Como criar um servidor VPN no Windows Server 2008 R2

Publicado em:

04/01/2013

Fonte / Referência: http://suportederede.wordpress.com

 

ssl-vpn

 

Hoje vou detalhar o procedimento para configuração de um servidor que terá a função de VPN Server, além da configuração do Client para conectar ao mesmo.

De modo geral, a necessidade em ter as informações da empresa em qualquer lugar que esteja, já era forte e está se tornando mais ainda com esse aumento significativo em vendas de notebooks / tablets / smartphones.

Para esse cenário, vamos considerar que temos um ambiente de domínio com Windows 2008 R2 instalado nos respectivos servidores e um dos diretores da companhia em uma viagem tem a necessidade de acessar os seus arquivos em seus compartilhamentos dentro da rede, esse diretor provê de um notebook com Windows 7 e Internet.

Antes de começar, é recomendável que o servidor tenha 2 interfaces de rede (uma para comunicação com internet e outra para rede local), é possível que seja feito através de uma única interface, porém não é o objetivo desse artigo.

1- Vamos abrir o Server Manager, botão direito em “Roles” e clicar em “Add Roles“. Vamos selecionar a opção “Network Policy and Access Services” e clicar em Next.

2- Será apresentado um overview sobre a função a ser instalada, clique em Next.

3- Em “Select Role Services” selecione as opções “Network Policy Server” e “Routing and Remote Access Services” repare que na segunda a ser clicado a opções filhos serão marcadas também, clique em Next.

4- Clique em “Install” para iniciar o processo de instalação.

5- Verifique os resultados em clique em “Close“.

6- Com a role já instalada, através do próprio Server Manager expanda: “Roles” e depois “Network Policy and Access Services”, clique com o botão direito em “Routing and Remote Access” e clique em “Configure and Enable Routing and Remote Access“.

7- O assistente será iniciado, clique em Next.

8- Em “Configuration” podemos escolher o que configurar, para esse ambiente vamos marcar a opção “Virtual Private Network (VPN) access and NAT” e depois em Next.

9- Como não iremos dispor de um modem e linha direta, não vamos marcar a opção “Dial Up”, marque somente “VPN” e clique em Next.

10- Agora devemos selecionar a interface que se conecta a internet, depois clicar em Next.

11- Em “IP Address Assignment” vamos definir se os IPs para os clients provenientes de conexão VPN irão receber o endereçamento através de um servidor DHCP (que deve estar instalado em algum servidor do domínio), ou através de um range a ser definido. Como nós temos um servidor já instalado no domínio, nada mais correto que usar o mesmo para a atribuição, por isso marcamos a opção “Automatically” e depois em Next.

12- Na tela seguinte é perguntado se quer definir e configurar o servidor RADIUS, a princípio não, pois ele já faz uma pré configuração, marque a primeira opção e depois em Next.

13- Veja o resumo das configurações definidas anteriormente e depois clique em “Finish“.

14- Será apresentado um warning, informando que foi criado uma política padrão de conexões no NPS, mensagem normal, clique em “OK” para finalizar essa parte.

15- Agora vamos criar uma nova política, contendo as regras necessárias para o acesso via VPN. Ainda no Server Manager navegue até “NPS” em seguida “Policies” e depois clique com o botão direito em “Network Policies“. Agora clique em “New” para a nova política.

16- O assistente será iniciado, vamos selecionar um nome para ele “REMOTE ACCESS” em Type of network access server marque a opção “Remote Access Server (VPN-Dial up)“. Clique em Next.

17- Em “Specify Conditions” podemos selecionar alguns parâmetros como por exemplo: Somente usuários de um determinado grupo / determinado sistema operacional /determinada localização / etc … Somente para exemplificar tenho um grupo criado no Active Directory chamado “REMOTE ACCESS”, dentro desse grupo tenho todos os usuários que terão permissão para o acesso remoto. (Inclusive o gerente conforme exemplificado no início do artigo). Selecione “User Groups” e clique em Add.

18- Será aberta uma caixa para que seja digitado o nome, selecionei o mesmo e confirmo em “OK“.

19- Será apresentada todas as condições configuradas, nesse caso usei somente a de “User Groups” clico em Next para o próximo passo.

20- Devemos definir qual é a permissão de acesso para essa regra, como queremos permitir o acesso clicamos em “Access granted” e depois em “Next“.

21- Precisamos configurar os métodos de autenticação, em EAP Types clique em Add e escolha “EAP-MSCHAP v2” e confirme, em Less secure authentication methods marque também a opção MS-CHAP-v2. É possível marcar os outros métodos porém comprometerá na segurança.

22- Em “Configure Constraints” podemos definir alguns parâmetros como: Desconectar após determinado tempo / desconectar após determinado tempo de inatividade / Restrição de data / hora. Para o cenário não criaremos nenhum parâmetro.

23- Agora em “Configure Settings” temos algumas outras opções disponíveis para configuração, a princípio vamos apenas na opção “Encryption” e desmarcar as opções “Basic / No encryption” para termos um pouco mais de segurança em nossa conexão.

24- Temos agora um review das configurações feitas anteriormente, caso esteja correto, só clicar em Finish.

25- Já temos a regra apresentada e habilitada em nosso NPS. Com as configurações acima o servidor já está preparado para fornecer conexão através da VPN.

OBSERVAÇÃO: Deve se certificar se a porta tcp 1723 (PPTP) está aberta pois é necessária para a conexão, no servidor configurado estará tudo OK pois a configuração é feita automaticamente, verifique firewall de rede / roteadores.

26- Vamos agora simular a conexão entre o Client e o Server, a princípio nesse Client não foi feita nenhuma configuração, o mesmo dispõe apenas de internet. Vou tentar acessar o meu servidor \\fs01.suportederede.local

27- O mesmo não será localizado.

28- O primeiro passo é criar a conexão VPN, para isso devemos abrir o “Network and Sharing Center“.

29- Com ele aberto clique em “Set up a new connection or network“.

30- Marque a opção “Connect to workplace (Dial up or VPN connection)“.

31- Marque a opção “Use my Internet connection (VPN)” pois você usará a internet para se conectar ao servidor a distância.

32- Em “Internet Address” coloque o nome do caminho (caso seja divulgado na internet) ou simplesmente o endereço de IP do servidor. Em “Destination name” coloque um nome comum para identificação.

33- Agora precisamos definir as credenciais do usuário.

34- Após clicar em connect temos o status de conectado.

35- Se expandirmos as nossas conexões, verificamos que a “Conexão VPN” definida está conectada normalmente, clicando com o botão direito sobre a conexão e indo em “Properties” na aba “Details” temos os detalhes da conexão.

36- Vamos agora tentar acessar o nosso servidor, assim como tentamos anteriormente \\fs01.suportederede.local E olhem lá conseguimos o acesso aos compartilhamentos.

Espero que tenham gostado, passei aqui uma forma geral de implantar um servidor VPN, porém há possibilidades de melhorar a segurança, como por exemplo uso de smart cards. Há como melhorar o modo de criação das conexões, usando o CMAK por exemplo, entre outras.

Porém isso ficará para um outro dia

 

Anúncios

Introdução ao Servidor de Diretiva de Rede

 

Publicado em:
06/10/2011

Fonte: http://www.winsec.org

 O Servidor de Diretiva de Rede ou Network Policy Server (NPS), permite você criar diretivas de integridade de acesso à rede e também podendo usar o NPS como Proxy RADIUS para encaminhar requisições para outros servidores NPS.

Com o NPS você gerencia centralmente as autenticações, autorizações e a integridade dos clientes através de três cenários:

 

Servidor Radius: Neste cenário, o NPS é o ponto de acesso para autenticação, autorização e accounting (auditoria) para wireless, switchs, e acesso remoto como Dial-UP e VPN. Você pode configurar diretivas de rede onde o NPS usa para autorizar e registrar eventos (logs) de acesso.

Servidor de Diretivas para Proteção contra Acesso a Rede ou Network Access Protection (NAP): Neste cenário, o NPS ajuda verifica o estado de integridade dos clientes que desejam conectar-se à rede. Você pode configurar diversas diretivas de NAP no NPS como a Validação da Integridade ou System Health Validators (SHVs), Diretivas de Integridade ou Health Policy e Servidores de Remediação ou Remediation Server para impor aos computadores para que estejam em conformidade com a diretiva de integridade.

 

Proxy Radius: Neste cenário, o NPS atua como Proxy RADIUS, onde o NPS encaminha as requisições para um grupo de servidores RADIUS, podendo também encaminhar dados de auditoria ou eventos

Você pode configurar o NPS de várias formas. Por exemplo, você pode configurar o servidor de NPS para atuar como servidor de diretiva de NAP, e Proxy RADIUS para encaminhar certas requisições para um grupo de servidores RADIUS específico isso para autenticar e autorizar computadores clientes em outro domínio. 

Para configurar o NPS, você pode configurar através de duas maneiras: Standard Configuration ou Advanced Configuration, isso na console do NPS conforme abaixo:

 

 

 

Standard Configuration

Com o Standard Configuration, o Assistente irá ajudar a configurar o NPS conforme o cenário abaixo:

– NAP policy server
– RADIUS server for dial-up or VPN connections
– RADIUS server for 802.1X wireless or wired (cabeado) connections

Para configurar o NPS usando o Assistente, na console do NPS, você deve selecionar um dos cenários, conforme citado acima e depois clicar no botão “Configure”.

 

Advanced Configuration

Quando você usa o Advanced Configuration, a configuração é totalmente individualmente cada cenário do NPS e para configurar, no painel de detalhes do Getting Started você deve expandir o Advanced Configuration.

 Links relacionados

 http://www.microsoft.com/windowsserver2008/default.mspx

Tire suas dúvidas no site abaixo. Muitos profissionais qualificados tentarão lhe ajudar da melhor forma possível

http://forums.microsoft.com/technet-br

Espero ter ajudado

[  ]’s

Implementando NAT com RRAS no Windows Server 2008

Publicado em:
06/10/2011

Fonte: http://www.itcentral.com.br

 

Neste artigo iremos implementar um servidor NAT (Network Address Translation) que tem a função de compartilhar uma conexão de internet com uma rede interna.

O papel de um servidor NAT é fazer a conversão dos tráfegos entre a rede interna e a rede pública, ou seja, quando uma estação da sua rede interna solicitar um ip da internet ele irá gentilmente pedir para o seu servidor NAT que irá se incumbir de fazer a conversão deste tráfego. Este recurso pode ser usado também com maquinas virtuais, para “economizar IP” em sua rede.

 

Cenário NAT:

 

 

Implementando NAT no RRAS:

Antes de tudo o Network Policy and Access Service (que a partir de agora irei me referir somente como NPAS) já deve está implementado como vimos em um artigo anterior.

 

Para a configuração do NAT o servidor deve possuir duas placas de rede, uma que irá fazer a conexão externa para a internet e outra que deverá estar conectada e configurada com a sua rede interna como no cenário acima.

 

Com o cenário em ordem você deve abrir o Server Manager, expandir o nó Role em seguida expandir o nó NPAS, então você terá acesso à configuração no RRAS (Routing and Remote Access Server).

 

Clique com o botão direito sobre RRAS e escolha a opção Configure and Enable Routing and Remote Access, em seguida inicie o Setup Wizard.

 

 

Figura 1 – Server Manager acesso ao RRAS para configuração NAT

 

O escopo deste artigo é a implementação de um servidor NAT, então inicie o wizard de configuração e escolha a opção Network address translation (NAT).

 

 

Figura 2 – Escolhendo a opção NATno RRAS Setup Wizard

 

Então você irá definir as conexões de rede, escolha a primeira opção e determine qual das placas de rede é a sua interface publica, ou seja, a sua conexão com a internet.

 

 

Figura 3 – Determinando interface pública

 

Finalize o RRAS Setup Wizard e a sua conexão NAT já está definida, agora conecte uma estação da sua rede e faça o teste!

 Se a configuração foi bem sucedida, acesso o Server Manager, expanda o nó do RRAS e poderá visualizar os pacotes trafegando na sua rede. Esta dica é muito interessante para fazer troubleshooting da sua rede também.

 

 

Figura 4 – Utilizando o snap-in Server Manager para visualizar o tráfego da rede

 

Dica:

Não se esqueça que o servidor NAT conforme o cenário exposto deve ser o gateway da sua rede. Então configurar um servidor DHCP ou definir os IPs da sua estação, insira o número IP do servidor NAT como gateway padrão.

 

Conclusão:

Neste artigo você aprendeu a implementar de forma básica um servidor NAT com Windows Server 2008 para compartilhar a internet com sua rede interna.

 

[  ]’s

Implementando RRAS no Windows Server 2008

Publicado em:
06/10/2011

Fonte: http://www.itcentral.com.br

Neste artigo iremos tratar da instalação do RRAS no Windows Server 2008. A implementação no novo sistema operacional mudou um pouco e tenho visto em alguns fóruns que vários técnicos tem tido dúvidas a respeito de como fazê-lo. 

Tecnologia envolvida:

Microsoft Windows Server 2008

Implementando o Network Policy and Access Services:

Vale lembrar que com o novo conceito de gerenciamento do Windows Server 2008, a instalação do RRAS também mudou, na verdade o RRAS passou a fazer parte de um dos papéis do servidor, agora para a implementação dele é preciso acessar o Server Manager. Ao iniciar o snap-in Server Manager selecione o nó Roles e na tela central vá a Add Roles.

Figura 1 – Abrindo o Server Manager

Quando clicar sobre Add Roles, a tela Add Roles Wizard abrirá, clique em Next para começar a implementação.

Nesta etapa você deve escolher o papel do servidor, selecione Network Policy and Access Services (NPS suporta várias soluções de conectividade, entre elas está o RRAS – Routing and Remote Access Services).

Figura 2 – Selecionando o papel do servidor (Network Policy and Access Services

Agora que já escolheu o papel do servidor, é preciso escolher os serviços atrelados a ele. Neste caso iremos implementar os dois serviços que compõe RRAS, porém se você quiser apenas o serviço de VPN ou Dial-up poderá escolher somente o Remote Access Services, agora se quiser o Routing será obrigado a instalar os dois serviços.

Figura 3 – Selecionando serviços do papel do servidor (RRAS)

Concluindo a instalação e analisando os resultados:

Após selecionar os serviços, basta avançar e permitir a instalação. Quando finalizar a instalação e reiniciar o servidor, o sistema irá automaticamente resumir a configuração e se tudo correu bem o resultado será apresentado na tela Resume Configuration Wizard com sucesso.

Figura 4 – Resume Configuration Wizard exibindo uma instalação concluída com sucesso.

Ao finalizar a instalação você deve verificar no Server Manager os seguintes itens:

1. Se há erros nos eventos, e ler com atenção os avisos.

2. Se todos os serviços estão rodando (RasMan e RemoteAccess).

3. Se todos os Role Services estão instalados.

Figura 5 – Tela do Server Manager com Summary do NPS

 Conclusão:

Neste artigo, você aprendeu a implementar de forma básica o RRAS no Windows Server 2008.

[  ]’s

Instalação e Configuração do NPS e RRAS no Windows Server 2008 R2

Publicado em:
06/10/2011

Fonte: http://www.procedimentosemti.com

Olá pessoal, dando continuidade nos artigos  hoje iremos ver o procedimento padrão para a instalação/configuração do NPS (Network Policy Service) para habilitar o recurso do RRAS (Routing and Remote Acces) utilizando o recurso de VPN (Virtual Private Network) no Microsoft Windows Server 2008 R2 SP1 x64.

A utilização do recurso de VPN (Virtual Private Network) tem como finalidade conectar filiais ou usuários à rede interna da empresa, através de um túnel dentro de um WAN (Internet) para acesso de recursos de forma segura, no Windows Server 2008 o RRAS vou integrados a vários outros recursos como o NAP (Network Access Protection) que será abordado em outros artigos.

 
01. Por padrão o RRAS no Windows Ser ver 2008 não vem instalado, clique em: Start, Administrative Tools selecione: Server Manager.

02. Na tela do Server Manager, selecione: Roles clique em: Add Roles

03. Na tela de Before You Begin, clique em: <Next>

04. Na tela de Select Server Roles, selecione a opção: Network Policy and Access Services, clique em: <Next>.

05. Na tela de Network Policy and Access Services, clique em: <Next>

06. Na tela de Select Role Services, selecione: Routing and Remote Access Services, automaticamente sera selecionado as opções: Remote Access Service e Routing, clique em: <Next>.

07. Na tela de Confirm Installation Selections, clique em: <Install>

08. Na tela de Installation Results, clique em: <Close>

09. Após a instalação do RRAS podemos ver a roles disponível em nosso Server Manager, clique em: Network Policy and Access Services.

10. Por padrão o serviço do RRAS não e configurado, sendo necessária sua configuração e iniciar o serviço


11. Podemos acessar o serviço do RRAS clicando em: Start, Administative Tools selecione: Routing and Remote Access.

12. O MMC do RRAS não mudou muito em relação ao Windows Server 2003.

13. Para habilitarmos o recurso de VPN, selecione o seu servidor, em nosso exemplo: PTISPO01DC01, clique com o botão direito do mouse, será apresentado um menu de opções, selecione: Configure and Enable Routing and Remote Access.

14. Na tela de Welcome to the Routing and Remote Access Server Setup Wizard, clique em: <Next>

15. Para o recurso de VPN funcionar corretamente e necessário no mínimo 2 (duas) placas de rede, uma será a rede interna e a outra a rede que fará a conexão externamente, tendo essa configuração poderíamos utilizar a opção: Remote access (dial-up VPN), como temos apenas 1 (uma) placa de rede em nosso servidor, iremos selecionar a opção: Custom configuration, clique em: <Next>

16. Na tela de Cutom Configuration, selecione: VPN access clique em: <Next>

17. Na tela de Completing the Routing and Remote Access Server Setup Wizard, clique em: <Finish>.


18. Na tela de Start the service, clique em: <Start service>.


19. O serviço da VPN será inicializado.

20. Após a inicialização, podemos ver todos os recursos do RRAS, novamente as configurações do RRAS do Windows Server 2008 não alteraram muito em relação do Windows Server 2003, as mudanças maiores estão nas configurações do NAP.

21. Após a configuração, iremos verificar as opções do nosso servidor do RRAS, selecione o seu servidor, em nosso exemplo: PTISPO01DC01, clique com o botão direito do mouse, será apresentado um menu de opções, selecione: Properties

22. Na aba: IPv4, por padrão já está habilitado o recurso de: Enable IPv4 Forwarding, em nosso exemplo, temos instalado e configurado o serviço de DHCP Server, iremos deixar marcado a opção: Dynamic Host Configuration Protocol (DHCP) e deixar a opção: Enable broadcast name resolution, clique em: <OK>

23. Após as configurações do RRAS, iremos verificar as mudanças feitas em nosso serviço de DHCP, clique em: Start, Administrative Tools selecione: DHCP.

24. Na tela do DHCP, expandimos nosso escopo, na opção: Address Leases, virmos que por padrão do RRAS faz a utilização de uma faixa de IP 10 (dez) números, que será utilizado pelas conexões clientes.

25. Para podemos acessar nossa rede utilizando a conexão VPN, devemos ter criado em nosso Active Directory um usuário/senha para essa conexão, clique em: Start, Administrative Tools selecione: Active Directory Users and Computers.

26. Em nosso exemplo, temos o usuário previamente criado, chamando de: teste, selecione o mesmo, clique com o botão direito do mouse, será mostrado um menu de opções, selecione: Properties.

27. Nas propriedades do usuário, vamos à aba: Dial-in, iremos selecionar nas opções de: Network Access Permission a opção: Allow Access, com essa permissão o usuário: teste tem direito de se discar/conectar via VPN, clique em: <Apply> depois em: <OK>

28. Após as configurações do RRAS e do usuário, iremos em nosso cliente, nesse exemplo: Windows 7, criar nossa conexão com a VPN, clique com o botão esquerdo do mouse em sua placa de rede, será apresentado as opções de conexões, selecione: Abrir a Central de Rede e Compartilhamento.

29. Na Central de Rede e Compartilhamento, para criarmos nossa conexão a VPN, clique em: Configurar uma nova conexão ou rede.

30. Na tela de Escolher uma opção de conexão, selecione: Conectar a um local de trabalho, clique em: <Avançar>

31. Na tela de Como deseja se conectar, em nosso exemplo, selecione: Usar minha conexão com a Internet (VPN).

32. Na tela de Digite o endereço da Internet com o qual se conectar, em nosso exemplo, estamos fazendo a conexão da VPN internamente em nossa LAN, no campo: Endereço na Internet iremos colocar o Hostname ou IP do nosso servidor RRAS, se estivéssemos remotamente iriamos colocar o IP ou CNAME da WAN, no campo: Nome do destino digite uma descrição para a criação da rede VPN, selecione: Não se conectar agora, clique em: <Avançar>

33. Na tela de: Digite o seu nome de usuário e a senha, nos campos: Nome de usuário e senha, digitamos os dados previamente criado no Active Directory, no campo: Domínio (opcional), digitamos nosso domínio no padrão NetBIOS, clique em: <Criar>

34. Na tela de: A conexão está pronta para uso, clique em: <Fechar>.

35. Para verificarmos nossa conexão criada, clique em: Alterar as configurações do adaptador.

36. Podemos ver nossa conexão criada anteriormente.

37. Podemos acessar nossa conexão, clicando com o botão esquerdo do mouse em nossa conexão de rede, será apresentado as opções de conexões, clique em nosso exemplo em: ProcedimentosEmTi.

38. Para se conectar a VPN, clique em: <Conectar>.

39. Será apresentada a tela de: Conectar ProcedimentosEmTI, para se conectar na VPN, clique em: <Conectar>.

40. Nesse momento, será validado a nome de usuário/senha, será registrado o computador e iremos obter um IP dinamicamente.

41. Após a conexão, virmos nosso status de: Conectado.

42. Verificando nossas configurações de rede, digitando o comando: ipconfig <Enter>, temos agora o adaptador PPP, que obteve dinamicamente o IP via DHCP do nosso servidor RRAS.

43. Acessando novamente as configurações do RRAS, iremos à opção: Remote Access Clients, virmos que temos uma conexão feita em nosso servidor.

44. Para finalizarmos nosso procedimento, iremos selecionar nossa conexão, clique com o botão direito do mouse, será apresentado um menu de opções, selecione: Status.

45. Podemos ver o Status de nossa conexão cliente em nosso servidor.

Para conexões remotas, será necessário fazer o Port Forwarding em seu Firewall para o servidor que está rodando o serviço de RRAS (Routing and Remote Access), as portas padrões utilizadas são:

Port Forwarding TCP/UDP 47 (GRE)
Port Forwarding TCP/UDP 500 (IPSEC-based VPN)
Port Forwarding TCP/UDP 1723 (PPTP-VPN)

Espero que tenham gostado e que possam usar no dia a dia de vocês.

[  ]’s