偶看新闻盖伦特战列舰:TMG实现SSTP VPN
来源:百度文库 编辑:偶看新闻 时间:2024/04/29 15:05:42
我们都知道,Windows Server 2008的VPN有三种类型:PPTP、L2TP/IPSec、SSTP。而对于SSTP VPN直接走443端口,增加了通用性。而对于ISA2004/2006均不可以实现这种类型的VPN,而最近微软发布的新产品TMG增加了对SSTP VPN的支持,今天我们就来看一下,这三种类型的VPN在TMG下的实现方式:对于本内容我们分三次进行,这是我们的第三次课,SSTP VPN的实现过程:前言:对于VPN的工作过程,不外乎两个阶段:身份验证和授权,对于身份验证说白了其实就是对用户进行合法性验证,即是否是对应数据库里的用户,并且密码验证也通过。授权,即该用户必须有拔入权限。实验拓朴:
三台机器,所有配置如上所示,初始环境已经搭建结束,如W08a是DC和DNS,CA并没有安装。W08c是TMG服务器,并已经安装了TMG,远程客户端win7的TCP相关配置如上。接下来我们来看SSTP VPN的实现过程:分析:1. 要实现SSTP VPN我们必须要有CA服务器,即必须为TMG这台服务器准备计算机证书,同时为远程客户端安装CA的根证书。当然如果在生产环境里,我们完全可以去商业CA那里为TMG服务器申请并购买计算机证书,在这里我们为了测试就直接在企业内部搭建自己的CA了。2.远程客户端在使用SSTP的方式连接TMG时,必须要下载TMG的服务器证书,当然也必须有能力验证该证书的有效性,即远程客户端必须能联系CA的证书吊销服务器,由于我们在企业内部搭建的CA服务器,故我们必须在TMG上把内部的证书吊销服务器的WEB站点发布到公网。3.远程客户端必须使用TMG服务器证书的名字来联系TMG服务器并下载该服务器的证书。故必须保证在远程客户端上通过公网DNS可以解析TMG服务器的名称为TMG服务器公网网卡的IP,在这里,由于是测试环境,我们采用Hosts文件实现名称的解析。大致步骤:一、解决证书问题:1.在企业内部搭建根CA(独立CA),同时安装WEB申请组件。2.在TMG上申请计算机证书并下载CA的根证书并安装到计算机存储列表中。3.在远程客户端下载CA的根证书并安装到计算机存储列表中。二、TMG上的配置:1.在TMG上完成SSTP VPN的配置并创建相应的访问规则及用户拔入权限。2.在TMG上完成内部证书吊销服务器WEB站点的发布。三、远程客户端的配置:1.在Win7上创建VPN拔号连接2.修改Hosts文件3.并测试。四、总结 实现过程:一、解决证书问题:1.在企业内部搭建根CA(独立CA),同时安装WEB申请组件。2.在TMG上申请计算机证书并下载CA的根证书并安装到计算机存储列表中。3.在远程客户端下载CA的根证书并安装到计算机存储列表中。有关证书问题,各位可以参考《TMG实现L2TP/IPSec VPN---TMG 2010 VPN系列之二》,注意在配置L2TP/IPSec VPN时我们在客户端也申请了计算机证书,但在SSTP VPN中,我们可以只为客户端下载CA的根证书就可以了。详细的操作,此外略。二、TMG上的配置:1.在TMG上完成SSTP VPN的配置并创建相应的访问规则及用户拔入权限。此处配置,基本上和《TMG实现L2TP/IPSec VPN---TMG 2010 VPN系列之二》类似,唯一不同我们选择VPN协议是SSTP,并且要创建一个“侦听器”,具体操作如下所示:(PS:所谓侦听器,也就是我们需要确定让我们的TMG在哪个网络接口接收客户端的访问请求,在这里由于实现SSTP的VPN,所以需要在TMG公网卡的443端口侦听来公网的请求,并且我们需要选择一个证书,当客户端连接此网络接口时,TMG会把该证书传送给客户端。从而实现将来的安全通信)
如下图,我们单击“新建”,如下:
2.在TMG上完成内部证书吊销服务器WEB站点的发布。分析:当远程客户端从TMG下载到证书之后,需要联系“证书吊销服务器”来验证该证书是否有效,故在VPN未建立之前远程客户端必须有联系证书吊销服务器,因为在我们实验环境里,CA和证书吊销服务器均是内网的w08a.contoso.com,所以我们必须通过“WEB服务器发布规则”把证书吊销服务器的WEB站点发布出来。(1)创建Web侦听器:如图所示,选择“新建WEB侦听器”。
(2)新建WEB发布规则:具体操作过程如下:
到如上,也可以单击上图中的“测试规则”,如果有问题也有相应的提示。三、远程客户端的配置:1.在Win7上创建VPN拔号连接基本上和L2TP/IPSec VPN的拔号创建差不多,唯一不同的,选择VPN类型为SSTP,并且连接从IP改为名字。如下所示:
2.修改Hosts文件如上,要保证w08c能解析为172.16.1.1,此外还要能保证当从远程客户端访问http://w08a.contoso.com时能定位到CA服务器,所以我们通过Hosts文件的来完成名字解析,修改如下:以管理员身份运行cmd(什么!不会!哈哈,右击CMD,选择“以管理员身份运行”就可以了),输入以下命令:
保存关闭文件即可。3.并测试。
四、总结:配置SSTP VPN关键点:1.证书的申请并安装。2.证书吊销服务器的发布。而查看证书吊销服务器可以通过证书文件来查看,如下图所示:
因此在公网能访问此WEB站点。名字当然也必须一样的。 预告:敬请关注《TMG企业版的安装及配置系列》
三台机器,所有配置如上所示,初始环境已经搭建结束,如W08a是DC和DNS,CA并没有安装。W08c是TMG服务器,并已经安装了TMG,远程客户端win7的TCP相关配置如上。接下来我们来看SSTP VPN的实现过程:分析:1. 要实现SSTP VPN我们必须要有CA服务器,即必须为TMG这台服务器准备计算机证书,同时为远程客户端安装CA的根证书。当然如果在生产环境里,我们完全可以去商业CA那里为TMG服务器申请并购买计算机证书,在这里我们为了测试就直接在企业内部搭建自己的CA了。2.远程客户端在使用SSTP的方式连接TMG时,必须要下载TMG的服务器证书,当然也必须有能力验证该证书的有效性,即远程客户端必须能联系CA的证书吊销服务器,由于我们在企业内部搭建的CA服务器,故我们必须在TMG上把内部的证书吊销服务器的WEB站点发布到公网。3.远程客户端必须使用TMG服务器证书的名字来联系TMG服务器并下载该服务器的证书。故必须保证在远程客户端上通过公网DNS可以解析TMG服务器的名称为TMG服务器公网网卡的IP,在这里,由于是测试环境,我们采用Hosts文件实现名称的解析。大致步骤:一、解决证书问题:1.在企业内部搭建根CA(独立CA),同时安装WEB申请组件。2.在TMG上申请计算机证书并下载CA的根证书并安装到计算机存储列表中。3.在远程客户端下载CA的根证书并安装到计算机存储列表中。二、TMG上的配置:1.在TMG上完成SSTP VPN的配置并创建相应的访问规则及用户拔入权限。2.在TMG上完成内部证书吊销服务器WEB站点的发布。三、远程客户端的配置:1.在Win7上创建VPN拔号连接2.修改Hosts文件3.并测试。四、总结 实现过程:一、解决证书问题:1.在企业内部搭建根CA(独立CA),同时安装WEB申请组件。2.在TMG上申请计算机证书并下载CA的根证书并安装到计算机存储列表中。3.在远程客户端下载CA的根证书并安装到计算机存储列表中。有关证书问题,各位可以参考《TMG实现L2TP/IPSec VPN---TMG 2010 VPN系列之二》,注意在配置L2TP/IPSec VPN时我们在客户端也申请了计算机证书,但在SSTP VPN中,我们可以只为客户端下载CA的根证书就可以了。详细的操作,此外略。二、TMG上的配置:1.在TMG上完成SSTP VPN的配置并创建相应的访问规则及用户拔入权限。此处配置,基本上和《TMG实现L2TP/IPSec VPN---TMG 2010 VPN系列之二》类似,唯一不同我们选择VPN协议是SSTP,并且要创建一个“侦听器”,具体操作如下所示:(PS:所谓侦听器,也就是我们需要确定让我们的TMG在哪个网络接口接收客户端的访问请求,在这里由于实现SSTP的VPN,所以需要在TMG公网卡的443端口侦听来公网的请求,并且我们需要选择一个证书,当客户端连接此网络接口时,TMG会把该证书传送给客户端。从而实现将来的安全通信)如下图,我们单击“新建”,如下:2.在TMG上完成内部证书吊销服务器WEB站点的发布。分析:当远程客户端从TMG下载到证书之后,需要联系“证书吊销服务器”来验证该证书是否有效,故在VPN未建立之前远程客户端必须有联系证书吊销服务器,因为在我们实验环境里,CA和证书吊销服务器均是内网的w08a.contoso.com,所以我们必须通过“WEB服务器发布规则”把证书吊销服务器的WEB站点发布出来。(1)创建Web侦听器:如图所示,选择“新建WEB侦听器”。(2)新建WEB发布规则:具体操作过程如下:到如上,也可以单击上图中的“测试规则”,如果有问题也有相应的提示。三、远程客户端的配置:1.在Win7上创建VPN拔号连接基本上和L2TP/IPSec VPN的拔号创建差不多,唯一不同的,选择VPN类型为SSTP,并且连接从IP改为名字。如下所示:2.修改Hosts文件如上,要保证w08c能解析为172.16.1.1,此外还要能保证当从远程客户端访问http://w08a.contoso.com时能定位到CA服务器,所以我们通过Hosts文件的来完成名字解析,修改如下:以管理员身份运行cmd(什么!不会!哈哈,右击CMD,选择“以管理员身份运行”就可以了),输入以下命令:保存关闭文件即可。3.并测试。四、总结:配置SSTP VPN关键点:1.证书的申请并安装。2.证书吊销服务器的发布。而查看证书吊销服务器可以通过证书文件来查看,如下图所示:因此在公网能访问此WEB站点。名字当然也必须一样的。 预告:敬请关注《TMG企业版的安装及配置系列》 本文出自 “千山岛主之微软技术空间站” 博客,转载请与作者联系!
怎么实现VPN互联?
softether 实现VPN问题
WIN2003下怎样实现VPN?
同网段如何实现vpn??
winxp能否实现VPN功能
实现VPn功能需要哪些条件
异地网络如何实现VPN技术
如何用路由器+win2000+花生壳 实现VPN
如何在Win2000或WinXP下实现VPN? 如何在Win2000或WinXP下实现VPN?
什么是网络的VPN技术?VPN能够为哪几种网络应用提供优越的解决方案?实现VPN的关键技术有哪几项?
没有公网IP是否就不可能实现VPN了?
VPN技术可以在不同操作系统之间实现吗?
利用vpn实现外网访问内网的问题
我单位要实现VPN,要买什么设备呢?
vpn映射是什么,具体什么意思,怎么实现
如何通过internet连接VPN服务器,并实现远程控制
VPN技术中如何实现网关的智能选择
VPN是怎样实现的(就是VPN是通过什么方法来实现建立一个虚网的)
请给出一个用Windows2003实现VPN联网的拓扑图和实现的关键要素
Windows 2000单网卡如何实现VPN?若一定要双网卡,在内网中如何实现?
怎么样才能够跨越vpn网关限制,实现局域网网段间通讯?
怎样用xp在宽带互联中实现vpn(在都没有公网IP的情况)
VPN拨号实现双线后过一段时间会自动掉线为何?
VPN接入技术指的是什么,小区的以太网如何才能实现呢?