建立 VPN 遠端網站連線

發佈時間: 2009年11月

更新日期: 2010年2月

適用於: Forefront Threat Management Gateway (TMG)

「建立 VPN 網站間連線精靈」可協助您設定 Forefront TMG,以建立從遠端網站到公司網路的虛擬私人網路 (VPN) 連線。

在精靈中,您可以執行下列工作:

  • 指定 VPN 流量通訊協定。

  • 指派 IP 位址給遠端 VPN 用戶端連線。

  • 指定在遠端網站用以驗證的帳戶。

  • 設定遠端網站的驗證。

  • 指定 IPsec 驗證方法。

  • 指定遠端網站網路的 IP 位址範圍。

  • 建立網路規則以路由往返遠端網路的流量。

  • 建立存取規則以允許往返遠端網路的流量

在執行精靈後,您可以設定其他設定,以啟用 VPN 連線。

下列程序說明如何在 Forefront TMG 上設定網站間 VPN。

建立 VPN 網站間網路

  1. 在 [Forefront TMG 管理] 主控台的樹狀目錄中,按一下 [遠端存取原則 (VPN)]

  2. 在詳細資料窗格中,按一下 [遠端網站] 索引標籤。

  3. [工作] 索引標籤中,按一下 [建立 VPN 網站間連線]

  4. [建立 VPN 網站間連線] 精靈中,遵循螢幕上的指示,並注意下列事項:

    1. [歡迎] 頁面的 [網站間網路名稱] 文字方塊上,您必須鍵入遠端網路閘道的完整名稱。

    2. 請注意下列關於網際網路通訊協定安全性 (IPsec) 通道通訊協定的事項:

      • 當您建立或修改使用 IPsec 的遠端網站網路時,必須重新啟動 Microsoft Firewall 服務,以便修改 IPsec 篩選器來反映新的設定。視網路的位址範圍所包含之子網路數目的不同,此程序可能會花費數分鐘。為了將影響減到最低,建議您將 IP 位址範圍的定義與子網路邊界對齊。

      • 如果停止或重新啟動 IPsec PolicyAgent 服務,則會遺失所有動態 IPSec 設定資訊 (包括 Forefront TMG VPN 網站間的 IPsec 組態設定),也會中斷 VPN 用戶端連線。若要還原設定,請啟動 PolicyAgent 服務或重新啟動防火牆服務。

    3. 如果 Forefront TMG 伺服器是陣列的成員,請在 [連線擁有者] 頁面上,按一下將做為陣列中 VPN 通道端點的陣列成員。如果已啟用陣列的網路負載平衡 (NLB),則不須指定連線擁有者,系統將會自動指派連線擁有者。

    4. 如果您是使用憑證驗證與 VPN 通訊協定 L2TP/IPSec,在 VPN 兩端的 Forefront TMG 伺服器都需要具有從相同憑證授權單位核發的數位憑證。請注意,憑證驗證是建議使用且最安全的通訊協定方法。

    5. [網路位址] 頁面上輸入遠端 VPN 伺服器的位址範圍時,必須完全符合遠端網站的網路定義和子網路遮罩。

  5. 若要檢視 VPN 網站間網路設定的摘要,請以滑鼠右鍵按一下選取的網路,然後按一下 [遠端網站] 索引標籤之下的 [網站間摘要]

 
顯示: