在ISA 2004和ISA 2000之间配置站点到站点的VPN

译自Thomas W Shinder，“Configuring a Site to Site VPN between an 2004 ISA firewall and ISA Server 2000”
　

下图描述了试验环境的网络拓朴结构：

ISA Server的IP地址信息如下表所示：

ISALOCAL

IP地址 External: 192.168.1.70/24

Internal: 10.0.0.1/24

默认网关 External: None*

Internal: None

DNSExternal: None

Internal: 10.0.0.2

WINSExternal: None

Internal: 10.0.0.2

VPN客户IP地址范围 10.0.3.0/24 (static address pool)

操作系统 Windows Server 2003

ISA防火墙软件版本 ISA Server 2004

REMOTEVPNISA

IP地址External: 192.168.1.71/24

Internal: 10.0.2.0/24

默认网关 External: None*

Internal: None

DNSExternal: None

Internal: 10.0.2.2

WINSExternal: None

Internal: 10.0.2.2

VPN客户IP地址范围 10.0.0.0 /24 (via DHCP)

操作系统 Windows Server 2003

ISA防火墙软件版本 ISA 2000

我们将执行以下步骤：

·在ISA Server 2000上运行本地VPN向导；

·修改通过本地VPN向导建立的远程VPN用户账户的密码；

·修改ISA Server 2000使用的凭证，以便它可以使用请求拨号来连接到位于总部的ISA防火墙；

·在ISA Server 2000 VPN网关上，修改请求拨号接口的空闲属性；

·在位于总部的ISA防火墙上运行远程站点向导；

·建立一个定义总部和分公司之间的路由关系的网络规则；

·建立一个允许总部到分公司的通讯的访问规则；

·为远程VPN路由器建立用户账户；

·测试连接；

在这篇文章中，我们使用PPTP进行VPN的连接，站点间的访问使用“All open”的访问规则。

在ISA Server 2000上运行本地VPN向导

首先是在分公司的ISA Server 2000 VPN网关上运行本地VPN向导，执行以下步骤：

1. 在ISA Server管理控制台，展开Servers and Arrays节点，然后展开server节点，点击 Network Configuration节点；
2. 右击Network Configuration节点，然后点击Set Up Local ISA VPN Server；
3. 在Welcome to the Local ISA Server VPN Configuration页，点击Next；
4. 在 ISA Virtual Private Network (VPN) Wizard对话框上点击Yes；
5. 在ISA Virtual Private Network (VPN) Identification页，在Type a short name to describe the local network文本框中输入 Branch；然后在Type a short name to describe the remote network文本框内输入Main，点击Next；

6. 在ISA Virtual Private Network (VPN) Protocol页，选择 Use PPTP选项，然后点击 Next；
7. 在Two-way Communication页，勾选 Both the local and remote ISA VPN computer can initiate the connection。在Type the fully qualified domain name or IP address of the remote VPN computer文本框，输入总部ISA防火墙的IP地址，在此例中，我们输入192.168.1.70。在Type the remote VPN computer name or the remote domain name 文本框，输入总部ISA防火墙的计算机名字，在此例中是ISALOCAL。点击 Next。

8. 在Remote Virtual Private Network (VPN) Network页，点击 Add。在ISA Virtual Private Network (VPN) Wizard对话框，输入总部网络的开始IP地址和结束IP地址，根据我们的网络，我们在From输入10.0.0.0，在To输入10.0.0.255，点击OK，点击Next。
9. 在Local Virtual Private Network (VPN) Network页，分公司网络的IP地址将会自动添加，你可以点击Add按钮来添加更多的地址。点击 Next；
10. 在ISA VPN Computer Configuration File页，在File name文本框中输入文件名，在此我们输入 C:\main，输入并确认密码。主持，虽然我们建立了这个文件，但是我们并不会使用它，点击 Next。
11. 在Completing the ISA VPN Setup Wizard页，点击完成；

注意:
ISA Server 2000不会对VPN远程访问和VPN站点到站点的连接执行状态监测和应用层识别

修改通过本地VPN向导建立的远程VPN用户账户的密码

现在我们来修改本地VPN向导建立的用户账户的密码。本地VPN向导建立了一个总部ISA Server用于通过分公司ISA Server认证的用户账户，但是，我们不知道本地VPN向导分配给它的密码，所以我们需要修改它。

执行以下步骤：

1. 右击 My Computer，然后点击 Manage；
2. 在Computer Management控制台，展开 System Tools，然后展开 Local Users and Groups节点；
3. 在右面板，右击 Branch_Main用户，然后点击 Set Password。在Set Password for Branch_Main对话框中点击 Proceed。
4. 在Set Password for Branch_Main对话框中输入并确认新的密码，然后点击OK；
5. 在提示你新的密码已经设置的对话框上点击 OK；

修改ISA Server 2000用于请求拨号的凭证

本地VPN向导会建立一个请求拨号接口，用于拨往总部的VPN网关，但是它只是假设你使用的请求拨号接口的命名惯例，在此，我们需要修改ISA Server 2000 VPN网关用于请求拨号的凭证。

执行以下步骤以进行修改：

1. 打开Routing and Remote Access控制台，展开服务器名，点击Network Interfaces节点；
2. 右击 Branch_Main请求拨号接口，然后点击 Set Credentials；
3. 在Interface Credentials对话框，修改User name为 Branch，输入并确认密码（这个Branch用户是我们将会在总部的ISA防火墙上建立的）。点击 OK；
4. 重启RRAS服务；

修改ISA Server 2000 VPN网关上的请求拨号接口的空闲属性

ISA Server 2000的请求拨号接口的默认设置是在5分钟空闲时间后，自动断开连接。我们不想让此接口断开，执行以下步骤进行修改：

1. 在RRAS控制台，展开服务器名，然后点击 Network Interfaces节点；
2. 右击Branch_Main请求拨号接口，然后点击 Properties；
3. 在Branch_Main Properties对话框，点击Options标签，修改 Idle time before hanging up为never，点击OK。

在位于总部的ISA防火墙上运行远程站点向导

现在我们将目光移到总部的ISA防火墙上，执行以下步骤来建立远程网络：

1. 在Microsoft Internet Security and Acceleration Server 2004管理控制台，展开服务器名，然后点击 Virtual Private Networks (VPN) 节点；
2. 点击 Remote Sites标签，然后在任务面板点击 Tasks标签，然后点击 Add Remote Site Network链接；
3. 在Welcome to the New Network Wizard页，在Network name文本框中输入 Branch，这个名字将分配给请求拨号接口，然后点击Next。
4. 在VPN Protocol页，选择Point-to-Point Tunneling Protocol (PPTP)选项，然后点击Next；
5. 在Remote Site Gateway页，输入分公司ISA Server 2000外部接口的FQDN或者IP地址，在此我们输入192.68.1.71，点击Next；
6. 在Remote Authentication页，勾选Local site can initiate connections to remote site using these credentials，输入用于验证的用户名和密码，这个用户和应该和我们在分公司ISA Server请求拨号接口上使用的用户一致，在此例中是Branch_Main。在Domain文本框中输入分公司ISA Server 2000 VPN网关的计算机名字，在此例中是REMOTEVPNISA。点击Next；

7. 在Local Authentication页提示你你需要建立一个用户以便让分公司的ISA Server 2000 VPN网关可以使用来验证。稍后我们可以建立这个用户，这个用户必须和我们在总部ISA防火墙上的请求拨号接口上建立的用户一致，此例中是Branch，点击Next。
8. 在 Network Addresses页，输入分公司网络的IP地址，在此例中，分公司使用10.0.2.0/24的子网，点击Add按钮，输入10.0.2.0和10.0.2.255，点击OK，点击Next。
9. 在Completing the New Network Wizard页，点击Finish。 
   

   建立一个定义总部和分公司之间的路由关系的网络规则

   和其他状态识别的防火墙一样，ISA Server 2004允许你控制源网络和目的网络之间的路由关系。在站点到站点间的VPN中，我总是建议你使用路由关系。

   在此例中，我们在总部和分公司网络间建立路由关系。执行以下步骤：

   1. 在Microsoft Internet Security and Acceleration Server 2004管理控制台，展开服务器名，然后展开Configuration节点，点击Networks网络节点；
   2. 在Networks节点，点击Network Rules标签，点击任务面板的Tasks标签，然后点击Create a New Network Rule链接；
   3. 在Welcome to the New Network Rule Wizard页，在Network rule name文本框中输入规则的名字，在此我们输入Main to Branch，点击Next；
   4. 在Network Traffic Sources页，点击Add按钮，在Add Network Entities对话框，点击Networks目录，然后双击Internal，点击Close；
   5. 在Network Traffic Sources页点击Next；
   6. 在Network Traffic Destinations页，点击Add按钮，在Add Network Entities对话框，点击Networks目录，然后双击Branch，点击Close；
   7. 在Network Traffic Destinations页点击Next；
   8. 在Network Relationship页，选择Route，然后点击Next；

   
   

   9. 在Completing the New Network Rule Wizard页，点击Finish。

   　

   　

   建立一个允许总部到分公司的通讯的访问规则

   现在，我们需要建立一个访问规则，以允许分公司和总部网络之间的互访，执行以下步骤来建立：

   1. 在Microsoft Internet Security and Acceleration Server 2004管理控制台，展开服务器名，然后点击Firewall Policy节点；
   2. 点击任务面板的Tasks标签，然后点击Create New Access Rule链接；
   3. 在Welcome to the New Access Rule Wizard页，在Access Rule name文本框输入规则名字，在此，我们命名为All Open Main-Branch，点击Next；
   4. 在Rule Action页，选择Allow，然后点击Next；
   5. 在Protocols页，接受默认的设置，然后点击Next；
   6. 在Access Rule Sources页，点击Add按钮，在Add Network Entities对话框，点击Networks目录，双击Internal，然后点击Close。在Access Rule Sources页点击 Next；
   7. 在Access Rule Destinations页，点击Add按钮，在Add Network Entities对话框，点击Networks目录，双击Branch，然后点击Close。在Access Rule Destinations页点击 Next；
   8. 在User Sets页点击Next；
   9. 在Completing the New Access Rule Wizard页，点击Finish；
   10. 右击 All Open Main-Branch规则，然后点击Copy；
   11. 右击 All Open Main-Branch规则，然后点击Paste；
   12. 右击All Open Main-Branch(1)规则；
   13. 在All Open Main-Branch(1) Properties对话框，点击General标签，然后修改名字为All Open Branch-Main；
   14. 点击From标签，点击Internal<, , SPAN style="FONT-SIZE: 10pt">项，然后点击Remove，点击Add，在添加Add Network Entities对话框，点击Networks目录，双击Branch项，点击Close；
   15. 点击To标签，点击Branch项，然后点击Remove，点击Add，在添加Add Network Entities对话框，点击Networks目录，双击Internal项，点击Close；
   16. 点击Apply，然后点击OK；
   17. 点击Apply 保存修改和更新防火墙策略；
   18. 在Apply New Configuration对话框上点击OK；
   19. 你现在的防火墙策略应该如下图所示：

   
   

   20. 重启总部的ISA防火墙计算机；

   　

   　

   为远程VPN路由器建立用户账户

   远程站点向导不会为分公司的ISA Server 2000建立通过总部ISA防火墙认证的用户，所以我们需要手动建立，执行以下步骤：

   1. 右击My Computer，然后点击 Manage；
   2. 在Computer Management控制台，展开System Tools节点，然后展开Local Users and Groups节点；
   3. 右击Users节点，然后点击New User；
   4. 在New User对话框，输入总部ISA防火墙请求拨号接口的名字，在此例中，是Branch，输入并确认密码。取消勾选User must change password at next logon，勾选User cannot change password和Password never expires，点击Create然后点击关闭Close。

   　

   　

   测试连接

   现在我们测试这个连接。从总部网络的一台主机上，ping分公司网络的主机。你可以看见，在几个没有响应的提示后，显示了成功的回应，因为请求拨号需要初始化。在Ping成功后，我们使用Telnet来连接位于远程网络的SMTP服务器。下图显示了两次测试的日志：