none
VPN доступ с использованием IKEv2 RRS feed

  • Вопрос

  • Добрый день коллеги! 
    Стоит задача, реализовать вместо VPN сервера, который сейчас есть (Windows Server 2003 R2+RRAS+PPTP), новый сервер на Windows 2008R2+RRAS+IKEv2. 

    Я почитал некоторую инфу по этому вопросу, посмотрел пару тройку вебинаров на techdays. Но из-за того, что все авторы показывали это для разных реализаций и стендов, 100% понимание пока не пришло. 

    Скажите пож-та, правильно ли я понимаю, для решения моей задачи надо: 
    1) Центр сертификатов 
    2) RRAS 
    3) Служба доступа к сети 

    Что пока есть: 
    1) Центр сертификации развернут на одном из серверов домена (на вторичном КД) 
    2) Служба доступа к сети NAP развернута на другом сервере (основной КД) 
    3) RRAS только собрался поднимать, пока подготовил сервак Windows 2008R2 - это не пограничный сервак, а сервер внутри сети с одной сетевухой, аналогично тому как сейчас настроен сервер VPN на Win2003R2. 

    1) Пока первое непонимание - если все это заточено на сертификаты, то у нас есть много пользователей, который цепляются по имеющемуся пока VPN со своих не только корпоративных ноутов и ПК, но и со своих личных, которые не в домене. Я пока не понял, в моей задаче, надо на каждого пользователя сертификат генерировать и как-то его ему передавать, чтобы он потом в Личное хранилище его импортировал? 

    2) На Технете есть статья - контрольный список для установки RRAS. 
    Есть такой раздел "Настройка RRAS с сертификатом проверки подлинности компьютера" - "Чтобы обеспечить поддержку VPN-подключений по протоколу SSTP или IKEv2 с проверкой подлинности на основе сертификатов, на сервере RRAS необходимо установить сертификат компьютера с установленным свойством проверки подлинности сервера или универсального улучшенного ключа." 

    Установить сертификат какого компьютера? Сертификат который надо сгенерить именно для самого сервера RRAS или сертификат CA (корневого сервера сертификации)? И тут все равно не понятно - надо ли конечным пользователям что-то выдавать(сертификаты)

    Спасибо

    27 марта 2017 г. 6:47

Ответы