Конфигурация VPN в Windows 2000
Новая операционная система упрощает установку безопасных Internet-
соединений За последние четыре года я написал много статей о различных
объектах Windows 2000 и Windows NT. Однако больше всего откликов я получил
(и сейчас получаю) на одну статью о настройках VPN.
В 1997 году
тема VPN горячо обсуждалась на страницах компьютерных журналов, но
использование NT Server для обеспечения VPN между двумя сетями можно было
спокойно принять за интуитивный процесс. Недавно я вновь получил письмо в
ответ на свою статью трехлетней давности - тема VPN по-прежнему актуальна.
К счастью, усовершенствовав возможности сети VPN в операционной системе
Windows 2000, разработчики Microsoft создали условия для более простого
использования системы Windows 2000 по созданию сети VPN. Давайте
посмотрим, как можно создать сеть VPN через Internet на базе двух серверов
Windows 2000.
ЧТО ТАКОЕ VPN? Сеть VPN - это частная защищенная
сеть, которая функционирует поверх общедоступной незащищенной сети, к тому
же у обеих сетей имеются общие точки входа и выхода. Т.е. можно создать
свою сеть WAN поверх существующей сети (обычно это Internet), с затратами
только на одно WAN-соединение вместо двух. Можно не только проложить одну
сеть поверх другой, но и использовать такой безопасный способ подключения,
который сохранит целостность данных.
Вам наверняка известна
аналогия сообщений, посылаемых через сеть Internet с почтовыми открытками.
Когда открытка путешествует по US Postal Service, любой сотрудник, который
обрабатывает корреспонденцию, может прочитать её, поэтому открытки -
далеко не безопасный способ передачи информации. То же самое верно и для
обычного Internet-трафика. Любой желающий, располагающий определенными
средствами, имеет возможность прочитать информацию, которую вы
отправляете.
Предположим, требуется <обезопасить> посылаемое
сообщение. Тогда Вы пишете текст на листе бумаги и вкладываете этот лист в
конверт. Сеть VPN работает в похожем режиме, защищая данные, пока они
путешествуют по сети.
СОЕДИНЯЯ ОФИСЫ Рассмотрим вариант с
главным и удаленным офисом - оба подключены к Internet - которым
необходимо связываться друг с другом. Эти офисы имеют два основных
варианта для соединения друг с другом. Первый вариант, это покупка
выделенного канала, соединяющего между собой два сайта. Этот вариант
обычно реализуется с помощью соединений ISDN, дробного T1 или сети с
ретрансляцией кадров на каждом сайте. этот метод хорошо зарекомендовал
себя на практике для связывания офисов, но связан с оплатой ежемесячного
соединения, зависящей от расстояния между офисами или требуемой величины
полосы пропускания.
В качестве альтернативы, если оба офиса имеют
общие Internet соединения и частную внутреннюю LAN, можно просто
сконфигурировать сервер Windows 2000 в каждом офисе и соединить их сетью
VPN. На Схеме 1 показана сеть WAN с двумя серверами Windows 2000:
MAIN-OFFICE и REMOTEOFFICE. Главный офис имеет подсеть в диапазоне адресов
от 172.16.0.1 до 172.16.0.254, а удаленный офис имеет внутреннюю подсеть в
диапазоне от 192.168.0.1 до 192.168.0.254. Эти офисы соединены через
Internet, который можно использовать для строительства сети VPN. В этой
статье любой адрес в диапазоне 10.х.х.х обозначает адрес в общедоступном
участке Internet.
Давайте предположим, что каждый из двух сайтов имеет
постоянное выделенное соединение в сети Internet и постоянный IP адрес от
ISP. Хотя можно создать сеть VPN, работающую с коммутируемым
подсоединением к Internet, с выделенным Internet-соединением работать
проще. Постоянные IP-адреса Internet абсолютно необходимы каждому сайту,
потому что будут определены статические маршруты, которым требуются
статические адреса.
Серверы Windows 2000 в сети WAN примера, это
изолированные машины (не состоящие в каком либо домене или участвующие в
Active Directory - AD) и на них установлена только операционная система
Windows 2000 Server. Из соображений безопасности система, подключенная к
общедоступной сети Internet, имеет у себя так мало учетных записей, как
это возможно. Строительство сервера, как изолированной системы, поможет
использовать минимальное количество учетных записей. Я настоятельно
советую использовать специализированный, маломощный компьютер для решения
этих задач с установленной на нем только одной операционной системой. Я
всегда поражаюсь тому, когда пользователи, установив программы Microsoft
Proxy Server, Microsoft Exchange Server, RRAS, Microsoft IIS и массу
других приложений на один сервер, начинают возмущаться тем, что они
сталкиваются с проблемами при их запуске. Компания Microsoft постоянно
убеждает, что вы можете устанавливать все необходимые приложения на любую
систему, и они все будут прекрасно работать. Однако в действительности все
обстоит не так как хочется, и чем больше используется приложений, тем
больше усложняется конфигурация. Выход из ситуации прост. Я рекомендую
использовать маломощную систему, может быть на старой системе с
процессором Pentium II и тактовой частотой 300 МГц, и только для целей
маршрутизации трафика.
CLIFFSNOTES-ВЕРСИЯ Если вы принимаете мои
аргументы, то вот краткий обзор как спланировать и решить эти задачи, до
того как начать выполнять их. Во-первых, на каждом сайте определите
интерфейс подключения по запросу, который указывает серверу Windows 2000
путь на другой сайт. Затем, на каждом сервере задаете статический путь,
который указывает сеть на другом сайте. Далее, создайте на каждом сайте
учетные записи для маршрутизаторов, которые используются для соединения
друг с другом. В конце сконфигурируете рабочие станции в каждой сети,
используя VPN-сервер Windows 2000 на соответствующем сайте как шлюз по
умолчанию.
Строить VPN в сети с Windows 2000 проще, чем с NT, но
возможности мастера еще не достаточны, поэтому я проведу вас шаг за шагом
для создания конфигурации в удаленном офисе, который изображен на Схеме 1.
После того как вы повторите те же шаги для конфигурации главного офиса, вы
будете иметь полную функциональную сеть VPN.
На сервере из меню
Administrative Tools выберите пункт Routing and Remote Access. Если на
систему не установлен RRAS, то необходимо добавить его в конфигурацию
сервера. Операционная система Windows 2000 не устанавливает или
конфигурирует RRAS по умолчанию. Если RRAS предварительно установлен и
сконфигурированы какие-либо маршруты или режимы удаленного доступа к
системе, то будет необходимо использовать установки VPN, рекомендованные
мною.
Нажмите правую кнопку мыши на имени сервера (например,
REMOTEOFFICE в этом случае) на левой панели окна Microsoft Management
Console (MMC), затем выберите Configure and Enable Routing and Remote
Access (RRAS). Это действие запускает мастер, который проводит через
процесс конфигурации RRAS в системе. Хотя мастера полезны для большинства
задач администрирования и конфигурирования, в этом случае мастер не
позволяет выполнить все необходимые операции по настройке. Следовательно,
я рекомендую выбирать режим Manually Configured Server в первом диалоговом
окне мастера.
После того как вы проинструктировали мастера, что
хотите конфигурировать систему вручную, он запускает RRAS. После запуска
RRAS снова нажмите правую кнопку мыши на имени сервера на левой панели
окна MMC. Выберите пункт Properties и откроете страницу REMOTEOFFICE
Properties. На закладке General убедитесь, что активизирован режим
маршрутизации между локальной сетью и коммутируемым соединением. Вы можете
спросить, почему используется термин <соединение по запросу>, ведь
оба этих сервера имеют выделенные соединения с Internet и не будут
использовать телефонную линию для подключения друг к другу. Тем не менее,
компания Microsoft предпочитает использовать телефонную терминологию для
инициирования VPN-соединений.
Следующий шаг - это выбор протоколов,
которые сервер может маршрутизировать. В VPN данные шифруются и скрываются
внутри IP пакетов, поэтому она может маршрутизировать протоколы, которые
обычно не используются в Internet, такие как NWLink IPX/SPX. Для выбора
протоколов, которые хочется маршрутизировать по сети Internet, отметьте
режимы маршрутизации и соединения по запросу, затем щелкните левой кнопкой
мыши на кнопке Apply. На Экране 2 показана закладка IP с необходимыми
режимами. Проверьте закладки для протоколов, которые не требуется
маршрутизировать, и сбросьте у них все установки по маршрутизации и
соединению по запросу.
СОЗДАНИЕ ИНТЕРФЕЙСА СОЕДИНЕНИЯ ПО ЗАПРОСУ После того, как вы
выбрали протоколы системы удаленного офиса для маршрутизации через сеть
Internet, вы должны определить на удаленной системе интерфейс подключения
по запросу к главной офисной системе и создать Internet соединение между
двумя точками. В окне оснастки Routing and Remote Access нажмите правую
кнопку мыши на контейнере Routing Interfaces на сервере REMOTEOFFICE и
выберите New Demand-Dial Interface.
Первый шаг мастера -
присваивание интерфейсу имени - очень важен. Хотя большинство мастеров
Windows 2000 используют предлагаемое имя просто как описание, имя
интерфейса подключения по запросу в удаленном офисе должно быть точно
таким же, как имя в учетных записях в главном офисе. Причина этого проста.
Когда сервер главного офиса получает входящий вызов (сигнал, что другой
компьютер подсоединяется к серверу через Internet), Windows 2000 должна
определить, кто подсоединяется - пользователь или маршрутизатор. Чтобы
сделать это, система Windows 2000 сравнивает имя вызывающего пользователя
со списком интерфейсов подключения по запросу. Если существует точное
совпадение, Windows 2000 предполагает, что входящий абонент это
маршрутизатор и реагирует соответственно. В противном случае, система
Windows 2000 просто предполагает, что входящий абонент является обычным
пользователем, подключающимся удаленно.
Поскольку присвоение имени
есть такой важный шаг, я ещё раз повторю: Вы должны дать интерфейсу
подключения по запросу имя, которое даете учетной записи для этого
интерфейса на другой системе. Для сервера удаленного офиса в данном
примере, требуется обратиться к интерфейсу подключения по запросу
MAIN-OFFICE, потому что вы будете использовать этот интерфейс для
соединения с главным офисом. После выбора имени для интерфейса
подключения по запросу выберите Next. Можно использовать интерфейсы
подключения по запросу для маршрутизации трафика по стандартным аналоговым
телефонным линиям и ISDN каналам или через Internet (с VPN). Для создания
сети VPN выберите второй вариант - соединение с использованием VPN.
Щелкните Next.
На Экране 3 показано диалоговое окно, где выбирается протокол.
Компания Microsoft включила в операционную систему Windows 2000 Server два
протокола для VPN: PPTP и Layer 2 Tunneling Protocol (L2TP). Компания
Microsoft разработала протокол PPTP, который определен в Internet
Engineering Task Force (IETF) Request for Comments (RFC) 2637 и запустила
его в действие в операционной системе Windows NT в 1996 году. Протокол
PPTP использует TCP порт 1723 и IP протокол 47 (Generic Routing
Encapsulation - GRE). Почти в тоже время компания Cisco Systems
разработала протокол Layer 2 Forwarding (L2F) для VPN и использовала его в
своих устройствах. В дальнейшем компании Microsoft и Cisco объединили свои
протоколы, сформировав в результате протокол L2TP (RFC 2661), который
использует UDP порты 500 и 1701. Лично я предпочитаю протокол L2TP, а не
протокол PPTP, потому что первый основывается на IP Security (IPSec) для
шифрования рутинных операций, а не на Microsoft Point-to-Point Encryption
(MPPE). Однако в соответствии с информацией из файлов подсказки Microsoft,
протокол PPTP проще настраивать, поэтому в данном примере будем
использовать PPTP.
Для выбора VPN протокола для дальнейшей работы, щелкните Next.
Интерфейсу подключения по запросу необходимо задать номер для
<набора>, поэтому введите общедоступный IP адрес системы MAIN-OFFICE
(например, 10.0.0.130), как показано на Экране 4. Windows 2000 попытается
создать VPN соединение по этому адресу, маршрутизируя трафик рабочей
станции, размещенной в локальной сети, из удаленного офиса в главный
офис.
Следующий шаг в задании интерфейса подключения по запросу -
это выбор протоколов для маршрутизации через этот интерфейс. Мы
предварительно сконфигурировали протоколы, которые сервер мог
маршрутизировать; сейчас определяются протоколы для специфичного
интерфейса подключения по запросу. На Экране 5 показано окно для выбора
необходимых протоколов. Также можно выбрать режим создания учетной записи
для удаленного роутера при его подключении, но я предпочитаю выполнять
этот шаг вручную. Щелкните Next.
Когда ваша удаленная офисная система "позвонит" роутеру в
главном офисе, система главного офиса должна установить подлинность
удаленной системы, перед тем как маршрутизировать трафик удаленной системы
в сеть главного офиса. Таким образом, необходимо установить специальный
набор Dial Out Credentials для Windows 2000 Server и использовать его,
когда сервер подключается по запросу к удаленным системам. Выбираемые имя
и пароль важны потому, что необходимо создать учетную запись в системе
главного офиса с тем же самым именем и паролем. Интерфейс подключения по
запросу главного офиса так же будет использовать это имя.
После
присвоения имени своей удаленной системе, интерфейс подключения по запросу
из удаленного офиса будет полностью скопирован в главный офис. Следующий
шаг - это определить на сервере удаленного офиса статический маршрут в
главную офисную сеть.
СОЗДАНИЕ СТАТИЧЕСКОГО МАРШРУТА Для
создания статической маршрутизации откройте окно MMC Routing and Remote
Access, контейнер сервера и выберите IP Routing. Нажмите правой кнопкой
мыши на узле Static Routes и выберите New Static Route, открыв диалоговое
окно, которое показано на Экране 6. Это диалоговое окно применяется для
указания системе Windows 2000 Server использовать интерфейс подключения по
запросу для доставки любых пакетов, отправленных в заданную область IP
адресов. Для нашей сети, Windows 2000 сервер удаленного офиса должен
использовать ранее определенный интерфейс MAIN-OFFICE для маршрутизации в
главный офис любых пакетов с адресами пунктов назначения в диапазоне от
172.16.0.1 до 172.16.0.254. Следовательно, для создания надежного и
правильного интерфейса подключения по запросу, появившегося в поле
Interface, необходимо ввести соответствующий IP адрес и маску подсети, а
затем выбрать флажок Use this route to initiate demand-dial
connections.
После окончания конфигурации маршрутизации системы удаленного
офиса, необходимо добавить пользователя. Когда один сервер соединяется с
другим сервером для маршрутизации трафика, он должен иметь комбинацию из
имени пользователя и пароля для того, чтобы принимающая система могла
установить подлинность вызывающей. На сервере удаленного офиса создайте
пользователя с именем MAIN-OFFICE, это имя используется для интерфейса
подключения по запросу. Задайте пользователю стандартные установки
(сбросьте флажки User must change password at next logon, Password never
expires и User cannot change password), затем сконфигурируйте свойства для
подключения, как показано на Экране 7.
Выберите режим Allow access для предоставления пользователю
возможности инициации соединения. Я также рекомендую присваивать
фиксированный IP адрес для приема входящего трафика. Хотя я и создал VPN
конфигурацию без использования постоянного IP адреса, я всё же предпочитаю
задавать IP адрес, который Windows 2000 будет использовать. Щелкните OK
для сохранения измененных свойств пользователя.
Последний шаг по
настройке удаленного офиса - это сконфигурировать все клиентские рабочие
станции, используя адрес 192.168.0.1 в качестве шлюза по умолчанию. Такая
установка позволит рабочим станциям передавать серверу Windows 2000 любые
пакеты, направляемые в другой сегмент сети (например, пакеты направленные
по адресам вне диапазона с 192.168.0.1 по 192.168.0.254). Затем сервер
определяет оптимальный путь для доставки пакетов. Для отправки пакетов в
главный офис, сервер вызывает интерфейс подключения по запросу и
устанавливает VPN соединение.
КОНФИГУРИРОВАНИЕ СИСТЕМЫ ГЛАВНОГО
ОФИСА Если вы уже прошли этот путь, возьмите перерыв на одну минуту -
вы находитесь на полпути до конечного пункта. Теперь необходимо повторить
на системе главного офиса такую же операцию, которую выполнили на системе
удаленного офиса для создания целостной конфигурации. Следуйте теми же
шагами, но введите правильное имя в адресную информацию для системы
главного офиса. Например, имя интерфейса подключения по запросу на этот
раз REMOTEOFFICE. После настройки системы главного офиса (включая
определение корректной статической трассы, пользовательские учетные записи
и IP адреса), у вас появится функциональная сеть VPN.
Для
тестирования полученной конфигурации обратитесь к левой панели окна
консоли Routing and Remote Access на системе в удаленном или главном офисе
и передвигайтесь по списку интерфейсов маршрутизации в системе. Нажмите
правую кнопку мыши на интерфейсе подключения по запросу, который выбрали и
отметьте Connect. Если увидите напротив соединения в MMC надпись
"Connected", то VPN полностью функциональна. Если соединение не
получилось, проверьте шаги и найдите недостатки в конфигурации для
исключения любой возможной ошибки перед каким-нибудь дальнейшим
действием.
Когда добьётесь надежного соединения, перейдите на
рабочую станцию и, используя команду Ping, протестируйте возможности
соединения. Проверьте доступность адреса самой рабочей станции,
стандартный шлюз Internet (локальный сервер Windows 2000), общедоступный
IP адрес VPN сервера в одном офисе и адрес устройства в другом офисе.
Если ping-пакеты перемещаются от одного конца VPN в другой, в
последнюю очередь протестируйте функциональные возможности подключения по
запросу. В окне консоли Routing and Remote Access отключите VPN
соединение, нажав правую кнопку на интерфейсе подключения по запросу, и
выберите Disconnect. Когда интерфейс будет отключен, вернитесь на рабочую
станцию, на которой ранее запускали ping, и постарайтесь проверить
устройство в другом офисе снова. Хотя первые несколько попыток отправки
пакетов могут быть неудачны, в конечном счете вы увидите реакцию от
удаленной системы, если конечно все работает корректно. Обновив окно
консоли Routing and Remote Access на сервере, можно увидеть, что интерфейс
подключения по запросу активизирован. Если ping не получает ответа, снова
повторите действия; я наблюдал установление VPN соединения от 2 до 12
секунд в зависимости от условий функционирования сети.
БОЛЬШЕ
ИНФОРМАЦИИ Если брандмауэр защищает локальную сеть от Internet на одном
из двух или обоих концах планируемой сети VPN, обратитесь к производителям
брандмауэров, и выясните, который из двух поддерживает L2TP или PPTP
соединения. Я предполагаю, что брандмауэры можно перенастроить и они
позволят создавать любой тип соединений, но некоторые брандмауэры не
поддерживают определенные конфигурации. Позвоните производителю
брандмауэра перед установкой VPN, что позволит вам сэкономить время и
избавить от конфигурирования VPN только для того, чтобы обнаружить, что
брандмауэр не позволяет ей функционировать.
В этой статье
достаточно информации для создания сети VPN. Тем не менее, если требуется
получить больше информации, компания Microsoft включила значительное
количество документации по VPN в подсказку консоли Routing and Remote
Access MMC. Пользуйтесь документацией "L2TP-based router-to-router VPN",
"PPTP-based router-to-router VPN", "Tunneling protocols", "Troubleshooting
demand-dial routing" и "An on-demand router-to-router VPN". Хотя установка
VPN является сложной задачей, но после проведенной работы созданная сеть
будет надежным и экономным способом соединения офисов.
Автор: Дуглас Тумбс
|