在本系列文章中,我們將學習伺服器放置、DNS和安全設定。
目錄
- 網路配置以支援始終在線VPN
- 始終在線VPN伺服器安全設置
- 作者
- 最近的貼文
作者
Joseph Moody是一位公立學校系統的網路管理員,負責管理5500台電腦。他是雲端運算和資料中心管理領域的微軟最有價值專家(MVP),並在DeployHappiness.com上進行部落格寫作。
如果您已經跟隨了本系列的內容,您幾乎完成了所有配置!在先前的兩篇文章中,您安裝了路由和遠端存取伺服器(RRAS)或虛擬專用網路(VPN)、網路原則伺服器(NPS)或遠端認證撥接用戶服務(RADIUS),以及憑證授權單位(CA) 。這些部分是整個指南中最困難的部分,因為一個小錯誤可能會導致其他角色的功能失敗。在本文中,我們將討論網路配置和多個安全項目。
網路配置以支援始終在線VPN
始終在線VPN環境所需的網路配置相對簡單。然而,具體步驟可能會有所不同。防火牆、路由器和交換器的配置在不同廠商之間會有所差異。正如您將在下一節中看到的,您可以根據您的環境以不同的方式設定網路元件。我們將首先概述最終的網頁佈局。
您的遠端存取伺服器應具備兩個網路介面。一個應連接到公共網絡,另一個應連接到內部網路。面向公共的介面應該位於您的網路邊緣防火牆之後。內部介面應位於您的內部防火牆之前。 NPS、CA和網域控制器(DC)位於內部網路。您可以在下面的圖示的中間藍色部分看到這一點。
如果您沒有單獨的內部防火牆,您有幾個選項。首先,許多防火牆可讓您在外部防火牆內建立邊緣(DMZ)網路。連接將進入外部設備,並路由到該邊緣網路。外部防火牆將允許某些流量進入內部網路。
第二個選項是使用外部防火牆,並將VPN流量路由到路由器/核心交換器上的專用網路。然後,您可以在該網路上套用存取控制清單(ACL)以限制流量。如果這些選項都不可行,您也可以使用Windows Server中的軟體防火牆。不過,這種模式不建議在生產環境中使用。
在您的VPN伺服器上,請確保已為面向公共的介面配置了專用IP、子網路遮罩和預設閘道。這個預設網關通常是外部防火牆。內部網路也應有靜態IP和子網路遮罩,但不應有預設閘道。兩個預設閘道可能會導致路由VPN連線出現問題,並且常常導致缺少VPN預設閘道的問題。
有許多方法可以使始終在線VPN網路配置適應您的環境。如果您對HP或Cisco設備有具體問題,請留言,我會盡量提供協助。一旦您正確放置了網路中的伺服器,請繼續以下內容以完成安全方面的設定。
始終在線VPN伺服器安全設置
安全的始終在線VPN設定僅使用少數連接埠進行通信,並且具有適當的公鑰/私鑰證書配置。此安全性的一部分是確保用戶端始終連接到您信任的RRAS/VPN伺服器。
首先,建立一個公共DNS條目,指向您的RRAS/VPN伺服器的公共IP。此DNS名稱不必與電腦名稱相符。當然,域名必須與您的公共可路由域名相符。例如,我的DNS名稱將是AlwaysOn.DeployHappiness.com,而伺服器名稱可能是VPN-01.DeployHappiness.com。請注意這個DNS名稱。您將在下一篇文章(客戶端配置)中需要它。
頒發給VPN-01伺服器的憑證需要在主題備用名稱(SAN)欄位中包含AlwaysOn.DeployHappiness.com。任何連接到您網路的用戶端應將其視為受信任的憑證。如果您打算使用非網域機器或可能將這些伺服器用於其他用途(例如在NPS上進行無線認證),請考慮從第三方憑證提供者購買SAN憑證。根據您環境的規模,您可以為NPS和RRAS購買單一證書。
客戶端VPN連線需要開放兩個連接埠。在您的邊緣防火牆上,允許UDP 500和4500流量通過VPN伺服器的公共介面。確保這兩個連接埠在Windows Server內部的公共網路介面控制器(NIC)上的軟體防火牆上也開放。
在任何位於VPN伺服器與NPS箱之間的內部防火牆上,允許連接埠1645、1646、1812和1813。確保這四個連接埠在Windows Server內部的防火牆上也開放。最好透過群組原則或所需狀態配置來強制執行這些附加配置。
透過這些更改,您的始終在線VPN網路和伺服器配置就完成了!在下一篇文章中,我們將設定一個客戶端進行連接,並覆蓋客戶端部署選項。