Конфигурация VPN в Windows 2000

Новая операционная система упрощает установку безопасных Internet- соединений

За последние четыре года я написал много статей о различных объектах Windows 2000 и Windows NT. Однако больше всего откликов я получил (и сейчас получаю) на одну статью о настройках VPN.

В 1997 году тема VPN горячо обсуждалась на страницах компьютерных журналов, но использование NT Server для обеспечения VPN между двумя сетями можно было спокойно принять за интуитивный процесс. Недавно я вновь получил письмо в ответ на свою статью трехлетней давности - тема VPN по-прежнему актуальна. К счастью, усовершенствовав возможности сети VPN в операционной системе Windows 2000, разработчики Microsoft создали условия для более простого использования системы Windows 2000 по созданию сети VPN. Давайте посмотрим, как можно создать сеть VPN через Internet на базе двух серверов Windows 2000.

ЧТО ТАКОЕ VPN?

Сеть VPN - это частная защищенная сеть, которая функционирует поверх общедоступной незащищенной сети, к тому же у обеих сетей имеются общие точки входа и выхода. Т.е. можно создать свою сеть WAN поверх существующей сети (обычно это Internet), с затратами только на одно WAN-соединение вместо двух. Можно не только проложить одну сеть поверх другой, но и использовать такой безопасный способ подключения, который сохранит целостность данных.

Вам наверняка известна аналогия сообщений, посылаемых через сеть Internet с почтовыми открытками. Когда открытка путешествует по US Postal Service, любой сотрудник, который обрабатывает корреспонденцию, может прочитать её, поэтому открытки - далеко не безопасный способ передачи информации. То же самое верно и для обычного Internet-трафика. Любой желающий, располагающий определенными средствами, имеет возможность прочитать информацию, которую вы отправляете.

Предположим, требуется <обезопасить> посылаемое сообщение. Тогда Вы пишете текст на листе бумаги и вкладываете этот лист в конверт. Сеть VPN работает в похожем режиме, защищая данные, пока они путешествуют по сети.

СОЕДИНЯЯ ОФИСЫ

Рассмотрим вариант с главным и удаленным офисом - оба подключены к Internet - которым необходимо связываться друг с другом. Эти офисы имеют два основных варианта для соединения друг с другом. Первый вариант, это покупка выделенного канала, соединяющего между собой два сайта. Этот вариант обычно реализуется с помощью соединений ISDN, дробного T1 или сети с ретрансляцией кадров на каждом сайте. этот метод хорошо зарекомендовал себя на практике для связывания офисов, но связан с оплатой ежемесячного соединения, зависящей от расстояния между офисами или требуемой величины полосы пропускания.

В качестве альтернативы, если оба офиса имеют общие Internet соединения и частную внутреннюю LAN, можно просто сконфигурировать сервер Windows 2000 в каждом офисе и соединить их сетью VPN. На Схеме 1 показана сеть WAN с двумя серверами Windows 2000: MAIN-OFFICE и REMOTEOFFICE. Главный офис имеет подсеть в диапазоне адресов от 172.16.0.1 до 172.16.0.254, а удаленный офис имеет внутреннюю подсеть в диапазоне от 192.168.0.1 до 192.168.0.254. Эти офисы соединены через Internet, который можно использовать для строительства сети VPN. В этой статье любой адрес в диапазоне 10.х.х.х обозначает адрес в общедоступном участке Internet.

Схема 1

Давайте предположим, что каждый из двух сайтов имеет постоянное выделенное соединение в сети Internet и постоянный IP адрес от ISP. Хотя можно создать сеть VPN, работающую с коммутируемым подсоединением к Internet, с выделенным Internet-соединением работать проще. Постоянные IP-адреса Internet абсолютно необходимы каждому сайту, потому что будут определены статические маршруты, которым требуются статические адреса.

Серверы Windows 2000 в сети WAN примера, это изолированные машины (не состоящие в каком либо домене или участвующие в Active Directory - AD) и на них установлена только операционная система Windows 2000 Server. Из соображений безопасности система, подключенная к общедоступной сети Internet, имеет у себя так мало учетных записей, как это возможно. Строительство сервера, как изолированной системы, поможет использовать минимальное количество учетных записей. Я настоятельно советую использовать специализированный, маломощный компьютер для решения этих задач с установленной на нем только одной операционной системой. Я всегда поражаюсь тому, когда пользователи, установив программы Microsoft Proxy Server, Microsoft Exchange Server, RRAS, Microsoft IIS и массу других приложений на один сервер, начинают возмущаться тем, что они сталкиваются с проблемами при их запуске. Компания Microsoft постоянно убеждает, что вы можете устанавливать все необходимые приложения на любую систему, и они все будут прекрасно работать. Однако в действительности все обстоит не так как хочется, и чем больше используется приложений, тем больше усложняется конфигурация. Выход из ситуации прост. Я рекомендую использовать маломощную систему, может быть на старой системе с процессором Pentium II и тактовой частотой 300 МГц, и только для целей маршрутизации трафика.

CLIFFSNOTES-ВЕРСИЯ

Если вы принимаете мои аргументы, то вот краткий обзор как спланировать и решить эти задачи, до того как начать выполнять их. Во-первых, на каждом сайте определите интерфейс подключения по запросу, который указывает серверу Windows 2000 путь на другой сайт. Затем, на каждом сервере задаете статический путь, который указывает сеть на другом сайте. Далее, создайте на каждом сайте учетные записи для маршрутизаторов, которые используются для соединения друг с другом. В конце сконфигурируете рабочие станции в каждой сети, используя VPN-сервер Windows 2000 на соответствующем сайте как шлюз по умолчанию.

Строить VPN в сети с Windows 2000 проще, чем с NT, но возможности мастера еще не достаточны, поэтому я проведу вас шаг за шагом для создания конфигурации в удаленном офисе, который изображен на Схеме 1. После того как вы повторите те же шаги для конфигурации главного офиса, вы будете иметь полную функциональную сеть VPN.

На сервере из меню Administrative Tools выберите пункт Routing and Remote Access. Если на систему не установлен RRAS, то необходимо добавить его в конфигурацию сервера. Операционная система Windows 2000 не устанавливает или конфигурирует RRAS по умолчанию. Если RRAS предварительно установлен и сконфигурированы какие-либо маршруты или режимы удаленного доступа к системе, то будет необходимо использовать установки VPN, рекомендованные мною.

Нажмите правую кнопку мыши на имени сервера (например, REMOTEOFFICE в этом случае) на левой панели окна Microsoft Management Console (MMC), затем выберите Configure and Enable Routing and Remote Access (RRAS). Это действие запускает мастер, который проводит через процесс конфигурации RRAS в системе. Хотя мастера полезны для большинства задач администрирования и конфигурирования, в этом случае мастер не позволяет выполнить все необходимые операции по настройке. Следовательно, я рекомендую выбирать режим Manually Configured Server в первом диалоговом окне мастера.

После того как вы проинструктировали мастера, что хотите конфигурировать систему вручную, он запускает RRAS. После запуска RRAS снова нажмите правую кнопку мыши на имени сервера на левой панели окна MMC. Выберите пункт Properties и откроете страницу REMOTEOFFICE Properties. На закладке General убедитесь, что активизирован режим маршрутизации между локальной сетью и коммутируемым соединением. Вы можете спросить, почему используется термин <соединение по запросу>, ведь оба этих сервера имеют выделенные соединения с Internet и не будут использовать телефонную линию для подключения друг к другу. Тем не менее, компания Microsoft предпочитает использовать телефонную терминологию для инициирования VPN-соединений.

Следующий шаг - это выбор протоколов, которые сервер может маршрутизировать. В VPN данные шифруются и скрываются внутри IP пакетов, поэтому она может маршрутизировать протоколы, которые обычно не используются в Internet, такие как NWLink IPX/SPX. Для выбора протоколов, которые хочется маршрутизировать по сети Internet, отметьте режимы маршрутизации и соединения по запросу, затем щелкните левой кнопкой мыши на кнопке Apply. На Экране 2 показана закладка IP с необходимыми режимами. Проверьте закладки для протоколов, которые не требуется маршрутизировать, и сбросьте у них все установки по маршрутизации и соединению по запросу.

Экран 2.

СОЗДАНИЕ ИНТЕРФЕЙСА СОЕДИНЕНИЯ ПО ЗАПРОСУ

После того, как вы выбрали протоколы системы удаленного офиса для маршрутизации через сеть Internet, вы должны определить на удаленной системе интерфейс подключения по запросу к главной офисной системе и создать Internet соединение между двумя точками. В окне оснастки Routing and Remote Access нажмите правую кнопку мыши на контейнере Routing Interfaces на сервере REMOTEOFFICE и выберите New Demand-Dial Interface.

Первый шаг мастера - присваивание интерфейсу имени - очень важен. Хотя большинство мастеров Windows 2000 используют предлагаемое имя просто как описание, имя интерфейса подключения по запросу в удаленном офисе должно быть точно таким же, как имя в учетных записях в главном офисе. Причина этого проста. Когда сервер главного офиса получает входящий вызов (сигнал, что другой компьютер подсоединяется к серверу через Internet), Windows 2000 должна определить, кто подсоединяется - пользователь или маршрутизатор. Чтобы сделать это, система Windows 2000 сравнивает имя вызывающего пользователя со списком интерфейсов подключения по запросу. Если существует точное совпадение, Windows 2000 предполагает, что входящий абонент это маршрутизатор и реагирует соответственно. В противном случае, система Windows 2000 просто предполагает, что входящий абонент является обычным пользователем, подключающимся удаленно.

Поскольку присвоение имени есть такой важный шаг, я ещё раз повторю: Вы должны дать интерфейсу подключения по запросу имя, которое даете учетной записи для этого интерфейса на другой системе. Для сервера удаленного офиса в данном примере, требуется обратиться к интерфейсу подключения по запросу MAIN-OFFICE, потому что вы будете использовать этот интерфейс для соединения с главным офисом.