دوستان سلام.چند وقتيه كه صابون بي كفايتي مخابرات و اداره ديتا به تن همه ما داره ماليده ميشه و هر كس دنبال يك راهكار براي ارتباط پشتيبان مي گرده.بدين منظور كافيه بطور  دقيق دستور العمل زير را براي دو ISA SERVER  خود انجام دهيد.يك نكته اينكه بايد اينترنت شما VALID IP‌داشته باشه يا حداقل در زمان استفاده از اين راهكار مودم ADSL شما ريست نشه چون خودتون بهتر ميدونيد كه در اينصورت IP شما عوض ميشه و اين يعني اينكه يا بايد قيد ارتباط رو بزنيد يا در كانفيگ يكطرف وارد شده و IP‌طرف ديگر رو مجددا وارد كنيد.

 

سناريوي مااستفاده از ISA SERVER 2006  ‌در دو طرف است.هر ISA SERVER  يك كارت شبكه براي شبكه INTERNAL‌خود و يك كارت شبكه هم براي شبكه EXTERNAL ‌خود دارد.

الف) ايجاد يك اكانت براي برقراري اتصال در ISA SERVER 1

  1. اگر از اكتيو ‌دايركتوري جهت  AUTHENTICATE  استفاده مي كنيد در DOMAIN SERVER و اگر بصورت LOCAL  اين كار را انجام ميدهيد در USER AND GROUPS كامپيوتر ISA و اگر از يك RADIUS‌ مانند NTTACPLUSاستفاده مي كنيد در NTTACPLUS  يك يوزر با نام BRANCHOFFICEVPN‌  ايجاد نماييد.در ويندوز بايد گزينه USER MUST CHANGE PASS AT NEXT LOG ON ‌را غير فعال نماييد.در NTTacplus نيز بايد user شما بصورت fulltime ‌و با گروه ppp‌و standard توانايي دسترسي داشته باشد.همچنين هيچ گونه محدودديت كيلو بايتي به يوزر وارد نكنيد.
  2. در ويندوز بايد در properties يوزر مربوطه در تب remote user access‌و در بخش dial-in گزينهallow access‌را فعال نماييم.
  3. با توجه به همين دوبند گفته شده نام كاربري HEADOFFICEVPN   را در ISASERVER2‌ايجاد نماييد.

تبريك ميگم بخش اول تمام شد.به همين راحتي.

ب)ايجاد PPTP VPN

در ۱ ISA SERVER  در بخش VIRTUAL PRIVATE NETWORKS  به بخش REMOTE SITE TAB برويد.

  1. از بخش TASK TAB گزينه ADD REMOTE SITE NETWORK را كليك كنيد.
  2. در صفحه خوش آمد گويي عبارت BRANCHOFFICEVPN را وارد كنيد.دقت كنيد نام كانكشن را برابر با نام ايجادي در ISASERVER1 گرفتيم.اين خيلي مهم است و اگر رعايت نشود تونل لايه 3 شما كار نخواهد كرد.
  3. در صفحه بعد گزينه PPTP‌را فعال نماييد.
  4. در پنجره   REMOTE SITE GATEWAYآدرس IP سرور VPN طرف ديگر را (مربوط به ISASERVER1 را ) ئارد نماييد.اين ادرس مشخصا ادرس كارت شبكه eXTERNAL‌يا همان VALID IP طرف ديگر ميباشد.
  5. در پنجره REMOTE AUTHENTICATION اقدام به فعال ساختن  گزينه    LOCAL SITE CAN INITIATE CONNECTIONS TO REMOTE SITE USING THESE CREDENTIALS را وارد نماييد.مانند زير:
    HEADOFFICEVPN نام كاربري با توجه به بخش الف - مشخصا با توجه به بندالف اين نام بايد در سرور طرف ديگر ايجاد شده باشد زيرا توسط اين نام مي خواهيم اين كانكشن به طرف ديگر وصل شود.همچنين نام كانكشني كه در طرف ديگر خواهيم ساخت بايد به همين نام باشد. USERNAME
    نام FQDN سرور آيزا  اگر در DOMAIN قرار دارد يا بدون نام اگر سرور شما از NTTACPLUS استفاده مي كند يا فقط اسم تنهاي سرور مثلا ISASERVER2 اگر مثلا سرور طرف ديگر شما از خود كاربران ويندوز سرور ISA‌استفاده مي كند. DOMAIN NAME
    وارد كردن پسورد يوزر HEADOFFICEVPN PASSWORD
    وارد كردن مجدد پسورد يوزر HEADOFFICEVPN CONFIRM PASSWORD
              
  6. در پنجره بعدي در بخش NETWORK ADDRESS‌بر روي ADD كليك كرده و آدرس رنج داخلي  را وارد نماييد. اين آدرس در حقيقت رنج آدرس طرف ديگر ميباشد كه در اين قسمت تعريف ميگردد.
  7. در پايان مرور اطلاعات و Finish را داريم.

البته در نگارش 2006 در مورد rule‌هاي دسترسي نيز سوال مي كند كه باتوجه به آشنايي شما اين بخش را صرف نظر مي كنيم.

--------------------

ج) ايجاد PPTP VPN

با اين فرض كه كاربر HEADOFFICEVPN را اينجا در ISASERVER2ساخته ايد شروع مي كنيم.اين نام بايد برابر با نام كانكشني باشد كه اينجا مي سازيم.همچنين در هنگام تكميل جدول در نسرور قبل به اين نام اشاره نموديم.

در 2 ISA SERVER  در بخش VIRTUAL PRIVATE NETWORKS  به بخش REMOTE SITE TAB برويد.

  1. از بخش TASK TAB گزينه ADD REMOTE SITE NETWORK را كليك كنيد.
  2. در صفحه خوش آمد گويي عبارت HEADOFFICEVPN را وارد كنيد.دقت كنيد نام كانكشن را برابر با نام ايجادي در ISASERVER1 گرفتيم.اين خيلي مهم است و اگر رعايت نشود تونل لايه 3 شما كار نخواهد كرد.
  3. در صفحه بعد گزينه PPTP‌را فعال نماييد.
  4. در پنجره   REMOTE SITE GATEWAYآدرس IP سرور VPN طرف ديگر را (مربوط به ISASERVER1 را ) ئارد نماييد.اين ادرس مشخصا ادرس كارت شبكه eXTERNAL‌يا همان VALID IP طرف ديگر ميباشد.
  5. در پنجره REMOTE AUTHENTICATION اقدام به فعال ساختن  گزينه    LOCAL SITE CAN INITIATE CONNECTIONS TO REMOTE SITE USING THESE CREDENTIALS را وارد نماييد.مانند زير:
    BRANCHOFFICEVPN نام كاربري با توجه به بخش الف - مشخصا با توجه به بندالف اين نام بايد در سرور طرف ديگر ايجاد شده باشد زيرا توسط اين نام مي خواهيم اين كانكشن به طرف ديگر وصل شود.همچنين نام كانكشني كه در طرف ديگر خواهيم ساخت بايد به همين نام باشد. USERNAME
    نام FQDN سرور آيزا  اگر در DOMAIN قرار دارد يا بدون نام اگر سرور شما از NTTACPLUS استفاده مي كند يا فقط اسم تنهاي سرور مثلا ISASERVER1 اگر مثلا سرور طرف ديگر شما از خود كاربران ويندوز سرور ISA‌استفاده مي كند. DOMAIN NAME
    وارد كردن پسورد يوزر BRANCHOFFICEVPN  PASSWORD
    وارد كردن مجدد پسورد يوزر BRANCHOFFICEVPN  CONFIRM PASSWORD
              
  6. در پنجره بعدي در بخش NETWORK ADDRESS‌بر روي ADD كليك كرده و آدرس رنج داخلي  را وارد نماييد. اين آدرس در حقيقت رنج آدرس طرف ديگر ميباشد كه در اين قسمت تعريف ميگردد.
  7. در پايان مرور اطلاعات و Finish را داريم.

البته در نگارش 2006 در مورد rule‌هاي دسترسي نيز سوال مي كند كه باتوجه به آشنايي شما اين بخش را صرف نظر مي كنيم.

--------------------

خلاصه------- چه كار كرديم:

ما از هر طرف يك كانكشن دقيقا به نام "نام كاربري" ايجاد شده و با AUTHENTICATE نام كاربري طرف ديگر به طرف ديگر متصل مي نماييم.

يعني اگر من از روي سرور اول خود بخواهم يك تونل به سرور طرف ديگر بزنم ابتدا يك نام كاربري با نام مثلا ALI  روي اين سرور ايجاد و نام كانكشن PPTP CONNECTION‌خود را نيز دقيقا ALI مي گذارم اما در كانكشم خود هنگام وارد كردن مشخصات در جدول بايد نام كاربري مجاز در طرف ديگر مثلا REZA را وارد كنم.

اين دقيقا يعني اينكه بايد عكس اينكار روي سرور 2 براي USER و نام كانكشن REZA‌انجام شود.

نكته 1: در PROPERTIES تونل خود ENCRIPTION ‌را درست انتخاب كنيد.مثلا اگر نام كاربري خود را از  NTTACPLUS   ميگيريد و انجا با PAP‌و  CHAP عمل  AUTHENTICATE را انجام ميدهيد بايد حتما در PROPETIES‌كانكشن خود نيز همين دو متد را انتخاب كنيد.

نكته 2:بهتر است در INTERNAL NETWORK ‌دو طرف براي WEB PROXY‌ها عمل AUTHENTICATE‌را غير فعال كنيد يا كلا قيد اينكار را بزنيد يا آدرس كليه سرورهاي WEB BASE هر طرف را در اين كلاينتها و يا INTERNAL NETWORK ‌هر سرور در طرف ديگر تونل EXCEPTION ‌نماييد.

نكته 3:براي راهاندازي هر دو ISA SERVER بايد يكبار RESET شوند.

نكته 4:از هر طرف PING‌ طرف ديگر را ميگذاريم تا پس از چند REQUEST TIME OUT فعال شوند.

نكته 5: بايد در سوئيچ مركزي خود ROUTE ‌را به كارت شبكه  HSA ‌همان طرف بدهيم.يا   در همه كلاينتها GATEWAY‌را كارت شبكه  INTERNAL مربوط‌ به  ISA ‌همان طرف بگذاريم.

موفق باشيد و نظر هم بدهيد خوشحال ميشيم .

خواهشا جواد بازي در نياريد و تقاضاي تبادل لينك نكنيد.