Меню

Настройка pptp vpn в tmg 2010



Для системного администратора

Настройка PPTP VPN в TMG 2010

Threat Management Gateway 2010 позволяет администратору настроить безопасную частную виртуальную сеть (VPN) для подключения внешних клиентов большим количеством способов. Используя настройки Remote Access Policy (VPN) клиенты могут подключаться с помощью PPTP, L2TP/IPsec, и нового протокола SSTP. К сожалению у меня один внешний IP адрес и HTTPS протокол уже привязан к серверу RemoteApp, поэтому я не могу включить SSTP. В данном руководстве я покажу как включить удаленный доступ по протоколу PPTP.

  1. Настроим метод назначения адресов

  2. Все мои существующие в TMG сети используют адреса 172.16.0.xxx – 172.16.3.xxx, поэтому я выделяю для VPN клиентов новую подсеть – 172.16.4.xxx.
  3. Включаем доступ клиентов к VPN


  4. Указываем пользователей или группу, которые имеют право подключаться к VPN

  5. Проверяем настройки VPN

  6. Проверяем конфигурацию удаленного доступа


  7. Создаем правила файервола, разрешающее клиентам VPN доступ в сеть


    Как вы видите в этих правилах я выбрал All Outbound Traffic. Если вы хотите ограничить доступ по определенным протоколам, то можете выбрать нужные вам. Теперь само краткое описание правил:
    A – Разрешает VPN клиентам доступ к локальному хосту для успешного резолвинга DNS имен.
    B – Разрешает VPN клиентам доступ к локальной сети для доступа к внутренним ресурсам.
    C – Разрешает VPN клиентам доступ к Интернету на период подключения.
  8. Просмотрим сетевые правила

На этом конфигурация завершена, теперь можно подключаться к сети из любого места!

Полезные ссылки

Качественные и необходимые товары для здоровья и красоты тела.

Этот пост February 7, 2011 at 10:01 am опубликовал molse в категории TMG. Желающие могут оформить RSS подписку на комменты. Both comments and trackbacks are currently closed.

One Comment

Если все эти условия выполнены, но при подключении клиента, ошибка 800 или 812? Так как оба протокола разрешены PPTP и L2TP.

Источник

Настройка VPN по схеме Site to Site по протоколу PPTP с помощью Microsoft Forefront TMG

Посетителей: 14055 | Просмотров: 19968 (сегодня 0) Шрифт:

Несколько недель назад Microsoft выпустила версию Beta 3 Microsoft Forefront TMG (Threat Management Gateway) с массой новых восхитительных возможностей.

Microsoft Forefront TMG, как и ISA Server 2006, обладает встроенными возможностями клиентских VPN и Site to Site VPN. Site to Site VPN устанавливается в соответствии со следующими протоколами:

Конфигурации Site to Site VPN остались практически неизменными в TMG по сравнению с ISA Server 2006. Одна из новых функциональностей в клиентской VPN в TMG — поддержка VPN по протоколу SSTP (Secure Socket Tunneling Protocol), но эта функциональность — не то, о чем я хочу поговорить в данной статье.

Перейдем к конфигурации Site to Site VPN. Запустите консоль TMG Management console и перейдите к узлу Remote Access Policy (VPN). В панели task щелкните Create VPN Site-to-Site connection. Будет запущен мастер создания удаленного VPN-сайта.

Рисунок 1: Конфигурация удаленного VPN-сайта

Читайте также:  Настройки для lg gd510

Следуйте инструкциям мастера VPN Site-to-Site Connection Wizard и укажите имя для сети.

Рисунок 2: Сетевое имя Site-to-Site

Выберите протокол для VPN. Для примера в нашей статье выбран протокол Point-to-Point Tunneling Protocol (PPTP).

Рисунок 3: Выбор VPN-протокола

После выбора протокола PPTP появится всплывающее окно, предупреждающее вас о том, что вы должны создать пользовательский аккаунт для Site-to-Site VPN с именем, совпадающим с именем сети Site-to-Site VPN. Если эти имена не будут совпадать, произойдет ошибка конфигурации, либо будет установлено только клиентское VPN-соединение.

Рисунок 4: Напоминание о необходимости совпадения имени пользовательского аккаунта и имени сети

Давайте создадим пользовательский аккаунт для использования сетью Site-to-Site VPN на другом сервере TMG. Назовем этот аккаунт Hannover — так же, как и сеть. Активируйте пункты, не разрешающие изменение пароля или истечение срока его действия. Поставьте сильный пароль для этого пользовательского аккаунта.

Рисунок 5: Удаленный VPN-аккаунт

Теперь вы должны включить разрешение доступа к сети для аккаунта Site-to-Site VPN.

Рисунок 6: Разрешение доступа к сети

Следующий шаг в процессе настройки — выбор метода назначения IP-адресов для удаленного клиентского VPN-соединения с другой стороны Site-to-Site VPN. Также можно воспользоваться DHCP или IP-адресами из статического адресного пула.

Рисунок 7: Укажите диапазон IP-адресов

Если вы используете версию Microsoft Forefront TMG Enterprise, вы должны указать владельца соединения, когда Network Load Balancing не используется; что справедливо для нашего примера. Если NLB используется, владелец соединения назначается автоматически.

Рисунок 8: Укажите члена массива TMG в случае использования TMG Enterprise

Укажите IP-адрес или FQDN (Fully Qualified Domain Name) VPN-сервера удаленного сайта.

Рисунок 9: VPN-сервер удаленного сайта

Укажите пользовательский аккаунт удаленного сайта, используемый для соединения Site-to-Site. Этот аккаунт будет использоваться для установления соединения с удаленным сайтом.

Рисунок 10: Удаленная аутентификация

Сервер TMG должен знать диапазон IP-адресов удаленных сетей, к которым будет подключаться TMG. Вам нужно указать все диапазоны адресов удаленных сайтов.

Рисунок 11: Диапазоны адресов сети удаленных сайтов

Если вы используете NLB для подключения к удаленным сайтам, вам нужно указать DIP (Dedicated IP address) шлюза удаленного сайта. В нашем примере мы не используем NLB, поэтому ничего делать не нужно.

Рисунок 12: Настройка NLB удаленного сайта, если NLB используется

Соединение Site-to-Site VPN требует сетевого правила, соединяющего оба сайта Site-to-Site VPN. Мастер автоматически создает сетевое правило с отношением Route. Можно изменить это сетевое правило после завершения работы мастера.

Рисунок 13: Сетевое правило Site-to-Site

Мастер Site-to-Site VPN Wizard также автоматически создает правило сетевого доступа между двумя сайтами. Вы должны указать разрешенные протоколы в сети Site-to-Site. Желательно, чтобы число разрешенных протоколов было минимальным.

Рисунок 14: Правило доступа к сети Site-to-Site

На данном этапе мастер собрал всю необходимую информацию для создания Site-to-Site VPN. Вы можете просмотреть конфигурацию, после чего нажмите Finish.

Рисунок 15: Завершение работы мастера VPN Site-to-Site Network

Откроется новое окно, напоминающее вам о том, что вы должны создать локального пользователя для VPN-соединения Site-to-Site, чтобы другой сайт VPN-соединения мог использовать Site-to-Site VPN.

Читайте также:  Настройки в хроме инкогнито

Рисунок 16: Напоминание о других необходимых шагах настройки

Когда вы нажимаете Apply, создается Site-to-Site VPN. Свойства Site-to-Site VPN можно менять при желании. Щелкните правой кнопкой мыши на VPN-соединении и щелкните вкладку свойств. Тут вам стоит обратить внимание на connection timeout (истечение времени ожидания соединения) для неактивных соединений на вкладке Connection.

Рисунок 17: Свойства соединения

На вкладке Authentication вы можете выбрать протоколы аутентификации. MS-CHAP v2 — аутентификационный протокол по умолчанию, и изменять этот протокол стоит только в случае крайней необходимости, поскольку все остальные протоколы менее надежны по сравнению с MS-CHAP v2.

Рисунок 18: Выбор аутентификационных протоколов

Если вы хотите увидеть обзор свойств соединения Site-to-Site VPN, щелкните правой кнопкой мыши на правиле Site-to-Site и щелкните Site-to-Site Summary. Все это видно на следующем скриншоте.

Рисунок 19: Итоговая информация по Site-to-Site VPN

Затем вам нужно проверить правило брандмауэра, созданное мастером. Поскольку я использовал протокол PPTP в правиле брандмауэра, вы найдете правило под узлом Web Access Policy.

Рисунок 20: Правило доступа VPN Site-to-Site

И, наконец, вам нужно проверить сетевое правило, созданное мастером Site-to-Site VPN wizard. Вы найдете сетевое правило в консоли TMG Management console под узлом Networking на вкладке network rule.

Рисунок 21: Сетевое правило VPN Site-to-Site

Мы успешно настроили конфигурацию Site-to-Site VPN на одном сайте TMG. Теперь вам нужно настроить сервер TMG на другом сайте сети Site-to-Site VPN аналогичным образом.

Заключение

В этой статье я предоставил вам пример того, как нужно создавать VPN по схеме Site to Site по протоколу PPTP с помощью Microsoft Forefront Threat Management Gateway. Процесс почти такой же, как и в ISA Server 2006, поэтому у вас не должно быть особых сложностей.

Источник

Настройка pptp vpn в tmg 2010

Вопрос

Решил настроить на нашем файрволе VPN PPTP сервер. На свитче создал отдельных VLAN с отдельной подсетью, создал DHCP область, воткнул кабель в TMG с этой подсетью. Создал новую сеть в TMG с этой подсетью.

Указал в назначении адресов для VPN, что использовать DHCP с этой новой сети.

Сам интерфейс получил адрес по DHCP от свитча и работоспособен.

Однако при попытке соединиться появляется ошибка: «Ошибка 720: Не удается подключиться к удаленному компьютеру. Возможно, потребуется изменение сетевых параметров соединения».

На сервере в евентах появляется такая ошибка с номером евента 20253: «CoID=: Пользователь DOMA»IN\user, подключенный к порту VPN3-99, отключен, поскольку не удалось успешно согласовать ни один сетевой протокол.»

Однако, если в настройках VPN указать сеть не новосозданную, а обычную, в которой работает TMG, то соединение действительно успешно устанавливается. Клиент получает оттуда адрес и успешно работает с сетью.

Посмотрел статистику соединения, исходящего трафика в этом интерфейсе при VPN соединении нет.

Читайте также:  Mail merge thunderbird настройка

Может быть я что-то неверно настроил? И читал уже документы и пробовал использовать другой адаптер, статический адрес и все равно ничего не понятно.

MCITP: Server Administrator
MCTS: Desktop Virtualization
MCTS: Windows 7, Configuration

Все ответы

а можно поподробнее, где было указано «использовать DHCP с этой новой сети»?

а можно поподробнее, где было указано «использовать DHCP с этой новой сети»?

Конфигурация выглядит следующим образом:

В этой закладке я поменял сеть из которой брать адрес:

В настройках RRAS стоит верный адаптер.

Разрешил DHCP для всех сетей. Пробовал через ведение журнала определить есть ли отклоненные соединения. Также никаких соединений, связанных с новой сетью я не нашел.

MCITP: Server Administrator
MCTS: Desktop Virtualization
MCTS: Windows 7, Configuration

а если пул задать вручную, все работает?

а если пул задать вручную, все работает?

MCITP: Server Administrator
MCTS: Desktop Virtualization
MCTS: Windows 7, Configuration

правилами точно разрешен dhcp запрос от тмг в новую сеть и ответ из это сети на тмг?

правилами точно разрешен dhcp запрос от тмг в новую сеть и ответ из это сети на тмг?

Проверял, вроде не должно быть. Но решил проверить через журнал есть ли запросы DHCP. С удивлением обнаружил, что они вообще не идут никуда. Если установлен статический пул, то появляется сообщение DHCP (запрос), но если поставить dhcp на 7-ую подсеть, то в журнале пусто. Если настройках VPN указать внутреннюю сеть, то тоже появляется запрос в логах. Но, однако, еще появляется и DHCP (ответ), которого почему-то при статическом пуле нет.

В общем, судя по всему, TMG даже не пытается запросить адрес.

MCITP: Server Administrator
MCTS: Desktop Virtualization
MCTS: Windows 7, Configuration

правилами точно разрешен dhcp запрос от тмг в новую сеть и ответ из это сети на тмг?

Попробовал разобраться, проблема несколько иная. Получается, что действительно TMG блокирует DHCP. Вероятно, интерфейс успевал получить адрес во время загрузки. Однако если я пробую включить интерфейс после полной загрузки, то адрес интерфейс не получает, либо получает старый, но пишет что подлинность не проверена.

При этом от имени этого интерфейса я могу посылать пинги, например, то есть сам интерфейс рабочий.

Вот так выглядит ошибка:

Отклоненное соединение HALT 11.02.2013 23:54:27
Тип журнала: Служба межсетевого экрана
Состояние: Было заблокировано недопустимое предложение DHCP.
Источник: VPN Network (10.0.0.1:67)
Назначение: VPN Network (10.0.0.254:68)
Протокол: DHCP (ответ)
Дополнительные сведения

  • Число отправленных байтов: 0 Число полученных байтов: 0
  • Время обработки: 0ms Первоначальный IP-адрес клиента: 10.0.0.1

Примечание: это я изменил подсеть на не пересекающуюся. Ошибки те же что и при другой подсети.

Код результата в логах: 0xc004002c FWC_E_INVALID_DHCP_OFFER.

Такое ощущение, что ему чем-то не нравятся пакеты подтверждения. Чем они могут не нравиться? Все клиенты получают исправно адрес, а TMG чего-то не понравилось.

MCITP: Server Administrator
MCTS: Desktop Virtualization
MCTS: Windows 7, Configuration

Источник

Adblock
detector