×××的理论知识就不用多讲了,本次教程一共五个章节,分别是
PPTP ×××
L2TP ×××
SSPT ×××
基于PPTP的站点到站点×××
基于L2TP的站点到站点×××
首先来做一下最简单的PPTP×××,如图环境中bjtmg为TMG防火墙,未加入域;bjdc.zf.com是域控制器、CA服务器、RADIUS服务器;防火墙的外部是一台Win7的客户端
1.定义地址分配
在TMG控制台左侧点击【远程访问策略(×××)】,选择右侧【定义地址分配】,来为拨入的×××客户端设置IP地址分配范围
添加静态地址池,设置一个IP地址范围。
注意:此IP地址范围不要同内网IP地址处在同一个网段
2.指定RADIUS服务器
由于TMG服务器未加入到域中,客户端在用域账号进行拨入时只能通过域内的RADIUS服务器来做身份验证,TMG将客户端验证请求提交给RADIUS服务器,RADIUS服务器验证通过后授权客户端拨入访问
切换到 【RADIUS】选项卡,首先勾选【使用RADIUS进行身份验证】和【使用RADIUS记账】;然后打开【RADIUS服务器】进行设置
添加RADIUS服务器
指定RADIUS服务器的地址以即共享的机密
共享机密我设置的是1982,稍后在RADIUS服务器也要设置共享机密为1982
打开TMG控制台右侧【配置×××客户端访问】
切换到【常规】选项卡,勾选【启用×××客户端访问】
注意:【允许的最大×××客户端数量】不要超过分配地址范围中的数量
切换到【协议】选项卡,勾选【启用PPTP】
确定后别忘了应用配置使其生效
回到TMG控制台单击【监视】项中的【配置】,确定服务器和配置存储是否为【已同步】
3.部署与配置RADUIS服务器
部署RADUIS服务器将部署在DC上,在bjdc上打开服务器管理器
添加角色
选择【网络策略和访问服务】
选择【网络策略服务器】
点击【安装】后开始部署
部署完成后,要对RADIUS服务器进行设置
在【角色】中展开【网络策略和访问服务】-【NPS(本地)】-【RADIUS客户端和服务器】;在【RADIUS】客户端上右键选择【新建】
来指定一个RADIUS客户端
设置RADIUS客户端IP地址,这里就是bjtmg的IP地址192.168.3.254
共享机密和bjtmg上设置的一样,为1982
4.设置用户拨入权限
在AD用户和计算机中打开用户属性
切换到【拨入】选项卡,选择【允许访问】
5.客户端设置
建立一个新的拨号连接
选择【连接到工作区】
选择【使用我的Internet连接(×××)】
指定×××服务器的IP地址和拨号连接的名称
这里地址要填bjtmg的外网IP地址222.16.2.2
指定有拨入权限的账号和密码
拨号连接创建完毕后,打开属性,切换到【安全】选项卡,设置×××类型为【PPTP】
确定后客户端就可以拨入了
6.测试拨入
打开×××拨号连接,点击【连接】后开始拨入
拨入后可以用ipconfig命令查看,发现已经分配到×××地址,说明拨入成功
在bjtmg上的【路由和远程访问】中也可以看到拨入成功,拨入的×××类型为PPTP
回到客户端上ping一下内部DC,发现ping不通,也无法通过网络访问DC上的资源,这是因为TMG默认不允许×××客户端与内部进行通讯
要让这两个网络实现通讯就需要在TMG上创建一条访问规则
在TMG控制台上新建一条访问规则,允许×××客户端访问内部网络所有的资源
设置规则名称
选择【允许】
选择【所有出站通讯】
访问源选择【×××客户端】
访问目标选择【内部】
选择【所有用户】
点击【完成】访问规则建立完毕
此时再次ping DC服务器已经可以ping通了,也可以访问到DC上的共享资源
转载于:https://blog.51cto.com/arenhliu/1263472