Сурков Л.В. - Построение виртуальных частных сетей VPN в сетевой среде Windows Server 2008 или 2003 (1075631), страница 11
Текст из файла (страница 11)
NetworkMonitor не анализирует шифрованную часть VPN-трафика.Правильная интерпретация связанного с VPN и удаленным доступом трафикатребует глубокого понимания РРР, РРТР IPSec и других протоколов. Информацию,захваченную Network Monitor, можно сохранить в виде файлов для дольнейшего анализа.МГТУ им. БауманаКафедра ИУ-645Сурков Л.В.Корпоративные сетиПрактикум «Построение виртуальных частных сетей VPNв сетевой среде Windows Server 2008/2003» Rev. 2010Практическая частьLAB 1.
VPN-соединение удаленного доступаЗадание:Установим VPN-соединение удаленного доступа на примере сети, показанной нарисунке 22.VPN-сервер отделяет частную сеть с адресным пространством 192.168.x.х/24 отИнтернета (195.19.x.x/24).1120192.168.10.x/24195.19.37.x/24VPN1021Рисунок 22План выполнения работы:- Выполним сетевые настройки: 2 адаптера одной сети, 2 – другой.- Убедимся в работоспособности сети с компа 2:- Установим сервер VPN.- Добавим специальную учетную запись remote (password: 1) на сервере.- Настроим клиента на VPN-сервере- Итоги, изучение результатаДля идентификации машин выделим им псевдоимена, имеющие свое действиеисключительно для сопоставления настроек определенной машине, рисунок 23.Рисунок 23МГТУ им. БауманаКафедра ИУ-646Сурков Л.В.Корпоративные сетиПрактикум «Построение виртуальных частных сетей VPNв сетевой среде Windows Server 2008/2003» Rev.
2010Ниже приведено визуальное исполнение лабораторной работы.Сетевые настройки.Рисунок 24. IP-адреса Comp1Рисунок 25. IP-адреса Comp3Рисунок 26. IP-адреса Comp2Рисунок 27. IP-адреса Comp2МГТУ им. БауманаКафедра ИУ-647Сурков Л.В.Корпоративные сетиПрактикум «Построение виртуальных частных сетей VPNв сетевой среде Windows Server 2008/2003» Rev. 2010Проверка работоспособности с COMP2Рисунок 28Установим VPN-серверРисунок 29МГТУ им. БауманаКафедра ИУ-648Сурков Л.В.Корпоративные сетиПрактикум «Построение виртуальных частных сетей VPNв сетевой среде Windows Server 2008/2003» Rev. 2010Рисунок 30Поясним установку VPN-сервера:Оснастку Routing and Remote Access можно вызвать через Administrative Tools.Мастер вызывается выбором пункта меню Configure and Enable Routing and RemoteAccess.МГТУ им.
БауманаКафедра ИУ-649Сурков Л.В.Корпоративные сетиПрактикум «Построение виртуальных частных сетей VPNв сетевой среде Windows Server 2008/2003» Rev. 2010Четвертое окно мастера предлагает указать интерфейс, который подсоединен кИнтернету. Следует отчетливо представлять, если использование VPN-туннеляпредполагается во внутренней сети, те внутренний пользователь подсоединяется квнутренней сети, то указать следует интерфейс, к которому будут подключатьсяпользователи.Выбор Enable security on selected interface позволяет установить на этот интерфейсфильтры, пропускающие исключительно трафик, связанный с VPN-туннелями.Разрешить ping (этого интерфейса и всех интерфейсов за VPN-севером) необходимосоответствующим новым фильтром.Т.к.
DHCP не используется, то назначение IP-адресов вновь подсоединенныхпользоватей происходит из назначенного диапазона, очевидно диапазон должен быть изпространства адресов за VPN-сервером.Сервер RADIUS не используется.Добавим специальный аккаунт на сервереТ.к. Active Directory не применяется, то учетные данные для удаленного доступа будутхранится на VPN-сервере.
Учетную запись можно завести с помощью оснастки ComputerManager.Учетная запись: user#: remote; password: #После создания записи, необходимо дать разрешение удаленного доступа (Allow access)Рисунок 31Настройка VPN-клиента.Никаких трудностей внастройкеМГТУ им. БауманаVPN-клиентавозникнутьКафедра ИУ-6недолжно.50Сурков Л.В.Корпоративные сетиПрактикум «Построение виртуальных частных сетей VPNв сетевой среде Windows Server 2008/2003» Rev. 2010Рисунок 32МГТУ им. БауманаКафедра ИУ-651Сурков Л.В.Корпоративные сетиПрактикум «Построение виртуальных частных сетей VPNв сетевой среде Windows Server 2008/2003» Rev.
2010Результат.Рисунок 33При настройке VPN-сервер выделяет сам себе IP-адрес (Internal: 192.168.10.11). Этотадрес самый первый из предоставленного диапазона. Если же используется DHCP, тоVPN-сервер получает адрес первый.Следует отметить, что команда ping 192.168.10.10 c COMP3 без установленногоVPN-соединения закончится неуспешно, т.к. ICMP не разрешен фильтрами VPN-сервера.МГТУ им. БауманаКафедра ИУ-652Сурков Л.В.Корпоративные сетиПрактикум «Построение виртуальных частных сетей VPNв сетевой среде Windows Server 2008/2003» Rev. 2010LAB 2.1 Установка маршрута по умолчаниюЗадание А:На основе предыдущей лабораторной работы проверить применение маршрута поумолчанию, выделяемого VPN-сервером.Рисунок 34План выполнения работы:- Исследуем таблицу маршрутизации VPN-клиента.- Запретим использование маршрута по умолчанию VPN-клиенту.- Исследуем таблицу маршрутизации VPN-клиента.Исследуем таблицу маршрутизации VPN-клиентаРисунок 35После установления VPN-соединения, VPN-сервер выделяет VPN-клиенту IP-адрес,а клиент устанавливает шлюз по умолчанию 192.168.10.16.МГТУ им.
БауманаКафедра ИУ-653Сурков Л.В.Корпоративные сетиПрактикум «Построение виртуальных частных сетей VPNв сетевой среде Windows Server 2008/2003» Rev. 2010У вас не вызывает удивление в совпадении IP-адреса и шлюза?.В нашем случае клиент не использовал шлюз до установления VPN-соединения.Поэтому механизм перенастройки шлюзов может остаться до конца не ясным.
Болееподробно этот механизм показан в следующей лабораторной работе.Запретим использования маршрута по умолчанию VPN-клиентуРисунок 36Рисунок 37Рисунок 38Уберем флажок Use default gateway on remote network.МГТУ им. БауманаКафедра ИУ-654Сурков Л.В.Корпоративные сетиПрактикум «Построение виртуальных частных сетей VPNв сетевой среде Windows Server 2008/2003» Rev.
2010Изменение этого параметра и применение его возможно только после созданиянового подключения.Исследуем таблицу маршрутизации VPN-клиентаРисунок 39Шлюз по умолчанию назначен не был.МГТУ им. БауманаКафедра ИУ-655Сурков Л.В.Корпоративные сетиПрактикум «Построение виртуальных частных сетей VPNв сетевой среде Windows Server 2008/2003» Rev. 2010LAB 2.2 Установка маршрута по умолчаниюЗадание В:Проверить применение маршрута по умолчанию, выделяемого VPN-сервером наоснове сети, рисунок 401110112010.10.10.x/8195.19.37.x/24210VPNRouter172.16.0.x/16121Рисунок 40.План выполнения работы:- Сетевые настройки: три пары адаптеров трех сетей + 1 адаптер + 2 шлюза- Настройка Роутинга на Router- Настройка VPN-сервера- Разрешить ICMP на внешнем интерфейсе VPN-сервера- Проверка работоспособности сети- Добавление учетной записи (вход по политике)- Настройка политики удаленного доступа на разрешение всех VPN-соединений- Настройка VPN-клиента- Исследование поведения таблицы маршрутизации (иначе роутинга) VPN-клиента сиспользованием шлюза по умолчанию и без него.Рисунок 41.Сетевые настройкиМГТУ им.
БауманаКафедра ИУ-656Сурков Л.В.Корпоративные сетиПрактикум «Построение виртуальных частных сетей VPNв сетевой среде Windows Server 2008/2003» Rev. 2010СерверComp1ИнтерфейсIP-addressSubnet maskDefaultgatewayinterface1192.168.10.11255.255.255.0interface210.10.10.10255.0.0.0interface110.10.10.11255.0.0.0interface2195.19.37.20255.255.255.0interface3172.16.0.2255.255.0.0Comp3interface1195.19.37.21255.255.255.0195.19.37.20Comp4interface1192.168.10.10255.255.255.0192.168.10.11Interface2172.16.0.1255.255.0.0172.16.0.2Comp2Рисунок 42. Добавление маршрута на COMP4 до сети 195.19.37.0/24МГТУ им.
БауманаКафедра ИУ-657Сурков Л.В.Корпоративные сетиПрактикум «Построение виртуальных частных сетей VPNв сетевой среде Windows Server 2008/2003» Rev. 2010Настройка РоутингаРисунок 43МГТУ им. БауманаКафедра ИУ-658Сурков Л.В.Корпоративные сетиПрактикум «Построение виртуальных частных сетей VPNв сетевой среде Windows Server 2008/2003» Rev.
2010Рисунок 44МГТУ им. БауманаКафедра ИУ-659Сурков Л.В.Корпоративные сетиПрактикум «Построение виртуальных частных сетей VPNв сетевой среде Windows Server 2008/2003» Rev. 2010Рисунок 45. Добавление маршрута на COMP2МГТУ им. БауманаКафедра ИУ-660Сурков Л.В.Корпоративные сетиПрактикум «Построение виртуальных частных сетей VPNв сетевой среде Windows Server 2008/2003» Rev. 2010Настройка VPN-сервераВ мастере выбираем:Интерфейс подсоединенный к Интернету: 10.10.10.10Установить флажок: Enable securityДиапазон выделенных IP-адресов: 192.168.10.15.. 192.168.10.20Отказываемся от RADIUS.Настройка VPN возможна и с частичным прохождением мастера настройки:Рисунок 46МГТУ им. БауманаКафедра ИУ-661Сурков Л.В.Корпоративные сетиПрактикум «Построение виртуальных частных сетей VPNв сетевой среде Windows Server 2008/2003» Rev.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
