Назначение двух сетевых интерфейсов для Microsoft VPN
Не то, чтобы я когда-либо использовал Wizard, конечно, но давайте просто скажем, что теоретически я был при настройке VPN-сервера. Вы видите чисто академическое...
Мастер хочет два сетевых интерфейса. Вы должны выбрать один из них для того, который "Подключается к Интернету". Это кажется достаточно ясным, но:
- Какой именно интерфейс не подключается к Интернету? Это то, что становится воротами для клиентов?
- Является ли тот, который подключается к Интернету, тем, к которому вы бы подключились через NAT, если интерфейсы, подключаемые к Интернету, являются частным IP? По сути, это тот, который содержит адрес, который клиенты будут использовать для подключения? (Кажется очевидным, но никогда не повредит, чтобы быть ясным в этих вещах).
3 ответа
NAT - это ортогональная функциональность к функциональности VPN-сервера.
Предполагаемая топология сети в конфигурации "Удаленный доступ (удаленный доступ или VPN)" в мастере представляет собой сервер с сетевой картой, подключенной к общедоступному Интернету, и сетевой картой, подключенной к локальной сети. Сетевая сетевая карта будет прослушивать входящие соединения, и, как только клиент подключится и будет назначен IP-адрес (либо через DHCP, ретранслируемый из локальной сети, либо через пул статических IP-адресов на сервере RRAS), пакеты с ПК будут декапсулированы и отброшены. на интерфейсе локальной сети (который также будет автоматически выполнять прокси-ARP для клиентов VPN). В этой конфигурации не настроен NAT. Клиентам VPN в любом случае не нужен NAT, поскольку при подключении им назначаются IP-адреса локальной сети. (Вы можете увидеть любой пример ожидаемой топологии в разделе справки "Общие конфигурации удаленного доступа" в разделе "Обзор маршрутизации и удаленного доступа" в справке по продукту.)
Если вы также хотите использовать NAT, выберите "Доступ к виртуальной частной сети (VPN) и NAT". Это обычная конфигурация, где один сервер используется как маршрутизатор NAT для локальной сети, так и сервер VPN. Это очень похожая конфигурация на конфигурацию "Удаленного доступа", но вы также будете настраивать сетевой адаптер Интернета как эффективный "внешний" интерфейс для функций NAT.
Для справки: вы можете настроить RRAS VPN-сервер с одним NIC. Для этого вы должны использовать "Выборочную" конфигурацию в мастере, но она будет работать нормально. Вам нужно будет перенаправить соответствующие протоколы через пограничный межсетевой экран на сервер VPN. Он будет получать входящие клиентские соединения на той же сетевой плате, на которую он декапсулирует пакеты, и выполняет прокси-ARP.
В идеале вы должны иметь внутреннюю сеть (например, 192.168.1.1-100) и внешнюю сеть (например, 192.168.2.1-100). Внешняя сеть будет работать как DMZ и считается "в Интернете". Внутренняя сеть не будет иметь прямого доступа к внешней сети, кроме как через брандмауэр.
Сам VPN-сервер должен находиться между обеими сетями, чтобы пересылать трафик назад / вперед, чтобы внешние пользователи VPN могли получить доступ к внутренней сети.
Технически нет необходимости иметь два интерфейса. Но большинство людей, использующих RRAS от MS, имеют небольшие / простые сети. В этих ситуациях чаще всего используется один сервер, который действует как интернет-маршрутизатор (NAT), а также обеспечивает VPN-доступ. Тогда ему нужен один интерфейс для локальной сети и один для сети Интернет / Периметр.