UAG 作為微軟的一款的網(wǎng)關(guān)類(lèi)產(chǎn)品,致力于提供內(nèi)部資源的發(fā)布和為外部用戶(hù)提供內(nèi)部訪(fǎng)問(wèn)。在眾多的向內(nèi)部訪(fǎng)問(wèn)的方式中,我們今天介紹一種 SSTP VPN。
SSTP (Secure Socket Tunneling Protocol )VPN 可以讓 PPP 和 L2TP 的流量封裝在 SSL 3.0的通道中進(jìn)行傳輸,這樣既保證了數(shù)據(jù)的安全性又可以使使用 TCP 的443端口通過(guò)大多數(shù)的防火墻。在復(fù)雜的網(wǎng)絡(luò)環(huán)境中,客戶(hù)端甚至可以使用 Web 代理來(lái)進(jìn)行 SSTP VPN 的訪(fǎng)問(wèn)。
配置 SSTP VPN,我們需要客戶(hù)端使用 Windows Vista 及之后的 Windows 版本。下面就通過(guò)例子來(lái)看一下 SSTP VPN 的配置過(guò)程:
UAG 服務(wù)器部分:
1. 在 UAG 控制臺(tái)中,首先建立一個(gè) HTTPs 的 trunk(干道)。在本例中,這個(gè) trunk 叫做 httpsportal2.iverxue.com,公網(wǎng)地址是1.1.1.4
2. 在上方的菜單點(diǎn)擊 Admin->Remote Network Access->SSL Network Tunneling (SSTP)
3. 選中 Enable remote client VPN access,并綁定到一個(gè) trunk 上
4. 在 Protocol 頁(yè)上,勾選 SSTP
5. 在 IP Address Assignment 頁(yè)面上,我們?yōu)?VPN 客戶(hù)端創(chuàng)建一個(gè)地址池,讓 UAG 來(lái)分配。并在 advanced 選項(xiàng)中分派內(nèi)部的 DNS 服務(wù)器。
注意: 這個(gè)地址池不能和內(nèi)網(wǎng)地址重復(fù)。假設(shè)我們內(nèi)網(wǎng)的網(wǎng)段是192.168.9.0/24,在 UAG 上我們可以定義192.168.10.X這樣的地址段。在內(nèi)部路由方面,請(qǐng)保證內(nèi)部的服務(wù)器要到達(dá)192.168.10.X的這個(gè)網(wǎng)段,必須通過(guò) UAG 的內(nèi)網(wǎng)卡。
6. 登錄域控制器,檢測(cè)需要登錄的 VPN 用戶(hù)需要被允許被撥入:
7. 配置完成后請(qǐng)點(diǎn)擊 UAG 的 Activate Configuration 并等待配置同步。
客戶(hù)端部分,以 Windows 7 客戶(hù)端為例:
1. 在 Windows 7 的客戶(hù)端上我們必須先安裝在 UAG trunk 上綁定證書(shū)的根證書(shū)。通過(guò)打開(kāi) MMC 后添加本機(jī)器的 certificate 控制臺(tái)可以進(jìn)行操作。根證書(shū)需要被導(dǎo)入到 Trusted Root Certification Authorities:
2. 然后去控制面板的 Network and Sharing Center 中建立一個(gè)新的 VPN 連接。(Set up a new connection or network->Connect to a workplace->Use my Internet Connection(VPN))
3. 在 Internet Address 中請(qǐng)輸入 Trunk 的名字
4. 根據(jù)向?qū)瓿珊螅覀儠?huì)看到一個(gè) SSTP 的網(wǎng)卡,請(qǐng)右擊選擇屬性。在 Security 頁(yè)中,選擇 Secure Socket Tunneling Protocol(SSTP)的 VPN 類(lèi)型。
5. 然后就可以嘗試連接了,撥通后,我們可以通過(guò) ipconfig 命令看到一個(gè)新的 PPP 適配器的地址:
您是不是覺(jué)得讓終端用戶(hù)配置這些VPN會(huì)很復(fù)雜,那么會(huì)不會(huì)有什么更好的方法呢?
當(dāng)然可以,我們來(lái)看看在以上配置的基礎(chǔ)上我們還能怎樣方便用戶(hù)呢。
讓我們回到 UAG 服務(wù)器:
1. 在 Trunk 上建立一個(gè)新的 application
2. Application 的類(lèi)型是 Remote Network Access
3. 根據(jù)默認(rèn)配置,完成該向?qū)б院螅覀兛梢钥吹皆?Remote Network Access 型的 Application 已經(jīng)被建立成功了。請(qǐng)激活 UAG 配置。
回到客戶(hù)端, 這時(shí)候登錄HTTPs的Portal。
點(diǎn)擊這個(gè)Application后,我們可以看到右下角的圖標(biāo)會(huì)連通這個(gè)VPN:
現(xiàn)在請(qǐng)?jiān)偃y(cè)試下是否可以訪(fǎng)問(wèn)內(nèi)網(wǎng)的資源了呢?
希望這篇博文能方便您和您的用戶(hù)。
微軟安全專(zhuān)家
薛瑋(Iverson Xue)
更多文章、技術(shù)交流、商務(wù)合作、聯(lián)系博主
微信掃碼或搜索:z360901061
微信掃一掃加我為好友
QQ號(hào)聯(lián)系: 360901061
您的支持是博主寫(xiě)作最大的動(dòng)力,如果您喜歡我的文章,感覺(jué)我的文章對(duì)您有幫助,請(qǐng)用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點(diǎn)擊下面給點(diǎn)支持吧,站長(zhǎng)非常感激您!手機(jī)微信長(zhǎng)按不能支付解決辦法:請(qǐng)將微信支付二維碼保存到相冊(cè),切換到微信,然后點(diǎn)擊微信右上角掃一掃功能,選擇支付二維碼完成支付。
【本文對(duì)您有幫助就好】元
