首页业界动态通用技术技术文章-ISA技术文章-ISA 2006ForeFront TMG相关下载 登录论坛 @联系我们
ISA中文站 > 信息 > 技术文章-ISA > ISA-安装和规划 > How to :允许外部的VPN客户访问内部网络
现在时间是: 2019-02-19 19:14
How to :允许外部的VPN客户访问内部网络

(2005-10-07 18:30)
来源:ISA中文站

在这个试验中,我们将配置VPN客户启用远程网络上的默认网关,所以在前面列出的三个条件中的第一个条件“VPN客户有(通过ISA防火墙)到达内部网络的路由”可以通过在硬件防火墙(VPN服务器)上添加到ISA防火墙所保护的内部网络的路由实现,如果你不启用此选项,你必须使用额外的方式,例如DHCP选项249给VPN客户添加路由来实现;而第二个条件“内部网络客户有(通过ISA防火墙)到VPN客户的路由”由于内部网络客户配置ISA防火墙为其默认网关,而ISA防火墙又配置硬件防火墙为其默认网关,所以也已经满足。在你的网络中,请根据实际情况来决定如何添加对应的路由

而最后一个条件“ISA防火墙允许VPN客户的访问行为”则必须根据不同的情况进行处理。如果内部网络到外部网络的路由关系为NAT,那么ISA防火墙必须使用服务发布规则来允许外部网络客户到内部网络客户的访问;如果路由关系为Route,那么你可以直接使用访问规则来允许而无需使用发布规则。在这个试验中,我将使用Route路由关系并使用访问规则来允许外部VPN客户到内部网络的访问。

需要注意的是,ISA防火墙的内部网络中只是包含内部网络的地址范围(192.168.0.0/24),并不包含DMZ网络的地址范围。对于ISA防火墙而言,这个DMZ网络就是外部网络。

 

首先,我们在硬件防火墙上添加通过ISA防火墙到其保护的内部网络的路由(在此我是使用Windows server 2003来模拟提供VPN服务的硬件防火墙):

C:\Documents and Settings\Administrator>route print

IPv4 Route Table
===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x10002 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
0x10003 ...00 03 ff b3 5e c2 ...... Intel 21140-Based PCI Fast Ethernet Adapter (Generic)
0x10004 ...00 03 ff d4 81 d1 ...... Intel 21140-Based PCI Fast Ethernet Adapter (Generic) #2
===========================================================================
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 39.1.1.1 39.1.1.1 20
10.0.0.0 255.255.255.0 10.0.0.1 10.0.0.1 20
10.0.0.1 255.255.255.255 127.0.0.1 127.0.0.1 20
10.0.0.100 255.255.255.255 127.0.0.1 127.0.0.1 50
10.255.255.255 255.255.255.255 10.0.0.1 10.0.0.1 20
39.1.1.0 255.255.255.0 39.1.1.1 39.1.1.1 20
39.1.1.1 255.255.255.255 127.0.0.1 127.0.0.1 20
39.255.255.255 255.255.255.255 39.1.1.1 39.1.1.1 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
224.0.0.0 240.0.0.0 10.0.0.1 10.0.0.1 20
224.0.0.0 240.0.0.0 39.1.1.1 39.1.1.1 20
255.255.255.255 255.255.255.255 10.0.0.1 10.0.0.1 1
255.255.255.255 255.255.255.255 39.1.1.1 39.1.1.1 1
Default Gateway: 39.1.1.1
===========================================================================
Persistent Routes:
None

C:\Documents and Settings\Administrator>route add 192.168.0.0 mask 255.255.255.0 10.0.0.6

C:\Documents and Settings\Administrator>route print

IPv4 Route Table
===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x10002 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
0x10003 ...00 03 ff b3 5e c2 ...... Intel 21140-Based PCI Fast Ethernet Adapter (Generic)
0x10004 ...00 03 ff d4 81 d1 ...... Intel 21140-Based PCI Fast Ethernet Adapter (Generic) #2
===========================================================================
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 39.1.1.1 39.1.1.1 20
10.0.0.0 255.255.255.0 10.0.0.1 10.0.0.1 20
10.0.0.1 255.255.255.255 127.0.0.1 127.0.0.1 20
10.0.0.100 255.255.255.255 127.0.0.1 127.0.0.1 50
10.255.255.255 255.255.255.255 10.0.0.1 10.0.0.1 20
39.1.1.0 255.255.255.0 39.1.1.1 39.1.1.1 20
39.1.1.1 255.255.255.255 127.0.0.1 127.0.0.1 20
39.255.255.255 255.255.255.255 39.1.1.1 39.1.1.1 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 10.0.0.6 10.0.0.1 1
224.0.0.0 240.0.0.0 10.0.0.1 10.0.0.1 20
224.0.0.0 240.0.0.0 39.1.1.1 39.1.1.1 20
255.255.255.255 255.255.255.255 10.0.0.1 10.0.0.1 1
255.255.255.255 255.255.255.255 39.1.1.1 39.1.1.1 1
Default Gateway: 39.1.1.1
===========================================================================
Persistent Routes:
None

 

至此通过ISA防火墙到其保护的内部网络的路由添加成功。当外部VPN客户连接到硬件防火墙的VPN服务时,由于启用了VPN连接的远程默认网关,VPN客户所有非本地网络的访问均通过VPN服务器进行。因此在外部VPN客户访问ISA防火墙所保护的内部网络时,它会将请求数据发送至硬件防火墙,而硬件防火墙根据自己的路由表,转发至ISA防火墙。

而内部网络客户配置ISA防火墙为其默认网关,而ISA防火墙又配置硬件防火墙为其默认网关,所以内部网络客户有到达外部VPN客户的路由,在此我们不需要额外添加。



作者:风间子
责任编辑:风间子

<<上一页 [1] [2] [3] [4] 下一页>>
上一篇:ISA防火墙优化方法及使用技巧(第一部分)
下一篇:配置防火墙客户和Web代理客户的直接访问
相关信息:

调整ISA Server 2004的性能
配置直接访问的站点:第一部分 配置Web代理客户的直接访问
在ISA Server 2004防火墙和D-link DI-804HV IPSec VPN路由器间启用IPSec站点到站点的隧道
ISA Server 2004 SDK文档下载
在背靠背ISA防火墙中配置远程VPN访问

热点信息 TOP 10
ISA Server 2004标准版安装指南
How to :在域环境中配置ISA Server 2004
How to :使用公共IP地址来访问DMZ中的服务器
ISA Server 2004 SP2 使用指南 v 1.06
How To :配置ISA防火墙作为网络间的路由器
How to :在ISA Server 2004中配置DMZ网络
How to:在存在多条路由的内部网络中配置ISA Server 2004
ISA2004 beta2 快速安装指南
How to : 如何配置ISA Server 的网络环境 v2.0
How to :在ISA Server 2004中同时使用多条路由

搜索 SEARCH
关键字:
包含:
搜索于:


Copyright © ISACN.ORG 2004-2019 All Rights Reserved..