Настройка Citrix Metaframe под Windows 2000 Termanal Services

         

Настройка VPN


Установить программное обеспечение VPN на сервере Windows 2000 очень просто. Фактически вы уже сделали 75% работы. При добавлении службы удаленного доступа, Windows 2000 автоматически добавляет поддержку пяти соединений L2TP и пяти соединений PPP. Если вы еще не включили поддержку RAS, вам следует вернуться к разделу .

В первую очередь убедитесь, что установлены порты. Это можно проверить через консоль RRAS. Нажмите кнопку "Start", выберите Programs, Administrative Tools, Routing and Remote Access. После появления консоли RRAS, вы должны видето свой сервер в левой панели. Дважды щелкните на нем для вызова подробностей. Щелкните правой кнопкой мыши на список "Ports", выберите "Properties"

Здесь вы можете настроить порты и протоколы в соотетствии с вашими требованиями. Удалите неиспользуемые порты. Для настройки отдельного порта для использования с VPN, посветите его и щелкните кнопку Configure. Убедитесь, что установлен флажок Remote Access connections (incoming calls only), и для телефонного номера устройства укажите IP-адрес этого сервера. Клиенты будут подключаться к этому адресу IP используя клиентское программное обеспечение VPN.

Замечание

Публичные адреса IP используются только при соединении с сервером из-за границ вашей сети. Обычно для этого используют технологию сетевой трансляции адресов (NAT), чтобы ваш внутренний IP не был виден во внешнем мире.

В этом окне вы также можете указать максимальное количество портов, доступное для этой службы. Оно основано на максимальном количестве пользователей, поддерживаемое сервером через VPN. Рассчитывая это число, учитывайте задержки в Интернет, другие соединения с вашим RAS-сервером, тип соединения клиента с провайдером (модем, ISDN и т.п.). Учтите, что из-за сложности пакета VPN, производительность может упасть на 10-50 процентов! В основном это вызывается шифрацией/дешифрацией траффика на обоих концах. На линиях T1 это незаметно, но для модемных пользователей падение скорости на 50% неприемлимо. Поэтому всегда старайтесь делать так, чтобы пользователи звонили непосредственно на сервер RAS.


PPTP

При установке RAS автоматически включаются пять портов PPTP. Они используются для старых клиентов,которые не поддерживают L2TP. Основными достоинствами PPTP являются его дешевизна и легкость в реализации.

IPSec

IPSec используется для повышения защищенности траффика VPN. Он использует инфраструктуру открытого и закрытого ключей для шифрования и расшифровки траффика, обспечивая защищенность соединения от точки до точки. Существуют два типа тунеллирования IPSec. Первым является комбинация L2TP/IPSec, а вторым - чистое тунеллирование IPSec. Тунеллирование IPSec не рекомендуется для VPN, поскольку он не предусматривает некоторых основных служб, необходимых для удаленных пользователей. IPSec включается в Windows 2000 через политики. Некоторые из них предопределены, но вы можете создавать свои собственные политики. Для этого используйте закладку Local Computer Policy в консоли управления. Политики по умолчанию таковы:


  • Secure server. Машина, выполняющая роль сервера безопасности, всегда пытается согласовать безопасность с клиентом. Если согласование установить невозможно, сервер прекращает отвечать клиенту.
  • Client. Политика клиента заставляет машину запрашивать сервер для установки защищенного соединения. Если сервер не имеет политики сервера, шифрования траффика производиться не будет.
  • Server. Машина с политикой сервера будет пытаться установить защищенное соединение, а если не получится, что траффик будет нешифрованным.


IPSec имеет определенные ограничения, поэтому он всегда должен использоваться в комбинации с L2TP. Основной недостаток IPSec состоит в том, что он не предусматривает аутентификации пользователя. Вместо этого аутентификация делается на базе машин. Это означает отстутствие способа определения того, кто использует машину. Другое ограничение состоит в отстутсвии поддержки NAT и нескольких протоколов.


Содержание раздела