史萊姆論壇 - 在ISA Server 2000下配置L2TP/IPSec 的VPN連接

在ISA Server 2000下配置L2TP/IPSec 的VPN連接

終於可以說是基本配置成功了

配置環境：
伺服器：Windows 2000 Server 被配置成一台域控制器 (DC)，雙網路卡，有一個外網ip位址，安裝了 DHCP ，DNS ，Internet 資訊服務(IIS)和 ISA Server 2000 ，配置路由和遠端訪問服務(RRAS)為 VPN Server，在這台 DC 上面安裝MS證書服務(CA Server) ，類型是獨立根CA。
客戶端：一台 Windows 2003 企業版伺服器 :P

配置的結構為：
Client ----- Internet ----- Server
如果是Client ----- NAT ----- Internet ----- Server，則有些區別。

假設 ISA CA 都已經安裝好， DC RRAS DHCP DNS IIS 運轉正常，下面就開始咯 ^^

(一) 配置 RRAS 為 VPN Server
右擊伺服器選項「配置並啟用路由和遠端訪問「，如果原來有過配置，可能需要先禁用再重新配置，如圖：

選項「虛擬專用網路(VPN)伺服器「

選項傳輸協定

選項連接 Internet 的本機連接

IP 位址分配，因為已經配置好 DHCP Server 了，這裡選項「自動「

下一步選項不使用 RADIUS

下一步「完成「，這樣 VPN Server 就配置好了 ^^

(二) 發佈 CA Server :P
為了使Internet 上的用戶也能夠申請到證書，必須在 ISA Server 上發佈證書伺服器。isaserver.org 上有相關的我的文件，這裡我發現了一個簡單的方法：
開啟ISA Server 2000 ，展開 Policy Elements ——> Destination Sets ，點擊「產生新的目的集「

輸入目的集的名稱，點擊Add...，輸入外網的IP位址

好，下面就發佈 CA Server 了，新增一個規則：

名稱：

選項剛剛新增好的位址目的集：

客戶類型，選項「 Any Request「

Rule Action 是發佈伺服器最關鍵的一步，重轉發IP到內部的web server 中填入局內網的 ip 位址，http 綁定連接阜輸入在 IIS 中設定的連接阜號，如此處是 3434。註：在安裝了 ISA 後，80 和 8080 都被 ISA 保留。

相關 IIS 中的設定

紅色區域為證書服務安裝後自動在 IIS 中增加的，請保證這裡的虛擬目錄存在。
對 ISA Server 點右鍵，選項內容：

在入站請求處，按圖中選項：

確定後重啟 ISA Server 相關服務，CA Server 發佈結束 ^^

(三) 為伺服器和客戶端申請電腦證書
要完成 L2TP/IPSec 的連接，則VPN Server和VPN Client都要安裝由同一CA頒發的機器證書（電腦證書），先為VPN Server申請證書 :P
在伺服器上開啟 ie ，輸入 h**p://外網位址/certsrv，點擊「檢索CA證書或證書吊銷列表「，下一步

申請類型中，選項「進階申請「，下一步

選項「使用表格向這個CA提交一個證書申請「，下一步

輸入「姓名「，在意圖中選項「伺服器身份驗證證書「，勾上「使用本機機器儲存「，提交

出現警告，點擊是

可愛的證書被掛起了，:P

開啟「證書頒發機構「，點擊「待定申請「，頒發待定的證書

回到申請證書的主頁，點擊「檢查掛起的證書「，下一步

再點擊下一步，

安裝申請的證書

伺服器證書安裝成功 :P

下面安裝客戶端證書了 :P
在VPN Client 上開啟 ie ，輸入 h*tp//外網位址/certsrv，點擊「檢索CA證書或證書吊銷列表「，下一步

選項「下載CA證書「，將CA證書下載到本機並安裝：

開啟本機證書管理單元（注意在mmc中要選項本機電腦，不是用戶），在「受信任的根證書頒發機構「上點右鍵，匯入剛剛下載的根證書。

匯入成功：

好，這下該安裝客戶端證書了，程序和安裝伺服器證書一樣，區別是在意圖中選項「客戶身份驗證證書「
安裝好客戶證書後，請把伺服器上的 RRAS 重啟一下

(四) 建立 VPN 連接 ^^
在 Client 上面開啟網路連接，新增一個連接，選項「虛擬專用網路連接「

輸入外網 IP

結束後，一個 VPN 連接建立好了 :P

不要急著點擊連接噢，嘻嘻，想想為什麼？ :P:P:P

(五) 配置用戶的訪問權限
在伺服器上還要用戶的訪問權限噢，這個在AD Users and Computers 裡面設定，對某用戶點右鍵，選項內容，檢視撥入選擇項，如果域的級別為 Windows 2000 本地機模式或者為Windows 2003 級別則可以選項「由遠端訪問原則控制"

如果你要提升域的級別，請在「Active Directory 域和信任關係中提升「，選項域的內容：

配置好用戶的訪問權限以後就可以進行最後一步了，嘿嘿，當然是 ISA Server 了 ^^

(六) 設定ISA Server 允許 VPN 連接
開啟 ISA Server ，開啟IP 包過濾的內容，在PPTP裡面選「PPTP through ISA firewall「

對「網路設定「點右鍵選項「允許 VPN 客戶端連接「

點下一步，即完成了 ^^，簡單吧 :P

這時在 ISA 的IP 包過濾中就會自動增加4條規則，2條 PPTP的，2條 L2TP 的

ok，開始在客戶端連接吧，嘻嘻

在伺服器上用 IPSecmon 檢視建立的連接

如果你是 Client ----- NAT ----- Internet ----- Server，則要在 Client 上安裝微軟的關於 NAT-T的L2TP/IPSec 更新程序，可以在微軟免費下載，同時你的 VPN Server 必須是 Windows 2003 ，而且要手動在 ISA Server 上開啟相應的連接阜

後記：其實可以討論的還有很多，比如RRAS 和 CA Server 不是一台 Server 時的設定，如果用 Windows 2003 又會怎樣？希望大家討論討論

本文為了簡單而採用了獨立根CA，這個在實際操作中並不一般，需要根據實際情況變化相應設定