В.Мне необходимо разрешить входящие соединения с клиентами VPN через протоколы PPTP и L2TP (Layer 2 Tunneling Protocol) на сервере Windows 2000 с RRAS. Сервер расположен за брандмауэром. Какие порты необходимо открыть, чтобы на сервер могли проходить нужные типы трафика?

О. Для организации PPTP-соединений VPN следует открыть TCP-порт 1723 для служебного трафика туннеля PPTP и разрешить прохождение пакетов IP Type 47 Generic Routing Encapsulation (GRE), содержащих данные туннеля PPTP, по IP-адресу RRAS-сервера. Если RRAS-сервер на базе PPTP играет роль вызывающего маршрутизатора в VPN-соединениях маршрутизатор-маршрутизатор (соединения ЛВС-ЛВС на базе VPN с другим RRAS-сервером), то необходимо создать на брандмауэре входной фильтр (входное правило), чтобы открыть TCP-порт 1723 в качестве порта источника для RRAS-сервера. Для VPN-соединений L2TP необходимо открыть порт 500 для трафика Internet Key Exchange (IKE) и UDP-порт 1701 для трафика L2TP. Если на выходной трафик наложены ограничения, то необходимо убедиться в том, что все эти порты открыты в нужном направлении, и VPN-сервер может установить связь с удаленными клиентами VPN.

Если трафик VPN – единственный вид разрешенного трафика RRAS-сервера, то лучше запретить все виды трафика, кроме перечисленных выше. Также рекомендуется размещать RRAS-сервер в демилитаризованной зоне (DMZ) сети, а не во внутренней ЛВС. В гл. 9 тома «Internetworking Guide» комплекта ресурсов Microsoft Windows 2000 Server Resource Kit рассказано о том, как правильно настроить брандмауэр в случае использования VPN-серверов.