Denne artikkelen bygger på en tidligere hvordan artikkel: Konfigurasjon av Zyxel Zywall 5 / 35 / 70 for Small Business Server 2003. I den artikkelen ble en Zyxel Zywall konfigurert for Windows Small Business Server 2003. Zyxel Zywall ble konfigurert i to alternativer SBS Server med et (1) nettverskort og SBS Server med to (2) nettverskort. Artikkelen dekket videre konfigurasjon av Wan og Lan grensesnittet, brannmuren, DNS Servere, logging, e-post varsling og remote management. Til slutt ble ett og annet triks vist.
Den artikkelen du nå leser vil bygge på den som tidligere har blitt publisert. Avsnitt som ble dekket i forløperen til denne artikkelen vil derfor ikke bli dekket i samme grad. Med det vil bli referert til den tidligere artikkelen med linker.
Zyxel leverer en serie med rutere/brannmurer som egner seg godt for SMB markedet. Foruten brannmuren i seg selv, leveres de også i en utgave med Unified Threat Management (UTM) som inkluderer Intrusion Detection (IDP), Anti-Virus, Anti Spam og Content Filtering. Denne serien av Zywall modeller 5 / 35 / 70 med og uten UTM, er så like at det holder med en artikkel for å dekke dem alle. I denne artikkelen vil vi benytte en Zyxel Zywall 5 på avdelingskontoret og en Zyxel Zywall 35 på hovedkontoret. Men konfigurasjonene som så dann vil være generelle for hele Zywall serien.
Utgangspunktet for artikkelen
Utgangspunktet for denne artikkelen er utfordringer i forbindelse med ruter til ruter VPN mellom avdelingskontoret og hovedkontoret. Det er ingen server på avdelingskontoret. Vi har et hovedkontor med pc-er, skrivere, SBS Server 2003 og 1 nettverskort som er koblet til en ruter/brannmur. På avdelingskontoret finner vi pc-er og skrivere som er koblet til en ruter/brannmur. Hovedkontoret og avdelingskontoret har internettforbindelse med xDSL, og vår oppgave består i å koble disse nettverkene sammen på en fornuftig måte med ruter til ruter VPN, og gjøre tjenestene på SBS Server 2003 tilgjenglige for avdelingskontoret.
Vi må derfor konfigurere Zywallen på hovedkontoret. Konfigurasjonene vil omfatte brannmuren og innstillinger av VPN. I mitt tilfelle har hovedkontoret en Zywall 35. På avdelingskontoret finner vi en Zywall 5 som også må konfigureres. Den må settet opp med internett tilgang og brannmur. Vi må videre konfigurere et Lan med DHCP server, subbnett, DNS innstillinger, og vi må stille inn ruteren for VPN til hovedkontoret. Til slutt må vi utføre konfigurasjoner på SBS Server 2003. Disse konfigurasjoner består i justeringer av IIS (Internett Informasjon Server) Directory Security slik at avdelingskontorets deviser får tilgang til SBS Serverens websteder.
Avdelingskontorets internett tilgang
Når det gjelder avdelingskontorets tilgang til internett så kan vi tenke oss det tilfellet at hovdekontoret konfigureres som gateway. Den løsningen behandles ikke. I denne artikkelen konfigureres ruteren på avdelingskontoret som gateway til internett. Vi vil i så måte minst ha to typer av trafikk gjennom ruteren på avdelingskontoret. I ruteren deles trafikken opp. Generell internett trafikk vil rutes direkte til ISP og ut på www, mens kommunikasjon til hovedkontoret vil finne veien gjennom VPN tunellen til hovedkontorets Zywall (ruter) som sender trafikken videre til hovedkontorets Lan. På denne måten har avdelingskontoret en uavhengig internett tilgang og avdelingskontorets Zywall 5 benyttes som gateway til internett.
Prosedyrer i denne artikkelen
Prosedyrene i denne artikkelen kan etter dette oppsummere som følger:
-
Forberedelser
-
Hvordan konfigurere Zyxel Zywall på avdelingskontoret
-
Hvordan konfigurere Zyxel Zywall på hovedkontoret
-
Hvordan utveksle sertifikater mellom Zyxel Zywall rutere
-
Hvordan konfigurere ruter til ruter VPN med en dynamisk ip adresse på avd. kontoret
-
Hvordan konfigurere ruter til ruter VPN med faste ip adresser på avd. kontoret
-
Hvordan konfigurere SBS Server 2003 for avdelingskontorets subbnett
-
Hvordan sjekke ip address and domain name restrictions på SBS Server 2003
IP adresse plan
Men for å sette det hele i gang trenger vi en ip adresse plan. Den planen som presenteres her kommer fra test nettverk. Jeg har en ruter i front som har tilgang til internett. I denne ruterens Lan porter har jeg koblet Wan portene til de to Zywallene. En for hovedkontoret en Zywall 35, og en for avdelingskontoret en Zywall 5. Jeg har videre gitt ruterne på hovedkontoret en fast ip adresse i Wan porten og konfigurert ruteren foran som gateway til internett. For å ha et felles utgangspunkt når det gjelder konfigurasjonen av ruteren på hovedkontoret har jeg skrevet en basis artikkel om dette: Konfigurasjon av Zyxel Zywall 5 / 35 / 70 for Small Business Server 2003. Forutsetningen om en fast ip adresse på hovedkontoret er realistisk. Det er forutsetning for å få alle tjenestene på SBS Server 2003 til å fungere. Det er videre en forutsetning for å få til en VPN tunell, at minst en av de to ruterne har fast ip adresse.
Figur 2 – Overstående figur viser den IP adresseplanen for hovedkontoret og avdelingskontoret.
Når det gjelder ruteren på avdelingskontoret vil jeg behandle to tilfeller, fast ip og dynamisk ip på Wan porten. Avdelingskontoret kan med fordel ha en fast ip. VPN tunellen mellom de to ruterne vil da kunne initieres fra begge hold, og forbindelsen vil ikke gå ned når ISP endrer ip adressen på Wan porten på avdelingskontoret. På den annen side kan man spare noen kroner for å bruke mer på båndbredde.
Tips
For å kunne sette opp en ruter til ruter VPN tunell er det en forutsetning av minst en av Zywall ruterne har fast ip adressen. Alternativt kan de ikke finne hverandre på internett.
Hovedkontorets SBS Server
SBS Server er konfigurert med et nettverskort. Øvrige ip adresser og konfigurasjoner fremgår av figuren over og forutsettes kjent. Det bør nevnes at alle tjenester er installert på SBS Serveren 2003.
Tjenester på avdelingskontoret
I det følgende skal vi se nærmere på tjenestene på avdelingskontoret.
DNS Services
Avdelingskontoret vil ikke ha egen DNS Server. Det befinner seg på hovedkontorets SBS Server 2003. Denne vil benyttes. For det tilfelle at SBS Serveren ikke skulle være tilgjengelig vil ISPs eksterne DNS Servere brukes (sekundær).
WINS Services
Denne tjenesten leveres ikke lokalt i avdelingskontorets nettverk. Men, den er default konfigurerte på SBS Server 2003. Vi ønsker å tilby denne tjenesten for eldre versjoner av Windows på avdelingskontoret og benytter SBS Servers WINS Server.
DHCP tjenester
DHCP Services vil leveres av den lokale ruteren. Denne blir konfigurert som DHCP server med et subbnett. DHCP tjenesten vil konfigurere nettverskortene på avdelingskontorets pc-er. Ruteren må derfor settes opp med gateway, DNS Servere og Wins. Dette slik at routing vil kunne finne sted i det lokale nettverket. Deviser med fast ip adresse må ekskluderes fra DHCP distribusjon i ruteren.
|
DHCP tjenesten i Zywall
|
|
Tjeneste
|
Verdi
|
Kommentar
|
|
IP adresse
|
192.168.17.1 til
192.168.17.200
|
DHCP scope i ruter. Utstyr med fast ip må ekskluderes fra DHCP distribusjon i ruter.
|
|
Nettversmaske
|
255.255.255.0
|
|
|
Standard Gateway
|
192.168.17.1
|
Dette er ruterens ip adresse i Lan porten.
|
|
DHCP Server
|
192.168.17.1
|
Ruteren er gateway i nettverket.
|
|
Primær DNS Server
|
192.168.16.2
|
SBS Servers ip adresse
|
|
Sekundær DNS Server
|
130.67.15.198
|
ISPs eksterne DNS Server
|
|
Sekundær DNS Server
|
193.213.112.4
|
ISPs eksterne DNS Server
|
|
WINS Server
|
192.168.16.2
|
SBS Servers ip adresse
|
Tabell 1 – Her er en oversikt over den konfigurasjonen som Zywall 5 skal overføre til nettverskortene på avdelingskontorets pc-er.
Active Directory Services
Vi kan tenke oss to situasjoner, pc-er er medlem eller ikke medlem av SBS Server domenet. I denne artikkelen leges det til grunn at pc-er på avdelingskontoret er medlem av domenet. For dette tilfellet vil Active Directory Integrated Authentication gjelde. Brukere på avdelingskontoret vil oppgi sitt bruker navn og passord en gang. Autentiseringen vil gå via VPN til hovedkontorets SBS Server. Dersom forbindelsen skulle være nede vil logon på de respektive pc-er kunne gjøres i det brukernavn og passord er bufferet på den enkelte pc. Når mange brukere som samtidig logger på sin pc, vil de kunne oppleve forsinkelser på grunn av trafikken til hovedkontoret. På den annen side vil AD integrasjon øke sikkerheten og tilgjengeligheten av resurser på hovedkontoret. Group policy vil overføres fra SBS Server til pc-er på avdelingskontoret. Alternativet vil være å benytte pc-er som ikke er i domenet, med de logon komplikasjoner dette medfører.
File Services
Det er ingen server på avdelingskontoer. Fildeling lokalt må eventuelt foregå ved delte mapper på en eller flere pc-er. (For en beskrivelse av dette sjekk følgende link: Peer to Peer Networking with Windows XP Professional.)Når det gjelder fildeling mot hovedkontoret så vil denne gå gjennom ruter til ruter VPN tunellen. I så måte vil båndbredden (hastigheten) på internett forbindelsen være bestemmende for brukeropplevelsen av denne tjenesten. En Wan linje vil stort sett ikke være rask nok til å kjøre LOB (line of business) applikasjoner som for eks regnskapsprogrammer og faktureringsprogrammer. Men det finnes vel også her unntak fra hovedregelen.
Print Services
Avdelingskontoret vil normalt være utstyrt med en eller flere skrivere. De kan med fordel være av type TCP/IP. Skrivere vil kunne definere på SBS Server også for det tilfellet at disse befinner seg på avdelingskontoret. I den grad avdelingskontorets pc-er er medlem i domenet vil SBS Server også publisere skrivere til avdelingskontorets pc-er. Begrensningen vil imidlertid være Wan forbindelsen, og det gir liten mening å sendte utskrifter til hovedkontoret over VPN for at SBS Server skal sende dette tilbake til avdelingskontorets skriver. Utskrift Node til Node vil i denne sammenhang være å foretrekke. I så måte vil utskriften gå direkte fra pc-er til skriver på avdelingskontoret.
E-post (SMTP)
Under forutsetning av at pc-er er medlem av domenet vil e-post fungere knirkefritt. Når pc-er meldes inn i domenet vil nødvendige konfigurasjoner foretas. E-post forsendelser kan skape mye trafikk. Av den grunn kan RPC over http vurderes.
SharePoint Services – Companyweb
Companyweb vil være fult tilgjengelig for fildeling og sjekk ut av dokumenter som det arbeides med på avdelingskontoret.
WSUS
Windows Update Service (R2) vil også oppdatere pc-er på avdelingskontoret som er medlem i domenet. Dette kan skape trafikk over VPN tunellen og Windows Update Service vil kunne oppleves som forsinkende. Alternativet vil parallelt være å kjøre Microsoft Update fra de enkelte pc-er.
Administrasjon
Administrasjon av pc-er på avdelingskontoret vil kunne utføres fra Server Management på SBS Server 2003 slik vi kjenner dette fra før. Herunder vi ConnectComputer og annen funksjonalitet fungere dog med den hastigheten Wan linjen mellom de to avdelingene har.
Sikkerhet - Ruter til Ruter VPN
I denne artikkelen benyttes Zyxel Zywall rutere. Zywall rutere er utstyrt med et internt sertifikat. Dette sertifikatet vil vi utveksle mellom ruterne som skal benyttes i VPN forbindelsen, for sikker autentisering. Det er den sikreste løsningen.
Sikkerhet i avdelingskontorets nettverk
Zywall leveres med Unified Threat Management (UTM) som inkluderer Intrusion Detection (IDP), Anti-Virus, Anti Spam og Content Filtering. Disse tjenestene bør vurderes både for hovedkontoret og avdelingskontoret.