[技术分享]如何配置Forefront UAG的SSTP VPN

UAG 作为微软的一款的网关类产品，致力于提供内部资源的发布和为外部用户提供内部访问。在众多的向内部访问的方式中，我们今天介绍一种 SSTP VPN。

SSTP （Secure Socket Tunneling Protocol ）VPN 可以让 PPP 和 L2TP 的流量封装在 SSL 3.0的通道中进行传输，这样既保证了数据的安全性又可以使使用 TCP 的443端口通过大多数的防火墙。在复杂的网络环境中，客户端甚至可以使用 Web 代理来进行 SSTP VPN 的访问。

配置 SSTP VPN，我们需要客户端使用 Windows Vista 及之后的 Windows 版本。下面就通过例子来看一下 SSTP VPN 的配置过程：

UAG 服务器部分：

1. 在 UAG 控制台中，首先建立一个 HTTPs 的 trunk（干道）。在本例中，这个 trunk 叫做 httpsportal2.iverxue.com，公网地址是1.1.1.4

2. 在上方的菜单点击 Admin->Remote Network Access->SSL Network Tunneling (SSTP)

3. 选中 Enable remote client VPN access，并绑定到一个 trunk 上

4. 在 Protocol 页上，勾选 SSTP

5. 在 IP Address Assignment 页面上，我们为 VPN 客户端创建一个地址池，让 UAG 来分配。并在 advanced 选项中分派内部的 DNS 服务器。

注意 : 这个地址池不能和内网地址重复。假设我们内网的网段是 192.168.9.0/24 ，在 UAG 上我们可以定义 192.168.10.X 这样的地址段。在内部路由方面，请保证内部的服务器要到达 192.168.10.X 的这个网段，必须通过 UAG 的内网卡。

6. 登录域控制器，检测需要登录的 VPN 用户需要被允许被拨入：

7. 配置完成后请点击 UAG 的 Activate Configuration 并等待配置同步。

客户端部分，以 Windows 7 客户端为例：

1. 在 Windows 7 的客户端上我们必须先安装在 UAG trunk 上绑定证书的根证书。通过打开 MMC 后添加本机器的 certificate 控制台可以进行操作。根证书需要被导入到 Trusted Root Certification Authorities:

2. 然后去控制面板的 Network and Sharing Center 中建立一个新的 VPN 连接。（Set up a new connection or network->Connect to a workplace->Use my Internet Connection(VPN)）

3. 在 Internet Address 中请输入 Trunk 的名字

4. 根据向导完成后，我们会看到一个 SSTP 的网卡，请右击选择属性。在 Security 页中，选择 Secure Socket Tunneling Protocol（SSTP）的 VPN 类型。

5. 然后就可以尝试连接了，拨通后，我们可以通过 ipconfig 命令看到一个新的 PPP 适配器的地址：

您是不是觉得让终端用户配置这些VPN会很复杂，那么会不会有什么更好的方法呢？

当然可以，我们来看看在以上配置的基础上我们还能怎样方便用户呢。

让我们回到 UAG 服务器：

1. 在 Trunk 上建立一个新的 application

2. Application 的类型是 Remote Network Access

3. 根据默认配置，完成该向导以后，我们可以看到该 Remote Network Access 型的 Application 已经被建立成功了。请激活 UAG 配置。

回到客户端， 这时候登录HTTPs的Portal。

点击这个Application后，我们可以看到右下角的图标会连通这个VPN：

现在请再去测试下是否可以访问内网的资源了呢？

希望这篇博文能方便您和您的用户。

微软安全专家

薛玮（Iverson Xue）