2005-11-11 19:11:46 by: h4x0r
集成ISA Server和RRAS实现具有高可用性和高安全性的站点间VPN-
摘要
本文讲述了如何集成ISA Server和Windows 2000 Server的RRAS实现具有高可用性和高安全性的站点间的VPN。
目录
环境分析
方案优点
服务器W2K系统安装及配置
证书服务安装配置
安装ISA Server
设置Local ISA VPN Server
设置Remote ISA VPN Server
PPTP连接
设置使用L2TP/IPSec
参考信息
作者介绍
环境分析
____________________
公司TEST.COM(虚构),总部位于广州,内有局域网使用192.168.0.0/24网段,在香港有一分公司,内有局域网使用192.168.1.0/24网段,两地都是通过ADSL专线接入Internet,分别有两个固定IP地址;现需要通过Site to Site VPN使两地局域网互连,使得两地的局域网用户互相可以访问两地局域网的任何网络资源,并且要求维护管理简单方便、高可用性、高安全性。
根据实际情况,我们现在通过集成ISA Server和RRAS(Windows 2000中Router and Remote Access Service)并且使用L2TP/IPSec协议实现Gateway to Gateway方式VPN,来实现TEST.COM公司需求。
方案优点
投资少:不用购买任何VPN硬件设备,利用现有的ISA服务器就可以实现;
配置简单:传统的VPN设备配置复杂,而本方案所有配置全部GUI图形界面;
维护管理方便:全部GUI图形界面,查看当前VPN状态一目了然;
客户端设置简单:局域网内客户端不需要安装任何软件,只要把网关指向本地的ISA服务器内网网卡的IP地址,就可以使用;
高安全性:使用L2TP/IPSec保证数据加密及安全性,并且ISA防火墙只允许本公司拥有的Internet IP才能通过防火墙;
服务器W2K系统安装及配置
GZ-DC-01:
服务:
Active Directory
Domain Name:test.com
DNS
IP配置:
Host Name:GZ-DC-01
Primary DNS Suffix:test.com
DNS Suffix Search List:test.com
Ethernet adapter Local Area Connection:
IP Address: 192.168.0.2
Subnet Mask: 255.255.255.0
Default Gateway: 192.168.0.1
DNS Server: 192.168.168.0.2
使用默认安装,使用Dcpromo提升为DC.
GZ-CA-01:
IP配置:
Host Name:GZ-CA-01
Primary DNS Suffix:test.com
DNS Suffix Search List:test.com
Ethernet adapter Local Area Connection:
IP Address: 192.168.0.3
Subnet Mask: 255.255.255.0
Default Gateway: 192.168.0.1
DNS Server: 192.168.168.0.2
使用默认安装,并手动设置IP配置,加入到test.com域,作为成员服务器.
GZ-VPN-01:
服务:
IP配置:
Host Name:GZ-VPN-01
Primary DNS Suffix:
DNS Suffix Search List:
Ethernet adapter Local Area Connection:(内部网卡)
IP Address: 192.168.0.1
Subnet Mask: 255.255.255.0
Default Gateway:
DNS Server:
Ethernet adapter Local Area Connection:(外部网卡)
IP Address: 202.100.100.2
Subnet Mask: 255.255.255.0
Default Gateway: 202.100.100.1
DNS Server: 202.96.128.110 (ISP DNS)
使用默认安装,并手动设置IP配置,独立服务器.
HK-SRV-01:
IP配置:
Host Name:HK-SRV-01
Ethernet adapter Local Area Connection:
IP Address: 192.168.1.2
Subnet Mask: 255.255.255.0
Default Gateway: 192.168.1.1
使用默认安装,并手动设置IP配置,作为成员服务器.
HK-VPN-01:
服务:
IP配置:
Host Name:HK-VPN-01
Ethernet adapter Local Area Connection:(内部网卡)
IP Address: 192.168.1.1
Subnet Mask: 255.255.255.0
Default Gateway:
DNS Server:
Ethernet adapter Local Area Connection:(外部网卡)
IP Address: 202.100.100.3
Subnet Mask: 255.255.255.0
Default Gateway: 202.100.100.1
DNS Server: 202.96.128.110 (ISP DNS)
使用默认安装,并手动设置IP配置,独立服务器.
证书服务安装配置
在GZ-DC-01域控制器上安装Certificate Services(证书服务)
单击Start,指向Settings,单击Control Panel;打开Add/Remove Programs,单击Add/Remove Windows Components按钮;选择Certificate Services,然后你将看到警告对话框,单击Yes按钮。(如图2)
单击NEXT按扭,在Certification Authority Type页,选择Enterprise root CA;单击NEXT按钮,
在CA Identifying Information页,输入相关的信息;如图3:
单击NEXT按钮,选择Store configuration information in a shared folder,输入共享目录(\\GZ-DC-01\certconfig先自己建立好),单击NEXT按钮,如图4:
你将看到一个警告提示框,单击OK按钮,单击Finish按钮,Certificate Services安装完成。
设置通过组策略自动获取证书
在GZ-DC-01单击Start,指向Programs,指向Administrative Tools,单击Active Directory Users and Computers;右击test.com,单击Properties,选择Group Policy,选择Default Domain Policy,单击EDIT按扭;在Computer Configuration展开Security Settings,展开Public Key Policies;右击Automatic Certificate Request Settings,指向New,单击Automatic Certificate Request;如图5:
然后会出现Welcome to Automatic Certificate Request Setup Wizard,单击NEXT,在Certificate Template页,选择Computer,单击NEXT按钮;在Certificate Authority页,单击NEXT,最后单击Finish按钮。
确定GZ-CA-01已经自动获取了证书
在GZ-CA-01 运行Secedit /refreshpolicy machine_policy /enforce,让GZ-CA-01立即套用Machine组策略,自动获取证书。
然后,单击Start,单击Run,输入mmc,单击Console菜单,单击Add/Remove Snap-in,在Add/Remove Snap-in窗口单击Add按钮,单击Certificates,单击Add按钮,在Certificates snap-in窗口中选择Computer account,单击NEXT按钮,在Select Computer窗口中,单击Finish按钮,单击Close按钮,单击OK按钮;
展开Certificates(Local Computer),展开Personal,单击Certificates,在右边窗口中你将可以看到一张已颁发的证书(如图6),你可以双击这张证书查看证书的详细资料。
安装Stand-alone Root CA
在GZ-CA-01电脑安装Stand-alone Root CA。
单击Start,指向Settings,单击Control Panel;打开Add/Remove Programs,单击Add/Remove Windows Components按钮;选择Certificate Services,然后你将看到警告对话框,单击Yes按钮。
单击NEXT按扭,在Certification Authority Type页,选择Stand-alone Root CA;单击NEXT按钮,
在CA Identifying Information页,输入相关的信息;如图7:
单击NEXT按钮,选择Store configuration information in a shared folder,输入共享目录(\\GZ-CA-01\certconfig先自己建立好),单击NEXT按钮,你将看到一个警告提示框,单击OK按钮,单击Finish按钮,Certificate Services安装完成。
通过WEB从Standlone Root申请证书
在GZ-VPN-01电脑打开IE浏览器,输入http://GZ-CA-01/certsrv,如图8:
在Welcome页,选择Request a certificate,单击Next>按钮;在Choose Request Type页,选择Advanced request,单击Next>按钮;在Advanced Certificate Requests页,选择Submit a certificate request to this CA using a form. ,单击Next>按钮;在Advanced Certificate Request页中的Identifying Information:,填写详细料,如图9:
在Advanced Certificate Request页中的Key Options:,设置Key Size为512,并选择Mark keys as exportable和Use local machine store,如图10:
单击Submit>按钮,你将看到Certificate Pending页。
然后到GZ-CA-01电脑给GZ-VPN-01颁发刚刚申请的证书,在GZ-CA-01单击Start,指向Programs,指向Administrative,单击Certificate Authority;
在Certificate Authority中,展开Certificate Authority(Local),单击Pending Request,在右边的窗口你可以看到一张正在等待审核的证书,你右击那张证书,指向All Tasks,单击Issue,如图11:
然后再回到GZ-VPN-01的IE浏览器,单击右上角的Home,回到Welcome页,在Welcome页,选择Check on a pending certificate,单击NEXT>按钮,在Check On A Pending Certificate Request页,选择NEXT>按钮(如图12),在 Certificate Issued页,单击Install this certificate,然后这张新的证书将被完全安装。
安装ISA Server
在GZ-VPN-01和HK-VPN-01安装ISA Server。按下面步骤执行:
1. 放入ISA 2000光盘自动运行或运行光盘中的ISAAutorun.exe程序;
2. 单击安装Install ISA Server;
3. 在Welcome页,单击Continue;
4. 输入CD KEY,单击OK;
5. 单击I Agree;
6. 选择Full Installation
7. 出现"This computer cannot join an array….."对话框,单击YES按钮,
8. 在Select the mode for this server页,选择Integrated mode,单击Continue;
9. 出现"Setup has stopped your IIS…",单击OK;
10. 出现Cache设置页,单击OK;
11. 出现LAT Construct设置页,单击Construct Table…按钮;
12. 出现Local Address Table页,选择192.168.0.1那块网卡,单击Add the following private ranges…不选择它,然后单击OK按钮。如下图13:(注:HK-VPN-01设置见下图14)
13. 出现Setup Message页,单击OK按钮,回到LAT Construct设置页,单击OK按钮;
14. 出现Launch ISA Management Tool页,单击OK按钮;
15. 出现ISA Server Setup was completed successfully页,单击OK;
16. ISA Management将打开,单击View菜单,单击Advanced;
17. 重新启动GZ-VPN-01和HK-VPN-01。
设置Local ISA VPN Server
通过Set up Local ISA VPN Server向导,在GZ-VPN-01设置Local ISA VPN Server:
1、 打开ISA Management;
2、 展开Servers and Arrays,展开GZ-VPN-01,右击Network Configuration,单击Set Up Local ISA VPN Server…,如图15:
3、 出现Welcome to the Local ISA Server VPN Configuration Wizard页,单击NEXT按钮;
4、 出现是否允许RRAS启动,单击Yes;
5、 出现ISA Virtual Private Network [VPN] Identification页,在Type a short name to describe the local network输入GZ,在Type a short name to describe the remote network输入HK,然后单击Next>按钮;
6、 出现ISA Virtual Private Network [VPN] Protocol协议,选择Use L2TP over IPSec,if available.Otherwise,use PPTP协议,单击Next>按钮,如图16;
7、 出现Two-way Communication页,选择Both the local and remote ISA VPN computers can initiate communication,在Type the fully qualified domain name or IP address of the remote VPN computer输入202.100.100.3,在Type the remote VPN computer name or the remote domain name输入HK-VPN-01,单击Next>按钮,如图17;
8、 出现Remote Virtual Private Network[VPN] Network页,单击Add…按钮,在From:输入192.168.1.0,在To:输入192.168.1.255,单击OK按钮,如图18,单击Next>按钮;
9、 出现Local Virtual Private Network [VPN] Network页,我们按默认设置,直接单击Next>按钮;
10、 出现ISA VPN Computer Configuration File页,在File name:输入a:\GZ_HK.vpc,在Password:和Confirm password:输入密码,(注:密码设置8位以上,尽量复杂化),然后单击Next>按钮;
11、 出现Completing the ISA VPN Setup Wizard页,你可以单击Details按钮,查看刚才的配置,单击Finish按钮
--------------------------------------------------------------------------------
设置Remote ISA VPN Server
通过Set up Remote ISA VPN Server向导,在HK-VPN-01设置Remote ISA VPN Server:
1、 开ISA Management;展开Servers and Arrays,展开HK-VPN-01,右击Network Configuration,单击Set Up Remote ISA VPN Server…;
2、 出现Welcome to the Remote ISA Server VPN Configuration Wizard页,单击NEXT按钮;
3、 出现是否允许RRAS启动,单击Yes按钮;
4、 出现ISA VPN Computer Configuration File页,在File name输入A:\GZ_HK.vpc(就是在GZ-VPN-01生成的那个文件),在Password输入密码(就是在GZ-VPN-01 Set up Local ISA VPN Server设置的密码);如图19
5、 出现Complete the ISA VPN Setup Wizard页,你可以单击Details按钮,查看详细配置,单击Finish按钮,设置完成。
设置RRAS的IP
在GZ-VPN-01和HK-VPN-01设置RRAS的IP
1、 在GZ-VPN-01单击Start,指向Programs,指向Administrative Tools,单击Routing and Remote Access;
2、 右击GZ-VPN-01(local),单击Properties,单击IP,单击Static Address Pool,在Adapter选择Local Area Connection,然后,单击Add按钮,在Start IP address输入192.168.0.240,在End IP address输入192.168.0.250,单击OK按钮,单击OK按钮,如图20;
3、 在HK-VPN-01同上面一样设置,只是Start IP address为192.168.1.240,End IP address为192.168.1.250,如图21;
PPTP连接
现在在GZ-VPN-01,打开Routing And Remote Access,展开HK-VPN-01(local),单击Routing Interfaces,在边窗口可以看见GZ_HK的Routing Interfaces,右击GZ_HK,单击Properties,单击Options,单击Persistent connection,单击OK按钮,如图22,在HK-VPN-01执行同样操作;
然后右击GZ_HK,单击Connect,然后会出现一个正在连接的窗口,连接成功之后,GZ_HK的Connection State会变成Connected。
然后在GZ-DC-01测试是否可以Ping通HK-SRV-01,单击Start,单击Run,输入cmd,单击OK按钮,输入ping –t 192.168.1.2,如图23;
如果可以ping通,说明基于PPTP协议的VPN已经建立成功,但我们的最终目标是把VPN建立在L2TP/IPSec协议上。
为HK-VPN-01申请证书
1、 在HK-VPN-01打开IE浏览器,输入http://192.168.0.3/certsrv;
2、 在Welcome页,选择Request a certificate,单击Next>按钮;在Choose Request Type页,选择Advanced request,单击Next>按钮;在Advanced Certificate Requests页,选择Submit a certificate request to this CA using a form. ,单击Next>按钮;在Advanced Certificate Request页中的Identifying Information:,填写详细料,如图24:
3、 在Advanced Certificate Request页中的Key Options:,设置Key Size为512,并选择Mark keys as exportable和Use local machine store,同GZ-VPN-01申请证书设置一样,申请完成之后;
4、 在GZ-CA-01颁发证书给HK-VPN-01,并且在GZ-VPN-01安装证书,具体操作和为GZ-VPN-01申请证书操作一样,这里就不多讲了。
--------------------------------------------------------------------------------
设置使用L2TP/IPSec
1、 在GZ-VPN-01打开Routing and Remote Access;
2、 展开GZ-VPN-01(local),单击Routing Interfaces;
3、 右击GZ_VPN demand-dial interface,单击Properties;
4、 在Properties页,单击Networking,在Type of VPN server I an calling选择Layer-2 Tunneling Protocol(L2TP),然后单击OK按钮,出现提示框,单击OK,如图25,在HK-VPN-01执行同样操作;
5、 然后,重新启动GZ-VPN-01和HK-VPN-01;
6、 在GZ-VPN-01打开Routing and Remote Access,展开GZ-VPN-01(local),单击Ports,如果连接成功,你可以在右边看到有一个WAN Miniport(L2TP)的Prot已经是Active的,如图26:
7、 然后在GZ-DC-01 ping HK-SRV-01,如果可以ping通,恭喜你!!!说明你已经成功的建立了基于L2TP/IPSec协议Gateway to Gateway方式的VPN。
现在你要做的,只是把两地局域网内电脑的Default Gateway指向本地的ISA服务器内网网卡的IP就设置完成了,可以访问对方网络.
参考信息
ISA Server Support Center
How to Join or Access an Internal Domain from an External Client Using ISA Server and VPN
作者介绍
黄义辉,持有MCSE、MCDBA证书,擅长Windows 2000、AD、Exchange 2000 Server、ISA 2000 Server、SQL Server等系统规划、部署及管理.
Comments Feed: http://www.4evil.org/feed.asp?q=comment&id=69
本文讲述了如何集成ISA Server和Windows 2000 Server的RRAS实现具有高可用性和高安全性的站点间的VPN。
目录
环境分析
方案优点
服务器W2K系统安装及配置
证书服务安装配置
安装ISA Server
设置Local ISA VPN Server
设置Remote ISA VPN Server
PPTP连接
设置使用L2TP/IPSec
参考信息
作者介绍
环境分析
____________________
公司TEST.COM(虚构),总部位于广州,内有局域网使用192.168.0.0/24网段,在香港有一分公司,内有局域网使用192.168.1.0/24网段,两地都是通过ADSL专线接入Internet,分别有两个固定IP地址;现需要通过Site to Site VPN使两地局域网互连,使得两地的局域网用户互相可以访问两地局域网的任何网络资源,并且要求维护管理简单方便、高可用性、高安全性。
根据实际情况,我们现在通过集成ISA Server和RRAS(Windows 2000中Router and Remote Access Service)并且使用L2TP/IPSec协议实现Gateway to Gateway方式VPN,来实现TEST.COM公司需求。
方案优点
投资少:不用购买任何VPN硬件设备,利用现有的ISA服务器就可以实现;
配置简单:传统的VPN设备配置复杂,而本方案所有配置全部GUI图形界面;
维护管理方便:全部GUI图形界面,查看当前VPN状态一目了然;
客户端设置简单:局域网内客户端不需要安装任何软件,只要把网关指向本地的ISA服务器内网网卡的IP地址,就可以使用;
高安全性:使用L2TP/IPSec保证数据加密及安全性,并且ISA防火墙只允许本公司拥有的Internet IP才能通过防火墙;
服务器W2K系统安装及配置
GZ-DC-01:
服务:
Active Directory
Domain Name:test.com
DNS
IP配置:
Host Name:GZ-DC-01
Primary DNS Suffix:test.com
DNS Suffix Search List:test.com
Ethernet adapter Local Area Connection:
IP Address: 192.168.0.2
Subnet Mask: 255.255.255.0
Default Gateway: 192.168.0.1
DNS Server: 192.168.168.0.2
使用默认安装,使用Dcpromo提升为DC.
GZ-CA-01:
IP配置:
Host Name:GZ-CA-01
Primary DNS Suffix:test.com
DNS Suffix Search List:test.com
Ethernet adapter Local Area Connection:
IP Address: 192.168.0.3
Subnet Mask: 255.255.255.0
Default Gateway: 192.168.0.1
DNS Server: 192.168.168.0.2
使用默认安装,并手动设置IP配置,加入到test.com域,作为成员服务器.
GZ-VPN-01:
服务:
IP配置:
Host Name:GZ-VPN-01
Primary DNS Suffix:
DNS Suffix Search List:
Ethernet adapter Local Area Connection:(内部网卡)
IP Address: 192.168.0.1
Subnet Mask: 255.255.255.0
Default Gateway:
DNS Server:
Ethernet adapter Local Area Connection:(外部网卡)
IP Address: 202.100.100.2
Subnet Mask: 255.255.255.0
Default Gateway: 202.100.100.1
DNS Server: 202.96.128.110 (ISP DNS)
使用默认安装,并手动设置IP配置,独立服务器.
HK-SRV-01:
IP配置:
Host Name:HK-SRV-01
Ethernet adapter Local Area Connection:
IP Address: 192.168.1.2
Subnet Mask: 255.255.255.0
Default Gateway: 192.168.1.1
使用默认安装,并手动设置IP配置,作为成员服务器.
HK-VPN-01:
服务:
IP配置:
Host Name:HK-VPN-01
Ethernet adapter Local Area Connection:(内部网卡)
IP Address: 192.168.1.1
Subnet Mask: 255.255.255.0
Default Gateway:
DNS Server:
Ethernet adapter Local Area Connection:(外部网卡)
IP Address: 202.100.100.3
Subnet Mask: 255.255.255.0
Default Gateway: 202.100.100.1
DNS Server: 202.96.128.110 (ISP DNS)
使用默认安装,并手动设置IP配置,独立服务器.
证书服务安装配置
在GZ-DC-01域控制器上安装Certificate Services(证书服务)
单击Start,指向Settings,单击Control Panel;打开Add/Remove Programs,单击Add/Remove Windows Components按钮;选择Certificate Services,然后你将看到警告对话框,单击Yes按钮。(如图2)
单击NEXT按扭,在Certification Authority Type页,选择Enterprise root CA;单击NEXT按钮,
在CA Identifying Information页,输入相关的信息;如图3:
单击NEXT按钮,选择Store configuration information in a shared folder,输入共享目录(\\GZ-DC-01\certconfig先自己建立好),单击NEXT按钮,如图4:
你将看到一个警告提示框,单击OK按钮,单击Finish按钮,Certificate Services安装完成。
设置通过组策略自动获取证书
在GZ-DC-01单击Start,指向Programs,指向Administrative Tools,单击Active Directory Users and Computers;右击test.com,单击Properties,选择Group Policy,选择Default Domain Policy,单击EDIT按扭;在Computer Configuration展开Security Settings,展开Public Key Policies;右击Automatic Certificate Request Settings,指向New,单击Automatic Certificate Request;如图5:
然后会出现Welcome to Automatic Certificate Request Setup Wizard,单击NEXT,在Certificate Template页,选择Computer,单击NEXT按钮;在Certificate Authority页,单击NEXT,最后单击Finish按钮。
确定GZ-CA-01已经自动获取了证书
在GZ-CA-01 运行Secedit /refreshpolicy machine_policy /enforce,让GZ-CA-01立即套用Machine组策略,自动获取证书。
然后,单击Start,单击Run,输入mmc,单击Console菜单,单击Add/Remove Snap-in,在Add/Remove Snap-in窗口单击Add按钮,单击Certificates,单击Add按钮,在Certificates snap-in窗口中选择Computer account,单击NEXT按钮,在Select Computer窗口中,单击Finish按钮,单击Close按钮,单击OK按钮;
展开Certificates(Local Computer),展开Personal,单击Certificates,在右边窗口中你将可以看到一张已颁发的证书(如图6),你可以双击这张证书查看证书的详细资料。
安装Stand-alone Root CA
在GZ-CA-01电脑安装Stand-alone Root CA。
单击Start,指向Settings,单击Control Panel;打开Add/Remove Programs,单击Add/Remove Windows Components按钮;选择Certificate Services,然后你将看到警告对话框,单击Yes按钮。
单击NEXT按扭,在Certification Authority Type页,选择Stand-alone Root CA;单击NEXT按钮,
在CA Identifying Information页,输入相关的信息;如图7:
单击NEXT按钮,选择Store configuration information in a shared folder,输入共享目录(\\GZ-CA-01\certconfig先自己建立好),单击NEXT按钮,你将看到一个警告提示框,单击OK按钮,单击Finish按钮,Certificate Services安装完成。
通过WEB从Standlone Root申请证书
在GZ-VPN-01电脑打开IE浏览器,输入http://GZ-CA-01/certsrv,如图8:
在Welcome页,选择Request a certificate,单击Next>按钮;在Choose Request Type页,选择Advanced request,单击Next>按钮;在Advanced Certificate Requests页,选择Submit a certificate request to this CA using a form. ,单击Next>按钮;在Advanced Certificate Request页中的Identifying Information:,填写详细料,如图9:
在Advanced Certificate Request页中的Key Options:,设置Key Size为512,并选择Mark keys as exportable和Use local machine store,如图10:
单击Submit>按钮,你将看到Certificate Pending页。
然后到GZ-CA-01电脑给GZ-VPN-01颁发刚刚申请的证书,在GZ-CA-01单击Start,指向Programs,指向Administrative,单击Certificate Authority;
在Certificate Authority中,展开Certificate Authority(Local),单击Pending Request,在右边的窗口你可以看到一张正在等待审核的证书,你右击那张证书,指向All Tasks,单击Issue,如图11:
然后再回到GZ-VPN-01的IE浏览器,单击右上角的Home,回到Welcome页,在Welcome页,选择Check on a pending certificate,单击NEXT>按钮,在Check On A Pending Certificate Request页,选择NEXT>按钮(如图12),在 Certificate Issued页,单击Install this certificate,然后这张新的证书将被完全安装。
安装ISA Server
在GZ-VPN-01和HK-VPN-01安装ISA Server。按下面步骤执行:
1. 放入ISA 2000光盘自动运行或运行光盘中的ISAAutorun.exe程序;
2. 单击安装Install ISA Server;
3. 在Welcome页,单击Continue;
4. 输入CD KEY,单击OK;
5. 单击I Agree;
6. 选择Full Installation
7. 出现"This computer cannot join an array….."对话框,单击YES按钮,
8. 在Select the mode for this server页,选择Integrated mode,单击Continue;
9. 出现"Setup has stopped your IIS…",单击OK;
10. 出现Cache设置页,单击OK;
11. 出现LAT Construct设置页,单击Construct Table…按钮;
12. 出现Local Address Table页,选择192.168.0.1那块网卡,单击Add the following private ranges…不选择它,然后单击OK按钮。如下图13:(注:HK-VPN-01设置见下图14)
13. 出现Setup Message页,单击OK按钮,回到LAT Construct设置页,单击OK按钮;
14. 出现Launch ISA Management Tool页,单击OK按钮;
15. 出现ISA Server Setup was completed successfully页,单击OK;
16. ISA Management将打开,单击View菜单,单击Advanced;
17. 重新启动GZ-VPN-01和HK-VPN-01。
设置Local ISA VPN Server
通过Set up Local ISA VPN Server向导,在GZ-VPN-01设置Local ISA VPN Server:
1、 打开ISA Management;
2、 展开Servers and Arrays,展开GZ-VPN-01,右击Network Configuration,单击Set Up Local ISA VPN Server…,如图15:
3、 出现Welcome to the Local ISA Server VPN Configuration Wizard页,单击NEXT按钮;
4、 出现是否允许RRAS启动,单击Yes;
5、 出现ISA Virtual Private Network [VPN] Identification页,在Type a short name to describe the local network输入GZ,在Type a short name to describe the remote network输入HK,然后单击Next>按钮;
6、 出现ISA Virtual Private Network [VPN] Protocol协议,选择Use L2TP over IPSec,if available.Otherwise,use PPTP协议,单击Next>按钮,如图16;
7、 出现Two-way Communication页,选择Both the local and remote ISA VPN computers can initiate communication,在Type the fully qualified domain name or IP address of the remote VPN computer输入202.100.100.3,在Type the remote VPN computer name or the remote domain name输入HK-VPN-01,单击Next>按钮,如图17;
8、 出现Remote Virtual Private Network[VPN] Network页,单击Add…按钮,在From:输入192.168.1.0,在To:输入192.168.1.255,单击OK按钮,如图18,单击Next>按钮;
9、 出现Local Virtual Private Network [VPN] Network页,我们按默认设置,直接单击Next>按钮;
10、 出现ISA VPN Computer Configuration File页,在File name:输入a:\GZ_HK.vpc,在Password:和Confirm password:输入密码,(注:密码设置8位以上,尽量复杂化),然后单击Next>按钮;
11、 出现Completing the ISA VPN Setup Wizard页,你可以单击Details按钮,查看刚才的配置,单击Finish按钮
--------------------------------------------------------------------------------
设置Remote ISA VPN Server
通过Set up Remote ISA VPN Server向导,在HK-VPN-01设置Remote ISA VPN Server:
1、 开ISA Management;展开Servers and Arrays,展开HK-VPN-01,右击Network Configuration,单击Set Up Remote ISA VPN Server…;
2、 出现Welcome to the Remote ISA Server VPN Configuration Wizard页,单击NEXT按钮;
3、 出现是否允许RRAS启动,单击Yes按钮;
4、 出现ISA VPN Computer Configuration File页,在File name输入A:\GZ_HK.vpc(就是在GZ-VPN-01生成的那个文件),在Password输入密码(就是在GZ-VPN-01 Set up Local ISA VPN Server设置的密码);如图19
5、 出现Complete the ISA VPN Setup Wizard页,你可以单击Details按钮,查看详细配置,单击Finish按钮,设置完成。
设置RRAS的IP
在GZ-VPN-01和HK-VPN-01设置RRAS的IP
1、 在GZ-VPN-01单击Start,指向Programs,指向Administrative Tools,单击Routing and Remote Access;
2、 右击GZ-VPN-01(local),单击Properties,单击IP,单击Static Address Pool,在Adapter选择Local Area Connection,然后,单击Add按钮,在Start IP address输入192.168.0.240,在End IP address输入192.168.0.250,单击OK按钮,单击OK按钮,如图20;
3、 在HK-VPN-01同上面一样设置,只是Start IP address为192.168.1.240,End IP address为192.168.1.250,如图21;
PPTP连接
现在在GZ-VPN-01,打开Routing And Remote Access,展开HK-VPN-01(local),单击Routing Interfaces,在边窗口可以看见GZ_HK的Routing Interfaces,右击GZ_HK,单击Properties,单击Options,单击Persistent connection,单击OK按钮,如图22,在HK-VPN-01执行同样操作;
然后右击GZ_HK,单击Connect,然后会出现一个正在连接的窗口,连接成功之后,GZ_HK的Connection State会变成Connected。
然后在GZ-DC-01测试是否可以Ping通HK-SRV-01,单击Start,单击Run,输入cmd,单击OK按钮,输入ping –t 192.168.1.2,如图23;
如果可以ping通,说明基于PPTP协议的VPN已经建立成功,但我们的最终目标是把VPN建立在L2TP/IPSec协议上。
为HK-VPN-01申请证书
1、 在HK-VPN-01打开IE浏览器,输入http://192.168.0.3/certsrv;
2、 在Welcome页,选择Request a certificate,单击Next>按钮;在Choose Request Type页,选择Advanced request,单击Next>按钮;在Advanced Certificate Requests页,选择Submit a certificate request to this CA using a form. ,单击Next>按钮;在Advanced Certificate Request页中的Identifying Information:,填写详细料,如图24:
3、 在Advanced Certificate Request页中的Key Options:,设置Key Size为512,并选择Mark keys as exportable和Use local machine store,同GZ-VPN-01申请证书设置一样,申请完成之后;
4、 在GZ-CA-01颁发证书给HK-VPN-01,并且在GZ-VPN-01安装证书,具体操作和为GZ-VPN-01申请证书操作一样,这里就不多讲了。
--------------------------------------------------------------------------------
设置使用L2TP/IPSec
1、 在GZ-VPN-01打开Routing and Remote Access;
2、 展开GZ-VPN-01(local),单击Routing Interfaces;
3、 右击GZ_VPN demand-dial interface,单击Properties;
4、 在Properties页,单击Networking,在Type of VPN server I an calling选择Layer-2 Tunneling Protocol(L2TP),然后单击OK按钮,出现提示框,单击OK,如图25,在HK-VPN-01执行同样操作;
5、 然后,重新启动GZ-VPN-01和HK-VPN-01;
6、 在GZ-VPN-01打开Routing and Remote Access,展开GZ-VPN-01(local),单击Ports,如果连接成功,你可以在右边看到有一个WAN Miniport(L2TP)的Prot已经是Active的,如图26:
7、 然后在GZ-DC-01 ping HK-SRV-01,如果可以ping通,恭喜你!!!说明你已经成功的建立了基于L2TP/IPSec协议Gateway to Gateway方式的VPN。
现在你要做的,只是把两地局域网内电脑的Default Gateway指向本地的ISA服务器内网网卡的IP就设置完成了,可以访问对方网络.
参考信息
ISA Server Support Center
How to Join or Access an Internal Domain from an External Client Using ISA Server and VPN
作者介绍
黄义辉,持有MCSE、MCDBA证书,擅长Windows 2000、AD、Exchange 2000 Server、ISA 2000 Server、SQL Server等系统规划、部署及管理.
Comments Feed: http://www.4evil.org/feed.asp?q=comment&id=69
There is no comment on this article.
