NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Интернет. Туннелирование выполняется за счет инкапсуляции PPP-пакетов с помощью Generic Routing Encapsulation (GRE - IP-протокол 47). Сначала клиент устанавливает соединение с провайдером обычным способом с помощью PPP-протокола и далее устанавливает TCP/IPсоединение через Интернет к межсетевому экрану NetDefend, который действует в качестве PPTPсервера (используется TCP-порт 1723). Провайдер не осведомлен о VPN, так как туннель идет от PPTP-сервера к клиенту. Стандарт PPTP не определяет способ шифрования данных. Как правило, шифрование выполняется с помощью стандарта Microsoft Point-to-Point Encryption (MPPE). Применение PPTP-протокол является удобным и простым в использовании решением, обеспечивающим доступ клиентам. PPTP-протоколу не требуется инфраструктура сертификата, находящегося в L2TP, но вместо этого используется последовательность имя пользователя /пароль для установки доверия между клиентом и сервером. Уровень безопасности, предлагаемый не на основе сертификата, возможно, является единственным недостатком PPTP. Так как PPTP-протокол не использует IPsec, PPTP-соединения могут быть преобразованы с помощью технологии NAT и NAT traversal не требуется. Компания Microsoft включает PPTP в состав своих операционных систем, начиная с Windows 95 и, следовательно, существует большое количество клиентов с уже установленным программным обеспечением. Поиск и устранение неисправностей PPTP Основной проблемой при настройке PPTP-протокола является то, что маршрутизатор и/или коммутатор в сети блокирует TCP-порт 1723 и/или IP-протокол 47 перед установкой PPTPсоединения с межсетевым экраном NetDefend. При проверке журнала можно выявить проблему, появится сообщение следующего вида: Пример 9.10. Настройка PPTP-сервера В данном примере рассматривается процесс настройки сетевого PPTP-сервера. Предполагается, что в адресной книге уже созданы некоторые объекты адресов. Пользователю необходимо определить IP-адрес интерфейса PPTP-сервера, внешний IP-адрес (который необходимо прослушивать PPTP-серверу) и пул IP-адресов, который будет использовать PPTP-сервер для назначения IP-адресов клиентам. CLI gw-world:/> add Interface L2TPServer MyPPTPServer ServerIP=lan_ip Interface=any IP=wan_ip IPPool=pp2p_Pool TunnelProtocol=PPTP AllowedRoutes=all-nets Web-интерфейс 1. Зайдите Interfaces > PPTP/L2TP Servers > Add > PPTP/L2TP Server 2. Введите имя PPTP-сервера, например, MyPPTPServer 3. Далее введите: • Inner IP Address: lan_ip • Tunnel Protocol: PPTP • Outer Interface Filter: any • Outer Server IP: wan_ip 4. На вкладке PPP Parameters выберите pptp_Pool в настройках IP Pool 5. На вкладке Add Route, выберите all_nets из Allowed Networks 410
6. Нажмите OK Функция Use User Authentication Rules (Использовать Правила аутентификации пользователя) включена по умолчанию. Для аутентификации пользователей с использованием PPTP-туннеля необходимо настроить правила аутентификации, которые не представлены в данном примере. 9.5.2. L2TP-серверы L2TP-протокол (Layer 2 Tunneling Protocol) – это открытый стандарт IETF, решающий множество проблем PPTP. Он представляет собой комбинацию L2F-протокола (Layer 2 Forwarding ) и PPTPпротокола, с использованием наиболее полезных функций обоих протоколов. Так как стандарт L2TP не выполняет шифрование, эту функцию, как правило, выполняет IETF, известный как L2TP/IPsec, в котором L2TP-пакеты инкапсулируются по протоколу IPsec. Клиент обменивается данными с LAC (Local Access Concentrator) и LAC обменивается информацией через Интернет с LNS-сервером (L2TP Network Server). Межсетевой экран действует в качестве LNSсервера. LAC туннелирует данные, например, PPP, используя IPsec в сети Интернет. В большинстве случаев клиент действует в качестве LAC. L2TP-протокол основан на сертификате, благодаря чему он упрощает управление большим количеством клиентов и обеспечивает более высокий уровень безопасности, чем PPTP-протокол. При использовании L2TP, в отличие от PPTP, можно организовать несколько виртуальных сетей через один туннель. Так как протокол L2TP основан на IPsec, ему требуется NAT traversal (NAT-T) на стороне LNS. Пример 9.11. Настройка L2TP-сервера В данном примере рассматривается процесс настройки L2TP-сервера. Предполагается, что уже созданы некоторые объекты IP-адресов. Пользователю необходимо указать IP-адрес интерфейса L2TP-сервера, внешний IP-адрес (который необходимо прослушивать L2TP-серверу) и пул IP-адресов, который будет использовать L2TPсервер для назначения IP-адресов клиентам. CLI gw-world:/> add Interface L2TPServer MyL2TPServer ServerIP=ip_l2tp Interface=any IP=wan_ip IPPool=L2TP_Pool TunnelProtocol=L2TP AllowedRoutes=all-nets Web-интерфейс 1. Зайдите Interfaces > L2TP Servers > Add > L2TPServer 2. Введите имя L2TP-сервера, например, MyL2TPServer 3. Далее введите: • Inner IP Address: ip_l2tp • Tunnel Protocol: L2TP • Outer Interface Filter: any • Outer Server IP: wan_ip 4. На вкладке PPP Parameters выберите L2TP_Pool в настройках IP Pool 5. На вкладке Add Route tab, выберите all_nets из Allowed Networks 6. Нажмите OK Функция Use User Authentication Rules (Использовать Правила аутентификации пользователя) включена по умолчанию. Для аутентификации пользователей при использовании PPTP необходимо указать правила 411
- Page 359 and 360: • Terminator IP Терминир
- Page 361 and 362: # Действие Интерфей
- Page 363 and 364: 3. Нажмите OK 4. Повто
- Page 365 and 366: LoginSuccess, а затем - на
- Page 367 and 368: Глава 9. VPN В данной
- Page 369 and 370: клиенты и филиалы о
- Page 371 and 372: • Укажите IP-правил
- Page 373 and 374: 3. Создайте объект IP
- Page 375 and 376: • Нельзя предварит
- Page 377 and 378: 3. Укажите совместн
- Page 379 and 380: • ip_int - внутренний I
- Page 381 and 382: Оба соединения IKE и
- Page 383 and 384: настройки, такие ка
- Page 385 and 386: Алгоритм Диффи-Хел
- Page 387 and 388: пакете. Далее выпол
- Page 389 and 390: 9.3.6. Списки выбора а
- Page 391 and 392: Далее примените об
- Page 393 and 394: 9.4.1. Обзор IPsec-тунне
- Page 395 and 396: защищенный обмен д
- Page 397 and 398: 1. Зайдите Objects > VPN Obj
- Page 399 and 400: Режим настройки IKE C
- Page 401 and 402: Для запуска провер
- Page 403 and 404: Message ID : 0x00000000 Packet leng
- Page 405 and 406: Flags : E (encryption) Cookies : 0x
- Page 407 and 408: туннелям. По умолча
- Page 409: 10 секунд, а также не
- Page 413 and 414: г. Encapsulation Mode: Transport
- Page 415 and 416: • Service: all_services • Sourc
- Page 417 and 418: 9.6. Доступ к серверу
- Page 419 and 420: умолчанию с возмож
- Page 421 and 422: 9.7.3. Команды поиска
- Page 423 and 424: Список IKE proposal не со
- Page 425 and 426: 9.7.6. Особые признак
- Page 427 and 428: Глава 10. Управление
- Page 429 and 430: Интернет-услуг, в к
- Page 431 and 432: Рис. 10.2. Правила FwdFas
- Page 433 and 434: Web-интерфейс 1. Зайд
- Page 435 and 436: Значение приоритет
- Page 437 and 438: Приоритеты применя
- Page 439 and 440: • IP-адрес назначен
- Page 441 and 442: приоритета, и далее
- Page 443 and 444: административного
- Page 445 and 446: • Приоритет 6 - VoIP (50
- Page 447 and 448: Если используется S
- Page 449 and 450: 3.Далее устанавлива
- Page 451 and 452: помощью команды CLI p
- Page 453 and 454: 10.3.2. Ограничение ск
- Page 455 and 456: 2560 и 2560G. Иллюстраци
- Page 457 and 458: IP Address Stickiness (Привяз
- Page 459 and 460: Рис. 10.12. Привязка (St
Интернет. Туннелирование выполняется за счет инкапсуляции PPP-пакетов с помощью Generic<br />
Routing Encapsulation (GRE - IP-протокол 47). Сначала клиент устанавливает соединение с<br />
провайдером обычным способом с помощью PPP-протокола и далее устанавливает TCP/IPсоединение<br />
через Интернет к межсетевому экрану NetDefend, который действует в качестве PPTPсервера<br />
(используется TCP-порт 1723). Провайдер не осведомлен о VPN, так как туннель идет от<br />
PPTP-сервера к клиенту. Стандарт PPTP не определяет способ шифрования данных. Как правило,<br />
шифрование выполняется с помощью стандарта Microsoft Point-to-Point Encryption (MPPE).<br />
Применение<br />
PPTP-протокол является удобным и простым в использовании решением, обеспечивающим доступ<br />
клиентам. PPTP-протоколу не требуется инфраструктура сертификата, находящегося в L2TP, но<br />
вместо этого используется последовательность имя пользователя /пароль для установки доверия<br />
между клиентом и сервером. Уровень безопасности, предлагаемый не на основе сертификата,<br />
возможно, является единственным недостатком PPTP. Так как PPTP-протокол не использует IPsec,<br />
PPTP-соединения могут быть преобразованы с помощью технологии NAT и NAT traversal не<br />
требуется. Компания Microsoft включает PPTP в состав своих операционных систем, начиная с<br />
Windows 95 и, следовательно, существует большое количество клиентов с уже установленным<br />
программным обеспечением.<br />
Поиск и устранение неисправностей PPTP<br />
Основной проблемой при настройке PPTP-протокола является то, что маршрутизатор и/или<br />
коммутатор в сети блокирует TCP-порт 1723 и/или IP-протокол 47 перед установкой PPTPсоединения<br />
с межсетевым экраном NetDefend. При проверке журнала можно выявить проблему,<br />
появится сообщение следующего вида:<br />
Пример 9.10. Настройка PPTP-сервера<br />
В данном примере рассматривается процесс настройки сетевого PPTP-сервера. Предполагается, что в адресной<br />
книге уже созданы некоторые объекты адресов.<br />
Пользователю необходимо определить IP-адрес интерфейса PPTP-сервера, внешний IP-адрес (который<br />
необходимо прослушивать PPTP-серверу) и пул IP-адресов, который будет использовать PPTP-сервер для<br />
назначения IP-адресов клиентам.<br />
CLI<br />
gw-world:/> add Interface L2TPServer MyPPTPServer<br />
ServerIP=lan_ip Interface=any<br />
IP=wan_ip IPPool=pp2p_Pool<br />
TunnelProtocol=PPTP<br />
AllowedRoutes=all-nets<br />
Web-интерфейс<br />
1. Зайдите Interfaces > PPTP/L2TP Servers > Add > PPTP/L2TP Server<br />
2. Введите имя PPTP-сервера, например, MyPPTPServer<br />
3. Далее введите:<br />
• Inner IP Address: lan_ip<br />
• Tunnel Protocol: PPTP<br />
• Outer Interface Filter: any<br />
• Outer Server IP: wan_ip<br />
4. На вкладке PPP Parameters выберите pptp_Pool в настройках IP Pool<br />
5. На вкладке Add Route, выберите all_nets из Allowed Networks<br />
410