headermask image
Рекомендую: Фриланс-биржа | Кэшбэк-сервис | Интернет-бухгалтерия

Настройка Site-to-Site VPN между Forefront TMG и Cisco PIX/ASA, часть 1

Forefront Threat Management Gateway (TMG) 2010 поддерживает различные протоколы для создания site-to-site (LAN to LAN) VPN, включая PPTP, L2TP, и IPsec. Из этих протоколов IPsec единственный поддерживает создание site-to-site VPN подключений к VPN устройствами сторонних производителей, например таких как Cisco PIX и ASA. В данной статье я продемонстрирую как настраивать Forefront TMG и Cisco PIX/ASA для создания site-to-site VPN в следующем сценарии:

tmg_asa_1

[Замечание: Site-to-site VPN в TMG поддерживается только в конфигурации с несколькими сетевыми интерфейсами. В TMG должно быть минимум 2 сетевых интерфейса.]

Настройка TMG Firewall

Откройте консоль управления TMG и перейдите в узел Remote Access Policy (VPN), затем в основном окне выберите вкладку Remote Sites. В панели Tasks нажмите Create VPN Site-to-Site Connection.

tmg_asa_2

Запустится мастер Site-to-Site Connection Wizard, который запросит необходимую для создания VPN туннеля информацию. Введите понятное в дальнейшем имя туннеля.

tmg_asa_3

Выберите IP Security protocol (IPsec) tunnel mode.

tmg_asa_4

Если TMG включен в массив, в котором не включен Network Load Balancing (NLB), выберите ноду, которая будет использоваться для создания туннеля. Если NLB включен, владелец подключения будет выбран автоматически.

tmg_asa_5

Введите IP адреса удаленного и локального шлюза VPN. IP адресом удаленного VPN шлюза будет внешний сетевой интерфейс Cisco PIX/ASA. IP адресом локального VPN шлюза будет IP указанный на внешнем сетевом интерфейсе TMG. Если TMG является частью NLB массива, укажите Virtual IP (VIP) адрес, назначенный для внешней сети массива.

tmg_asa_6

Наиболее безопасным и предпочитаемым методом аутентификации конечных точек туннеля является использование сертификатов, но в реальной жизни в связи с сложностью настройки многие администраторы предпочитают использовать вместо этого совместно используемый ключ (pre-shared keys). При создании ключа обязательно создавайте его максимально длинным и сложным.

tmg_asa_7

Добавьте диапазоны адресов удаленной сети.

tmg_asa_8

Далее между внутренней сетью и удаленным сайтом необходимо создать сетевое отношение. Мастер автоматически создаст правило маршрутизации между сетями.

tmg_asa_9

Для обеспечения взаимодействия между сетями необходимо создать правило доступа. Так как в нашем случае удаленная сеть является полностью доверенной (филиал) то выбираем all outbound traffic. В случае необходимости можно выбрать определенные протоколы и порты.

tmg_asa_10

Проверьте настройки и нажмите Finish.

tmg_asa_11

Пока не применяйте новую конфигурацию. Настройки шифрования, выбранные мастером по умолчанию не совместимы с Cisco PIX и ASA. Для изменения этих настроек нажмите правой кнопкой на созданном сайте и выберите properties. Перейдите на вкладку Connection и нажмите IPsec Settings.

tmg_asa_12

В настройках Phase I установите алгоритм шифрования Encryption algorithm в значение 3DES, алгоритм проверки целосности Integrity algorithm в значение SHA1, и параметр Authenticate and generate a new key every: в86400 seconds (24 часа).

tmg_asa_13

В настройках Phase II измените Encryption algorithm на 3DES и Integrity algorithm на SHA1. Измените настройки генерации нового ключа чтобы это происходило каждые 4608000 Kbytes или 28800 seconds (8 часов).

tmg_asa_14

После завершения сохраните и примените конфигурацию.

На этом первая часть статьи закончена, в следующей статье мы рассмотрим настройку Cisco PIX/ASA.

 

Полезная информация

Отличный интернет-магазин 4Tочки – неплохой выбор зимних и летних шин для автомобиля.

Похожие посты
  • Настройка Site-to-Site VPN между Forefront TMG и Cisco PIX/ASA, часть 2
  • Создание SSL прокси при помощи lighttpd
  • Настройка SCCM 2007 SP1 в Windows Server 2008, часть 1
  • Настраиваем 2003 Server на обмен маршрутами RIP с роутерами Cisco. Часть 1
  • Настраиваем Windows Server 2003 на обмен маршрутами RIP с роутерами Cisco. Часть 2
  • Прикол с cisco
  • Настройка SCCM 2007 SP1 в Windows Server 2008, часть 3
  • Настройка SCCM 2007 SP1 в Windows Server 2008, часть 2
  • Настройка SCCM 2007 SP1 в Windows Server 2008, часть 5
  • Расширение схемы Active Directory перед установкой SCCM 2007