Windows Server 2012 R2 配置SSL-VPN心得经验
最近一个客户想搭建VPN实现员工在公司以外的位置访问公司内部服务器资源,基于这种“点对网”的VPN需求有很多解决方案。 PPTP、L2TP、SSLVPN 等都可以实现,最初打算使用简单的PPTP来实现。但有的员工使用的苹果MAC电脑,在2016年之后的苹果MAC版本中已经没有PPTP的拨号选项了。必须使用第三方的VPN客户端软件来进行PPTP的连接,而且一些运营商或终端的本地网络过滤了1723端口或PPTP协议。于是打算采用部署L2TP方式来连接,但Windows终端系统配置L2TP拨号又异常麻烦。一些系统还要修改注册表。最终决定采用SSL-VPN的方式
采用SSL的方式,首先想到了一些大的VPN硬件厂商。但客户资金有限不可能为这个事情去花费一笔不菲的费用,决定采用软件方式来实现。我所了解的软件实现有二种方式:微软Windows下的SSTP 和 开源的Openvpn 考虑到客户对Linux命令不是很熟悉决定使用Windows的SSTP
在Windows下搭建SSTP并不复杂,但步骤很多。需要安装AD域角色、证书角色、IIS、路由及远程访问等几个角色功能。域角色和路由及IIS、远程访问角色配置相对简单,基本默认配置即可。网上有大量的教程,在此不再赘述。因SSL方式涉及证书的配置,在Windows下SSTP的主要问题都集中在证书角色的配置上。主要在下面几个配置的地方:
证书服务器属性里的扩展项里需要勾选的CRL复选框
证书服务器属性里的扩展项里需要勾选的AIA复选框
整体来说,在Windows下配置SSTP并不困难。总结出以下几个需要注意的地方:
1.域使用的域名与公网域名一致,并能解析到服务器上。因为SSTP客户端拨号使用的是域名方式,不是IP地址
2.网络出口设备除映射用于SSL的443端口外还需要映射80端口,用于终端SSL拨号验证CRL 否则会报0x80092013错误
3.申请证书的名字一定要和vpn拨号的域名匹配
网上部署SSTP的博客教程:
http://siqiwu.blog.51cto.com/765882/174264
http://wenku.baidu.com/view/3583a8a2b0717fd5360cdc84.html
标签: VPN SSLVPN Windows域 证书服务 SSL
评论:
2022-12-12 01:46