web-dev-qa-db-ja.com

Windows2008上のRRASVPNサーバーの背後NAT

さて、私は一種のファンキーなセットアップを持っているので、それを説明できるかどうか見てみましょう。

パブリックIPアドレスを持つ単一のVMwareホストがあります74.xx.xx.xそのホスト内に3つのVMがあります

  1. Webサーバー-1 NIC -192.168.199.2
  2. SQL Server-1 NIC 192.168.199.
  3. RRAS/VPNサーバー-2NIC 192.168.199.4192.168.199.45

ISPの制限により、すべてのVMがホストに接続されていますVIANAT。Webサーバー用にNATセットアップされているため、すべての着信要求は- 74.xx.xx.xポート80経由で192.168.199.2にルーティングします。これは正常に機能します。

ここで、このNATネットワーク内にWindows2008 VPNサーバーをセットアップし、正しいトラフィックをネットワークに転送したいと思います。私の質問は次のとおりです。

  1. 転送する必要のあるTCP/UDPポートは何ですか?
  2. これはNATの背後にあるため、サーバーとクライアントで必要な特別な構成
  3. 他のアドバイスは素晴らしいでしょう。
1
Chris Kooken

セットアップは、小規模オフィスに自分のものを含めて、物理RRASサーバーをいくつセットアップするかと同じです。 RRAS VPNについて話している場合は、内部CAがあり、IPSecをいじくり回したい場合を除いて、PPTP VPN ...について話している可能性が高いです。(ヒント: IPSec VPNをいじくり回したいのですが、そうしないでください。セキュリティが必要な場合は、SSL VPNアプライアンスを入手してください。)

TCPポート1723とIPプロトコル47(GRE)をRRASサーバーに転送するだけで、準備は完了です。また、着信接続を許可するには、リモートアクセスポリシーを編集/追加する必要があることに注意してください。正しく思い出せば、デフォルトでは着信接続は許可されません。たとえば、「VPNユーザー」というグループを作成してから、「Corp VPNポリシー」というポリシーを作成しました。このポリシーには、着信要求があった場合に接続を許可するようにポリシー条件が設定されています。そのグループに含まれるユーザーアカウントから(MS-CHAPv2 PWDのみが使用されていることを確認しますが、逸脱します...)、そのポリシーを、すべてを拒否するデフォルトのポリシーよりも高くする必要があります。これは、サーバーマネージャー内の「ネットワークポリシーとアクセスサービス」の「ルーティングとリモートアクセス」の部分で行われます。

クライアントに特別な構成は必要ありません。 Windowsに組み込まれているVPNクライアントは魅力のように機能します。 Linuxマシンとpptpclientを使用して接続し、大成功を収めました。

さて、これをすべて入力した後、これは私のServer 2003 RRASボックスにもすべて当てはまり、Server2008マシンがあるとおっしゃっていました。あなたのマイレージは異なる場合があります。 =)

1
Wesley