Назад | Перейти на главную страницу

Сервер RRAS VPN в Windows 2008 за NAT

Итак, у меня довольно забавная установка, позвольте мне посмотреть, смогу ли я ее описать.

У меня один хост VMware с публичным IP-адресом 74.xx.xx.x Внутри этого хоста у меня есть 3 виртуальных машины

  1. Веб-сервер - 1 сетевая карта - 192.168.199.20
  2. SQL Server - 1 сетевая карта - 192.168.199.30
  3. Сервер RRAS / VPN - 2 сетевых адаптера 192.168.199.40 & 192.168.199.45

Из-за ограничений моего интернет-провайдера все виртуальные машины подключены к хосту через NAT. У меня есть настройка NAT для веб-сервера, поэтому все входящие запросы на 74.xx.xx.x через порт 80 маршрут до 192.168.199.20. Это прекрасно работает.

Теперь я хочу настроить VPN-сервер Windows 2008 внутри этой сети NAT и пересылать на него правильный трафик. У меня следующие вопросы?

  1. Какие порты TCP / UDP мне нужно перенаправить?
  2. Какая особая конфигурация необходима на сервере и клиентах, поскольку они находятся за NAT
  3. Любой другой совет был бы замечательным.

Ваша установка ничем не отличается от того, сколько физических серверов RRAS установлено, включая мой собственный, в небольшом офисе. Если вы говорите о RRAS VPN, вы, скорее всего, говорите о PPTP VPN ... если у вас нет внутреннего центра сертификации и вы не хотите работать с IPSec. (Подсказка: если вы хотите поиграться с IPSec VPN, не делайте этого. Если вы думаете о безопасности, приобретите устройство SSL VPN.)

Просто перенаправьте TCP-порт 1723 и IP-протокол 47 (GRE) на свой сервер RRAS, и все готово. Также обратите внимание, что вам необходимо отредактировать / добавить политику удаленного доступа, чтобы разрешить входящие соединения. Если я правильно помню, по умолчанию входящие соединения не разрешены. Например, я создал группу под названием «Пользователи VPN», а затем создал политику под названием «Корпоративная политика VPN», в которой установлены условия политики, разрешающие соединения, если какой-либо входящий запрос поступает от учетной записи пользователя, которая находится в этой группе (а также уверен, что используется только MS-CHAPv2 PWD, но я отвлекся ...). Вы должны поднять эту политику выше, чем политика по умолчанию, которая запрещает все. Все это делается в разделе «Маршрутизация и удаленный доступ» раздела «Службы сетевой политики и доступа» в диспетчере серверов.

На клиентах не требуется специальной настройки. Встроенный в Windows клиент VPN будет работать как шарм. Я даже использовал Linux-машины и pptpclient для сногсшибательного подключения к нему.

Теперь, после того, как я напечатал все это, я понял, что все это верно для моего сервера RRAS Server 2003, и вы сказали, что у вас есть машина Server 2008. Ваш пробег может отличаться. знак равно