Мастер создания сетей VPN типа "сеть-сеть" помогает настроить Forefront TMG на создание VPN-подключения типа "сеть-сеть" от удаленной сети к корпоративной сети.

В мастере можно выполнить следующие задачи:

После выполнения мастера можно настроить дополнительные параметры, чтобы включить VPN-подключение.

В следующей процедуре описана настройка VPN-подключения типа "сеть-сеть" на Forefront TMG.

Создание VPN-подключения к удаленным сетям

Чтобы создать сеть VPN типа "сеть-сеть"

  1. В дереве консоли управления Forefront TMG щелкните узел Политика удаленного доступа (VPN).

  2. В области сведений откройте вкладку Удаленные сети.

  3. На вкладке Задачи щелкните Создать VPN-подключение типа "сеть-сеть".

  4. В мастере Создать VPN-подключение типа "сеть-сеть" следуйте инструкциям на экране, обращая внимание на следующее:

    1. На странице приветствия в поле Имя сети типа "сеть-сеть" необходимо ввести точное имя шлюза удаленной сети.

    2. Обратите внимание на следующие особенности туннельного протокола IPsec:

      • При создании удаленной сети, использующей протокол IPsec, служба межсетевого экрана Майкрософт изменяет фильтры IPsec после своего перезапуска. В зависимости от количества подсетей, включенных в диапазоны адресов для сети, этот процесс может занять несколько минут. Для снижения эффекта рекомендуется определить диапазоны IP-адресов, которые находятся на границах подсети.

      • Если остановить или перезапустить службу IPsec PolicyAgent, вся динамическая информация о настройке IPsec будет потеряна, включая параметры настройки VPN-подключения типа "сеть-сеть" по протоколу IPsec в Forefront TMG, и клиенты VPN будут отключены. Чтобы восстановить значения параметров, запустите службу PolicyAgent или перезапустите службу межсетевого экрана.

    3. Если сервер Forefront TMG является членом массива, на странице Владелец подключения выберите член массива, который будет выступать в роли конечной точки VPN-туннеля в массиве. Если в массиве включена балансировка сетевой нагрузки, владельца подключения указывать не нужно — он будет назначен автоматически.

    4. Если используется проверка подлинности сертификата с VPN-протоколом L2TP/IPSec, серверы Forefront TMG на обеих сторонах VPN должны иметь цифровые сертификаты от одного и того же центра сертификации. Обратите внимание, что проверка подлинности сертификата является рекомендуемым и наиболее безопасным методом протокола.

    5. Диапазон адресов для удаленного VPN-сервера, вводимый на странице Адреса сети, должен в точности соответствовать определению сети и маске подсети в удаленной сети.

  5. Чтобы просмотреть сводные сведения о конфигурации сети VPN типа "сеть-сеть", щелкните правой кнопкой мыши выбранную сеть и выберите Сводка по подключениям типа "сеть-сеть" под вкладкой Удаленные сети.

См. также


© Корпорация Майкрософт, 2009 Все права защищены.