ставим vpn

ЕВГЕНИЙ AKA SATURN

Спецвыпуск: Хакер, номер #064, стр. 064-116-2

даешь vpn в родном колхозе!

Итак, наша задача — сконфигурировать VPN-сервер таким образом, чтобы он умел «узнавать» пользователей и предоставлять им доступ к внутренней сети на основе прав. Приступим...

Из известного всем и вечно здравствующего меню Start выбираем Administrative Tools-> Routing and Remote Access. Если все произошло правильно, видим оснастку Routing and Remote access (проще говоря, окно с названным заголовком). Находим здесь имя сервера и щелкаем по нему правой кнопкой мыши. В появившемся меню нас больше всего интересует пункт со славным названием Configure and Enable Routing and Remote Access. После выбора этого пункта должен запуститься мастер Routing and Remote Access Server Setup Wizard.*

* Стоит сказать, что есть другой путь к сердцу мастера: Start-> Manage Your Server-> Add or remove a role. Появляется окно с возможными ролями сервера, здесь выбираем пункт Remote Access/VPN server.

Теперь, ориентируясь на подсказки мастера, выбираем нужные пункты в каждом экране. Начинаем! В окне Common Configurations выбрать Virtual Private Network (VPN) server — таким образом мы сообщаем о намерении установить-таки сервер VPN :). Далее нас любезно просят подтвердить, что на сервере установлены все протоколы, нужные для нормального функционирования службы. Если в окне протоколов есть TCP/IP, смело нажать подтверждение (Yes, all of…). Далее выбрать сетевой адаптер, который связан с интернетом или, если нужно создать VPN во внутренней сети, адаптер, подключенный к сети. Теперь определимся с IP-адресацией нашей защищенной сети, на этом остановимся подробнее.

Существует два способа назначить IP-адреса клиентам VPN: 1) назначить с помощью основного DHCP-сервера (его настраивали в предыдущем номере); 2) их назначает VPN-сервер. В первом случае ты всего лишь «натравишь» VPN-сервер на его DHCP-собрата, проблем возникнуть не должно. Чтобы адреса назначались VPN-шлюзом (по-моему, этот вариант предпочтительнее), выбираем пункт From a specified range of addresses (экран IP Address Assignment). После нажатия заветной кнопки Next выбираем диапазон адресов, распределяемых VPN-сервером (например, Start IP: 172.16.0.10, End IP: 172.16.0.200). После выбора адекватного диапазона адресов нас будет ждать еще один, последний экран. Смело отвечаем «No, I don't...» и таким образом завершаем установку VPN-сервера!

В последнем окне мы отказались от аутентификации с помощью сервера Radius (Remote Authentication Dial-In User Service). Отныне эта процедура будет производиться при помощи Active Directory.

Как видишь, все просто. Теперь все легитимные пользователи смогут подключаться к интернету (или к внутренней сети — по желанию) при помощи защищенного канала и использовать для авторизации стандартную пару «логин-пароль». Таких пользователей ты сможешь контролировать средствами Active Directory.

Напоследок напомню, что для каждого клиента необходимо создать VPN-соединение, в свойствах которого обязательно указать адрес сервера и, в общем случае, убрать требования по шифрованию заголовков