none
VPN-сервер + NAT + Firewall RRS feed

  • Вопрос

  • Имеется Windows 2003 server SP2. На нём подняты VPN-сервер и NAT средствами RRAS, а также терминальный сервер. Внешний сетевой интерфейс имеет "белый" ай-пи. Стоит следующая задача: открыть порт удалённого рабочего стола для подключения извне _только_из_конкретных_ай-пи_адресов_. Была попытка задания фильтров входа, но из этого ничего не получилось. 

    Требуется совет, как средствами Windows 2003 можно решить эту задачу?

    22 марта 2012 г. 17:05

Ответы

  • Да, при подключении по PPTP есть проблема, причем не из-за RRAS, а из-за устройств NAT со стороны клиента, которые могут некорректно работать с GRE-протоколом. Если оставаться в рамках штатных средств Windows Server 2003, то рассмотрите VPN на основе протокола L2TP с поддержкой NAT-T (NAT Traversal). Здесь будет несколько больше накладных расходов на инфраструктуру, но зато проблема будет решена штатными средствами. Подробнее см.

    http://wpconfig.ru/?p=270

    http://support.microsoft.com/kb/818043

    Возможны также решения с использованием сторонних (бесплатных) средств. Открывать наружу порты RDP даже для определенных IP-адресов - некрасивое решение.

    23 марта 2012 г. 20:35
    Модератор

Все ответы

  • Трафик RDP идет внутри VPN, или пользователи подключаются к терминальному серверу по его внешнему IP-адресу?
    23 марта 2012 г. 6:39
    Модератор
  • В том то и дело, что по VPN подключиться к серверу можно не из любой точки. Например, это нельзя сделать, находять за NAT-ом, который не транслирует GRE-протокол. Из-за этого и встал вопрос об открытии прямого доступа по RDP для таких клиентов, прописав ихний ай-пи в фаерволе Windows 2003. Но похоже, что штатными средствами это нельзя сделать. Или я не прав?
    23 марта 2012 г. 14:05
  • Да, при подключении по PPTP есть проблема, причем не из-за RRAS, а из-за устройств NAT со стороны клиента, которые могут некорректно работать с GRE-протоколом. Если оставаться в рамках штатных средств Windows Server 2003, то рассмотрите VPN на основе протокола L2TP с поддержкой NAT-T (NAT Traversal). Здесь будет несколько больше накладных расходов на инфраструктуру, но зато проблема будет решена штатными средствами. Подробнее см.

    http://wpconfig.ru/?p=270

    http://support.microsoft.com/kb/818043

    Возможны также решения с использованием сторонних (бесплатных) средств. Открывать наружу порты RDP даже для определенных IP-адресов - некрасивое решение.

    23 марта 2012 г. 20:35
    Модератор
  • В статье указано, что Nat-traversal работает по UDP-порту 4500. Нужно ли явно открывать этот порт в RRAS на Windows 2003 server? 

    И ещё вопрос: нужно ли добавлять параметр AssumeUDPEncapsulationContextOnSendRule в реестр на сервере? Или достаточно на рабочей станции?

    29 марта 2012 г. 7:22
  • Статья

    http://support.microsoft.com/kb/926179/en-us

    предписывает настраивать данный параметр на VPN-сервере, если последний располагается за NAT. В вашем случае это не так. Сам Windows Server 2003 без специальных обновлений способен поддерживать NAT-T.

    Далее цитата из статьи

    http://support.microsoft.com/kb/818043

    Поскольку новая реализация IPsec NAT-T разработана на основе спецификаций IETF RFC 3193 и IETF NAT-T (2-я редакция), то для нормальной работы служб с помощью правил брандмауэра необходимо открыть следующие порты и протоколы.  
    • Internet Key Exchange (IKE): порт User Datagram Protocol (UDP) 500
    • IPsec NAT-T: UDP-порт 4500
    • Encapsulating Security Payload (ESP): протокол Интернета (IP), порт 50
    30 марта 2012 г. 6:40
    Модератор
  • Спасибо )
    Да, на сервере были по умолчанию открыты порты UDP 500 и UDP 4500. Добавил порт TCP 50. Будем пробовать.
    30 марта 2012 г. 7:14
  • Это не порт TCP 50, это вообще не TCP-протокол! ESP - совершенно отдельный IP-протокол, подобно тому, как существуют протоколы ICMP, UDP, TCP.

    Посмотрите эту статью

    http://blogs.technet.com/b/rrasblog/archive/2006/06/14/which-ports-to-unblock-for-vpn-traffic-to-pass-through.aspx

    и цитату в ней:

    Note: Please DO NOT configure RRAS static filters if you are running on the same server RRAS based NAT router functionality. This is because RRAS static filters are stateless and NAT translation requires a stateful edge firewall like ISA firewall.

    30 марта 2012 г. 7:19
    Модератор