, root სერთიფიკატი (შეიძლება იყოს რამდენიმე მათგანი) უნდა იყოს წარმოდგენილი სერტიფიკატების მაღაზიაში არსებულ ყველა კომპიუტერზე ლოკალური კომპიუტერი\სანდო Root სერტიფიცირების ორგანოები... ინფორმაცია ამ მოთხოვნების შესახებ შეგიძლიათ იხილოთ სტატიაშიTechNet Library - RRAS-ის კონფიგურაცია კომპიუტერის ავთენტიფიკაციის სერთიფიკატით ... უმეტეს თანამედროვე კლიენტის ოპერაციულ სისტემაში, საჯარო root სერტიფიკატების კოლექცია ავტომატურად განახლდება, როდესაც თქვენ გაქვთ მუდმივი ინტერნეტ კავშირი.

დისტანციური წვდომის როლის კონფიგურაცია

მას შემდეგ, რაც სერთიფიკატი დაინსტალირდება VPN სერვერზე, გახსენით Snap-in მარშრუტიზაცია და დისტანციური წვდომადა VPN სერვერის თვისებებში ჩანართზე უსაფრთხოებააირჩიეთ ეს სერთიფიკატი SSTP-ისთვის განყოფილებაში SSL სერთიფიკატის სავალდებულო

ამ პარამეტრის შეცვლა მოგთხოვთ ავტომატურად გადატვირთოთ RRAS. ჩვენ ვეთანხმებით სერვისების გადატვირთვას.

შემდგომ განყოფილებაში პორტებიპორტების დამატება SSTP... ჩვენს მაგალითში, პორტების უმეტესობა გამოყოფილია SSTP კავშირებისთვის და პორტების მცირე ნაწილი გამოყოფილია კლიენტებისთვის SSTP მხარდაჭერის გარეშე, მაგალითად Windows XP. ჩვენ საერთოდ გამორთავთ PPTP-ით დაკავშირების შესაძლებლობას.

ინფორმაცია იმის შესახებ, თუ როგორ სწორად გამორთოთ PPTP კავშირი, შეგიძლიათ იხილოთ სტატიაშიმარშრუტიზაცია როგორ ... დაამატეთ PPTP ან L2TP პორტები ... მაგალითი სკრინშოტში:

ცვლილებების განხორციელების შემდეგ შევამოწმოთ ჩვენს VPN სერვერზე გაშვებული TCP Listeners. მათ შორის უნდა იყოს 443 პორტის მსმენელი, რომელსაც VPN სერვერი მიიღებს კლიენტის კავშირებს SSTP პროტოკოლის გამოყენებით:

netstat -na | findstr 443

არ დაგავიწყდეთ firewall-ის კონფიგურაცია იმ წესის ჩართვით, რომელიც უკვე ხელმისაწვდომია დისტანციური წვდომის როლის ინსტალაციისა და კონფიგურაციის შემდეგ Secure Socket Tunneling Protocol (SSTP-In)

გარდა ამისა, შეგიძლიათ გამორთოთ შემოსვლის დაშვების წესი PPTP- კავშირები თითო პორტზე TCP 1723(ნაგულისხმევი კონფიგურაციაში, ამ წესს ეწოდება " მარშრუტიზაცია და დისტანციური წვდომა (PPTP-In)")

ვინაიდან ჩვენი VPN სერვერი წევრია NLB-კლასტერ, ჩვენ დამატებით უნდა შევქმნათ წესი, რომელიც საშუალებას იძლევა პორტის დაბალანსება TCP 443.

გაკეთებული პარამეტრები საკმარისია ჩვენი VPN სერვერისთვის, რომ წარმატებით მიიღოს SSTP კავშირები.

VPN კლიენტის კავშირის შემოწმება

კლიენტის აპარატზე, რომელსაც აქვს პირდაპირი წვდომა ინტერნეტზე 443 პორტზე, ჩვენ დავაყენეთ სატესტო VPN კავშირი და ვუკავშირდებით ...

ამავდროულად, სერვერის მხარეს, ჩვენ დარწმუნებული ვართ, რომ კლიენტი იყენებს ერთ-ერთ უფასო SSTP პორტს, რომელიც ადრე შევქმენით ...

მომხმარებლის ინსტრუქციები

როგორც უკვე აღვნიშნეთ, მკაფიო ნაბიჯ-ნაბიჯ ინსტრუქციები უნდა შემუშავდეს მომხმარებლებისთვის, რომლებიც უკავშირდებიან კორპორატიულ VPN სერვერებს ინტერნეტიდან. მე შევძელი VPN კავშირების ტესტირება (და პარალელურად განვავითარო ეტაპობრივი ინსტრუქციები მომხმარებლებისთვის) შემდეგ ოპერაციულ სისტემებთან:

  • Windows XP 32-ბიტიანი RU SP3
    (ინსტრუქცია გადაწერილია L2TP/IPsec-ის გამოყენების გათვალისწინებით, მაგრამ სამუშაო PPTP-ის არარსებობის შემთხვევაში. სერთიფიკატის მოთხოვნა და ინსტალაცია ხდება ორ ეტაპად სხვადასხვა სკრიპტით)
  • Windows Vista ბიზნესი 32-ბიტიანი RU SP2 (SSTP)
  • Windows 7 პრო 32-ბიტიანი RU SP1 (SSTP)
  • Windows 8.1 Pro 64-ბიტიანი RU (SSTP)
  • Ubuntu Desktop Linux 14.04 64 ბიტიანი (SSTP)
  • Ubuntu Desktop Linux 15.04 64 ბიტიანი (SSTP)
  • Ubuntu Desktop Linux 14.10 64 ბიტიანი (SSTP)

ინსტრუქციები DOCX ფორმატში (ისევე, როგორც აუცილებელი შესრულებადი ფაილები), რომლებიც, სურვილის შემთხვევაში, შეგიძლიათ მოერგოთ თქვენს გარემოს, შეგიძლიათ ჩამოტვირთოთბმული ... ინსტრუქციების ნაწილი ხელმისაწვდომია ონლაინ სანახავად და განსახილველად. .

სათაური: Windows 7
გააზიარე ეს