[技术分享]如何配置Forefront UAG的SSTP VPN


UAG 作为微软的一款的网关类产品,致力于提供内部资源的发布和为外部用户提供内部访问。在众多的向内部访问的方式中,我们今天介绍一种 SSTP VPN。

SSTP (Secure Socket Tunneling Protocol )VPN 可以让 PPP 和 L2TP 的流量封装在 SSL 3.0的通道中进行传输,这样既保证了数据的安全性又可以使使用 TCP 的443端口通过大多数的防火墙。在复杂的网络环境中,客户端甚至可以使用 Web 代理来进行 SSTP VPN 的访问。

配置 SSTP VPN,我们需要客户端使用 Windows Vista 及之后的 Windows 版本。下面就通过例子来看一下 SSTP VPN 的配置过程:

UAG 服务器部分:

1. 在 UAG 控制台中,首先建立一个 HTTPs 的 trunk(干道)。在本例中,这个 trunk 叫做 httpsportal2.iverxue.com,公网地址是1.1.1.4

clip_image001

2. 在上方的菜单点击 Admin->Remote Network Access->SSL Network Tunneling (SSTP)

3. 选中 Enable remote client VPN access,并绑定到一个 trunk 上

clip_image002

4. 在 Protocol 页上,勾选 SSTP

5. 在 IP Address Assignment 页面上,我们为 VPN 客户端创建一个地址池,让 UAG 来分配。并在 advanced 选项中分派内部的 DNS 服务器。

clip_image003

注意: 这个地址池不能和内网地址重复。假设我们内网的网段是192.168.9.0/24,在 UAG 上我们可以定义192.168.10.X这样的地址段。在内部路由方面,请保证内部的服务器要到达192.168.10.X的这个网段,必须通过 UAG 的内网卡。

6. 登录域控制器,检测需要登录的 VPN 用户需要被允许被拨入:

clip_image004

7. 配置完成后请点击 UAG 的 Activate Configuration 并等待配置同步。

客户端部分,以 Windows 7 客户端为例:

1. 在 Windows 7 的客户端上我们必须先安装在 UAG trunk 上绑定证书的根证书。通过打开 MMC 后添加本机器的 certificate 控制台可以进行操作。根证书需要被导入到 Trusted Root Certification Authorities:

clip_image006

2. 然后去控制面板的 Network and Sharing Center 中建立一个新的 VPN 连接。(Set up a new connection or network->Connect to a workplace->Use my Internet Connection(VPN))

3. 在 Internet Address 中请输入 Trunk 的名字

clip_image008

4. 根据向导完成后,我们会看到一个 SSTP 的网卡,请右击选择属性。在 Security 页中,选择 Secure Socket Tunneling Protocol(SSTP)的 VPN 类型。

5. 然后就可以尝试连接了,拨通后,我们可以通过 ipconfig 命令看到一个新的 PPP 适配器的地址:

clip_image009

您是不是觉得让终端用户配置这些VPN会很复杂,那么会不会有什么更好的方法呢?

当然可以,我们来看看在以上配置的基础上我们还能怎样方便用户呢。

让我们回到 UAG 服务器:

1. 在 Trunk 上建立一个新的 application

2. Application 的类型是 Remote Network Access

clip_image010

3. 根据默认配置,完成该向导以后,我们可以看到该 Remote Network Access 型的 Application 已经被建立成功了。请激活 UAG 配置。

clip_image011

回到客户端,这时候登录HTTPs的Portal。

clip_image013

点击这个Application后,我们可以看到右下角的图标会连通这个VPN:

clip_image014

clip_image015

现在请再去测试下是否可以访问内网的资源了呢?

希望这篇博文能方便您和您的用户。

微软安全专家

薛玮(Iverson Xue)

Comments (0)

Skip to main content