안녕하세요 Urikiri 입니다. 오늘은 ISA 2006에 내장되어있는 VPN을 설정하고 접근하는 방법을 알아보겠습니다.
이 시나리오를 테스트 하기 위해서는 Windows Server 2003과 ISA Server 2006이 설치된 가상 컴퓨터 두 대가 필요합니다.
ISA Server 2006이 클라이언트의 VPN 연결 요청을 수용하도록 설정
라우팅 및 원격 액세스 서비스 상태 확인하기
시작 메뉴에서 관리 도구를 클릭한 후 라우팅 및 원격 액세스 서비스를 클릭한 후 컴퓨터 이름을 클릭합니다.
라우팅 및 원격 액세스 서비스가 시작되지 않았으며 서비스도 구성되지 않았습니다. ISA Server는 VPN 연결이 승인된 후 VPN 연결을 처리하기 위해 라우팅 및 원격 액세스 서비스를 사용합니다.
참고: 사용자 및 그룹을 위한 원격 전화 접속 권한을 제외한 모든 VPN 구성이 ISA Server 관리자를 통해 이루어집니다.
VPN 주소 범위 구성을 위해 ISA Server 관리자 사용하기
참고: 사용할 IP 주소 범위는 10.3.1.1–10.3.1.100입니다.
시작 메뉴에서 모든 프로그램을 클릭한 후 Microsoft ISA Server를 클릭하고, 다시 ISA Server 관리자를 클릭합니다.
ISA Server 관리자의 콘솔 트리에서 배열, 배열 이름을 차례로 확장한 후 가상 사설망(VPN)을 선택합니다.
작업 창의 작업 탭에서 주소 할당 정의를 클릭합니다.
참고: ISA Server 2006 Enterprise Edition에서, VPN 클라이언트에 IP 주소 할당을 위해 DHCP (Dynamic Host Configuration Protocol) 서버를 사용하는 것은 단일 ISA Server 컴퓨터로 구성된 배열에만 허용됩니다. 이것은 VPN 클라이언트가 연결할 때 각 배열 구성원 상에서 필요한 라우팅 테이블의 업데이트와 배열 내부의 트래픽을 피하기 위한 것입니다.
하나 이상의 ISA Server 컴퓨터를 포함하는 배열에서 VPN 액세스를 설정하기 위해서는, 우선 서버 별 정적 IP 범위를 정의해야 합니다.
가상 사설망 (VPN) 등록 정보 대화 상자의 주소 할당 탭에서 추가를 클릭합니다.
서버 IP 주소 범위 속성 대화 상자에서 다음 정보를 입력합니다:
서버 선택: Florence
시작 주소: 10.3.1.1
끝 주소: 10.3.1.100
이 IP 주소 범위가 허용하는 최대 구성은 다음과 같습니다:
ISA 서버 상의 하나의 대상 VPN IP 주소 (10.3.1.1).
99개의 VPN 클라이언트 주소 (10.3.1.2-10.3.1.100).
가상 사설망 (VPN) 등록 정보 대화 상자의 주소 할당 탭에서 추가를 클릭합니다.
서버 IP 주소 범위 속성 대화 상자에서 다음 정보를 입력합니다:
서버 선택: Firenze
시작 주소: 10.3.1.101
끝 주소: 10.3.1.200
확인을 클릭하여 가상 사설망(VPN) 등록 정보 대화 상자를 닫습니다.
VPN 클라이언트 액세스 설정 및 구성
다음 절차는 PPTP를 사용해 최대 99 개 클라이언트를 지원하는 VPN을 구성합니다.
작업 탭에서 VPN 클라이언트 액세스 구성을 클릭합니다.
VPN 클라이언트 등록 정보 대화 상자의 일반 탭에서 VPN 클라이언트 액세스 사용 확인란을 선택합니다. 허용되는 최대 VPN 클라이언트 수 텍스트 상자에 99를 입력합니다. (그림K.1a참조)
프로토콜 탭에서 PPTP 사용 항목만이 선택되어 있음을 확인합니다.
확인을 클릭하여 VPN 클라이언트 등록 정보 대화 상자를 닫습니다. 참고: VPN 구성은 아직 적용되지 않았습니다.
VPN 연결 설정 검토
콘솔 트리에서 가상 사설망(VPN)을 오른쪽 클릭한 후 속성을 클릭합니다.
가상 사설망 (VPN) 동록 정보 대화 상자를 작업 창을 통해서 액세스할 수도 있습니다.
가상 사설망(VPN) 등록 정보 대화 상자에서 액세스 네트워크 탭을 선택합니다. (그림K.1b참조)
ISA Server는 현재 외부 네트워크로부터의 VPN 연결만 받아들이도록 구성되어 있습니다.
인증 탭을 선택합니다.
ISA Server는 현재 수신되는 VPN 연결에 대해 MS CHAPv2 인증만을 허용하도록 구성되어 있습니다.
확인을 클릭하여 가상 사설망(VPN) 등록 정보 대화 상자를 닫습니다.
VPN 액세스 규칙 검토
콘솔 트리에서 방화벽 정책 (서버 이름)을 선택합니다.
작업 창의 작업 탭에서 시스템 정책 규칙 표시를 클릭합니다.
세부 정보 창에서 ISA Server로의 VPN 클라이언트 트래픽 허용 시스템 정책 규칙을 선택합니다 (규칙 13)
이 시스템 정책 규칙은 외부 네트워크에서 로컬 호스트 네트워크(ISA Server)로의 PPTP 프로토콜을 허용합니다. VPN 클라이언트가 접속을 위해 L2TP over IPsec VPN 또한 사용할 수 있도록 구성되었다면, 이 규칙은 Internet Key Exchange (IKE), Internet Protocol security (IPsec), 및 Layer Two Tunneling Protocol (L2TP)와 같은 필요한 프로토콜에 대해서도 확장되어야 합니다.가상 사설망 (VPN) 등록 정보 대화 상자의 액세스 네트워크 탭 상에 있는 추가적인 네트워크가 설정 된 경우에도, 이 규칙은 그러한 네트워크로 확장되어야 합니다.
작업 창의 작업 탭에서 시스템 정책 규칙 숨기기를 클릭합니다.
ISA Server 관리자에서 적용을 클릭하여 VPN 구성을 적용한 후 확인을 클릭합니다.
이 단계는 ISA Server 상에 VPN 연결을 구성하고 설정하며, ISA Server 컴퓨터 상의 라우팅 및 원격 액세스 서비스도 구성 및 시작합니다.
참고: 다음 단계를 진행하기 전에 ISA Server가 라우팅 및 원격 액세스 서비스를 구성하고 시작할 수 있도록 30 초 정도 기다립니다.
라우팅 및 원격 액세스 서비스 검토
필요한 경우 라우팅 및 원격 액세스 관리자의 왼쪽 창에서 컴퓨터 이름 (로컬)을 오른쪽 클릭한 후 새로 고침을 클릭합니다.
화면에 라우팅 및 원격 액세스의 구성 상태 및 실행 여부가 업데이트됩니다.
컴퓨터 이름 (로컬) 을 오른쪽 클릭한 후 속성을 클릭합니다.
컴퓨터 이름 (로컬) 등록 정보 대화 상자에서 IP 탭을 선택합니다.
ISA Server가 라우팅 및 원격 액세스 서비스의 주소 할당 방식을 고정 주소 풀 방식으로 구성하였습니다.
취소를 클릭하여 컴퓨터 이름 (로컬) 등록 정보 대화 상자를 닫습니다.
컴퓨터 이름 (로컬)을 확장한 후 원격 액세스 정책을 선택합니다.
세부 정보 창에서 ISA Server 기본 정책을 오른쪽 클릭한 후 속성을 클릭합니다.
ISA Server가 새로운 원격 액세스 정채을 추가해 두었습니다:
· 이 정책은 가장 위에 있으며 수신되는 모든 원격 액세스 연결에 적용됩니다 (Day-And-Time-Restrictions 일치7x "00:00-24:00").
· 관련 프로필에는 허용된 모든 연결에 대한 인증 방법이 명시되어 있습니다.
· 사용자 프로필에 개별적인 액세스 권한이 지정되어 있지 않다면 원격 액세스는 거부됩니다. (개별 액세스 권한 지정 방식은 바로 다음 연습에 설명되어 있습니다) 취소를 클릭하여 ISA Server 기본 정책 등록 정보 대화 상자를 닫습니다.
왼쪽 창에서 IP 라우팅을 선택합니다. 세부 정보 창에서, 고정 경로를 오른쪽 클릭한 후 IP 라우팅 테이블 표시를 클릭합니다.
ISA Server가 Firenze (10.3.1.101–10.3.1.200) VPN 주소 범위에 대한 라우팅을 추가해 두었습니다.
컴퓨터 이름 - IP 라우팅 테이블 윈도우를 닫습니다.
라우팅 및 원격 액세스를 닫습니다.
Administrator 계정이 전화 접속할 수 있도록 사용자 프로필을 구성하기
시작 메뉴에서, 관리 도구를 클릭한 후 컴퓨터 관리를 클릭합니다.
컴퓨터 관리의 왼쪽 창에서 로컬 사용자 및 그룹을 확장한 후 사용자를 선택합니다.
세부 정보 창에서 Administrator를 오른쪽 클릭한 후 속성을 클릭합니다.
Administrator 등록 정보 대화 상자의 전화 접속 로그인 탭에서 액세스 허용을 선택한 후 확인을 클릭합니다. (그림K.1d참조)
컴퓨터 관리를 닫습니다
참고: 이 예에서는 로컬 관리자에 대해 VPN 연결을 설정했지만, 일반적으로는 도메인 사용자 계정에 대해 VPN 연결을 설정합니다.
참고: 이제 ISA Server가 외부 네트워크 상의 클라이언트 컴퓨터로부터 VPN 연결을 수용하도록 설정했습니다. 클라이언트는 연결 후에 VPN 클라이언트 네트워크로 할당됩니다. VPN 클라이언트에 대해 액세스를 허용할 리소스를 결정할 액세스 규칙도 생성되어야 합니다.