在本系列文章中,我们将学习服务器放置、DNS和安全设置。
目录
- 网络配置以支持始终在线VPN
- 始终在线VPN服务器安全设置
- 作者
- 最近的帖子
作者
Joseph Moody是一名公共学校系统的网络管理员,负责管理5500台电脑。他是云计算和数据中心管理领域的微软最有价值专家(MVP),并在DeployHappiness.com上进行博客写作。
如果您已经跟随了本系列的内容,您几乎完成了所有配置!在之前的两篇文章中,您安装了路由和远程访问服务器(RRAS)或虚拟专用网络(VPN)、网络策略服务器(NPS)或远程认证拨号用户服务(RADIUS),以及证书颁发机构(CA)。这些部分是整个指南中最困难的部分,因为一个小错误可能会导致其他角色的功能失效。在本文中,我们将讨论网络配置和多个安全项目。
网络配置以支持始终在线VPN
始终在线VPN环境所需的网络配置相对简单。然而,具体步骤可能会有所不同。防火墙、路由器和交换机的配置在不同厂商之间会有所差异。正如您将在下一节中看到的,您可以根据您的环境以不同的方式设置网络组件。我们将首先概述最终的网络布局。
您的远程访问服务器应具备两个网络接口。一个应连接到公共网络,另一个应连接到内部网络。面向公共的接口应该位于您的网络边缘防火墙之后。内部接口应位于您的内部防火墙之前。NPS、CA和域控制器(DC)位于内部网络中。您可以在下面的图示的中间蓝色部分看到这一点。
如果您没有单独的内部防火墙,您有几个选项。首先,许多防火墙允许您在外部防火墙内创建一个边缘(DMZ)网络。连接将进入外部设备,并路由到该边缘网络。外部防火墙将允许某些流量进入内部网络。
第二个选项是使用外部防火墙,并将VPN流量路由到路由器/核心交换机上的专用网络。然后,您可以在该网络上应用访问控制列表(ACL)以限制流量。如果这些选项都不可行,您还可以使用Windows Server中的软件防火墙。不过,这种模式不建议在生产环境中使用。
在您的VPN服务器上,确保已为面向公共的接口配置了专用IP、子网掩码和默认网关。这个默认网关通常是外部防火墙。内部网络也应有静态IP和子网掩码,但不应有默认网关。两个默认网关可能会导致路由VPN连接出现问题,并且常常导致缺少VPN默认网关的问题。
有许多方法可以使始终在线VPN网络配置适应您的环境。如果您对HP或Cisco设备有具体问题,请留言,我会尽量提供帮助。一旦您正确放置了网络中的服务器,请继续以下内容以完成安全方面的设置。
始终在线VPN服务器安全设置
安全的始终在线VPN设置仅使用少数端口进行通信,并且具有适当的公钥/私钥证书配置。此安全性的一部分是确保客户端始终连接到您信任的RRAS/VPN服务器。
首先,创建一个公共DNS条目,指向您的RRAS/VPN服务器的公共IP。此DNS名称不必与计算机名称匹配。当然,域名必须与您的公共可路由域名匹配。例如,我的DNS名称将是AlwaysOn.DeployHappiness.com,而服务器名称可能是VPN-01.DeployHappiness.com。请注意这个DNS名称。您将在下一篇文章(客户端配置)中需要它。
颁发给VPN-01服务器的证书需要在主题备用名称(SAN)字段中包含AlwaysOn.DeployHappiness.com。任何连接到您网络的客户端应将其视为受信任的证书。如果您计划使用非域机器或可能将这些服务器用于其他用途(例如在NPS上进行无线认证),请考虑从第三方证书提供商处购买SAN证书。根据您环境的规模,您可以为NPS和RRAS购买单个证书。
客户端VPN连接需要开放两个端口。在您的边缘防火墙上,允许UDP 500和4500流量通过VPN服务器的公共接口。确保这两个端口在Windows Server内部的公共网络接口控制器(NIC)上的软件防火墙上也开放。
在任何位于VPN服务器与NPS箱之间的内部防火墙上,允许端口1645、1646、1812和1813。确保这四个端口在Windows Server内部的防火墙上也开放。最好通过组策略或所需状态配置来强制执行这些附加配置。
通过这些更改,您的始终在线VPN网络和服务器配置就完成了!在下一篇文章中,我们将设置一个客户端进行连接,并覆盖客户端部署选项。
