Сурков Л.В. - Построение виртуальных частных сетей VPN в сетевой среде Windows Server 2008 или 2003 (1075631), страница 8
Текст из файла (страница 8)
Болеетого, некоторые протоколы для идентификации потоков данных используют не TCP- илиUDP -заголовки, а поля в других заголовках. Когда компоненту NAT приходитсявыполнять дополнительные преобразования и учитывать полезные данные не только в IP-,TCP- и UDP-заголовках, нужен NAT-редактор. Этот редактор так модифицирует иначе нетранслируемые данные, чтобы NAT мог пересылать их на правильные адреса.Чтобы туннели РРТР и L2TP поверх IPSec могли работать через NAT, последийдолжен корректно обрабатывать множество потоков данных, поступающих наединственный IP-адрес или передаваемых с него.РРТР-трафикРРТР-трафик связан с TCP-соединением, используемым для управления туннелем, ис инкапсуляцией туннелированных данных в GRE-пакеты.
Первая часть РРТР-трафикакорректно транслируется самим NAT, а вторая часть — только в комбинации соспецифическим NAT-редактором. В туннелированных данных конкретный туннельопределяется по IP-адресу источника и полю идентификатора вызова в GRE-заголовке.Когда к одному РРТР-серверу обращается несколько РРТР-клиентов, расположенных вчастной сети за NAT, весь туннелированный трафик имеет один и тот же IP-адресисточника. Кроме того, поскольку РРТР-клиенты ничего не знают о трансляции адресов,они могут выбрать одинаковые идентификаторы вызова при создании РРТР-туннеля. Воизбежание этой проблемы NAT-редактор для РРТР должен отслеживать формированиеРРТР-туннелей и создавать раздельные сопоставления частных IP-адресов иидентификаторов вызова, используемых РРТР-клиентами, с общим IP-адресом иуникальными идентификаторами вызова, принимаемыми РРТР-сервером в Интернете.Протокол маршрутизации NAT, поддерживаемый службой маршрутизации и удаленногодоступа, предоставляет NAT-редактор для РРТР, который преобразует GRE-поляидентификаторов вызова, и это позволяет различать РРТР-туннели, создаваемыеклиентами частной сети за NAT.Трафик L2TP поверх IPSecЭтот трафик не обрабатывается NAT, потому что номер UDP-порта в немзашифрован и его значение защищено криптографической контрольной суммой.
ТрафикL2TP поверх IPSec не транслируется даже с помощью NAT-редактора по причинам,изложенным ниже.Нельзя различить потоки данных IPSec-протокола ESPМГТУ им. БауманаКафедра ИУ-634Сурков Л.В.Корпоративные сетиПрактикум «Построение виртуальных частных сетей VPNв сетевой среде Windows Server 2008/2003» Rev. 2010ESP-заголовок содержит поле индекса параметров безопасности (security parametersindex, SPI). SPI используется — в сочетании с IP-адресом назначения в незашифрованныхIP-заголовке и заголовке одного из IPSec-протоколов (ESP или АН) — для идентификацииIPSec-сопоставления безопасности (SA).В исходящем от NAT трафике IP-адрес назначения не изменяется, а во входящем вNAT трафике этот адрес должен быть преобразован в частный.
Как и в случае несколькихРРТР-клиентов в частной сети за NAT, IP-адрес назначения в нескольких входящихпотоках данных IPSec-протокола ESP тоже одинаков. Чтобы отличить один поток отдругого, исходные IP-адрес назначения и SPI следовало бы транслировать в частные IPадрес назначения и SPI.
Однако из-за того, что в концевой части ESP Authenticationсодержится криптографическая контрольная сумма, удостоверяющая подлинность ESPзаголовка и полезных данных, изменять SPI нельзя - иначе эта контрольная сумма будетмодифицирована.Нельзя модифицировать контрольные суммы TCP и UDPВ пакетах «L2TP поверх IPSec» каждый UDP- и TCP-заголовок содержитконтрольную сумму, включающую IP-адреса источника и назначения, взятые изнезашифрованного IP-заголовка. Это означает, что Вы не можете изменить адреса внезашифрованном IP-заголовке, не изменив контрольные суммы в TCP- и UDPзаголовках. А обновлять эти контрольные суммы нельзя, потому что они входят взашифрованную часть полезных данных ESP.МГТУ им. БауманаКафедра ИУ-635Сурков Л.В.Корпоративные сетиПрактикум «Построение виртуальных частных сетей VPNв сетевой среде Windows Server 2008/2003» Rev.
2010Сквозные VPN-соединенияСквозная VPN (pass-through VPN) позволяет клиенту удаленного доступа,подключенному к интрасети одной компании, обращаться через Интернет к ресурсам винтрасети другой компании. VPN-соединение удаленного доступа к одной интрасетипроходит через другую интрасеть и Интернет.В типичном случае компании А и В являются бизнес-партнерами, и сотрудникикомпании А посещают сетевые ресурсы компании В. Когда сотрудник компании А,участвующий в совместном совещании, подключает свой портативный компьютер кинтрасети компании В, его система получает информацию о конфигурации IP-адресов вэтой интрасети.
Если этому сотруднику нужно подключиться к интрасети своейкомпании, это делается одним из двух способов. По телефонной линии в комнате совещаний сотрудник компании А может либонапрямую подключиться к серверу удаленного доступа этой компании и установитьсоединение удаленного доступа с ее интрасетью, либо связаться с местным ISP исоздать VPN-соединение с интрасетью компании А. Как показано на рисунке 21, технология VPN и соответствующая инфраструктурапозволяют сотруднику компании А создать туннель через интрасетъ компании В вИнтернет, а затем создать другой туннель — через интрасеть компании В и Интернет винтрасетъ компании А.При втором способе VPN-соединение с интрасетью компании А создается за счетактивизации двух объектов подключения и использования существующего локальногофизического сетевого соединения. Заметьте, что второй туннель формируется внутрипервого.Рисунок 21Как только будет установлено сквозное VPN-соединение сотрудник компании Асможет обращаться к любому сетевому ресурсу своей компании.Чтобы создать сквозное соединение:Данная процедура предназначена для сотрудника компании А, который создаетсквозное VPN-соединение с VPN-сервером компании А, подключенным к Интернету.МГТУ им.
БауманаКафедра ИУ-636Сурков Л.В.Корпоративные сетиПрактикум «Построение виртуальных частных сетей VPNв сетевой среде Windows Server 2008/2003» Rev. 20101. Дважды щелкните объект соединения, создающий туннель с VPN-сервером компанииВ в ее интрасети.2. Когда появится приглашение, введите учетные данные, которые соответствуютспециальной пользовательской учетной записи, созданной в компании В.3.
Дважды щелкните объект соединения, создающий VPN с VPN-сервером компании А вИнтернете.4. Когда появится приглашение, введите учетные данные, которые соответствуют Вашейпользовательской учетной записи, имеющейся в компании А.Конфигурирование VPN-сервера компании АНастроите VPN-сервер компании А на прием VPN-соединений удаленного доступаот клиентов через Интернет и создайте политики удаленного доступа, требующиенаиболее защищенные типы аутентификации и шифрования.Конфигурирование VPN-сервера компании В1.2.3.4.Настройте VPN-сервер компании В следующим образом.Сконфигурируйте этот VPN-сервер на прием VPN-соединений удаленного доступа.Создайте вручную пул общих IP-адресов.Создайте группу Windows 2008 для пользовательских учетных записей сотрудниковдругой компании, устанавливающих сквозные VPN-соединения, например, группуVPN_PassThrough.Создайте пользовательские учетные записи для сотрудников компании А.Если сквозные VPN-соединения сотрудников из других компаний обслуживаютсятолько этим VPN-сервером, удалите политику по умолчанию Allow access if dialinpermission is enabled и создайте свою, назвав ее, например, VPN PassThrough for BusinessPartners.
В этой политике нужно установить разрешение на удаленный доступ как Grantremote access permission. Потом задайте условия и параметры профиля, как показано втаблицах 3 и 4. Параметры политики удаленного доступа, перечисленные в таблицах 3 и4, предполагают управление удаленным доступом на основе групп. С этой целью во всехпользовательских учетных записях нужно установить разрешение на удаленный доступкак Control access through Remote Access Policy.Таблица 3, Условия политики удаленного доступа для VPN-сервера компании ВNAS-Porl-Virtual (VPN)TypcCalledStation-IDIP-адрессоединенияWindowsGroupsинтерфейсаVPN-сервера,принимающегоVPN-Например, VPN_PassThroughТаблица 4.
Параметры профиля политики удаленного доступа для VPN-серверакомпании ВAuthenticationEncryptionУстановите флажок Microsoft Encrypted Authentication (MSCHAP)Выберите Basic, Strong или No encryptionМГТУ им. БауманаКафедра ИУ-637Сурков Л.В.Корпоративные сетиПрактикум «Построение виртуальных частных сетей VPNв сетевой среде Windows Server 2008/2003» Rev. 2010Шифрование первого туннеля (от сотрудника компании A до VPN-сервера компанииB) излишне и может отрицательно повлиять на производительность.Настройка фильтрацииDrop all packets except those that meet the criteria belowФильтрация пакетов для РРТРinИнтерфейс интрасетиИнтерфейс интрасетиIP-адрес сети назначения, маскаподсети 32 и TCP-порт назначения - 1723.IP-адрес сети назначения, маска подсети 32 и UDP-порт назначения - 1701.IP-адрес сети назначения, маскаподсети 32 и идентификатор IP-протокола 47.IP-адрес сети назначения, маска подсети 32 и UDP-порт назначения - 500.Интернет-интерфейс• IP-адрес сети назначения и маскуподсети для пула общих IP-адресов, атакже TCP-порт источника - 1723.• IP-адрес сети назначения и маскуподсети для пула общих IP-адресов, атакже идентификатор IP-протокола - 47.outФильтры пакетов для L2TP поверхiPSecИнтерфейс интрасетиИнтернет-интерфейсIP-адрес сети назначения и маску подсетидля пула общих IP-адресов, а такжеидентификатор IP-протокола - 50.IP-адрес сети назначения и маску подсетидля пула общих IP-адресов, а также UDP-портисточника - 500.Интерфейс интрасетиIP-адрес исходной сети, маскаподсети - 32 и TCP-порт источника - 1723.IP-адрес исходной сети, маска подсети 32 и UDP-порт источника - 1701.IP-адрес исходной сети, маскаподсети - 32 и идентификатор IP-протокола- 47.IP-адрес исходной сети, маска подсети 32 и UDP-порт источника - 500.Интернет-интерфейсIP-адрес исходной сети и маскуподсети для пула общих IP-адресов, атакже TCP-порт назначения - 1723.IP-адрес исходной сети и маскуподсети для пула общих IP-адресов, атакже идентификатор IP-протокола - 47.Интернет-интерфейсIP-адрес исходной сети и маску подсетидля пула общих IP-адресов, а такжеидентификатор IP-протокола - 50.IP-адрес исходной сети и маску подсетидля пула общих IP-адресов, а также UDP-портназначения - 500.Настройка компьютера VPN-клиента на использованиесквозной VPNЧтобы настроить РРТР-соединение:1Чтобы настроить соединение L2TPповерх IPSec:СоздатьобъектVPN-соединения,подключающий сотрудника компании А кVPN-серверу комп.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
