Installing VPNMaaS360 and configuring the VPNMaaS360 TAP Adapter on Windows Server 2012 R2

Follow these steps to install VPNMaaS360, including the VPNMaaS360 TAP Adapter, on Windows Server 2012 R2.

1. Войдите в ПорталMaaS360, выберите Настройка > Услугии убедитесь, что служба VPN MaaS360 включена.
   

   Примечание: Обратитесь в службу поддержки IBM® , если функция VPNMaaS360 не включена.

2. Загрузите Cloud Extender и получите лицензионный ключ.
3. Выполните инструкции мастера установки для установки Cloud Extender на сервере Windows Server 2012 R2.
   Модуль VPNMaaS360 автоматически загружается в агенты конечных пользователей.
4. В Инструмент конфигурированияCloud Extenderвыберите VPN.
   

   Примечание: После установки Cloud Extenderмодуль VPNMaaS360 может занять несколько минут. Если опция VPN не показана в окне Инструмент конфигурированияCloud Extender , закройте Инструмент конфигурированияCloud Extender, подождите несколько минут и снова запустите Инструмент конфигурированияCloud Extender .

5. Click Установить адаптер tap to install the VPNMaaS360 TAP Adapter.

   Важно: You must install the VPNMaaS360 TAP Adapter before you configure settings for VPNMaaS360.

   
6. Выберите Да в любом приглашении защиты.
   Для установки адаптера может занять несколько минут.

   Примечание: If Windows Server 2012 R2 updates are pending on your system, reboot your system, and then apply those updates before you install the VPNMaaS360 TAP Adapter.

   Примечание: If you receive an error message during installation of the VPNMaaS360 TAP Adapter, follow the steps in Устранение неполадок в VPNMaaS360 to remove the TAP adapter from your system. Перезагрузите систему и, если потребуется, примените все обновления и повторите попытку установки адаптера TAP.

   После установки адаптера TAP VPNMaaS360 в следующем окне выводится предупреждение о том, что служба Routing and Remote Access Service (RRAS) настроена неправильно. Для настройки службы маршрутизации и удаленного доступа (RRAS) необходимо включить преобразование сетевых адресов (NAT) в исходящем интерфейсе VPNMaaS360 .

   
   Для включения преобразования сетевых адресов (NAT) в исходящем интерфейсе VPNMaaS360выполните следующие действия:
   1. В меню Начало Windows выберите Маршрутизация и удаленный доступ.
      Если Маршрутизация и удаленный доступ не указан, убедитесь, что вы следовали инструкциям по установке этой роли из процедуры, указанной в файле Установка роли маршрутизации и удаленного доступа в Windows Server 2012 R2.
   2. Щелкните правой кнопкой мыши по имени сервера, выберите Настройка и включение маршрутизации и удаленного доступаи щелкните по Далее.
      
      В Мастер настройки маршрутизации и удаленного доступа к серверу появится окно Конфигурация .
      
   3. Выберите Преобразование сетевых адресов (NAT)и щелкните по Далее.
      В Мастер настройки маршрутизации и удаленного доступа к серверу появится окно Подключение к Internet NAT .
   4. Убедитесь, что включен параметр Использовать этот открытый интерфейс для подключения к Интернету .
      
   5. В списке Сетевые интерфейсы выберите сетевой адаптер, который использует NAT для всех исходящих потоков данных от пользователей VPN.
      • Этот адаптер должен быть адаптером на сервере, подключенном к подсети, которая может работать как внутренним, так и внешним ресурсам, доступ к которым вы хотите получить у пользователей VPN через VPNMaaS360.
      • Не выбираем адаптер TAP VPNMaaS360 . Этот адаптер принимает только трафик и преобразует весь трафик в адаптер Ethernet.
      • If you do not have the option to select an adapter, or if MaaS360VPNTap is not listed, make sure that you used the Инструмент конфигурированияCloud Extender to configure VPNMaaS360 and installed the VPNMaaS360 TAP Adapter from that tool. Эта опция доступна только в том случае, если на сервере установлено несколько адаптеров (MaaS360 всегда устанавливает второй виртуальный адаптер для VPN). В режиме NAT можно использовать один интерфейс для всех потоков данных, обращающих к ресурсам подключенные туннели VPN.
        • Для одноручного режима сервер использует только один физический адаптер, используемый всеми трафиком.
        • Если у вас есть несколько физических адаптеров (установка в режиме нескольких рук), то адаптер, выбранный для интерфейса NAT, должен иметь маршруты, доступные для доступа к любым сетевым ресурсам (внутренним или внешним), которые должны быть доступны через VPN. Такой тип настройки может привести к проблемам с маршрутизацией общедоступных интернет-трафика, поскольку шлюз по умолчанию используется для маршрутизации интернет-трафика (в Windowsследует использовать только один шлюз по умолчанию).

          Если шлюз по умолчанию не задан в интерфейсе, выбранном для NAT, и если для ресурса не задан явный маршрут, то пользователи не смогут получить доступ к этому ресурсу через VPN. Инструкции по настройке маршрутизации и интерфейсов приведены в разделе Сценарии развертыванияVPNMaaS360 .

      • Если в Windows Server 2012 R2 используется более двух адаптеров, выберите адаптер, который использует NAT. Выберите MaaS360VPNTapи щелкните по Далее.
   6. Щелкните по Далее, а затем щелкните по Готово , чтобы завершить включение NAT на сервере VPNMaaS360 .
7. После настройки службы маршрутизации и удаленного доступа (RRAS) выберите Обновить.
   
   Если конфигурация выполнена успешно, список адаптеров больше не отображается, и вы можете продолжить установку.
8. Выполните одно из следующих действий:
   • В разделе Режим настройки выберите Настройка нового кластера VPN (если это первый Cloud Extender в кластере) и щелкните по Далее.
     
     Задайте следующие параметры сети для VPNMaaS360:
     

     Параметр	Описание
     Имя кластера VPN	Имя кластера VPNMaaS360 , доступного для политик MaaS360 .
     Внешний URL VPN	Внешнее имя DNS или IP-адрес и порт, используемый для настройки соединений внешних пользователей для подключения к VPNMaaS360. Общедоступный IP-адрес назначается непосредственно интерфейсу на сервере Windows или преобразуется в личный адрес сервера Windows с помощью маршрутизатора, брандмауэра, балансировщика нагрузки или обратного прокси (настоятельно рекомендуется).
     Внешний порт VPN	Порт по умолчанию-1194. Этот порт можно изменить. В настоящее времяVPNMaaS360 использует протокол UDP, который вы не можете изменить. Make sure that the port that you entered is open to the server that is provisioning VPNMaaS360. Вы должны заблокировать другие порты по соображениям безопасности.
     Внутренний URL/IP VPN	Личный IP-адрес или URL хоста сервера VPNMaaS360 .
     Внутренний порт VPN	Любой доступный открытый порт на хосте сервера VPNMaaS360 .
     Виртуальная маска IP и виртуальной подсети	Одна или несколько допустимых подсетей (IP-адрес и маска сети), которые используются для назначения IP-адресов входящих подключений пользователей туннеля VPN. Используйте подсети в частном диапазоне, включающие достаточное число IP-адресов для обработки всех пользователей, которые соединяются с каждым сервером VPNMaaS360 . Для каждого сервера VPNMaaS360 необходима одна подсеть. В подсети должно быть достаточно IP-адресов для обработки максимального числа пользователей, которые могут подключаться к серверу в одном экземпляре. Поскольку в исходящем трафике с сервера используется Network Address Translation (NAT), можно использовать одну и ту же подсеть для каждого сервера VPNMaaS360 . Однако эта настройка может помешать работе по устранению неполадок. Используйте в сети уникальные подсети, не создающие перекрытия или путаницу с сетевой маршрутизацией.
     Серверы DNS	Один или несколько серверов DNS, используемых конечными пользователями. Сервер DNS должен быть доступен из сетевого интерфейса, на котором установлен VPNMaaS360 . Сервер DNS должен разрешать общедоступные и частные адреса, даже если используется разбиение туннелей (или добавление второго общего DNS в список).
     Включить разделение туннелей	Включите эту опцию, если вы сконфигурировали по крайней мере одно сетевое назначение для VPN-клиента для туннелирования трафика на серверы VPNMaaS360 . Примечание: Убедитесь, что вы выключите переключатель Включить разделение туннелей , если вы маршрутизируете весь трафик через VPN.
     Сети	Список подсетей (IP-адрес и маска сети), которые используются для маршрутизации через VPNMaaS360 (при использовании раздельного туннелирования). Примечание: Если вы не используете раздельные туннели, весь трафик (частный и общедоступный) маршрутизируются через туннель, что может увеличить нагрузку на сервер с некорпоративным трафиком.

9. Щелкните по Далее. При конфигурировании VPNMaaS360 генерируется сертификат (форматp12 ), который вы хотите использовать, если вы планируете настроить несколько серверов в сценарии распределения нагрузки. Щелкните по Загрузить сертификат VPN и сохраните файл сертификата для использования в будущем. Выполните действия, описанные в разделе Настройка кластера для VPNMaaS360.
10. Выполните мастер Настройка маршрутизации и удаленного доступа к серверу .
    В файле Cloud Extender в ПорталMaaS360 показано состояние соединения и настроенная служба VPN.
11. На странице ПорталMaaS360 Домой выберите Настройка > Cloud Extenderи выберите Cloud Extender , где вы установили службу VPNMaaS360 .
    В разделе Сводка будут показаны параметры конфигурации Cloud Extender :

    
12. В выпадающем списке выберите VPN MaaS360. Будут показаны параметры конфигурации VPNMaaS360 и последние статистические данные (моментальная копия подключенных клиентов и статистика этих соединений).