TMG架设L2TP(IPSec)+VPN - 图文

TMG架设L2TP/IPSec VPN(使用证书进行身份验证和加密)

前言：

对于VPN的工作过程，不外乎两个阶段：身份验证和授权，对于身份验证说白了其实就是对用户进行合法性验证，即是否是对应数据库里的用户，并且密码验证也通过。授权，即该用户必须有拔入权限。 实验拓朴：

三台机器，所有配置如上所示，初始环境已经搭建结束，如W08a是DC和DNS，CA并没有安装。W08c是TMG服务器，并已经安装了TMG，远程客户端win7的TCP相关配置如上。接下来我们来看L2TP/IPSec VPN的实现过程： 分析：对于L2TP/IPSec VPN我们有两种方式进行计算机的身份验证和加密，一种是使用预共享密钥，一种是使用证书。在这里我们采用证书完成VPN的操作。所以我们必须为TMG服务器和远程客户端分别申请计算机证书，并下载CA的根证书（安装到计算机存储中）。 步骤：

一、在企业内部的W08a上搭建独立根CA 二、在TMG上申请计算机证书并下载CA的根证书 三、在Win7上申请计算机证书并下载CA的根证书

四、在TMG上完成L2TP/IPSec VPN的配置并创建相应的访问规则及用户拔入权限。 五、在Win7上创建VPN拔号连接，并测试。 六、总结 实现过程：

一、在企业内部的W08a上搭建独立根CA

在W08a上运行“服务器管理器”，在控制台的“角色”上右击--“添加角色”，如下所示：选择\单击“下一步”：

下图，选择“证书颁发机构Web注册”，会弹出关联组件并选择安装，单击下一步：

下图，我们选择\独立CA”，单击下一步：

下图，选择根CA，继续：

接下来，基本可以采用默认的设置，一路单击即可：

安装结束后如下图：

开始---搜索，输入certsrv.msc，右击Root CA选--属性，设置CA自动颁发证书。（PS：当然这里是为了图简单，在生产环境里当然必须要手动颁发喽~~），改后，注意要重启证书服务，此处略~~

二、在TMG上申请计算机证书并下载CA的根证书

1.打开IE，工具---Internet选项，配置“安全级别”，并把CA站点添加到信任区域。

2.在TMG上创建一条“阵列访问规则”，允许TMG服务器可以访问CA服务器的HTTP协议。在这里为了简单我们创建一条从本地主机（即TMG）到内部的一条可以访问全部协议的规则。大致操作如下： 在防火墙策略上新建一条“访问规则”：如下一系列图示。

本文来源：https://www.bwwdw.com/article/3lgo.html