Cenário: Serão disponibilizadas para as estações de trabalho que trabalham em modelo home-office um acesso aos recursos internos (Intranet) de forma segura com VPN. As Políticas de Acesso definidas permitirão acesso somente a quem for membro do Grupo VPN no AD.
Enredo: Todos as máquinas do laboratório de base no domínio.
Servidor 1 (AD1): Funções ADDS, DCHP e NPS;
- 192.168.0.1 (Intranet) / Gateway 192.168.0.100
- 192.168.0.100 (Instranet)
- 200.200.200.200 (Internet)
- 200.200.200.100 (Internet)
Para o ambiente de produção é desaconselhável instalar o NPS no Controlador de Domínio. Utilizaremos desta forma apenas para evitar crescimento excessivo da postagem.
Acompanhe como implementar uma VPN com DHCP e Servidor NPS e RADIUS através do Windows Server 2012 e utilizar uma estação de trabalho Windows 8 para uma conexão segura pela Internet para a Intranet da Empresa.
Configurar DHCP, Servidor NPS, Cliente RADIUS, Servidor VPN e Cliente VPN
0) Crie um Grupo no AD chamado VPN e insira os Membros que utilizarão a VPN.
1) No Gerenciador do Servidor do seu Servidor DC (AD1), clique em Gerenciar e selecione Adicionar Funções e Recursos. Avance até Funções do Servidor e selecione Servidor DHCP. Clique em Adicionar Recurso para adição dos recursos associados. Conclua a instalação.
Avance para o "passo 09" se já possuir um DHCP instalado. Se for este o caso, configure a opção de escopo "003 Roteador" para o endereço da placa de rede da Intranet no RRAS.
O DHCP não é requisito obrigatório, mas é uma boa prática.
2) Após a instalação clique em Configuração de DHCP concluída.
3) No Assistente de configuração pós-instalação de DHCP clique em Próximo e na opção de Autorização selecione Usar as seguintes credenciais do usuário e clique em Confirmar. Feche as duas janelas.
4) No Iniciar do Windows Server digite "dhcp" e clique em DHCP. Pode ser encontrado também no menu Ferramentas do Gerenciador do Servidor.
5) No DHCP clique com o botão direito em IPv4 e selecione Novo Escopo....
6) Clique em Avançar e em Nome do escopo digite um nome e clique em Avançar.
7) Insira o IP inicial e o IP final da sua rede Intranet e clique em Avançar.
8) Clique em Avançar nas opções Adicionar Exclusão, Duração de concessão e Configurar opções do escopo. Na opção Roteador (gateway padrão) digite o endereço da placa de rede que será configurada no RRAS para Intranet. Avance nas próximas opções e conclua a configuração do escopo.
Para a VPN, se não for informado o gateway, será utilizado o gateway local.
Para este exemplo, o RRAS-Router é o gateway local da rede.
9) No Gerenciador do Servidor do seu Servidor, clique em Gerenciar e selecione Adicionar Funções e Recursos. Avance até Funções do Servidor e selecione Serviços de Acesso e Política de Rede. Clique em Adicionar Recurso para adição dos recursos associados. Clique em Próximo até Serviços de Função.
10) Em Serviços de Função selecione Servidor de Políticas de Rede e conclua a instalação.
11) No Iniciar do Windows Server digite "nps" e clique em Servidor de Políticas de Rede. Pode ser encontrado também no menu Ferramentas do Gerenciador do Servidor.
12) Expanda a opção Políticas, clique com botão direito em Políticas de Rede e selecione Novo.
13) Na janela Nova Política de Rede digite o Nome da política: Acesso a VPN e deixe seleciona a opção Tipo de servidor de acesso à rede: Não Especificado. Clique em Avançar.
14) Em Especificar Condições clique em Adicionar.
15) Em Selecionar condição selecione Grupos de Usuários e clique em Adicionar....
16) Em Grupos de Usuários clique em Adicionar Grupos....
17) Em Selecionar Grupo digite VPN e clique em Verificar nomes e em OK. Este grupo foi criado no "passo 0".
18) Em Grupos de Usuários observe o grupo criado e clique em OK.
19) Em Condições observe a condição criada e clique em Avançar.
20) Em Especificar Permissão de Acesso selecione Acesso concedido e clique em Avançar.
21) Em Configurar Métodos de Autenticação clique em Avançar.
22) Em Configurar Restrições clique em Avançar.
23) Em Definir Configurações para configurar regras de conexão clique em Avançar.
24) Em Concluindo Nova Política de Rede clique em Concluir
25) Na janela de Servidor de Políticas de Rede clique com o botão direito em NPS (Local) e selecione Registrar servidor no Active Directory.
Está etapa é obrigatória para o Servidor NPS estando ou não instalado no Controlador de Domínio. Lembre que a recomendação é não utilizá-lo no Controlador de Domínio.
26) Na janela de confirmação para autorização clique em OK.
27) Na janela de aviso clique em OK.
28) Expanda a opção Clientes e Servidores RADIUS, clique com o botão direito em Clientes RADIUS e selecione Novo.
29) Em Novo Cliente RADIUS na aba Configurações digite Servidor VPN e insira o Endereço IP (192.168.0.100) da placa de rede Interna do Servidor RRAS (RRAS-Router). Selecione Manual digite uma senha 12345 e clique em OK.
ESTA CONCLUÍDA A CONFIGURAÇÃO DO SERVIDOR AD1.
Concluímos o DHCP e o NPS RADIUS nas próximas etapas VPN.
30) Observe que o Servidor RRAS-Router já faz parte do domínio e suas duas placas de rede já se encontram configuradas com os IPs da Intranet e Internet.
31) No Gerenciador do Servidor do seu Servidor, clique em Gerenciar e selecione Adicionar Funções e Recursos. Avance até Funções do Servidor e selecione Acesso Remoto. Clique em Adicionar Recurso para adição dos recursos associados. Conclua a instalação.
32) No Iniciar do Windows Server digite "roteamento" e clique em Roteamento e acesso remoto. Pode ser encontrado também no menu Ferramentas do Gerenciador do Servidor.
33) Na janela Roteamento e Acesso Remoto clique com o botão direito sobre o seu servidor e selecione Configurar e Habilitar Roteamento e Acesso Remoto.
34) No Assistente para Configuração do Servidor de Roteamento e Acesso Remoto clique em Avançar.
35) Em Configuração selecione Configuração personalizada e clique em Avançar.
36) Em Configuração personalizada selecione Acesso VPN.
37) Para fechar o Assistente clique em Concluir
38) Na janela de aviso clique em OK.
39) Na janela Iniciar o serviço clique em Iniciar serviço.
40) Expanda as opções do Servidor e clique novamente com o botão direito sobre seu Servidor e selecione Propriedades.
41) Nas Propriedades do seu Servidor selecione a aba Segurança. Expanda as opções em Provedor de autenticação: e marque a opção Autenticação RADIUS e clique em Configurar.
42) Em Autenticação RADIUS clique em Adicionar....
43) Em Adicionar servidor RADIUS no campo Nome do Servidor: digite 192.168.0.1 (Endereço IP do seu Servidor NPS RADIUS que neste exemplo é AD1). No campo Segredo compartilhado: clique em Alterar....
44) Em Alterar segredo digite a senha 12345 criada no "passo 29".
45) Feche a janela Adicionar servidor RADIUS clique em OK.
46) Feche a janela Autenticação RADIUS clique em OK.
47) Ainda nas Propriedades do seu Servidor clique na aba IPv4, expanda as opções de Adaptador: e selecione a placa de rede configurada com o IP Intranet, neste exemplo Interno. Clique em OK.
48) Na janela Roteamento e Acesso Remoto clique com o botão direito na opção Portas e selecione Propriedades.
49) Em Propriedades de Portas selecione IKEv2 e clique em Configurar.
50) Altere o Número máximo de portas: para 0 (Zero) e clique em OK.
51) Na janela de aviso de redução de portas clique em Sim.
52) Repita os "passos 49, 50 e 51" para as Tipos SSTP, L2TP e para o Tipo PPTP configure o Numero máximo de portas para apenas 5 portas. Feche a janela Propriedades de Portas.
ESTA CONCLUÍDA A CONFIGURAÇÃO DO SERVIDOR AD1.
Concluímos o Servidor VPN, nas próximas etapas o Usuário.
53) No Usuário conectado a Internet abra o Painel de Controle, clique em Redes e Internet, clique em Central de Redes e Compartilhamento e selecione Alterar as configurações do adaptador.
54) Em Configurar uma Conexão ou uma Rede selecione Conectar a um local de trabalho e clique em Avançar.
55) Em Conectar a um Local de Trabalho selecione Usar minha conexão com a Internet (VPN).
56) Em Conectar a um Local de Trabalho selecione Configurarei minha concexão com a Internet mais tarde.
57) Em Conectar a um Local de Trabalho digite o Endereço IP 200.200.200.200 que é a placa de rede Externa do Servidor VPN (RRAS-Router) e marque a opção Lembrar minhas credenciais. Clique em Criar.
58) Na janela Central de Redes e Compartilhamento clique em Alterar as configurações do adaptador.
59) Clique com o botão direito no adaptador VPN da Empresa e selecione Propriedades.
60) Nas Propriedades de VPN da Empresa expanda as opções em Tipo de VPN: e selecione Protocolo de Túnel Ponto a Ponto (PPTP). Marque a opção Permitir estes protocolos e selecione Microsoft CHAP Versão 2 (MS-CHAP v2). Clique em OK.
61) Dê um duplo clique em Servidor VPN da Empresa e clique em Conectar. Entre com seu Usuário e Senha e clique em OK.
Conclusão: Este cenário não conta com Internet porém, foram utilizados IPs Privados para simular o ambiente real de Internet. Após entender o cenário, por favor, fique a vontade para acrescentar configurações de acordo com seu ambiente. Lembre de testar as conexões antes de fornecer ao seu cliente.
Postagem intrinsecamente relacionada:
Configurando NAT - Área de Trabalho Remota e provisionamento para Gateway VPN
Esse artigo foi submetido por
Alexandre de Matos
MCSE - MCSA - MCTS
alexandremn@live.estacio.br
Nenhum comentário:
Postar um comentário