UAG 作為微軟的一款的網關類產品，致力于提供內部資源的發布和為外部用戶提供內部訪問。在眾多的向內部訪問的方式中，我們今天介紹一種 SSTP VPN。

SSTP （Secure Socket Tunneling Protocol ）VPN 可以讓 PPP 和 L2TP 的流量封裝在 SSL 3.0的通道中進行傳輸，這樣既保證了數據的安全性又可以使使用 TCP 的443端口通過大多數的防火墻。在復雜的網絡環境中，客戶端甚至可以使用 Web 代理來進行 SSTP VPN 的訪問。

配置 SSTP VPN，我們需要客戶端使用 Windows Vista 及之后的 Windows 版本。下面就通過例子來看一下 SSTP VPN 的配置過程：

UAG 服務器部分：

1. 在 UAG 控制臺中，首先建立一個 HTTPs 的 trunk（干道）。在本例中，這個 trunk 叫做 httpsportal2.iverxue.com，公網地址是1.1.1.4

2. 在上方的菜單點擊 Admin->Remote Network Access->SSL Network Tunneling (SSTP)

3. 選中 Enable remote client VPN access，并綁定到一個 trunk 上

4. 在 Protocol 頁上，勾選 SSTP

5. 在 IP Address Assignment 頁面上，我們為 VPN 客戶端創建一個地址池，讓 UAG 來分配。并在 advanced 選項中分派內部的 DNS 服務器。

注意: 這個地址池不能和內網地址重復。假設我們內網的網段是192.168.9.0/24，在 UAG 上我們可以定義192.168.10.X這樣的地址段。在內部路由方面，請保證內部的服務器要到達192.168.10.X的這個網段，必須通過 UAG 的內網卡。

6. 登錄域控制器，檢測需要登錄的 VPN 用戶需要被允許被撥入：

7. 配置完成后請點擊 UAG 的 Activate Configuration 并等待配置同步。

客戶端部分，以 Windows 7 客戶端為例：

1. 在 Windows 7 的客戶端上我們必須先安裝在 UAG trunk 上綁定證書的根證書。通過打開 MMC 后添加本機器的 certificate 控制臺可以進行操作。根證書需要被導入到 Trusted Root Certification Authorities:

2. 然后去控制面板的 Network and Sharing Center 中建立一個新的 VPN 連接。（Set up a new connection or network->Connect to a workplace->Use my Internet Connection(VPN)）

3. 在 Internet Address 中請輸入 Trunk 的名字

4. 根據向導完成后，我們會看到一個 SSTP 的網卡，請右擊選擇屬性。在 Security 頁中，選擇 Secure Socket Tunneling Protocol（SSTP）的 VPN 類型。

5. 然后就可以嘗試連接了，撥通后，我們可以通過 ipconfig 命令看到一個新的 PPP 適配器的地址：

您是不是覺得讓終端用戶配置這些VPN會很復雜，那么會不會有什么更好的方法呢？

當然可以，我們來看看在以上配置的基礎上我們還能怎樣方便用戶呢。

讓我們回到 UAG 服務器：

1. 在 Trunk 上建立一個新的 application

2. Application 的類型是 Remote Network Access

3. 根據默認配置，完成該向導以后，我們可以看到該 Remote Network Access 型的 Application 已經被建立成功了。請激活 UAG 配置。

回到客戶端， 這時候登錄HTTPs的Portal。

點擊這個Application后，我們可以看到右下角的圖標會連通這個VPN：

現在請再去測試下是否可以訪問內網的資源了呢？

希望這篇博文能方便您和您的用戶。

微軟安全專家

薛瑋（Iverson Xue）

[技術分享- UAG]如何配置Forefront UAG的SSTP VPN