• Home
  • Server 2003/2008
  • Windows 7
  • Office
  • Linux
  • Sieci komputerowe
  • Wujek dobra rada
  • Mapa strony
  • Napisz
  • czcionka Zmniejsz czcionkę Zmniejsz czcionkę Powiększ czcionkę Powiększ czcionkę
  • Wydrukuj
  • Email
  • Komentarze (4)
Połączenia VPN w środowisku Windows Server
pikolo pikolo

Połączenia VPN w środowisku Windows Server

18 październik 2013
Dział: Server 2003/2008
Czytany 52043 razy
Oceń ten artykuł
  • 1
  • 2
  • 3
  • 4
  • 5
(6 głosów)

Bezpieczne przesyłanie danych w publicznej, niezabezpieczonej sieci Internet od zawsze było wyzwaniem. Standardowe metody i sposoby przesyłania informacji nie zapewniają dostatecznej ochrony danych. Dlatego by rozwiązać ten problem wymyślono coś na kształt „bezpiecznych tuneli” zestawianych pomiędzy komputerami, wewnątrz których dane te w całkowicie pewny sposób mogą być wymieniane. Sieci te nazwano sieciami prywatnymi – VPN. Przedstawiony poniżej artykuł całkowicie jest poświęcony sposobie tworzenia sieci VPN, artykuł omawia podstawowe zagadnienia a także omawia różne sposoby tworzenia bezpiecznych połączeń pomiędzy hostami w środowisku Windows.

 

 

VPN czyli wirtualna sieć prywatna (virtual private network) to połączenie typu punkt-punkt, które jest realizowane poprzez sieć publiczną, taką jak Internet. W zestawieniu połączenia VPN wykorzystywane są specjalne protokoły, nazywane protokołami tunelowania. Istnieją dwa typy połączeń VPN:

      • połączenie VPN dostępu zdalnego (remote access),
      • połączenie VPN typu lokacja-lokacja (site-to-site).

Połączenie VPN dostępu zdalnego bezpiecznie łączy użytkowników zdalnych, takich jak użytkownicy mobilni i telepracownicy, z siecią przedsiębiorstwa. Czyli celem stosowania dostępu zdalnego jest dopuszczenie użytkownika do sieci przedsiębiorstwa przy użyciu infrastruktury udostępnionej przez sieć publiczną, taką jak Internet.

 

image1

 

Połączenia VPN typu lokacja-lokacja umożliwiają organizacjom nawiązywanie połączeń między biurami lub oddziałami danego przedsiębiorstwa przez sieć publiczną przy zachowaniu bezpieczeństwa komunikacji. Połączenie VPN site-to-site łączy ze sobą dwie lub więcej sieci lokalnych poprzez Internet. Połączenie VPN działa tak jak byśmy zestawili dedykowane łącze sieci WAN. Gdy sieci są ze sobą połączone, jak to pokazano na poniższym rysunku, router przesyła pakiety dalej do następnego routera wykorzystując połączenie VPN. Dla routerów tych połączenie VPN ma cechy łącza warstwy danych czyli tak jakbyśmy połączyli je fizycznie. Dlatego możliwe jest wysyłanie informacji związanych np. z routingiem.

 

 image2

 

Aby umożliwić połączenie ze sobą dwóch punktów (komputer, router) dane muszą być hermetyzowane (rysunek poniżej), czyli opatrywane specjalnym nagłówkiem tak by umożliwić swobodny przepływ w sieci publicznej a jednocześnie zapewnić poufność przesyłanych informacji. To tak jakbyśmy jedno pudełko wsadzili w drugie. Dzięki takiemu zabiegowi mamy pewność, że pakiety trafią do miejsca przeznaczenia a w razie ich przechwycenia niemożliwe będzie odczytanie zawartości (zastosowanie szyfrowania).

 image3

 

Przy wdrażaniu połączeń VPN dążymy do tego aby były zachowane poniższe własności:

      • zapewnienie poufności przesyłanych danych poprzez zastosowanie szyfrowania silnymi algorytmami kryptograficznymi,
      • integralność danych czyli uniemożliwienie modyfikacji danych podczas ich transmisji,
      • uwierzytelnianie czyli brak możliwości podszycia się pod którąś ze stron,
      • zapewnienie niezaprzeczalności, czyli brak wyparcia się jednej ze strony, że nie wysłały danej informacji.

Aby można było zastosować powyższe funkcje stosuje się odpowiednie protokoły. Poszczególna, krótka charakterystyka protokołów biorących udział w tworzeniu tunelu VPN została przedstawiona poniżej.

Point-to-Point Tunneling Protocol jest protokołem pozwalającym na utworzenie tunelu w sieci publicznej. Tunel zestawiany jest między zdalnym klientem a serwerem ale także może być użyty w połączeniach typu router-router. Protokół ten korzysta z połączenia TCP a także protokołu GRE. Umożliwia kompresje i szyfrowanie danych PPP. Poniżej przedstawiono strukturę pakietu PPTP.

image4

Protokół L2TP jest rozwinięciem protokołu PPTP a także dzięki współpracy z firmą Cisco połączeniem rozwiązań tej firmy z rozwiązaniami firmy Microsoft. W protokole tym ramki L2TP są umieszczane w pakietach UDP. Chociaż protokół ten podobnie jak PPTP może szyfrować i kompresować pakiety z ramkami PPP to w środowisku Windows Server szyfrowanie połączeń L2TP jest realizowane poprzez dodanie nagłówka i zakończenia IP Security (IPSec).

 

image5

 

Protokół IPSec oparty jest o protokół IP i stanowi niejako rozszerzenie protokołu IP o brakujące funkcje w szczególności te związane z bezpieczeństwem przesyłanych danych , implementuje mechanizmy bezpieczeństwa i uwierzytelniania. Protokół IPSec zapewnia poufność i integralność danych wymienianych bezpiecznym kanałem. Poufność czyli brak możliwości poznania treści przechwyconej transmisji realizowana jest poprzez szyfrowanie natomiast integralności danych osiągnięto poprzez stosowanie skrótów kryptograficznych.

 image6

 

Protokół SSTP (Secure Socket Tunneling Protocol)jest ostatnim protokołem jaki możemy wykorzystać przy tworzeniu tuneli VPN. Główną zasadą jaka przyświecała przy tworzeniu tego protokołu jest wyeliminowanie jak największej liczby trudności związanych z konfiguracją np. firewalli. Dzięki temu, że protokół ten bazuje na HTTPS, który powszechnie jest stosowany do zabezpieczania witryn WWW, by tunel VPN zadziałał trzeba otworzyć tylko jeden port. Jak widać poniżej dane osadzane są wraz z nagłówkiem PPP a następnie z nagłówkiem SSTP, całość jest szyfrowana (SSL). By umożliwić dotarcie pakietu do celu, osadzany jest nagłówek IP.

 

image7

 

Poniżej zestawienie i porównanie protokołów tunelowania.

Własność/Protokół

PPTP

L2TP/IPsec

SSTP

Tunelowanie

GRE

L2TP bazujący na UDP

SSTP bazujący na TCP

Szyfrowanie

MPPE

IPsec ESP 3DES lub AES

SSL lub AES

Certyfikat

NIE

TAK/NIE

TAK

Klient VPN

od Windows 95

od Windows 2000

od Windows XP SP3

 

W dalszej części artykułu postaram się zaprezentować sposoby tworzenia sieci VPN typu remote access bazujących na przedstawionych wyżej protokołach a także sieci VPN typu lokacja-lokacja (site-to-site).

Zaczynamy od uruchomienia Menedżera serwera, następnie przechodzimy do Kreatora dodawania nowych ról. By móc zarządzać połączeniami VPN musimy dodać rolę – Usługi zasad i dostępu sieciowego (NPAS, Network Policy and Access Services), taką rolę odszukujemy na liście i zaznaczamy ją celem instalacji.

 image8

 

Po kliknięciu Dalej przechodzimy do wprowadzenia w którym kreator informuje nas o funkcjach pełnionych w systemie przez Usługę zasad i dostępu sieciowego. Po zapoznaniu się z tymi informacjami klikamy Dalej.

 

image9

 

W kolejnym kroku musimy sprecyzować, które składowe usługi NPAS chcemy zainstalować. By móc obsłużyć połączenia VPN musimy zainstalować następujący składnik: Usługi routingu i dostępu zdalnego (RRAS, Routing and Remote Access) – instalujemy obie funkcje czyli Routing i Usługę dostępu zdalnego.

 image10

 

Po kliknięciu Dalej przechodzimy do ekranu potwierdzenia.

 image11

 

Gdy wszystko się zgadza, pozostaje nam kliknąć na Zainstaluj i następuje instalacja roli.

 image12

 

Gdy rola zostanie zainstalowana zostaniemy poinformowani o wyniku instalacji.

 image13

 

Przechodzimy do Menedżera serwera i jak widać poniżej usługa ta po instalacji jest zatrzymana.

 image14

 

By serwer routingu i dostępu zdalnego zaczął działać należy go skonfigurować. W tym celu zaznaczamy usługę i wybieramy Konfiguruj i włącz routing i dostęp zdalny.

 image15

 

Podczas pierwszego uruchomienia możemy spotkać się z komunikatem jak na poniższym rysunku. Powiadomienie wyświetla się wówczas gdy włączone jest Udostępnianie połączenia internetowego (ICS – Internet Connection Sharing).

 image16

 

By wyłączyć ICS, należy przejść do okna Połączenia sieciowe i w właściwościach połączenia odpowiedzialnego za łączność z Internetem (karta Udostępnienie) odznaczyć pole Zezwalaj innym użytkownikom sieci na łączenie się poprzez połączenie internetowe tego komputera.

 image17

 

Po wyłączeniu ICS możemy ponownie spróbować uruchomić serwer RRAS. Przy pierwszym włączeniu serwera uruchomi się kreator, który przeprowadzi nas przez cały proces.

 

image18

 

Pierwszą decyzję jaką musimy podjąć to wskazać na sposób działania serwera RRAS. Jeśli naszym priorytetem jest zapewnienie połączenia VPN dla użytkowników zdalnych wybieramy Dostęp prywatnej sieci wirtualnej i translator adresów sieciowych.

 image19

 

W kolejnym kroku należy wskazać interfejs sieciowy, który ma łączność z Internetem.

 image20

 

Nowo podłączani klienci muszą uzyskać adres IP z puli wolnych adresów dostępnych w naszej sieci czyli klient, który poprzez tunel VPN uzyskuje łączność z naszą siecią musi dostać adres IP zgodny z przyjętą adresacją naszej sieci. Na karcie Przypisywanie adresów IP, mamy możliwość wybrania sposobu przypisywania tych adresów. Mamy do wyboru dwie możliwości:

  • przyznawaniem adresów IP zajmie się serwer DHCP,
  • sami możemy określić pulę adresów.

 image21

 

Ja zdecydowałem się na zdefiniowanie puli adresów. Definicja dostępnych adresów sprowadza się do określenia początkowego i końcowego adresu IP. Pamiętaj, że jeśli decydujesz się na stworzenie puli adresów a w twojej sieci istnieje serwer DHCP, dobierz adresy tak by się ze sobą nie pokrywały. Adresy przyznawane przez DHCP a adresy z określonej puli nie powinny mieć części wspólnej.

 image22

 

Kolejnym pytaniem kreatora jest pytanie o sposób uwierzytelnienia, decydujemy czy serwer RRAS zajmuje się uwierzytelnieniem czy może ma zająć się tym serwer RADIUS (w skrócie osobny serwer na którym znajdują się informacje pozwalające uwierzytelnić się).

 image23

 

Po podaniu wszystkich informacji i po kliknięciu na Zakończ, serwer RRAS jest gotowy do pracy.

 image24

 

Podczas kończenia pracy kreatora możemy uzyskać taki o to komunikat:

 image25

 

Oznacza to że nie udało się otworzyć wszystkich portów w Zaporze systemu Windows odpowiedzialnych za obsługę usługi Routing i dostęp zdalny. Po takiej informacji nie pozostaje nam nic innego jak czynność tą wykonać ręcznie. W tym celu uruchamiamy Zaporę systemu Windows (tę standardową) i wybieramy z lewej strony Zezwalaj programowi lub funkcji na dostęp przez Zaporę systemu Windows. Z dostępnej listy odszukujemy Routing i dostęp zdalny i włączamy wyjątki w zaporze.

 image26

 

Serwer RRAS może obsługiwać klientów. Ale nie oznacza to końca naszej konfiguracji bo pozostaje nam określenie użytkowników, którzy mogą łączyć się z naszym serwerem.

Najprostszym (choć nie jedynym sposobem, o tym później) jest indywidualne określenie użytkowników, którzy mogą korzystać z połączenia VPN. W tym celu otwieramy przystawkę Użytkownicy i komputery usług Active Directory i wyszykujemy użytkownika, któremu chcemy dać prawo korzystania z połączenia VPN. Po wybraniu danego użytkownika, wybieramy Właściwości i przechodzimy na kartę Telefonowanie. Odszukujemy sekcję Uprawnienie dostępu do sieci i klikamy na Zezwalaj na dostęp. Od tej pory użytkownik wykorzystujący swoje poświadczenia (logowanie do domeny) będzie mógł łączyć się z serwerem RRAS.

 image27

 

Dodatkowe opcje, które możemy określić to przypisanie statyczne adresu IP dla danego użytkownika. Łączący się klient zawsze otrzyma stały przypisany tylko jemu adres IP. Przy przypisywaniu stałych adresów IP należy zwrócić uwagę by adresy te nie pokrywały się z adresami przyznawanymi przez serwer DHCP.

Zaznaczenie opcji Zastosuj trasy statyczne spowoduje dodanie tras stycznych do tablicy routingu łączącego się klienta. Opcja przydatna gdy np. chcemy dać dostęp do jakiegoś serwera lecz serwer ten znajduje się w innej podsieci.

Serwer został skonfigurowany tak by konkretnemu użytkownikowi dać możliwość skorzystania z tunelu VPN. Teraz przyszła kolej na konfigurację klienta.

Aby skonfigurować połączenie VPN, musimy włączyć Centrum sieci i udostępniania, do okna tego możemy dostać się poprzez Panel Sterowania lub poprzez ikonę połączenia sieciowego, znajdującą się w trayu.

 

 image28

 

Po uruchomieniu Centrum sieci i udostępniania, przechodzimy do skonfigurowania nowego połączenia.

 

image29

 

Naszym oczom pojawi się kreator nowego połączenia. Wybieramy opcję Połącz z miejscem pracy.

 image30

 

Jeśli mamy skonfigurowane więcej połączeń z siecią Internet możemy określić te połączenie, które będzie użyte do zestawienia tunelu VPN.

 image31

 

Na kolejnym ekranie określamy sposób łączenia do wyboru mamy połączenie za pośrednictwem Internetu lub modemu (połączenie wdzwaniane).

 image32

 

W moimi przypadku połączenie VPN będzie realizowane za pośrednictwem Internetu, więc by uzyskać połączenie trzeba podać adres serwera VPN (adres DNS lub adres IP). Mój serwer nie ma statycznego adresu IP więc by był zawsze dostępny pod jedną stałą nazwą została skonfigurowana usługa DDNS, wiążąca nazwę DNS (np. mojserwervpn.dyndns.org) z zmiennym adresem IP przyznawanym przez ISP. O usłudze DDNS więcej pisałem w artykule poświęconemu pulpitowi zdalnemu i usłudze WoL.

Inne opcje, które możemy skonfigurować na tym ekranie to:

      • użycie karty inteligentnej,
      • udostępnienie połączenia,
      • sama konfiguracja połączenia bez próby zestawienia tunelu VPN.

 image33

 

Po wpisaniu adresu serwera, przyszła kolej na podanie poświadczeń użytkownika, opcjonalnie możemy dodać nazwę domeny z którą się łączymy.

 image34

 

Po poprawnym podaniu wszystkich niezbędnych danych powinno udać nam się zestawić połączenie VPN.

 image35

 

Opisany powyżej sposób będzie korzystał z szyfrowania MPPE, które zabezpiecza dane w połączeniu PPTP między klientem a serwerem sieci VPN.

 image36

Protokoły wykorzystane do zbudowania połączenia zdradzi nam również przechwycony pakiet - komunikacja pomiędzy klientem a serwerem VPN.

 image37

 

By zapewnić większe bezpieczeństwo (silniejsze szyfrowanie) można zdecydować się na wykorzystanie protokołu IPSec. Protokół ten zapewnia uwierzytelnianie na poziomie komputera oraz szyfrowanie danych w połączeniach VPN korzystających z protokołu L2TP. Zabezpieczenia IPSec zostają wynegocjowane przed zestawieniem połączenia L2TP (komputer klient - serwer VPN). Negocjacja gwarantuje ochronę zarówno danych, jak i haseł. Użycie protokołu IPSec można wymusić poprzez użycie klucza wstępnego uwierzytelnienia (pre-shared key) lub gdy zdecydujemy się skorzystać z certyfikatów.

By zdefiniować wstępny klucz przechodzimy do właściwości Routingu i dostępu zdalnego.

 image38

 

Wybieramy kartę Zabezpieczenia, gdzie zaznaczamy Zezwalaj na niestandardowe zasady IPSec dla połączeń L2TP i definiujemy klucz wstępny.

 image39

 

Ten sam klucz musimy zdefiniować w właściwościach połączenia VPN klienta. Dlatego klikamy na Właściwości.

 image40

 

W kolejnym kroku przechodzimy na zakładkę Zabezpieczenia, gdzie po kliknięciu na Ustawienia zaawansowane (po uprzednim wybraniu z rozwijanej listy protokołu L2TP/IPSec) mamy możliwość wpisania klucza wstępnego (oczywiście wpisany klucz musi być zgodny z kluczem wpisanym na serwerze).

 image41

 

Opisany powyżej sposób z kluczem wstępnym będzie korzystał z protokołu IPSec (przy użyciu protokołu ESP), który zabezpiecza dane w połączeniu L2TP między klientem a serwerem sieci VPN.

 image42

 

Użyte protokoły możemy również zaobserwować gdy uda nam się przechwycić komunikację pomiędzy klientem a serwerem VPN.

 image43

 

I został nam do omówienia ostatni sposób a mianowicie ten oparty na protokole SSTP.

Połączenie VPN bazuje na certyfikatach a więc nasze czynności rozpoczynamy od uruchomienia Kreatora dodawania ról by móc dodać Usługi certyfikatów w usłudze Active Directory (AD CS, Active Directory Certificate Services).

W oknie wyborze usług ról, oprócz Urzędu certyfikacji dodajemy rolę Rejestracja w sieci Web dla urzędu certyfikacji (Certification Authority Web Enrollment), która pozwoli nam na komunikację z urzędem certyfikacji za pomocą przeglądarki, dlatego zaznaczenie usługi wymusza na nas instalację również Serwera sieci Web (IIS, Internet Information Services)

 image44

 

Na pytanie – Jaki urząd certyfikacji chcemy zainstalować? Wybieramy autonomiczny (standalone).

 image45

 

Przy określeniu typu urzędu certyfikacji decydujemy się na instalację głównego urzędu certyfikacji (Root CA).

 image46

 

Na ekranie konfiguracji klucza prywatnego wybieramy – Utwórz nowy klucz prywatny.

 image47

 

Na kolejnym ekranie decydujemy o dostawcy usługi kryptograficznej, określamy długość klucza a także wybieramy algorytm odpowiedzialny za wyznaczenie wartości skrótu. Jeżeli nie mamy jakiś wyraźnych preferencji decydujemy się na wartości domyślne.

 image48

 

Kolejny już krok to określenie nazwy urzędu certyfikacji.

 image49

 

Określamy okres ważności certyfikatu generowanego dla tego urzędu certyfikacji,

 image50

 

oraz lokalizację bazy danych certyfikatów.

 image51

 

Wszystkie opcje związane z instalacją usługi AD CD zostały zdefiniowane, przyszła pora na wybranie usług ról związanych z Serwerem sieci Web. Jeżeli nasz serwer WWW uruchamiany jest tylko na potrzeby obsługi żądań i wystawiania certyfikatów możemy zostawić domyślnie zaznaczone składniki.

 image52

 

Po określeniu składników serwera WWW nie pozostało nam nic innego jak potwierdzenie opcji instalacji. Klikamy na Zainstaluj.

 image53

 

Po poprawnym zainstalowaniu urzędu certyfikacji przechodzimy do przeglądarki by zażądać certyfikatu uwierzytelnienia serwera. W tym celu w polu adresu przeglądarki należ wpisać http://localhost/certsrv by połączyć się z urzędem certyfikacji. Na wyświetlonej stronie klikamy na Żądanie certyfikatu

 image54

 

i dalej zaawansowane żądanie certyfikatu

 image55

 

i dalej Utwórz i prześlij żądanie do tego urzędu certyfikacji.

 image56

 

W formularzu musimy wypełnić pole Name gdzie należy wpisać adres serwera z którym będziemy się łączyć celem ustanowienia tunelu VPN (w moim przypadku serwtest.firma.local). Wybieramy typ certyfikatu czyli Certyfikat uwierzytelniania serwera (Server Authentication Certificate) oraz zaznaczamy pole Oznacz klucze jako eksportowalne. Na końcu klikamy na Prześlij.

 image57

 

Żądanie certyfikatu zostało przesłane do serwera, czas by go wystawić. W tym celu uruchamiamy konsolę mmc i z menu Plik wybieramy Dodaj/Usuń przystawkę.

 image58

 

Z listy dostępnych przystawek (snap-in) odszukujemy Certification authority i po kliknięciu na Dodaj wybieramy komputer lokalny.

 image59

 

Z lewej strony odszukujemy kontener Żądania oczekujące (Pending Requests) i wybieramy certyfikat celem jego wystawienia.

 image60

 

Po wystawieniu certyfikatu przechodzimy z powrotem do okna przeglądarki by po połączeniu z serwerem urzędu certyfikacji pobrać wystawiony certyfikat. Klikamy na Pokaż stan oczekującego żądania certyfikatu.

 image61

 

Po kliknięciu powinna pojawić się nam strona z listą żądań certyfikatów, które możemy pobrać. Wybieramy odpowiedni certyfikat.

 image62

 

Następnie Zainstaluj ten certyfikat.

 image63

 

Przechodzimy do konsoli mmc i dodajemy przystawkę Certyfikaty ale certyfikaty związane z kontem użytkownika (My user account).

 image64

 

Ponownie dodajemy przystawkę Certyfikaty lecz tym razem wybieramy Konto komputera lokalnego (Computer account).

 image65

 

Przechodzimy do kontenera Certyfikaty – bieżący użytkownik, wybieramy Osobisty i dalej Certyfikaty. Odszukujemy certyfikat w przykładzie serwtest.firma.local i PPM z okna wybieramy Wszystkie zadania i Eksportuj

 image66

 

Uruchamia się Kreator eksportu certyfikatów. Klikamy Dalej.

 image67

 

Na pytanie - Czy chcesz wyeksportować klucz prywatny wraz z certyfikatem? odpowiadamy twierdząco.

 image68

 

W oknie Format pliku eksportu wybieramy Wymiana informacji osobistych – PKCS #12 (.PFX)

 image69

 

Zdecydowaliśmy się wyeksportować nasz klucz prywatny dlatego eksportowany certyfikat zabezpieczamy hasłem.

 image70

 

Określamy ścieżkę eksportu certyfikatu.

 image71

 

Ostatnim oknem jest podsumowanie procesu eksportu certyfikatu, klikamy Zakończ.

 image72

 

Powracamy do okna konsoli mmc i przechodzimy do kontenera Certyfikaty (Komputer lokalny) dalej Osobisty i Certyfikaty. Klikamy PPM na Certyfikaty, wybieramy Wszystkie zadania i Importuj.

 image73

 

Tym razem uruchamia się Kreator importu certyfikatów, klikamy Dalej.

 image74

 

Po kliknięciu na Przeglądaj odszukujemy certyfikat który przed chwilą wyeksportowaliśmy. W polu formatu pliku wybieramy Wymiana informacji osobistych (*.pfx, *.p12)

 image75

 

Klikamy Dalej.

 image76

 

Podajemy hasło chroniące klucz prywatny.

 image77

 

Magazyn certyfikatów pozostawiamy bez zmian.

 image78

 

Ostatnim oknem jest podsumowanie procesu importu certyfikatu, klikamy Zakończ.

 image79

 

I to jeśli chodzi o konfigurację serwera, oczywiście by można było utworzyć połączenie VPN muszą być zainstalowane Usługi routingu i dostępu zdalnego.

Przyszła kolej na konfigurację klienta. W oknie przeglądarki wpisujemy adres serwera urzędu certyfikacji. Na wyświetlonej stronie wybieramy Pobierz certyfikat urzędu certyfikacji, łańcuch certyfikatów lub listę CRL (Download a CA certificate, certificate chain, or CRL).

 image80

 

Następnie wybieramy certyfikat urzędu certyfikacji i klikamy Pobierz certyfikat urzędu certyfikacji.

 image81

 

Powinien nam wyświetlić się certyfikat, wybieramy Zainstaluj certyfikat.

 image82

 

Zostaje uruchomiony Kreator importu certyfikatów w którym to pozostawiamy domyślną opcję Automatycznie wybierz magazyn certyfikatów na podstawie typu certyfikatu.

 image83

 

Klikamy Zakończ.

 image84

 

Na komputerze klienta uruchamiamy konsolę mmc i dodajemy przystawkę Certyfikaty, Moje konto użytkownika.

 image85

 

Dodajemy dugą przystawkę Certyfikaty, lecz tym razem wybieramy Konto komputera (konto lokalne).

 image86

 

Nastepnie w kontenerze Certyfikaty – bieżący użytkownik odszukujemy gałąź Pośrednie urzędy certyfikacji (Intermediate Certification Authorities) i odnajdujemy certyfikat pobranego i zainstalowanego urzędu certyfikacji. Certyfikat kopiujemy.

 image87

 

Przechodzimy do kontenera Certyfikaty (Komputer lokalny) i odnajdujemy gałąź Zaufane główne urzędy certyfikacji (Trusted Root Certification Authorities)i wklejamy skopiowany certyfikat.

 image88

 

Po wykonaniu wszystkich powyższych operacji nie pozostaje nam nic innego jak konfiguracja połączenia VPN po stronie klienta. Konfigurację połączenia przeprowadzamy identycznie jak w przypadku połączenia PPTP z tą różnicą, że w Właściwościach połączenia na karcie Zabezpieczenia w sekcji Typ wirtualnej sieci prywatnej (VPN) wybieramy Protokół SSTP.

 image89

 

Aby zapewnić prawidłowość działania opisanych połączeń VPN trzeba zadbać o odpowiednie otwarcie portów w zaporze (firewall) a także bardzo często wykonać przekierowanie portów na routerze. Porty i użyte protokoły zależą od typu protokołu obsługującego tunel i tak:

      • Protokół Point-to-Point Tunneling Protocol (PPTP): port TCP 1723 (konserwacja tunelu PPTP od klienta PPTP do serwera PPTP.), IP 47 (przekazywanie tunelowanych danych PPTP od klienta PPTP do serwera PPTP),
      • Protokół Layer Two Tunneling Protocol z zabezpieczeniami protokołu internetowego (L2TP/IPSec): UDP 500 (ruch Internet Key Exchange (IKE)), UDP 1701 (ruch L2TP od klienta sieci VPN do serwera sieci VPN), UDP 4500 (przechodzenie translacji adresów sieciowych (NAT-T) protokołu IPSec),
      • Protokół Secure Sockets Layer (SSL): port TCP 443.

Na koniec jeszcze małą uwaga, jeśli chcemy sobie przećwiczyć całą procedurę w jakimś symulowanym środowisku czasem niezbędne jest wyedytowanie pliku hosts w którym to powiązujemy adres IP z adresem DNS. W tym przykładzie adres IP został powiązany z nazwą serwtest.firma.local Lokalizacja pliku to: %windir%\system32\drivers\etc\hosts

Wspomniałem, że istniej jeszcze inny sposób na danie możliwości wybranym użytkownikom na skorzystanie z połączenia VPN. O ile jak to miało miejsce powyżej (skorzystanie z karty Telefonowanie) sposób sprawdza się przy małej i stałej grupie użytkowników VPN, to gdy musimy zarządzać większą grupą i zachodzi ciągła rotacja osób, rozwiązanie to staje się mało efektywne. Dlatego w scenariuszu tym lepsze efekty daje wykorzystanie zasad grupy.

Pierwszy krok, który musimy wykonać to utworzenie grupy w tym przykładzie grupa będzie nosiła nazwę: uzytkownicyzdalni. Przynależność do grupy będzie dawało prawo do korzystania z połączenia VPN.

Następnie przechodzimy do roli Usługi zasad i dostępu sieciowego by odnaleźć węzeł Rejestrowanie i zasady dostępu zdalnego. Klikając PPM uruchamiamy serwer NPS.

 image90

 

Po uruchomieniu Serwera zasad sieciowych, przyszła kolej na utworzenie nowej zasady.

 image91

 

Na pierwszym ekranie, nadajemy nazwę, nowo tworzonej zasadzie i wybieramy typ serwera dostępu do sieci – Remote Access Server (Serwer dostępu zdalnego).

 image92

 

Przyszedł czas by określić warunki połączenia VPN. Musimy określić przynajmniej jeden warunek a dodanie kolejnych odbywa się poprzez kliknięcie na Dodaj.

 image93

 

Zależy nam by dostęp do serwera VPN mieli użytkownicy konkretnej grupy dlatego po kliknięciu na Dodaj wybieramy Grupy systemu Windows.

 image94

 

Określamy grupę.

 image95

 

Można określić wiele różnych warunków - ja zdecydowałem się jeszcze na wprowadzenie ograniczenia dotyczącego czasu w którym można skorzystać z połączenia VPN oraz określenia typu tunelu.

 image96

 

Kolejny ekran to określenie uprawnień dostępu, oczywiście udzielamy dostęp.

 image97

 

Na karcie Konfigurowanie metod uwierzytelnienia określamy obowiązujący sposób uwierzytelniania.

 image98

 

Kolejny krok to opcjonalne określenie ograniczeń.

 image99

 

Na karcie Konfigurowanie ustawień mamy możliwość ustalenia atrybutów usługi RADIUS a także określenie zasad routingu i dostępu zdalnego. Szczególnie ważna jest tu opcja Filtry IP, która pozwala nakładać ograniczenia lub zezwalać na ruch do konkretnej sieci, również w oparciu o wybrane protokoły.

 image100

 

Po wprowadzeniu wszystkich niezbędnych ustawień tworzonego połączenia VPN, kończymy pracę kreatora.

 image101

 

Nie pozostało nam nic innego jak dodać użytkowników do grupy uzytkownicyzdalni i sprawdzić czy uda nam się zestawić tunel VPN. W moim przykładzie dodałem użytkownika Beata Tryla do grupy uzytkownicyzdalni, nic więcej nie muszę wykonywać ponieważ by użytkownik mógł się połączyć na karcie Telefonowanie musi być zaznaczona opcja Kontroluj dostęp poprzez zasady sieci NPS a ustawienie te jest domyślnie przypisane każdemu nowo tworzonemu użytkownikowi.

 image102

 

Jak widać poniżej po przejściu na komputer klienta i po skonfigurowaniu nowego połączenia udało mi się zestawić połączenie VPN dla użytkownika Beata Tryla należącego do grupy uzytkownicyzdalni.

  image102

 

 Innym typem połączenia VPN jest połączenie typu lokacja-lokacja, połączenie te łączy ze sobą dwie odległe sieci np. sieć przedsiębiorstwa z siecią oddziału. W scenariuszu tym utworzymy właśnie takie połączenie, które połączy nam sieć przedsiębiorstwa (nazwijmy lokacje jako router_centrum) z siecią placówki (lokacja nazwana jako router_oddział).

Zacznijmy od konfiguracji lokacji router_centrum.

Przechodzimy do Menadżera serwera i odszukujemy Usługi zasad i dostępu sieciowego a następnie zaznaczamy usługę i wybieramy Konfiguruj i włącz routing i dostęp zdalny.

Z dostępnych opcji wybieramy Bezpieczne połączenie między dwiema sieciami prywatnymi.

 image104

 

Na pytanie – Czy chcesz używać połączeń z wybieraniem numeru na żądanie w celu uzyskiwania dostępu do sieci zdalnych? Odpowiadamy twierdząco.

 image105

 

Podobnie jak było w przypadku konfiguracji dostępu zdalnego musimy zdecydować o sposobie przypisywania adresów IP, jeśli jest uruchomiony serwer DHCP możemy zdecydować się na automatyczne przypisywanie adresów IP klientom zdalnym lub sami określamy pulę dostępnych adresów. Pamiętać należy tylko że w razie posiadania serwera DHCP i zdecydowaniu się na ręczny dobór adresów IP, zakres należy dobrać tak by nie pokrywał się on z zakresem puli serwera DHCP. W przeciwnym wypadku narażamy się na możliwość powielenia adresu IP w naszej sieci.

 image106

 

Ja zdecydowałem się adresy przyznać samemu, więc określam pulę dostępnych adresów IP.

 image107

 

Po ustaleniu wszystkich opcji Kreator instalacji serwera routingu i dostępu zdalnego kończy działanie.

 image108

 

Automatycznie uruchamia się kolejny kreator – Kreator interfejsu wybierania numeru na żądanie. Klikamy Dalej.

 image109

 

Wpisujemy nazwę interfejsu, najczęściej jest to nazwa lokalizacji zdalnej. Konfigurujemy lokalizacje router_centrum a chcemy uzyskać połączenie z lokalizacją zdalną router_oddział więc wpisaną nazwą interfejsu będzie router_oddział.

 image110

 

Określamy typ połączenia – Połącz, używając wirtualnej sieci prywatnej (VPN)

 image111

 

Wybieramy typ wirtualnej sieci prywatnej.

 image112

 

Adres komputera zdalnego. Jeśli adresy IP przyznawane przez ISP są zmienne, możemy zdecydować się na skorzystanie z usługi DDNS celem powiązania na stałe adresu DNS z adresem IP.

 image113

 

Zaznaczamy opcje Roześlij pakiety IP po interfejsie a także Dodaj konto użytkownika, aby router zdalny mógł wybrać numer tego komputera. Zaznaczenie tej drugiej opcji spowoduje utworzenie konta które będzie wykorzystywane do uwierzytelnienia się w lokacji router_centrum.

 image114

 

Jeśli istnieje taka potrzeba możemy określić trasy statyczne do sieci zdalnych. Tak aby możliwa była komunikacja z podsieciami.

 image115

 

Tworzymy konto użytkownika i hasło jakie będzie używane w trakcie zestawiania połączenia. Te poświadczenia będą sprawdzane gdy router_oddział będzie chciał się połączyć z routerem_centrum.

 image116

 

Kolejnym krokiem jest utworzenie konta router_centrum, poświadczenia te będą używane gdy router_centrum będzie nawiązywał połączenie z router_oddział.

 image117

 

Kreator kończy działanie.

 image118

 

Przechodzimy do lokalizacji router_oddział, proces jest podobny z małymi wyjątkami, te wyjątki są opisane poniżej.

Przy pytaniu o nazwę interfejsu, podajemy nazwę router_centrum (nazwa lokalizacji zdalnej).

 image119

 

Oczywiście również musimy podać adres lokalizacji zdalnej.

 

image120 

Podajemy poświadczenia lokalizacji zdalnej, dane te będą sprawdzane w sytuacji w której połączenie będzie nawiązywane od strony routera_centrum.

 image121

 

I ostatnia opcja, tworzymy konto router_oddział wraz z hasłem. Podane tu informacje będą weryfikowane podczas łączenia z routerem_centrum.

 image122

 

Przeszliśmy przez cały proces konfiguracji, trochę to może zagmatwane (nie ma to jak fachowe określenie) ale chodzi o to aby po obu stronach istniały konta strony przeciwnej. Od tej pory powinna być możliwa komunikacja pomiędzy lokacjami.

Połączenie możemy wykonać wybierając z gałęzi Interfejsy sieciowe interesujący nas interfejs i dalej PPM i klikamy na Połącz.

 image123

 

Generalnie to by było na tyle, poniżej luźne myśli i problemy na jakie możemy się natknąć podczas konfiguracji połączeń VPN.

Po poprawnym zainstalowaniu i skonfigurowaniu serwera RRAS, system zasad sieciowych (NPS, Network Policy Server) domyślnie będzie blokował wszelkie próby dostępu do serwera RRAS. Aby zmienić tę zasadę, otwórz gałąź Routing i dostęp zdalny, a następnie PPM na Rejestrowanie i zasady dostępu zdalnego i Uruchom serwer NPS.

 image124

 

Po wybraniu Zasady sieciowe, otwórz zasadę Połączenia z serwerem usługi routingu i dostępu zdalnego firmy Microsoft (Connections to Microsoft Routing and Remote Access server) i na karcie Ogólne, zaznacz Udziel dostępu; udziel dostępu, jeśli żądanie połączenia jest zgodne z tą zasadą.

 image125

 

Po zainstalowaniu serwera RRAS może również nastąpić odmowa dostępu do usług sieciowych zainstalowanych/skonfigurowanych wcześniej czyli możemy np. stracić możliwość połączenia z pulpitem zdalnym czy serwerem FTP. W szczególności dotyczy to usług, które są dostępne od strony Internetu (z tego kierunku jest nawiązywane połączenie). Dlatego by rozwiązać ten problem, przechodzimy do podgałęzi Translator adresów sieciowych, dostępnej po rozwinięciu gałęzi IPv4. W właściwościach gałęzi na karcie Usługi i porty mamy możliwość wybrania usług uruchomionych w sieci prywatnej do których można przekierować użytkowników internetowych.

 image126

 


 

 

Bibliografia:

  1. http://technet.microsoft.com/pl-pl/library/cc737500%28v=ws.10%29.aspx
  2. http://technet.microsoft.com/pl-pl/library/cc771298%28v=ws.10%29.aspx
  3. http://wiedza.citi-lab.pl/?q=node/30
  4. http://www.windowsecurity.com/articles-tutorials/authentication_and_encryption/Configuring-Windows-Server-2008-Remote-Access-SSL-VPN-Server-Part1.html
  5. http://www.windowsecurity.com/articles-tutorials/authentication_and_encryption/Configuring-Windows-Server-2008-Remote-Access-SSL-VPN-Server-Part2.html
  6. http://www.windowsecurity.com/articles-tutorials/authentication_and_encryption/Configuring-Windows-Server-2008-Remote-Access-SSL-VPN-Server-Part3.html
  7. http://jesin.tk/how-to-setup-a-vpn-server-in-windows-server-2008/
  8. http://geekyprojects.com/networking/how-to-setup-a-vpn-server-in-windows-server-2008-r2/
  9. http://technet.microsoft.com/en-us/library/cc731352%28v=ws.10%29.aspx
  10. http://computer.howstuffworks.com/vpn.htm
Ostatnio zmieniany niedziela, 13 grudzień 2015 18:42
Etykiety
  • Serwer
  • VPN

Artykuły powiązane

  • Co w sieci siedzi. Protokół DNS.
  • Windows Server 2012. Poradnik administratora. We dwoje raźniej.
  • Jest we mnie MOC. Konfiguracja interfejsów sieciowych oraz dostępu zdalnego z wykorzystaniem PowerShella.
  • Atak na warstwę 2 modelu ISO/OSI - preludium
  • Windows Server 2012 - Ochrona dostępu do sieci z wykorzystaniem 802.1X
Więcej w tej kategorii: Praca z polisami GPO. Słów kilka o obiektach zasad grup. »

Dodaj komentarz


Kod antyspamowy
Odśwież

Wyślij
Skasuj

Komentarze  

# PreFiX 2018-02-04 15:06
Sprawa z tym komunikatem się wyjaśniła, okazało się że nie były włączone odpowiednie serwisy. Po doprowadzeniu do stanu domyślnego usług na serwerze komunikat znikł.
Cytować
# pikolo 2018-01-18 16:45
Cytuję prefix:
a co zrobić jeśli przy próbie notworzenia zakładki
Telefonowanie dostaję błąd "Nie można załadować profilu telefonowania dla tego użytkownika. Przyczyna :Nie można odlaeźć ścieżki sieciowej". żeby było ciekawiej to komunikat jest na każdym koncie, usługa działa bo wcześniej zostało to skonfigurowane. Próbuje aktualnie zmienić ustawienia dostępu i nie mam jak. Jakieś sugestie ? ( na google nie znalazlem odpowiedzi )

musisz mi dać chwilkę poszukam rozwiązania choć powiem szczerze, że z tego typu problemem się jeszcze nie spotkałem. Napisz proszę o jaką wersję Windows Server chodzi?
Cytować
# prefix 2018-01-18 10:28
a co zrobić jeśli przy próbie notworzenia zakładki
Telefonowanie dostaję błąd "Nie można załadować profilu telefonowania dla tego użytkownika. Przyczyna :Nie można odlaeźć ścieżki sieciowej". żeby było ciekawiej to komunikat jest na każdym koncie, usługa działa bo wcześniej zostało to skonfigurowane. Próbuje aktualnie zmienić ustawienia dostępu i nie mam jak. Jakieś sugestie ? ( na google nie znalazlem odpowiedzi )
Cytować
+2 # Guest 2010-11-23 15:52
fajna strona pomogła mi dzięki
Cytować
Odśwież komentarze
JComments
Powrót na górę

Wujek dobra rada

Szybkie pytania i szybkie odpowiedzi czyli garść porad do wykorzystania w codziennej pracy z komputerem.

  • Jak utworzyć RAMdysk w systemie Windows? Jak utworzyć RAMdysk w systemie Windows?

    RAMdysk jest wydzieloną częścią pamięci, która w systemie operacyjnym jest widziana jak kolejny dysk/partycja. Praca z tak wydzielona przestrzenią pamięci odbywa się jak z normalnym dyskiem. Dostępne są wszystkie operacje związane z plikami.  

    Napisano poniedziałek, 04 grudzień 2017 21:44
  • Bezpieczny pendrive Bezpieczny pendrive

    Jak zabezpieczyć nasze dane w sytuacji utraty pendiva/karty pamięci.

    Napisano czwartek, 29 czerwiec 2017 12:00
  • Wyszukiwanie plików w systemie Windows Wyszukiwanie plików w systemie Windows

    Krótki opis jak wyszukać pliki przy wykorzystaniu Eksploratora plików.

    Napisano sobota, 17 czerwiec 2017 20:31
  • Diagnostyka pamięci RAM Diagnostyka pamięci RAM

    Jak zdiagnozować uszkodzenie modułu pamięci RAM

    Napisano wtorek, 16 maj 2017 12:39
  • Konwersja maszyny fizycznej na wirtualną (odsłona druga). Konwersja maszyny fizycznej na wirtualną (odsłona druga).

    W poprzednim wpisie (Konwersja maszyny fizycznej na wirtualną) opisałem konwersję maszyny fizycznej do wirtualnej, efektem Naszych działań było przeniesienie systemu działającego na fizycznym hoście do środowiska opartego o oprogramowanie Vmware. Zaś w tym wpisie wykonamy podobne działanie lecz efektem będzie uzyskanie maszyny działającej w VirtualBox.

    Napisano czwartek, 04 maj 2017 11:53
Czytaj więcej...

Najczęściej komentowane

  • Jak wyznaczyć broadcast, adres sieci i liczbę hostów? (+19)
  • Instalacja Windows XP/Vista/7 z pendriv'a. (+12)
  • Dostęp zdalny oraz prawa użytkownika w urządzeniach CISCO (+12)
  • Co w sieci siedzi. Protokół DNS. (+10)
  • Windows i Linux w jednej stali sieci. (+8)

Najnowsze komentarze

  • Dzak 07.09.2020 17:32
    Witam. Nie rozumiem dlaczego zamiast podziału na podsieci nie możemy po prostu ustanowić 7 lokalnych ...
     
  • fgm 03.09.2020 06:47
    jak nie pamietam daty rozszezenia i dokladnej nazwy tylko podobna to jak wyszukac taki plik lub wiele ...
     
  • Andrzej 13.08.2020 07:26
    Usunięcie x z /etc/passwd uważam za niebezpieczne rozwiązanie. Ponieważ po takiej operacji i ustawieniu ...
     
  • Andrzej 13.08.2020 07:15
    To zdanie Utworzenie użytkownika w ten sposób powoduje wyłączenie konta poprzez wstawienie znaku x w ...
     
  • goodbye world 01.07.2020 10:20
    Będą jakieś nowe wpisy?

Ostatnio komentowane

  • Słów kilka o adresacji sieci. (3)
  • Wyszukiwanie plików w systemie Windows (1)
  • Dogadać się z Linuksem. Zarządzanie kontem użytkownika. (3)
  • Yubico czyli jak chronić dostęp do naszych kont (6)
  • Atak na warstwę 2 modelu ISO/OSI - preludium (4)

Popularne tagi

80211 Active Directory arkusz kalkulacyjny CISCO cmd DHCP domena EXCEL filtrowanie formuła FTP funkcja GPO grupy jednostka organizacyjna JEŻELI kontroler LibreOffice Linux MSOffice panel sterowania PowerShell przełącznik rejestr Router Serwer SUMA switch TCP trunk Ubuntu UDP usługi VirtualBox VLAN warstwa 2 warstwa 3 warstwa sieciowa warstwa łącza danych wifi Windows wirtualizacja WORD zakres ŚREDNIA

UWAGA! Ten serwis używa cookies

Brak zmiany ustawienia przeglądarki oznacza zgodę na to.

Zrozumiałem

Created by: clivio.pl

Copyright © Created by: 2022 All rights reserved. Custom Design by Youjoomla.com
Home