Como criar um servidor VPN no Windows Server 2008 R2

Publicado em:

04/01/2013

Fonte / Referência: http://suportederede.wordpress.com

 

ssl-vpn

 

Hoje vou detalhar o procedimento para configuração de um servidor que terá a função de VPN Server, além da configuração do Client para conectar ao mesmo.

De modo geral, a necessidade em ter as informações da empresa em qualquer lugar que esteja, já era forte e está se tornando mais ainda com esse aumento significativo em vendas de notebooks / tablets / smartphones.

Para esse cenário, vamos considerar que temos um ambiente de domínio com Windows 2008 R2 instalado nos respectivos servidores e um dos diretores da companhia em uma viagem tem a necessidade de acessar os seus arquivos em seus compartilhamentos dentro da rede, esse diretor provê de um notebook com Windows 7 e Internet.

Antes de começar, é recomendável que o servidor tenha 2 interfaces de rede (uma para comunicação com internet e outra para rede local), é possível que seja feito através de uma única interface, porém não é o objetivo desse artigo.

1- Vamos abrir o Server Manager, botão direito em “Roles” e clicar em “Add Roles“. Vamos selecionar a opção “Network Policy and Access Services” e clicar em Next.

2- Será apresentado um overview sobre a função a ser instalada, clique em Next.

3- Em “Select Role Services” selecione as opções “Network Policy Server” e “Routing and Remote Access Services” repare que na segunda a ser clicado a opções filhos serão marcadas também, clique em Next.

4- Clique em “Install” para iniciar o processo de instalação.

5- Verifique os resultados em clique em “Close“.

6- Com a role já instalada, através do próprio Server Manager expanda: “Roles” e depois “Network Policy and Access Services”, clique com o botão direito em “Routing and Remote Access” e clique em “Configure and Enable Routing and Remote Access“.

7- O assistente será iniciado, clique em Next.

8- Em “Configuration” podemos escolher o que configurar, para esse ambiente vamos marcar a opção “Virtual Private Network (VPN) access and NAT” e depois em Next.

9- Como não iremos dispor de um modem e linha direta, não vamos marcar a opção “Dial Up”, marque somente “VPN” e clique em Next.

10- Agora devemos selecionar a interface que se conecta a internet, depois clicar em Next.

11- Em “IP Address Assignment” vamos definir se os IPs para os clients provenientes de conexão VPN irão receber o endereçamento através de um servidor DHCP (que deve estar instalado em algum servidor do domínio), ou através de um range a ser definido. Como nós temos um servidor já instalado no domínio, nada mais correto que usar o mesmo para a atribuição, por isso marcamos a opção “Automatically” e depois em Next.

12- Na tela seguinte é perguntado se quer definir e configurar o servidor RADIUS, a princípio não, pois ele já faz uma pré configuração, marque a primeira opção e depois em Next.

13- Veja o resumo das configurações definidas anteriormente e depois clique em “Finish“.

14- Será apresentado um warning, informando que foi criado uma política padrão de conexões no NPS, mensagem normal, clique em “OK” para finalizar essa parte.

15- Agora vamos criar uma nova política, contendo as regras necessárias para o acesso via VPN. Ainda no Server Manager navegue até “NPS” em seguida “Policies” e depois clique com o botão direito em “Network Policies“. Agora clique em “New” para a nova política.

16- O assistente será iniciado, vamos selecionar um nome para ele “REMOTE ACCESS” em Type of network access server marque a opção “Remote Access Server (VPN-Dial up)“. Clique em Next.

17- Em “Specify Conditions” podemos selecionar alguns parâmetros como por exemplo: Somente usuários de um determinado grupo / determinado sistema operacional /determinada localização / etc … Somente para exemplificar tenho um grupo criado no Active Directory chamado “REMOTE ACCESS”, dentro desse grupo tenho todos os usuários que terão permissão para o acesso remoto. (Inclusive o gerente conforme exemplificado no início do artigo). Selecione “User Groups” e clique em Add.

18- Será aberta uma caixa para que seja digitado o nome, selecionei o mesmo e confirmo em “OK“.

19- Será apresentada todas as condições configuradas, nesse caso usei somente a de “User Groups” clico em Next para o próximo passo.

20- Devemos definir qual é a permissão de acesso para essa regra, como queremos permitir o acesso clicamos em “Access granted” e depois em “Next“.

21- Precisamos configurar os métodos de autenticação, em EAP Types clique em Add e escolha “EAP-MSCHAP v2” e confirme, em Less secure authentication methods marque também a opção MS-CHAP-v2. É possível marcar os outros métodos porém comprometerá na segurança.

22- Em “Configure Constraints” podemos definir alguns parâmetros como: Desconectar após determinado tempo / desconectar após determinado tempo de inatividade / Restrição de data / hora. Para o cenário não criaremos nenhum parâmetro.

23- Agora em “Configure Settings” temos algumas outras opções disponíveis para configuração, a princípio vamos apenas na opção “Encryption” e desmarcar as opções “Basic / No encryption” para termos um pouco mais de segurança em nossa conexão.

24- Temos agora um review das configurações feitas anteriormente, caso esteja correto, só clicar em Finish.

25- Já temos a regra apresentada e habilitada em nosso NPS. Com as configurações acima o servidor já está preparado para fornecer conexão através da VPN.

OBSERVAÇÃO: Deve se certificar se a porta tcp 1723 (PPTP) está aberta pois é necessária para a conexão, no servidor configurado estará tudo OK pois a configuração é feita automaticamente, verifique firewall de rede / roteadores.

26- Vamos agora simular a conexão entre o Client e o Server, a princípio nesse Client não foi feita nenhuma configuração, o mesmo dispõe apenas de internet. Vou tentar acessar o meu servidor \\fs01.suportederede.local

27- O mesmo não será localizado.

28- O primeiro passo é criar a conexão VPN, para isso devemos abrir o “Network and Sharing Center“.

29- Com ele aberto clique em “Set up a new connection or network“.

30- Marque a opção “Connect to workplace (Dial up or VPN connection)“.

31- Marque a opção “Use my Internet connection (VPN)” pois você usará a internet para se conectar ao servidor a distância.

32- Em “Internet Address” coloque o nome do caminho (caso seja divulgado na internet) ou simplesmente o endereço de IP do servidor. Em “Destination name” coloque um nome comum para identificação.

33- Agora precisamos definir as credenciais do usuário.

34- Após clicar em connect temos o status de conectado.

35- Se expandirmos as nossas conexões, verificamos que a “Conexão VPN” definida está conectada normalmente, clicando com o botão direito sobre a conexão e indo em “Properties” na aba “Details” temos os detalhes da conexão.

36- Vamos agora tentar acessar o nosso servidor, assim como tentamos anteriormente \\fs01.suportederede.local E olhem lá conseguimos o acesso aos compartilhamentos.

Espero que tenham gostado, passei aqui uma forma geral de implantar um servidor VPN, porém há possibilidades de melhorar a segurança, como por exemplo uso de smart cards. Há como melhorar o modo de criação das conexões, usando o CMAK por exemplo, entre outras.

Porém isso ficará para um outro dia

 

Uma resposta em “Como criar um servidor VPN no Windows Server 2008 R2

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s