Мастер создания сетей VPN типа "сеть-сеть" помогает настроить Forefront TMG на создание VPN-подключения типа "сеть-сеть" от удаленной сети к корпоративной сети.
В мастере можно выполнить следующие задачи:
- Указать протокол VPN-трафика.
- Назначить IP-адреса для подключения удаленных
VPN-клиентов.
- Указать учетную запись, используемую для
проверки подлинности в удаленной сети.
- Настроить проверку подлинности для удаленной
сети.
- Указать метод проверки подлинности IPsec.
- Указать диапазоны IP-адресов удаленной
сети.
- Создать сетевое правило для маршрутизации
трафика к удаленной сети и от нее.
- Создать правило доступа, разрешающее трафик к
удаленной сети и от нее.
После выполнения мастера можно настроить дополнительные параметры, чтобы включить VPN-подключение.
В следующей процедуре описана настройка VPN-подключения типа "сеть-сеть" на Forefront TMG.
Создание VPN-подключения к удаленным
сетям
Чтобы создать сеть VPN типа "сеть-сеть"
-
В дереве консоли управления Forefront TMG щелкните узел Политика удаленного доступа (VPN).
-
В области сведений откройте вкладку Удаленные сети.
-
На вкладке Задачи щелкните Создать VPN-подключение типа "сеть-сеть".
-
В мастере Создать VPN-подключение типа "сеть-сеть" следуйте инструкциям на экране, обращая внимание на следующее:
- На странице приветствия в поле Имя сети типа
"сеть-сеть" необходимо ввести точное имя шлюза удаленной
сети.
- Обратите внимание на следующие особенности туннельного
протокола IPsec:
- При создании удаленной сети, использующей
протокол IPsec, служба межсетевого экрана Майкрософт изменяет
фильтры IPsec после своего перезапуска. В зависимости от количества
подсетей, включенных в диапазоны адресов для сети, этот процесс
может занять несколько минут. Для снижения эффекта рекомендуется
определить диапазоны IP-адресов, которые находятся на границах
подсети.
- Если остановить или перезапустить службу
IPsec PolicyAgent, вся динамическая информация о настройке IPsec
будет потеряна, включая параметры настройки VPN-подключения типа
"сеть-сеть" по протоколу IPsec в Forefront TMG, и клиенты VPN будут
отключены. Чтобы восстановить значения параметров, запустите службу
PolicyAgent или перезапустите службу межсетевого экрана.
- При создании удаленной сети, использующей
протокол IPsec, служба межсетевого экрана Майкрософт изменяет
фильтры IPsec после своего перезапуска. В зависимости от количества
подсетей, включенных в диапазоны адресов для сети, этот процесс
может занять несколько минут. Для снижения эффекта рекомендуется
определить диапазоны IP-адресов, которые находятся на границах
подсети.
- Если сервер Forefront TMG является членом массива, на странице
Владелец подключения выберите член массива, который будет
выступать в роли конечной точки VPN-туннеля в массиве. Если в
массиве включена балансировка сетевой нагрузки, владельца
подключения указывать не нужно — он будет назначен
автоматически.
- Если используется проверка подлинности сертификата с
VPN-протоколом L2TP/IPSec, серверы Forefront TMG на обеих сторонах
VPN должны иметь цифровые сертификаты от одного и того же центра
сертификации. Обратите внимание, что проверка подлинности
сертификата является рекомендуемым и наиболее безопасным методом
протокола.
- Диапазон адресов для удаленного VPN-сервера, вводимый на
странице Адреса сети, должен в точности соответствовать
определению сети и маске подсети в удаленной сети.
- На странице приветствия в поле Имя сети типа
"сеть-сеть" необходимо ввести точное имя шлюза удаленной
сети.
-
Чтобы просмотреть сводные сведения о конфигурации сети VPN типа "сеть-сеть", щелкните правой кнопкой мыши выбранную сеть и выберите Сводка по подключениям типа "сеть-сеть" под вкладкой Удаленные сети.
См. также
© Корпорация Майкрософт, 2009 Все права защищены.