Olá pessoal, último dia do ano e eu finalizando esse artigo para os visitantes do suportederede.wordpress.com desejo que 2012 seja um ano próspero, com muita saúde e bastante trabalho para todos.
Hoje vou detalhar o procedimento para configuração de um servidor que terá a função de VPN Server, além da configuração do Client para conectar ao mesmo.
De modo geral, a necessidade em ter as informações da empresa em qualquer lugar que esteja, já era forte e está se tornando mais ainda com esse aumento significativo em vendas de notebooks / tablets / smartphones.
Para esse cenário, vamos considerar que temos um ambiente de domínio com Windows 2008 R2 instalado nos respectivos servidores e um dos diretores da companhia em uma viagem tem a necessidade de acessar os seus arquivos em seus compartilhamentos dentro da rede, esse diretor provê de um notebook com Windows 7 e Internet.
Antes de começar, é recomendável que o servidor tenha 2 interfaces de rede (uma para comunicação com internet e outra para rede local), é possível que seja feito através de uma única interface, porém não é o objetivo desse artigo.
1- Vamos abrir o Server Manager, botão direito em “Roles” e clicar em “Add Roles“. Vamos selecionar a opção “Network Policy and Access Services” e clicar em Next.
2- Será apresentado um overview sobre a função a ser instalada, clique em Next.
3- Em “Select Role Services” selecione as opções “Network Policy Server” e “Routing and Remote Access Services” repare que na segunda a ser clicado a opções filhos serão marcadas também, clique em Next.
4- Clique em “Install” para iniciar o processo de instalação.
5- Verifique os resultados em clique em “Close“.
6- Com a role já instalada, através do próprio Server Manager expanda: “Roles” e depois “Network Policy and Access Services”, clique com o botão direito em “Routing and Remote Access” e clique em “Configure and Enable Routing and Remote Access“.
7- O assistente será iniciado, clique em Next.
8- Em “Configuration” podemos escolher o que configurar, para esse ambiente vamos marcar a opção “Virtual Private Network (VPN) access and NAT” e depois em Next.
9- Como não iremos dispor de um modem e linha direta, não vamos marcar a opção “Dial Up”, marque somente “VPN” e clique em Next.
10- Agora devemos selecionar a interface que se conecta a internet, depois clicar em Next.
11- Em “IP Address Assignment” vamos definir se os IPs para os clients provenientes de conexão VPN irão receber o endereçamento através de um servidor DHCP (que deve estar instalado em algum servidor do domínio), ou através de um range a ser definido. Como nós temos um servidor já instalado no domínio, nada mais correto que usar o mesmo para a atribuição, por isso marcamos a opção “Automatically” e depois em Next.
12- Na tela seguinte é perguntado se quer definir e configurar o servidor RADIUS, a princípio não, pois ele já faz uma pré configuração, marque a primeira opção e depois em Next.
13- Veja o resumo das configurações definidas anteriormente e depois clique em “Finish“.
14- Será apresentado um warning, informando que foi criado uma política padrão de conexões no NPS, mensagem normal, clique em “OK” para finalizar essa parte.
15- Agora vamos criar uma nova política, contendo as regras necessárias para o acesso via VPN. Ainda no Server Manager navegue até “NPS” em seguida “Policies” e depois clique com o botão direito em “Network Policies“. Agora clique em “New” para a nova política.
16- O assistente será iniciado, vamos selecionar um nome para ele “REMOTE ACCESS” em Type of network access server marque a opção “Remote Access Server (VPN-Dial up)“. Clique em Next.
17- Em “Specify Conditions” podemos selecionar alguns parâmetros como por exemplo: Somente usuários de um determinado grupo / determinado sistema operacional /determinada localização / etc … Somente para exemplificar tenho um grupo criado no Active Directory chamado “REMOTE ACCESS”, dentro desse grupo tenho todos os usuários que terão permissão para o acesso remoto. (Inclusive o gerente conforme exemplificado no início do artigo). Selecione “User Groups” e clique em Add.
18- Será aberta uma caixa para que seja digitado o nome, selecionei o mesmo e confirmo em “OK“.
19- Será apresentada todas as condições configuradas, nesse caso usei somente a de “User Groups” clico em Next para o próximo passo.
20- Devemos definir qual é a permissão de acesso para essa regra, como queremos permitir o acesso clicamos em “Access granted” e depois em “Next“.
21- Precisamos configurar os métodos de autenticação, em EAP Types clique em Add e escolha “EAP-MSCHAP v2” e confirme, em Less secure authentication methods marque também a opção MS-CHAP-v2. É possível marcar os outros métodos porém comprometerá na segurança.
22- Em “Configure Constraints” podemos definir alguns parâmetros como: Desconectar após determinado tempo / desconectar após determinado tempo de inatividade / Restrição de data / hora. Para o cenário não criaremos nenhum parâmetro.
23- Agora em “Configure Settings” temos algumas outras opções disponíveis para configuração, a princípio vamos apenas na opção “Encryption” e desmarcar as opções “Basic / No encryption” para termos um pouco mais de segurança em nossa conexão.
24- Temos agora um review das configurações feitas anteriormente, caso esteja correto, só clicar em Finish.
25- Já temos a regra apresentada e habilitada em nosso NPS. Com as configurações acima o servidor já está preparado para fornecer conexão através da VPN.
OBSERVAÇÃO: Deve se certificar se a porta tcp 1723 (PPTP) está aberta pois é necessária para a conexão, no servidor configurado estará tudo OK pois a configuração é feita automaticamente, verifique firewall de rede / roteadores.
26- Vamos agora simular a conexão entre o Client e o Server, a princípio nesse Client não foi feita nenhuma configuração, o mesmo dispõe apenas de internet. Vou tentar acessar o meu servidor \\fs01.suportederede.local
27- O mesmo não será localizado.
28- O primeiro passo é criar a conexão VPN, para isso devemos abrir o “Network and Sharing Center“.
29- Com ele aberto clique em “Set up a new connection or network“.
30- Marque a opção “Connect to workplace (Dial up or VPN connection)“.
31- Marque a opção “Use my Internet connection (VPN)” pois você usará a internet para se conectar ao servidor a distância.
32- Em “Internet Address” coloque o nome do caminho (caso seja divulgado na internet) ou simplesmente o endereço de IP do servidor. Em “Destination name” coloque um nome comum para identificação.
33- Agora precisamos definir as credenciais do usuário.
34- Após clicar em connect temos o status de conectado.
35- Se expandirmos as nossas conexões, verificamos que a “Conexão VPN” definida está conectada normalmente, clicando com o botão direito sobre a conexão e indo em “Properties” na aba “Details” temos os detalhes da conexão.
36- Vamos agora tentar acessar o nosso servidor, assim como tentamos anteriormente \\fs01.suportederede.local E olhem lá conseguimos o acesso aos compartilhamentos.
Espero que tenham gostado, passei aqui uma forma geral de implantar um servidor VPN, porém há possibilidades de melhorar a segurança, como por exemplo uso de smart cards. Há como melhorar o modo de criação das conexões, usando o CMAK por exemplo, entre outras.
Porém isso ficará para um outro dia.
Abraços a todos e Feliz 2012
teste
ResponderExcluir