windows之虚拟专用网络.docx
《windows之虚拟专用网络.docx》由会员分享,可在线阅读,更多相关《windows之虚拟专用网络.docx(55页珍藏版)》请在冰豆网上搜索。
windows之虚拟专用网络
虚拟专用网络
虚拟专用网络(virtualprivatenetwork,VPN)可以让远程用户通过internet安全地访问公司内部的网络资源。
本文主要讲解以下内容:
虚拟专用网络综述
实例演练:
PPTPVPN
实例演练:
L2TP/IPSECVPN(预共享密钥)
实例演练:
L2TP/IPSECVPN(计算机证书)
实例演练:
SSTP(SSL)VPN
实例演练:
站点对站点PPTPVPN
实例演练:
站点对站点L2TP/IPSECVPN(预共享密钥)
实例演练:
站点对站点L2TP/IPSECVPN(主算机证书)
实例演练:
网络策略
实例演练:
RADIUS服务器的架设
1、虚拟专用网络综述
VPN让分布在不同地点的网络之间通过因特网来新建安全的私有隧道(tunnel),而远程用户也可以通过因特网与公司内部网络创建VPN,让用户能够安全地访问公司网骆中的资源。
VPN的部署场合中:
一般来说,你可以在以下两种情况下部署VPN。
1)远程访问VPN连接
如图所示:
公司内部网络已经连接到因特网,而VPN客户端在远地通过无线网络或局域网等方式也连接到因特网,就可以通过因特网与公司的VPN服务器创建VPN隧道,并通过VPN与内部计算机安全地通信,VPN用户感觉上就是在公司内部网络的计算机上工作。
2)站点对站点的VPN连接
它又称为路由器对路由器VPN连接,如图所示,两个或多个局域网的VPN服务器都连接到因特网,并且通过因特网新建VPN遂道,它让两个网络中的计算机之间可以通过VPN安全地通信。
两地的用户感觉上好像位于同一个地点。
此时的VPN服务器又称为VPN网关(vpngateway)。
远程访问协议:
让分别位于两地的客户端与服务器、服务器与服务器之间能够相互通信。
Windowsserver2008所支持的远程访问协议为PPP(pointtopointprotocol,点到点协议)。
例如:
分别位于两地、采用TCP/IP协议的两台计算机之间相互通信的IP数据包可以被封装到PPP帧内来发送。
PPP是目前应用最广泛的远程访问协议,而且其安全措施好、扩展性较强,能够符合目前与未来的需求。
验证协议:
VPN客户端连接到远程VPN服务器(或VPN服务器连接到另一台VPN服务器)时,必须验证用户的身份(用户名与密码)。
身份验证成功后,用户就可以通过VPN服务器来访问有权访问的资源。
Windowsserver2008支持以下的验证协议
1)PAP:
从客户端发送到VPN服务器的密码是以明文的形式来发送,也就是没有经过加密,因此若发送过程中被拦截,密码就会外泄,因此比较不安全。
2)CHAP:
是采用挑战-响应的方式来验证用户的身份,它并不会在网络上直接发送用户的密码,因此比PAP安全。
所谓挑战-响应,是指客户端用户连接到VPN服务器时:
服务器会发送一个挑战信息给客户端。
客户端根据挑战信息的内容与用户的密码来计算出一个哈希值。
VPN服务器、客户端是利用标准的MD5算法来计算哈希值。
VPN服务器收到哈希值后,会到用户账户数据库读取用户的密码,然后根据它来计算出一个新的哈希值,如果此新哈希值与客户端传来的相同,就允许客户端用户来连接,否则拒绝其连接。
若采用CHAP验证方法,则用户存储在账户数据库中的密码必须以可逆的式来存储,否则VPN服务器无法读取用户的密码。
例如:
AD数据库中的用户账户必须选择“使用可逆加密来存储密码”后,再重新设置密码。
如下图:
PAP与CHAP在验证用户身份时并提供用户更改密码的功能,因此如果用户在登录时密码的使用期限已过,将无法登录。
3)MS-CHAPv2:
也是采用挑战-响应的方式来验证用户的身份,不过用户存储在账户数据库中的密码不需要以可逆的方式来存储;而且它不但可以让VPN服务器来验证客户端用户的身份,还可以让客户端来验证VPN服务器的计算机身份,也就是可以确认所连接的是正确的VPN服务器。
(MS-CHAPv2具备相互验证功能)
MS-CHAPv2支持用户更改密码的功能,因此如果用户在登录时密码的使用期限已过,仍然可以更改密码并正常登录。
4)EAP(扩展验证协议)
EAP允许自定义验证方法,而windowsserver2008所支持的EAP-TLS是利用证书来验证身份。
如果用户是利用智能卡来验证身份,就需要使用EAP-TLS。
EAP-TLS具备双向验证功能。
VPN服务器必须是AD域的成员才支持EAP-TLS。
VPN协议
Windowsserver2008支持PPTP、L2TP/IPSEC与SSTP(SSL)三种VPN协议
1)PPTP协议:
是搭建VPN时最常使用的协议,它默认使用MS-CHAPv2验证方法。
身份验证完成后,双方发送的文件可以使用MPPE(microsoftpointtopointencryption)加密,不过仅支持128位的RC4加密方式
2)L2TP/IPSEC:
支持IPSEC的预共享密钥与证书两种身份验证方法,由于证书验证方法的安全性高,因此建议采用证书验证方法,而预共享密钥验证方法只在测试时使用。
身份验证完成后,双方发送的数据可采用IPSECESP的3DES或AES加密方法。
虽然L2TP/IPSECVPN的安全性比PPTPVPN高,不过客户端与VPN服务器都需要申请证书,因此比较麻烦。
3)SSTP(SSL)协议:
也是安全性较高的协议,SSTP隧道是采用HTTPS协议,因此可以通过SSL来确保传输的安全性。
PPTP与L2TP/IPSEC协议使用的端口复杂度较高,会增加防火墙设置的难度,而HTTPS仅使用端口443,故只要在防火墙中开放443即可。
另外,HTTPS也是企业普遍采用的协议。
你可以将windowsserver2008设置为SSTPVPN服务器,而VPN客户端需要windowsserver2008、windows7、windowsvistaservicepack1或windowsxpservicepack3。
Windowsserver2008仅支持客户端与服务器之间的SSTPVPN,并不支持站点对站点的SSTPVPN。
2、实例演练:
PPTPVPN
实验拓朴图:
在上图中我们需要一个AD域,假设域名为,域控制器由DC1扮演,它同时也扮演DNS服务器;VPN服务器由VPNS1扮演,它是域的成员服务器;FILESERVER扮演内网的一台文件服务器;VPN客户端VPNC1并没有加入域,我们将用它来测试是否可以与VPN服务器创建VPN连接,并通过此VPN连接与内部计算机通信。
1)按照实验拓朴图搭建好实验环境,为了确认每一台计算机的IP地址等配置都正确,先暂时关闭所有计算机的防火墙,然后利用ping命令来确认DC1、FILESERVER和VPNS1之间、VPNS1和VPNC1之间可以正常通信,确认完成后重新启动防火墙。
2)在DC1上安装AD服务和DNS服务(过程略),域控制器安装好并重启后将FILESERVER主机和VPNS1主机加入域。
3)架设PPTPVPN服务器
Windowsserver2008是通过路由和远程访问服务(RRAS)来提供VPN服务器的功能。
VPN客户端的用户在连接VPN服务器时,可以使用VPN服务器的本地用户账户或AD用户账户来连接。
若使用VPN服务器的本地用户账户,此时直接由VPN服务器通过其本地安全性数据库(SAM)来验证用户(检查用户名与密码是否正确);若使用AD用户账户,如果VPN服务器未加入域,则需要通过RADIUS机制来验证用户,本例中采用将VPN加入域的方式,所以可以直接使用AD进行验证用户,故不需要RADIUS
在VPNS1上利用域administrator身份登录,然后选择“开始“-----”服务器管理器”,选择“角色”右方的“添加角色”安装“网络策略和访问服务”。
安装过程如下图:
出现“安装结果”界面时单击“关闭”按钮完成安装
选择“开始“-----”管理工具“-----”路由和远程访问”,在“VPNS1(本地)”上单击右键,选择“配置并启用路由和远程访问”
选择“远程访问(拨号或VPN)”,如下图所示:
(如果你要让内部客户端也可以通过VPN服务器上网,可以在下图中选择“虚拟专用网络(VPN)和NAT”)
上图中也可以选择“自定义配置”方式完成VPN服务器的设置。
单击下一步,选择VPN,单击一下,如下图:
选择用来连接因特网的网络接口,如下图所示:
选择IP地址分配方式(自动和静态地址池)
若选择“动态主机配置协议(DHCP)”则由VPN服务器为远程连接的VPN客户端分配IP地址,分配的IP段可以和内网是同一IP地址段,也可以和内网不是同一IP地址段。
若选择“自动”时,VPN服务器会先向DHCP服务器租用10个IP地址,而当VPN客户端连上VPN服务器时,VPN服务器便会从这些IP地址中选择一个给VPN客户端使用,若这10个IP地址用完了,VPN服务器会继续向DHCP服务器再租用10个IP地址。
本例中我选择了“来自一个指定的地址范围”,由VPN服务器为VPN客户端分配IP地址,所分配的IP段可以内部网相同也可以不同。
因为我们的VPN服务器属于域,可以直接通过域控制器的AD来验证用户名和密码,故不需要使用RADIUS验证。
如下图所示:
最后完成RRAS的配置。
附注:
采用AD验证的VPN服务器,其计算机账户必须加入到AD的RASandIASServers组中,而且会在此时自动被加入。
不过你必须利用域administrator身份登录,若你利用本地administrator身份登录,则加入此组的操作会失败,而且会弹出警告信息来提醒你。
此时请在VPN服务器架设完成后,自行在域控制器上利用“AD用户和计算机”控制台手动将VPN服务器的计算机账户加入到此组中。
4)赋予用户远程访问的权限
在DC1(域控制器)上创建用于远程VPN连接时所用的域用户账户(如lisi),并赋予用户远程访问的权限。
系统默认是所有用户都没有连接VPN服务器的权限,因此必须另行开放。
如下图所示:
5)VPN客户端的设置
VPN客户端与VPN服务器都必须已经连上因特网,然后在VPN客户端上新建与VPN服务器之间的VPN连接
6)在创建好的VPN连接上,右键选择“连接”,用在AD中创建的的用户lisi测试VPN连接。
如下图所示:
VPN连接成功后,在远程客户端上测试访问内网的文件服务器FILESERVER。
附:
VPN客户端连上VPN服务器上,虽然可以访问内部网络资源,但是无法访问因特网的资源,这是因为VPN客户端默认会选择“在远程网络上使用默认网关”。
在VPN客户端上执行routeprint命令,查看本机的路由表
VPN连接前的路由记录
VPN连接后的路由记录,发现多出一条默认路由记录。
从该图可以看出一旦VPN客户端连接上VPN服务器,路由表中就会多出第二条默认网关路径,跃点数为11,而原来的第1条默认网关路径的跃点数会变为4491
当VPN客户端访问因特网时,它会使用第二条默认路由记录(因为此记录跃点数小),访问因特网的数据发给VPN服务器。
所以能和内网通信但和外网通信就会失败。
解决方法1:
在VPN客户端上消取“在远程网络上使用默认网关”,操作如下:
在创建好的VPN连接上右击,选择“网络”选项卡,选择“internet协议版本4(TCP/IPv4)”,单击“属性”,再单击“高级”,消取“在远程网络上使用默认网关”如下图:
设置完后重新连接VPN服务器,再次查看路由表记录
由于本例中VPN服务器分配给VPN客户端的IP段和内网的IP段不同,此时,VPN客户能访问因特网,但又不能访问内网(除非VPN服务器分配给VPN客户端的IP段和内网的IP段相同,按方法1解决就可以实现VPN客户端即能访问内网又能访问因特网,因为在路由表中会存在到达内网的路由路径。
)
若VPN服务器分配给VPN客户端的IP段与内部网络不同的话,则需要在VPN客户端上新建一个送往内网(192.168.5.0、24)的专有路径,不过你需要先找出此VPN连接中VPN服务器的IP地址,如图所示:
然后在VPN客户端上执行以下命令,添加到达内网的路由记录
完成上述操作后VPN客户端即可访问内网又可访问因特网了。
若为了安全考虑而不希望VPN客户端可以同时上网与连接内部网络,请让VPN客户端采用默认值,也就是选择“在远程网络上使用默认网关”。
3、实例演练:
L2TP/IPSECVPN(预共享密钥)
此处采用预共享密钥来验证身份的L2TP/IPSECVPN。
环境搭建方法与前面的PPTPVPN的相同,因此我将直接采用PPTPVPN的环境。
在PPTPVPN实现成功的环境中只需要在VPN客户端和VPN服务器两端都设置相同的预共享密钥,其方法如下:
VPN服务器的设置:
右击VPNS1(本地),选择“属性”,在属性窗口中选择“安全”选项卡,选择“允许L2TP连接使用自定义IPsec策略”,在“预共享的密钥”中输入密钥字符串,此处字符串需要与VPN客户的设置相同,如图所示:
要重新启动路由和远程访问服务,使修改生效。
如下图所示:
VPN客户端的配置:
VPN类型选择“使用IPSEC的第2层隧道协议(L2TP/IPSEC)”
测试:
在VPN客户端使用VPN用户连接VPN服务器。
若配置都正确,但连接失败,可以将VPN服务器重启。
4、实例演练:
L2TP/IPSECVPN(计算机证书)
实验拓扑:
L2TP/IPSEC(计算机证书)VPN的实验环境与PPTPVPN的实验环境类似,不过因为VPN服务器与VPN客户端都需要向CA(证书颁发机构)申请与安装计算机证书,因此在PPTPVPN实验环境中的计算机DC1上另外安装企业根CA,同时也安装IIS网站,以便可以利用浏览器向企业根CA申请证书。
1)安装企业根CA
我们需要通过新建AD证书服务(ADCS)角色的方式将企业根CA安装到计算机DC1上,其安装方法如下图所示:
(具体过程略)
其他操作步骤一路下一步即可。
2)VPN服务器的设置
在VPN服务器VPNS1上执行信任CA的操作,必须让VPN服务器信任CA所发放的证书,也就是将CA的证书安装到VPN服务器。
不过我们架设的是企业根CA,而域成员会自动信任企业CA,因此属于域的VPN服务器不需要再执行任何操作。
若是独立CA,需要手动执行信任CA的操作。
若是独立CA,请进行信任CA操作:
在VPN服务器通过http:
//CA服务器IP/certsrv访问CA服务器。
单击下图中的“下载CA证书、证书链或CRL”超链接。
分别单击下图中的“下载CA证书”、“下载CA证书链”和“下载最新的基CRL”超链接。
将它们下载并保存到本地。
安装刚才下载下来的“下载CA证书”、“下载CA证书链”和“下载最新的基CRL”,让VPN服务器信任CA服务器。
安装方法如下:
以安装“CA证书”为例,在下载下来的“CA证书”上右击选择“安装证书”
安装位置按下图进行操作:
其他两个(CA证书链和CRL)的安装方法同“CA证书”的安装方法完全一样。
这里不现重复介绍,请参照上面的操作完成安装。
至此VPN服务器就会信任CA分发的证书了。
为VPN服务器申请证书:
在VPN服务器的浏览器中输入网址:
http:
//CA服务器的IP/certsrv,在验证对话框中输入域系统管理员的用户名和密码,在申请证书的WEB页中单击“申请证书”、“高级证书申请”、“创建并向此CA提交一申请”。
在“证书模板”下拉列表框中选择“系统管理员”,确认已选择“标记密钥为可导出”,其他选项采用默认值,然后单击“提交”,如下图所示:
如果是向独立CA申请证书,请在“需要证书类型”处选择“客户端身份验证证书”或“IPSEC证证”,并增加选择“标记密钥为可导出”。
最后单击“安装此证书”
将证书转移以计算机证书缓存区:
我们刚才申请的证书会被安装到VPN服务器的用户证书缓存区,然而此证书必须安装到计算机证书缓存区才有效,因此我们将通过MMC将证书转移到计算机证书缓存区。
具体操作方法如下:
选择“开始”---“运行”,输入MMC,选择“文件”菜单中的“添加删除管理单元”,在可用的管理单元列表中选择“证书”后单击“添加”,添加到所选管单元中,重复操作两次,分别将“我的用户账户”和“计算机账户”添加到所选管单元中。
添加结果如下图所示:
最后单击确定按钮。
展开“证书-当前用户”—“个人”---“证书”选择VPN服务器的证书,右击,选择“所有任务”---“导出”,选择“是,导出私钥”,如下图所示:
按向导完成其他操作。
接下来将导出来的证书导入计算机证书缓存区,展开“证书-(本地计算机)”—“个人”上单击右键,选择“所有任务”---“导入”,按向导完成其他操作任务。
在VPN服务器按上面的相关操作设置好证书后,通过路由和远程访问控制台来重新启动路由和远程访问服务。
3)VPN客户端设置
VPN客户端同样需要申请证书后才可以利用L2TP/IPSEC来连接VPN服务器,不过VPN客户端是位于外部网络,它目前无法连接到内部的企业根CA,因此它如何向企业根CA申请证书与执行信任CA操作呢?
此处我建议在VPN客户端中先利用PPTPVPN连上VPN服务器,它就可以通过PPTPVPN来连接内部企业根CA网站,然后执行信任CA与申请证的操作。
VPN客户端信任CA服务器和申请证书的操作与VPN服务器完全相同,请参考上面的有关操作。
这里就不再重复讲解了。
4)测试L2TP/IPSEC(计算机证书)
L2TP/IPSECVPN客户端的VPN连接设置与PPTPVPN客户端类似,因此仍沿用前面的VPN连接,只要作小幅度的修改即可,如下图所示:
完成后,VPN客户端就可以通过此VPN连接与VPN服务器创建采用计算机证书的L2TP/IPSECVPN。
若要进一步测试计算机证书是否有发后功效,可以在VPN客户端中利用证书控制台将计算机证书删除,此时重新利用VPN连接时将失败。
5、实例演练:
SSTP(SSL)VPN
新的协议SSTP的支持及介绍:
在WINDOWS2008新的功能中,SSTP协议支持让通过WINDOWS2008进行SSL-VPN访问成为了可能。
SSTP是微软提供的新一代的虚拟专用网(VPN)技术,它的全称是安全套接层隧道协议(SecureSocketTunnelingProtocol;sstp),和PPTP、L2TP/IPsec一样,也是微软所提供的VPN技术。
在拥有最大弹性发挥的同时,又确保信息安全达到了一定程度。
目前,支持SSTP技术的仅限于如下OS:
WindowsVistaSp1、WIN7以及Windows2008。
通过使用此项新技术,可以使防火墙管理员能更容易的配置策略使SSTP流量通过其防火墙。
它提供了一种机制,将PPP数据包封装在HTTPS的SSL通讯中,从而使PPP支持更加安全身份验方法,如EAP-TLS等
PPTP及L2TP/IPSEC在使用过程中的不足
新的SSTP协议的支持,并没有完全否决PPTP及L2TP/IPSEC在微软产品所组成的解决方案中的作用,当企业使用基于WINDOWS平台的VPN解决方案时,这种协议仍是被常用来解决或是提升企业网络安全性。
但两者的数据包通过防火墙、NAT、WEBPROXY时却都有可能发生一些连线方面的问题。
PPTP数据包通过防火墙时,防火墙需被设定成同时允许TCP连接以及GRE封装的数据通过,但大部分ISP都会阻止这种封包,从而造成连线的问题;而当你的机器位于NAT之后,NAT亦必需被设定成能转发GRE协议封装的数据包。
否则就会造成只能建立PPTP的TCP连接,而无法接收GRE协议封装的数据包;WEBPROXY是不支持PPTP协议的。
L2TP/IPSEC的情况和此类似,需要在防火墙上允许IKE数据和ESP封装的数据同时通过,否则也会出现连接问题。
且WEBPROXY也是不支持L2TP/IPSEC协议的。
有关PPTP、L2TP、SSTP隧道协议的封装包格式可以查看WIN2008的帮助。
SSTP的执行过程:
上面简要介绍了SSTP协议的优势以及PPTP等之前两种协议的不足,下面就来说下XPWITHSP3或是VISTAWITHSP1、WIN7等客户端是如何连接到WINDOWS2008SSL(SSTP)VPN服务器的:
1、SSTPVPN客户端以随机的TCP端口建立TCP连接至SSTPVPN服务器(常常是SSTPVPN网关服务器)上的TCP443端口。
2、SSTPVPN客户端发送一个SSL“Client-Hello”消息给SSTPVPN服务器,表明想与此建立一个SSL会话。
3、SSTPVPN服务器发送“其机器证书”至SSTPVPN客户端。
4、SSTPVPN客户端验证机器证书,检查CRL验证服务器证书是否被吊销,决定SSL会话的加密方法,并产生一个以SSTPVPN服务器公钥加密的SSL会话密钥,然后发送给SSTPVPN服务器。
5、SSTPVPN服务器使用此机器证书私钥来解密收到的加密的SSL会话,之后两者之间所有的通讯都以协商的加密方法和SSL会话密钥进行加密。
6、SSTPVPN客户端发送一个基于SSL的HTTP(HTTPS)请求至SSTPVPN服务器。
7、SSTPVPN客户端与SSTPVPN服务器协商SSTP隧道。
8、SSTPVPN客户端与SSTPVPN服务器协商包含“使用PPP验证方法验(或EAP验证方法)证使用者证书以及进行IPV4或IPV6通讯”的PPP连接。
9、SSTPVPN客户端开始发送基于PPP连接的IPV4或IPV6通讯流量(数据)。
实验拓朴:
SSTP(SSL)VPN实验练习中,实验拓朴仍然采用和L2TP/IPSEC(计算机证书)实验时的环境一样,不过完成环境创建后,还需要执行以下两个更改工作。
1、因为VPN服务器需要向CA申请与安装证书,因此要确保安装CA服务和IIS(通过WEB方式申请证书),有关CA服务的安装参考L2TP/IPSECVPN(计算机证书)实验。
但SSTPVPN中VPN客户端不需要证书。
2、因为VPN客户端在新建SSTPVPN之前,必须要能利用HTTP通信协议从CA下载证书吊销列表(CRL),否则SSTPVPN连接会失败,然而此时VPN客户端无法连接到内部网络的企业根CA,解决此问题的方法是在VPN服务器中启用NAT,然后通过NAT的端口对应功能将HTTP数据流转到内部企业根CA网站,这样VPN客户端就可以通过NAT从企业根CA网站下载证书吊销列表(CRL)了。
具体操作步骤如下:
1)环境搭建并初始测试环境
由于SSTPVPN的初始环境与PPTPVPN相同,因此若你还未新建PPTPVPN,请先按照前面的说明完成环境搭建,并测试PPTPVPN是否可以成功连接。
2)安装企业根CA
参考L2TP/IPSECVPN(计算机证书)实验
3)VPN服务器的设置
请在VPN服务器上启用NAT功能,信任CA并为VPN服务器申请证书。
有关信任CA和为VPN服务器申请证书请参考前面有关L2TP/IPSECVPN(计算机证书)的实验
启用VPN服务器的NAT功能:
为了让VPN客户端
升级会员 