文章目录
拓扑
实验环境
实际环境和下面可能有出入。
- 实验环境为域环境
- DC的ip:192.168.0.2 dns:192.168.0.2
- vpn接入服务器的内网卡的ip:192.168.0.1;外网卡的ip:61.100.100.1
- 外网的client的ip为:61.100.100.100
- 将vpn接入服务器加入域
- 最终要使外网client能利用SSTP协议连接到nat服务器上,并且可以访问内
的资源的inner-pc
实验思路
1.正确搭建DC。
2.正确搭建vpn接入服务器 。
3. 在DC上搭建ca服务器,IIS服务器不需要特意选择,会随ca搭建自动搭建。 因为vpn接入服务器需要向ca申请与安装证书,因此需要安装证书服务器
4. 因为外网客户端在新建SSTP之前,必须要能够利用HTTP通信协议到ca服务器下载证书吊销列表(CRL),否则SSTP 连接会失败,然而此时外网客户端无法连接到内部网络的企业根ca,解决此问题的方法是在vpn接入服务器中启用NAT,然后通过端口影射实现外网客户端访问内部企业根ca网站,这样外网客户端就可以从企业根ca网站下载证书吊销列表。
安装远程访问服务
如图:在vpn接入服务器上
注意:windows防火墙不必要关闭。
先配置两个网卡,一个wan,一个lan
lan
wan
需要配下网关地址,要不端口映射不出去。
vpn服务器配置后路由
iis不需要选择,下一步ras会自动加上。
配置vpn接入服务
然后进行配置并启用nat服务:
设置用于测试的用户
先测试 vpn客户端通过pptp模式拨入到vpn接入服务器是否正常,注意需要设置测试用户允许拨入,如下所示为vpn接入服务器没有加入域的情况,ca服务器为独立ca,vpn接入服务器本地账号的设置如下:
如果vpn服务加入了域,需要设置用于测试的域用户允许拨入,否则报812错误,域用户设置如下
配置测试客户端
客户端系统这里选的win7
pptp模式连接测试
三种模式都可以测试下,前面的搭建是一只的,服务端配置稍有不同,客户端配置不同。
先进行pptp模式测试,如果此模式不能通过,需要证书的模式也不行。
pptp拨号也要使用域用户模式也可以用普通用户模式。
连接成功,客户端分配到50的ip地址
连接一台内网开启远程桌面的终端,直接用内网地址链接,连接成功后,可以看到是客户端分配的50地址和内网地址建立的连接;
nat服务器上使用的1723端口建立的连接,pptp用的这个端口
l2tp模式连接测试
重复上面的步骤,再建一个连接
可随便设个密码测试用,服务端要和这个一致
服务端设置
发起一个到内网的远程桌面连接
客户端上看到分配的50地址,nat服务器上没有看到有特征的连接,可能采用的是udp协议吧
以上两种vpn接入方式在不需要证书的情况下可以建立连接,但ipsec连接也可以用证书认证的方式。在客户端做如下设置,选择证书验证,并把服务端的证书导出含私钥,导入到vpn客户端证书存储的个人节点下。
防火墙需要放通以下设置
安装企业ca
在DC服务器上安装ca服务
ca就是证书颁发机构。这里安装时企业根ca。
安装ca注意服务选项,否则会有问题。
记住,一定要选择,证书颁发机构web注册,否则在申请证书的时候会出现问题,然后下一步,等待安装完成。
ca服务安装完成后配置
修改下ca属性中吊销列表发布位置属性。是外部用户可以通过http方式查询吊销列表。
sstp模式连接测试
sstp连接客户端需要用到企业ca,可以通过iis把证书发布到外网;首先需要vpn接入服务器信任由ca所发放的证书,也就是将ca的证书安装到vpn接入服务器。不过因为我们所架设的是企业根ca,而域成员会自动信任企业ca,因此属于域的vpn接入服务器不需要再执行任何操作。可以在vpn接入服务器上打开MMC的计算机证书缓存区来查看。
前提是vpn接入服务器已经加入本域,通过域用户登陆到本域控制器。
如果不是企业ca模式而是独立ca模式,则需要手工在vpn接入服务器做下对企业ca的信任。
独立ca模式的操作
以下是vpn接入服务器未入域情况。
在vpn接入服务器做下对企业根ca的信任,就是把企业根证书下载后导入本地证书的受信任企业证书颁发机构中。
导入信任
申请用于ssl连接的vpn服务器端证书
ssl证书是用户通过ssl连接加密使用,企业ca和独立ca都需要做,下面以企业ca为例说明。
可以在vpn接入服务器的iis中证书服务上发起申请。这是一种申请证书的方法,如果没有iis或者没有需要的证书类型,可以采用另外一种方法。后面IKEv2 vpn配置中会用到。
在证书服务器上
加入域的vpn接入服务器能自动同步到证书到个人下面。
nat服务器上绑定证书
公网客户端做信任
首先在vpn接入服务器上,把证书服务器80端口影射出去
在外网客户端机,输入证书下载映射出来的地址
下载企业根证书,作为 信任证书导入受信任的机构中。
拨号时,必须和证书名称一直,在外网客户端增加域名解析
由于没有把证书服务器解析出来,报以下错误
增加对证书服务器在外网的解析,修改外网客户端的hosts文件即可
拨号成功后,远程桌面接入内部pc;查看nat服务器上使用的端口是443,sstp使用443端口。
服务器好后,三种端口都可以同时连接
vpn接入服务器上,有三个端口连接,每种协议一个。
访问内部的其他网络资源
由于直连的41网段,需要访问12网段时,需要配置下路由,分别在vpn服务器,和网络设备上。
配置静态路由
网络层面需要配置回程路由
sstp修改默认端口
默认端口是443建立连接,80用于证书吊销检查,但有些情况下,这两个端口不好用,如何改为其他端口,如下所示。
首先,修改证书的扩展属性中分发点。这个是必须的,要不客户端证书还是用老的端口请求,和修改过的端口对应不上。
修改证书的CRL
通过变量插入和字符输入,可以组合一个新的crl
应用-重启活动目录服务-确定
重新发布吊销
查看发布后后结果
右键-属性
可以看到增加了一条crl
防火墙映射端口
通过防火墙吧新的端口映射出去,即把内部的80映射到外部40080,把sstp连接的443映射到40443
客户端重新设置
下载新的证书导入,删除老的证书;重新配置sstp链接,增加端口。
IKEv2 vpn
IKEv2 vpn接入方式比较特殊,需要一种特殊的证书,即同时包含IPSec和IKEv两种协议,和服务器端验证功能。
没有现成的证书模板可用,首先需要制作一个证书模板。
制作证书模板
把新制作的模板发布出去
申请证书
然后在vpn接入服务器的证书mmc控制台中申请这个证书,作为服务器身份验证和与客户端通信加密使用。
入域后自动信任企业根证书。
在个人申请证书
其他项可填可不填。
客户端下载根证书,做信任
客户端hosts文件增加如下
客户端都可以拨入
证书使用小结
- PPTP 不要证书即可连接。因此PPTP安全性最差,但可以用验证VPN链路状态是否正常。
- L2TP在共享密钥的情况下,不需要证书可以连接。如果是用证书验证模式,则两端都需要安装IPSec证书。因此在安全提高的情况下,是用起来比较麻烦。
- IKEv2 需要服务器端证书,且证书需要证书需要包含服务端身份和IKE中级验证。服务端配置比较麻烦,客户端使用起来方便。
- SSTP需要服务端身份验证证书,并且需要需要客户端信任企业根证书。配置起来比较麻烦,安全性高。
- 颁发的证书
DC为自己申请两张证书, SSTP使用的是web服务器证书模板,IKEv2使用的是自己定制的ikev2vpn证书模板,其中web服务器证书
定制的证书
由于ssl使用的证书已经包含在定制证书中,可以把它吊销,然后修改SSTP连接域名,SSTP仍然能正常连接
如果拨号传递的cn名字即域名不一致,回报错误
nps
vpn接入服务器上安装nps,通过nps做网络策略限制。
dc上
默认nps是拒绝访问,需要放开访问,然后细化策略
新建一个用户组
nps限制此组可拨入
其他
手机端配置
ios手机支持ikev2,ipsec,l2tp和经过简单配置即可连上
ikev2手机端配置信息如下:
描述 - 任何名字, 比如 “ikev2”
服务器 -vpn服务器地址 (域名或者是IP地址)
远程ID - vpn服务器地址 (一定要是域名)
本地ID - 不用填, 留空
用户名 - vpn 用户名
密码 - vpn 密码
各协议使用的端口
SSTP 443
PPTP需开放端口:
UDP:1723
L2TP需开放端口:
UDP:500
UDP:4500
UDP:1701
IKEv2
UDP 的 500 /4500端口。NAT-T用的是UDP4500端口
注意:端口映射时应该将协议设置为UDP,否则无法生效
windows防火墙
windows防火墙比较奇怪,没有规则生效顺序,只要是规则就有效;开vpn服务模式下80端口好像是禁止不掉的。
137
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
