Назад | Перейти на главную страницу

RRAS IKEv2 за маршрутизатором

У меня работает установка Server 2012 R2, на которой мне нужно развернуть IKEv2 VPN. Это мой способ доступа к файлам в моем офисе.

Текущая установка включает NAT-маршрутизатор (просто стандартный маршрутизатор, распределенный ISP), который находится перед указанным сервером. Он назначает серверу статический IP-адрес локальной сети, но я все равно настроил сервер на получение этого IP-адреса.

На этом сервере установлена ​​Active Directory. Я владею доменом, и в этом отделе все работает нормально. У меня нет двух сетевых карт, поэтому я установил адаптер Microsoft Loopback Adapter по чьему-то совету.

Однако, когда дело касается IKEv2, возникают трудности. Я создал настраиваемый шаблон сертификата, который дает ему требуемые значения использования ключей и расширенное использование ключей, а также сделал так, что настраиваю CN вручную. Теперь, пока CN совпадает с адресом, который я указываю в клиенте, он работает на сервере (он может подключаться к самому себе). Однако это не так, когда я подключаюсь к другому компьютеру в той же внутренней сети.

IKE не удалось найти действующий сертификат машины. Обратитесь к администратору сетевой безопасности по поводу установки действующего сертификата в соответствующем хранилище сертификатов.

Я изучил его и определил, что одной проблемой может быть адаптер обратной связи, поскольку ему, похоже, не назначается правильный адрес (ему назначается 169.xx.xx.xx, который, как я видел, является «произвольным» отказоустойчивым. результат). Кроме того, BPA выдал несколько тревожных ошибок:

Предупреждение. Агент DHCP-ретрансляции IPv4 должен быть настроен как минимум с одним DHCP-сервером.

Предупреждение: имя субъекта сертификата, который будет использоваться для IKEv2 или SSTP, должно совпадать с именем сервера RRAS или IP-адресом внешнего интерфейса конфигурации сервера RRAS.

Эти двое вызывают наибольшее беспокойство. Я хочу знать, что я могу сделать, чтобы этот проклятый VPN работал нормально. В конце концов, я должен уметь: а) использовать его в качестве «прокси» для всего моего сетевого трафика и б) получать доступ к моим файлам через домен.

И, прежде чем я опубликую, позвольте мне просто сказать, что я знаю, что вы не должны использовать свой контроллер домена в качестве брокера NAS / RRAS. Хотя все будет хорошо.