При создании подключения VPN типа "сеть-сеть" Шлюз Microsoft Forefront Threat Management предоставляет сводку локальных параметров подключения типа "сеть-сеть". Основываясь на локальных параметрах и необходимости зеркального отображения параметров локальной сети в удаленной сети, Forefront TMG также предоставляет рекомендуемые параметры для удаленной сети. Эта сводка доступна для протоколов Internet Protocol security (IPsec), Point-to-Point Tunneling Protocol (PPTP) и Layer Two Tunneling Protocol (L2TP) через IPsec-подключения типа "сеть-сеть".

Параметры IPSec

В сводке локальных параметров подключения типа "сеть-сеть" представлена следующая информация о параметрах для IP-подключений типа "сеть-сеть" и ссылки на параметры другого конца туннеля.

  • Локальная конечная точка туннеля. Локальный IP-адрес, через который выполнено VPN-подключение. Этот IP-адрес является рекомендованной удаленной конечной точкой туннеля для удаленной сети.

  • Удаленная конечная точка туннеля. Удаленный IP-адрес, через который выполнено VPN-подключение. Этот IP-адрес является рекомендованной локальной конечной точкой туннеля для удаленной сети.

  • Параметры IKE Phase I и Phase II. Параметры, используемые для согласования параметров туннеля IPsec. Эти параметры являются рекомендованными параметрами IPsec для удаленной сети. Следует особо отметить, что в удаленной и локальной сети должен использоваться одинаковый метод проверки подлинности. Используемый предварительный ключ должен быть идентичным для обоих концов туннеля.

  • IP-подсети удаленной сети myIPSec. myIPSec представляет имя, настроенное для удаленной сети. Это диапазон адресов, предоставленных для удаленной сети, преобразованных в формат подсети, который является стандартным для IPsec-подключений.

  • IP-подсети локальной сети. Диапазон адресов всех остальных сетей Forefront TMG, преобразованный в формат подсети.

Примечание.
Если не было создано правило, определяющее отношения между удаленными сетями и как минимум одной другой сетью Forefront TMG (обычно внутренней), процесс передачи и получения трафика из удаленной сети будет прерван, и на странице сводных данных появится предупреждение. Также, если не было создано правило доступа, позволяющее осуществлять передачу трафика в удаленную сеть и получать его оттуда, трафик будет заблокирован Forefront TMG.

Параметры PPTP и L2TP

В сводке локальных параметров подключения типа "сеть-сеть" представлена следующая информация о параметрах для PPTP- и L2TP-подключений типа "сеть-сеть" и ссылки на параметры другого конца туннеля.

  • Адрес удаленного шлюза. Для локальной сети это адрес в удаленной сети, к которому подключается Forefront TMG. В удаленной сети адресом удаленного шлюза должен быть IP-адрес или имя DNS, который разрешает IP-адрес на компьютере Forefront TMG.

  • Протоколы проверки подлинности сетей VPN (исходящие). Эти протоколы используются для проверки подлинности в удаленной сети. Один из этих протоколов должен входить в протоколы проверки подлинности общих параметров сети VPN удаленной сети. В рекомендуемых параметрах для удаленной сети они отображаются как общие протоколы проверки подлинности параметров сетей VPN.

  • Общие протоколы проверки подлинности параметров сетей VPN (входящие). Локальную сеть необходимо настроить на принятие одного из методов исходящей проверки подлинности удаленной сети. В рекомендуемых параметрах для удаленной сети они отображаются как протоколы проверки подлинности сетей VPN.

  • Метод исходящей проверки подлинности (только L2TP через IPsec). Это может быть предварительный секрет или сертификат. Как минимум один из этих методов должен быть методом входящей проверки подлинности в удаленной сети.

  • Метод входящей проверки подлинности (только L2TP через IPsec). Это может быть предварительный секрет, сертификат или и то и другое. Один из этих методов должен использоваться в удаленной сети как метод входящей проверки подлинности.

  • Локальный пользователь. Пользователь, имеющий удаленный доступ, должен быть настроен в локальной сети для инициации подключения удаленной сети к локальной. Имя учетной записи пользователя и имя сети с подключением типа "сеть-сеть" должны быть одинаковыми. Forefront TMG указывает имя пользователя, которое нужно создать в локальной сети, на основе имени подключения типа "сеть-сеть". При настройке параметров для удаленной сети необходимо использовать то же самое имя пользователя для подключения к локальной сети. Оно находится в группе Необходимые параметры для другого конца этого туннеля в списке Пользователи локальной сети.

  • Удаленный пользователь. Когда локальная сеть инициирует подключения к удаленной, это имя пользователя, которое локальная сеть использует для проверки подлинности удаленной сети. Имя пользователя должно соответствовать имени удаленной сети. Имена учетной записи пользователя и удаленной сети должны быть одинаковыми. Forefront TMG указывает имя пользователя, которое нужно создать в удаленной сети, на основе имени пользователя удаленной сети. При настройке параметров для удаленной сети имена сети и локального пользователя должны быть одинаковыми. Имя находится в группе Необходимые параметры для другого конца этого туннеля в списке Локальные пользователи.

  • Сетевой IP-адрес подключения типа "сеть-сеть". В списке локальных параметров представлены адреса удаленной сети. В списке для другого конца туннеля Forefront TMG указывает на необходимость предоставления сетевых адресов, с которыми удаленная сеть устанавливает отношения. Это может быть либо отношение маршрутизации, либо отношение NAT, при кортом удаленная сеть является источником, а локальная - местом назначения. Forefront TMG перечисляет IP-адреса, соответствующие этим требованиям, в группе Необходимые параметры подключения типа "сеть-сеть" для другого конца этого туннеля в списке Маршрутизируемые локальные IP-адреса.