Post on 21-Sep-2020
----------------------------------------------------------------------------------------------------------------
- Onderhoud en Beheer Informatiesystemen
MCTS 70-642
Augustus 2010 J., van NImwegen Pagina 1 van 39
Onderhoud en Beheer Informatiesystemen.
70_642 opdracht RRas en VPN’s in Windows 2008.
Deze opdracht maakt gebruik van de vApp, vApp_JVN_DualNic.
De opdtracht is werkend getest in de cloud.
Docentenexemplaar Onderwerp; RRas en vpn’s in windows 2008
Inhoud van deze opdracht;
Configuratie van de RRAS server. ....................................................... 3
Radius. ............................................................................................ 3
VPN verbinding opzetten op de client. ................................................ 13
Verbindingstypes; ............................................................................ 20
L2TP met IPSEC. ............................................................................. 20
Certficate Services. .......................................................................... 23
IPSec encryptie. .............................................................................. 25
CMAK; Connection Manager Administration Kit .................................... 34
Maximaal aantal VPN verbindingen. ................................................... 37
Bijlage netwerktekening ................................................................... 39
Doel van deze opdracht; - implementatie en configuratie van RRas met VPN clients
- kennisnemen van PPTP, L2TP, IPsec en diverse authenticatie protocollen
Benodigde virtuele machines;
Een domaincontroller, DC_RRAS genaamd.
Een memberserver, Member_RRAS genaamd. Een Win7 machine, Win7_RRAS genaamd
Richt nu eerst een windows server2008 machine in als Domain controller
van het domein Rras.com. Gebruik hierbij de volgende gegevens;
Computernaam;DC_RRAS Ipadres ; 192.168.20.1 /24
Disable ipv6 Forest functional level; windows2008
----------------------------------------------------------------------------------------------------------------
- Onderhoud en Beheer Informatiesystemen
MCTS 70-642
Augustus 2010 J., van NImwegen Pagina 2 van 39
Vanwege verdeling van werkdruk en veiligheidsredenen is het verstandig
om niet de Domain Controller van het netwerk tevens tot VPN server te benoemen.
Wij gaan daarom straks een tweede server2008 machine, Member_RRAS, als VPN server inrichten. Ook hier zullen we de veiligheid van ons eigen
domein moeten bewaken. Member_RRAS zal daarom niet in het domein worden opgenomen. De beoordeling of een user via een VPN verbinding
mag connecten kan Member_RRAS dus ook niet maken, omdat Member_RRAS dit niet kan nagaan in AD. Daarom zullen we op een
andere machine ( die wel in het domein is opgenomen) een Radius server installeren. Deze service zoekt dan namens Member_RRAS in AD op of
een user toegang mag krijgen of niet. Wij zullen de Radiusserver nu installeren op onze enige andere machine, DC_RRAS. Enige taak van
Member_RRAS is nu dus om de connection requests van “inbellende” users door te sturen naar DC_RRAS. Als DC_RRAS de connection
goedkeurt, zal Member_RRAS de connection tot stand brengen.
Voordeel van deze Radiusconstructie;
1. omdat de VPN server geen lid is van het domein, loopt het domein minder risico. Mocht een hacker zich toegang verschaffen tot de
VPN server, dan nog heeft hij geen toegang tot AD. 2. De Radius service is onderdeel van de Network Policy Service. Met
deze NPS kunnen we gecentraliseerd allerlei securitysettings instellen ( networkpolicies en connection request policies). Door
elke VPN server te verwijzen naar de Radiusserver, bereiken we dat elke VPN server dezelfde security settings hanteert, namelijk die
settings die op de Radius server centraal zijn vastgelegd. We hebben nu dus te maken met een Radius server ( DC_RRAS ) en
een of meer Radius Clients ( onze VPN server, Member_RRAS )
Thuiswerkers kunnen via Member_RRAS toegang krijgen tot de resources van het domein.
LET OP;
Uiteraard heeft Member_RRAS twee netwerkverbindingen nodig; één voor de
communicatie binnen het bedrijfsnetwerk, en een andere voor de communicatie met de
buitenwereld.
Op DC_RRAS;
Installeer de rol van DHCP server.
Richt een dhcp scope in als volgt; Parent domain; Rras.com
----------------------------------------------------------------------------------------------------------------
- Onderhoud en Beheer Informatiesystemen
MCTS 70-642
Augustus 2010 J., van NImwegen Pagina 3 van 39
Dns server 192.168.20.1
Scopename; Rrasscope Start ip 192.168.20.10
End ip 192.168.20.100 Subnetmask 255.255.255.0
Gateway 192.168.20.1 ( DC_RRAS) Scopetype; wired
Configuratie van de RRAS server.
Richt nu een memberserver, Member_RRAS, in. Ip adres intern 192.168.20.2 /24
Ipadres voor de verbinding met de buitenwereld 201.6.12.10 /24 DNS server is natuurlijk DC_RRAS.
Disable ook hier ipv6.
Het zal je duidelijk zijn dat Member_RRAS géén lid wordt van het domein.
Radius. Radius zorgt voor centralisatie van alle remote access connections,
waaronder ook vpn verbindingen. Dit gaat via één centraal punt ( een NPS server).
Radius kent een Radius server en een Radius client. De client is een vpn server die een connection request van een inbellende
user doorstuurt naar de NPS server. Deze NPS server toetst of de inbellende gebruiker wel via vpn mag connecten. Als dit is toegestaan,
krijgt de VPN server van de NPS server toestemming om de gebruiker door te laten.
De Radius server zorgt uiteindelijk voor de Authentication, de
authorisation en de accounting. ( triple A noemt men dat)
Installeer nu Op Dc_RRAS eerst de NPS role. Start daarna vanuit het startmenu de NPS console op.
----------------------------------------------------------------------------------------------------------------
- Onderhoud en Beheer Informatiesystemen
MCTS 70-642
Augustus 2010 J., van NImwegen Pagina 4 van 39
Configureer Radius als volgt; Rechtsklik op Radius Clients; Kies new Radiusclient
Geef de naam en
het ip adres van Member_RRAS als
nieuwe radiuscliënt mee.
Vul ook de shared
secret in; dit is een sleutel waarmee de
Radius server en de
Radius client zich tegenover elkaar
identificeren.
Maak meteen een connection request policy en een networkpolicy aan
waarmee we de security settings gaan instellen voor onze VPN verbinding.
Maak eerst de nieuwe CRP aan als volgt; Rechtsklik op Connection request policies; kies New
Policyname; Radiustoegang.
Type of network access server;
RRAS/VPN
----------------------------------------------------------------------------------------------------------------
- Onderhoud en Beheer Informatiesystemen
MCTS 70-642
Augustus 2010 J., van NImwegen Pagina 5 van 39
Conditions;
Day and Time restriction. Stel in;
Permitted altijd.
Deze instelling bepaalt nu dat deze
policy constant zal moeten gelden.
Een beetje
verwarrende
omschrijving dus…
Settings;
Authentication;
Stel in Authenticate requests on this
server.
Hiermee vertellen
we DC_RRAS dat hij degene is die AD
moet raadplegen om na te gaan of aan
een bepaalde request kan worden
voldaan.
Verder alle defaultwaardes kiezen…..
Maak nu een nieuwe Networkpolicy aan als volgt;
Rechtsklik op Networkpolicies; kies New.
----------------------------------------------------------------------------------------------------------------
- Onderhoud en Beheer Informatiesystemen
MCTS 70-642
Augustus 2010 J., van NImwegen Pagina 6 van 39
Policyname;
Nieuwe netwerkpolicy
Type of network
access server; RRAS/VPN
Day and time
restrictions; ook weer always
permitted…
Grant Access
Authentication methods; MS-CHAP-v2 en MS-CHAP
Verder alle defaultwaardes.
Dit is niet de best beveiligde
verbindingsmethode, maar wel de
meest eenvoudige om te
implementeren. We
bereiken hiermee dat een inbellende
user zich kan identificeren met
simpelweg zijn username en
password. Er zijn geen extra zaken
nodig, zoals certificaten of smart
cards enz… Voor onze testdoeleinde
volstaat het.
----------------------------------------------------------------------------------------------------------------
- Onderhoud en Beheer Informatiesystemen
MCTS 70-642
Augustus 2010 J., van NImwegen Pagina 7 van 39
Van belang is nu om ervoor te zorgen, dat altijd zowel de Radius server, als de Radius client EN de machine van de inbellende user dezelfde
authentication protocollen ondersteunen. Anders wordt er geen verbinding toegestaan.
Dus als we een ander authenticationprotocol gaan gebruiken, moeten we dat op drie plaatsen wijzigen, namelijk;
1. Op de Radiusserver, in de networkpolicysettings 2. Op de Radiusclient, in de RRAS properties (zien we straks)
3. Op de inbellende machine, in de properties van de connectie
Dit is het eindresultaat; de
nieuwe policy samengevat.
Nu we de Radius server hebben geconfigureerd, moeten we ook de Radius Client, Member_RRAS, inrichten.
----------------------------------------------------------------------------------------------------------------
- Onderhoud en Beheer Informatiesystemen
MCTS 70-642
Augustus 2010 J., van NImwegen Pagina 8 van 39
Op Member_RRAS;
Log in als local administrator. Installeer ook hier weer de role van NPS server.
Kies alleen de opties RRAS en
Routing.
Configureer nu RRAS zodat Member_RRAS als VPN server kan optreden.
Kies voor de optie
Remote Access ( dialup or VPN)
Kies daarna uitsluitend VPN.
----------------------------------------------------------------------------------------------------------------
- Onderhoud en Beheer Informatiesystemen
MCTS 70-642
Augustus 2010 J., van NImwegen Pagina 9 van 39
Laat een speciale IP range range gebruiken voor de VPN clients;
192.168.20.150 tot 192.168.20.200.
Verwijs
Member_RRAS naar DC_RRAS als zijnde
de Radius server.
Alle communicatie tussen Radius
server en Radius client wordt nu
versleuteld met behulp van de
shared secret. We hoeven hierop dus
geen aparte encryptie meer toe
te passen. Binnen
het domein is dit veilig genoeg.
----------------------------------------------------------------------------------------------------------------
- Onderhoud en Beheer Informatiesystemen
MCTS 70-642
Augustus 2010 J., van NImwegen Pagina 10 van 39
Constateer dat na de configuratie van de VPN server in de console van
RRAS onder Ports de verschillende poorten zichtbaar zijn (SSTP , PPTP en L2TP).
Standaard zijn er 128 poorten beschikbaar. Dit aantal gaan we vanwege het overzicht eerst terugbrengen tot 5 poorten per verbindingstype.
Daarmee wordt overigens ook de veiligheid van onze VPN server verhoogd, omdat er minder ingangen zijn….
Rechtsklik op Ports,
kies de properties en configureer de drie
verbindingstypes.
Onder Ipv4/ general is nu bij de properties van de gekozen vpn verbinding zichtbaar welke inbound en outbound filters automatisch zijn
aangemaakt.
Hiermee worden alle packets
gedropt m.u.v. die packets die VPN
verkeer betreffen.
----------------------------------------------------------------------------------------------------------------
- Onderhoud en Beheer Informatiesystemen
MCTS 70-642
Augustus 2010 J., van NImwegen Pagina 11 van 39
Open de properties van Member_RRAS en constateer dat deze vpn server alleen ipv4 ondersteunt met LAN routing en demand dial .
Het tabblad Security meldt bij zowel de authentication provider als de
accounting provider dat gebruikgemaakt wordt van Radius Authentication/-Accounting. Dit is automatisch ingesteld toen
Member_RRAS werd geconfigureerd als Radius client.
Stel vast dat voor de user authentication default gebruik wordt gemaakt van MSCHAPv2 en EAP. Deze authentication vindt o.a. plaats tussen
inbellende user en de VPN server, via het internet. Hier willen we straks wel graag extra encryptie op loslaten, want deze data gaat over het
onveilige internet.
----------------------------------------------------------------------------------------------------------------
- Onderhoud en Beheer Informatiesystemen
MCTS 70-642
Augustus 2010 J., van NImwegen Pagina 12 van 39
De optie van de pre shared key bij security
is erg onveilig want dan gaat de eigenlijke
data weliswaar encrypted over de lijn,
maar de authentication data
is nog steeds
unencrypted.
Het is wel een goede optie om een en ander
te testen als je eraan twijfelt of de
verbinding überhaupt wel werkt en je denkt
dat het probleem bij de authentication zit.
----------------------------------------------------------------------------------------------------------------
- Onderhoud en Beheer Informatiesystemen
MCTS 70-642
Augustus 2010 J., van NImwegen Pagina 13 van 39
VPN verbinding opzetten op de client.
Wat je van nu af goed in gedachten moet houden is het volgende;
De bedoeling van een VPN is dat mensen vanuit elders ( in ons geval; vanuit thuis) kunnen inloggen op het domein van hun werkgever. Die
mensen moeten dan wel een account hebben dat bekend is in Active Directory. De computer waarmee ze van buiten (thuis) af willen
inloggen is per definitie geen lid van het domein. (Deze “thuis machine” heeft van zijn provider een ip adres gekregen waarmee internet
bereikbaar is. Over dat internet zoekt de thuiscomputer straks contact met de VPN server op kantoor.
Als er wordt gevraagd om in te loggen op WIN7_RRAS, dan bedoelen
we dus ook steeds dat je LOKAAL moet inloggen. Dus niet op het domein. Het bedrijfsdomein is thuis immers niet beschikbaar…..
Start Win7_RRAS op.
Direct na de opstart van WIN7_RRAS: Log in als administrator.
Geef WIN7_RRAS het static ip adres 201.6.12.11 /24. Gateway 201.6.12.10. ( work network)
Maak een VPN verbinding aan via het network sharing center.
----------------------------------------------------------------------------------------------------------------
- Onderhoud en Beheer Informatiesystemen
MCTS 70-642
Augustus 2010 J., van NImwegen Pagina 14 van 39
Kies;
Use my Internetconnection. I will setup an internet connection later.
Bij de credentials vul je in; RRAS\administrator en wachtwoord. Klik op
Create en daarna Close.. Daarna vind je onder Network sharing center/connect to a network de
VPN verbinding.
----------------------------------------------------------------------------------------------------------------
- Onderhoud en Beheer Informatiesystemen
MCTS 70-642
Augustus 2010 J., van NImwegen Pagina 15 van 39
Klik op Connect.
Wanneer de
administrator geen toegang krijgt kan
dit komen omdat
de geldende network policy hem
de toegang ontzegt.
----------------------------------------------------------------------------------------------------------------
- Onderhoud en Beheer Informatiesystemen
MCTS 70-642
Augustus 2010 J., van NImwegen Pagina 16 van 39
Hier zie je dat de VPN server eerst in Active Directory gaat kijken of de user wel authorised is om via Dial up/ Vpn verbinding in te loggen.
Geef de administrator even expliciet toegang door in zijn AD properties de
access te wijzigen in Control access through NPS Network Policy.
Constateer dat de administrator nu wel
toegang krijgt.
In essentie werkt de vpn verbinding nu
dus…
Stel vast dat Member_RRAS een remote Access Client detecteert;
----------------------------------------------------------------------------------------------------------------
- Onderhoud en Beheer Informatiesystemen
MCTS 70-642
Augustus 2010 J., van NImwegen Pagina 17 van 39
Constateer op WIN7_RRAS dat deze client een ip adres heeft gekregen uit
de range die we in Member_RRAS daarvoor hebben ingesteld. Dit ip adres gebruikt Win7_RRAS voor de vpn communicatie met Member_RRAS, die
speciaal voor dat doel een tweede ipadres heeft gekregen, hier 192.168.20.150. Ook zie je op welk extern ip adres WIN7_RRAS de vpn
server benadert.
Stel vast dat voor de authentication
gebruikgemaakt wordt van
MSCHAPv2 over een PPTP verbinding. (
WAN Miniport)
Constateer dat de administrator nu via Run \\DC_RRAS.Rras.com
binnenkomt op DC_RRAS.
Oftewel de LAN routing werkt. Via
de VPN verbinding met Member_RRAS
kan WIN7_RRAS nu naar DC_RRAS toe.
Constateer dat Run
\\Member_RRAS
niet werkt.
Member_RRAS is nu alleen een router,
en daarmee zelf niet toegankelijk.
----------------------------------------------------------------------------------------------------------------
- Onderhoud en Beheer Informatiesystemen
MCTS 70-642
Augustus 2010 J., van NImwegen Pagina 18 van 39
Verbreek de VPN verbinding.
Probeer of de administrator ook binnen kan op DC_RRAS als je niet eerst de vpn verbinding hebt opgezet.
Kan de administrator inloggen?
Antwoord;………………. NEE
Noteer welke melding het systeem geeft; Melding:………………………………………….……………………………………..…………………
Windows cannot access \\dc_rras.rras.com
Stel nu in de properties van de administrator in dat zijn Dial-in toegang
bepaald moet worden via de NPS Network policy. Zorg dat de policy201 op Grant Access Staat.
Controleer eerst of de administrator nu kan connecten. Ga niet verder als dit nu niet werkt.
Op Win7_RRAS:
Maak een lokale gebruiker, huisman, aan.
Limited account.
( My computer/
manage/ local users and groups/ users).
De naam Huisman is dus niet bekend in
Active Directory. Huisman is echter
werknemer bij RRAS.Com en heeft
daar een account onder de naam
User1.
----------------------------------------------------------------------------------------------------------------
- Onderhoud en Beheer Informatiesystemen
MCTS 70-642
Augustus 2010 J., van NImwegen Pagina 19 van 39
Maak nu in AD een aparte OU, VPN, aan. Maak in die OU meteen een
account, User1, aan.
Op Win7_RRAS: Log uit als beheerder en log in als Huisman.
Zorg dat Huisman via de VPN verbinding kan inloggen
op Member_RRAS.
Let op; vul geen domeinnaam in.
Maak het mogelijk voor Huisman om een printer te vinden op DC_RRAS. Installeer hiervoor op DC_RRAS een printer en share deze.
Ga na dat Huisman, via de vpn verbinding als User1, deze printer kan benaderen.
Hiermee heb je dus gezien hoe vpn verbindingen gebruikt worden om remote users toegang te geven tot resources binnen het domein.
Verbreek de vpn verbinding.
Uiteraard is het de bedoeling dat alle mappen die de user op deze manier kan zien,
voldoende zijn afgeschermd. Dat doet hier nu echter even niet terzake……
----------------------------------------------------------------------------------------------------------------
- Onderhoud en Beheer Informatiesystemen
MCTS 70-642
Augustus 2010 J., van NImwegen Pagina 20 van 39
Verbindingstypes; Reeds eerder in deze opgave hebben we gezien dat de WIN7 client tijdens de vpn verbinding gebruikmaakt van het Point to point tunnelingsprotocol,
PPTP.
Dit protocol is echter niet echt veilig, daarom
gebruiken we liever het
L2TP, protocol in combinatie met Ipsec.
Erg belangrijk in dit overzicht is; 1. het type WAN minipoort; PPTP of L2TP
2. authentication; welk protocol wordt gebruikt voor de authenticatie
3. hoe komen vpn server en client aan het ip adres?
Noteer de volgende informatie;
Wan minport type;…………..…………….pptp Authentication;………………………….…..ms chap v2
Encryption; ……………………..…….……..mppe 128 Server IP address;………….……………..192.168.20.150
client IP address;………..…………………192.168.20.152
L2TP met IPSEC.
Een beter beveiligde vpn verbinding is die waarbij gebruik gemaakt wordt van het L2TP. Dit protocol zorgt ervoor dat alle data verkeer tusen VPN
server en client wordt encrypt. Daarbij zijn twee mogelijkheden; 1. het gebruik van een pre shared key. Dit is de eenvoudigste vorm
om te configureren, maar tevens ook de zwakste vorm van beveiliging.
2. Het gebruik van certificaten . Hiervoor moeten we wel een CA in het domein hebben die certificaten verstrekt aan de VPN server en aan
----------------------------------------------------------------------------------------------------------------
- Onderhoud en Beheer Informatiesystemen
MCTS 70-642
Augustus 2010 J., van NImwegen Pagina 21 van 39
de client. Dit is een betere beveiliging dan die met de pre shared
key, maar uiteraard ook wat lastiger om te configureren.
Hiermee wordt dus de verbinding tussen de VPN server en de inbellende user encrypt, niet de verbinding tussen Radius server
en Radiusclient.
Op Member_RRAS;
Log in als administrator; Ga in de RRAS console op zoek naar de properties van Member_RRAS.
Kies het tabblad Security.
Vink aan; Allow custom Ipsecpolicy for L2TP
connection.
Key = geheim.
Klik op OK.
Restart de RRAS service.
Op WIN7_RRAS;
Log in als Huisman.
Start de vpn verbinding naar RRAS.com weer op. In de properties van de vpn verbinding, tabblad Security;
----------------------------------------------------------------------------------------------------------------
- Onderhoud en Beheer Informatiesystemen
MCTS 70-642
Augustus 2010 J., van NImwegen Pagina 22 van 39
Kies Type of VPN;
L2tp.
Via de Advanced Settings vul je de
pre shared key in.
Vul de key geheim in.
Start de vpn verbinding weer opnieuw op. Vraag via de properties van de openstaande vpn verbinding de status op
en de details. Noteer de volgende informatie;
WAN miniport type;……………………..L2TP Encryption;……………………….Ipsec AES 128
Kortom; het dataverkeer over deze vpn verbinding is nu encrypted m.b.v
L2TP in combinatie met IPSEC. En het type encryption is veranderd van Mppe 128 ( zie PPTP ) in AES 128, een veel strengere vorm van encryptie.
Wat indien RRAS server en client niet over dezelfde encryptie sleutel
beschikken?
----------------------------------------------------------------------------------------------------------------
- Onderhoud en Beheer Informatiesystemen
MCTS 70-642
Augustus 2010 J., van NImwegen Pagina 23 van 39
Op WIN7_RRAS:
Stel een andere preshared key in en probeer weer een nieuwe vpn verbinding te openen.
Constateer dat de
verbinding nu niet tot stand komt.
Stel weer de juiste key in en controleer dat de verbinding weer werkt.
Het gebruik van Ipsec vergt de aanwezigheid van een certificate Authority. Deze zal certificaten uitgeven aan andere computers waarmee
zij zich kunnen identificeren tegenover de VPN Server. Ook de VPN server zelf zal zich met zo’n certificaat identificeren tegenover de VPN clients.
Verwijder de preshared key op zowel Win7 als Member_RRAS.
Certficate Services.
Installeer nu op DC_RRAS de rol van de Certificate Services.
Laat Web enrollment
meteen mee installeren.
----------------------------------------------------------------------------------------------------------------
- Onderhoud en Beheer Informatiesystemen
MCTS 70-642
Augustus 2010 J., van NImwegen Pagina 24 van 39
Uiteraard kiezen we de Enterprise Root CA met een nieuwe private key. Kies verder alle default opties, tot je uit de wizard bent.
Start DC_RRAS even opnieuw op….. Direct na de restart moeten we een certificaat gaan aanvragen bij de CA.
Daarvoor hebben we ActiveX scripting nodig; dat zullen we eerst moeten enabelen;
Zorg er voor dat in de internet opties
ActiveX control scripting wordt
toegestaan op de Lokale intranet zone.
Anders verschijnt straks onderstaand
scherm;
Vraag nu eerst op DC_RRAS een certificaat aan via; Run; http://localhost/certsrv.
Kies achtereenvolgens; - Request a certificate
- Advanced certificate request
- Create and submit a request to this CA - Certificate template; Administrator .
- Submit deze request - Install Certificate.
Plaats op het bureaublad van DC_RRAS nu een MMC met de peronal
certificates van de User én van de local computer.
----------------------------------------------------------------------------------------------------------------
- Onderhoud en Beheer Informatiesystemen
MCTS 70-642
Augustus 2010 J., van NImwegen Pagina 25 van 39
Ga na dat beide onderdelen nu een certificaat bevatten:
De user store bevat
een certificaat ( purpose; MS
Trustlist signing…. ) bij de personal
certificates issued aan de
administrator t.b.v. oa prove your ID
t.o.v remote computers.
De Computer store bevat een certificaat
bij de personal certificates tbv all
issuance policies en
all application policies.
En een certificaat
t.b.v. de client authentication
Het certificaat t.b.v. van client authentication heeft de CA overigens aan zichzelf uitgedeeld bij de installatie van de Enterprise Root CA in
de vorige stap.
IPSec encryptie.
----------------------------------------------------------------------------------------------------------------
- Onderhoud en Beheer Informatiesystemen
MCTS 70-642
Augustus 2010 J., van NImwegen Pagina 26 van 39
Maak nu op DC_RRAS via server manager op de Cert Auth een kopie
beschikbaar van de Ipsec template; Duplicate de template onder de naam Kopie van Ipsec.
Kies voor de Windows server 2008 edition. laat de template publishen in AD,
geef de auth users Read en Enroll, geef de administrator het R/W/Enroll recht
en geef de Domain computers het Enroll recht)
Issue deze nieuwe template, zodat
DC_RRAS erover kan beschikken.
Vraag nu op DC_RRAS via de MMC voor de personal store van de
computer het ipseccertificaat aan. Uiteraard gebruik je de copy die je net hebt gemaakt…..
----------------------------------------------------------------------------------------------------------------
- Onderhoud en Beheer Informatiesystemen
MCTS 70-642
Augustus 2010 J., van NImwegen Pagina 27 van 39
Laat dit certificaat enrollen. Zorg
ervoor dat de private key
exportable is en archived wordt,
voordat je op Enroll klikt.
Ga na dat nu ook
het ipsec certificaat
zichtbaar is op DC_RRAS:
Het Ipsec
certificaat; allows secure
communication on internet
Het client
authentication certificaat;proves
your identity and ensures the identity
of a remote computer.
Exporteer nu op DC_RRAS het ipseccert certificaat als ipseccert naar een aparte gedeelde map, Certexports.
----------------------------------------------------------------------------------------------------------------
- Onderhoud en Beheer Informatiesystemen
MCTS 70-642
Augustus 2010 J., van NImwegen Pagina 28 van 39
Exporteer de
private key ook.
Kopieer het
geëxporteerdipse certificaat daarna
over het netwerk naar Win7_RRAS
en naar member_RRAS..
Maak hierbij o.a gebruik van de vpn verbinding van de administrator van Win7_RRAS.
Importeer het ipsec certificaat op zowel MEMBER RRAS als op
Win7_RRAS uitsluitend in de computer store. Uiteraard maak je eerst op Win7_RRAS als local administrator eerst
een MMC met de certificates van de local user en de local computer.
(Mark de key als exportable!!)
Dit certificaat hebben Member_RRAS en Win7_RRAS nodig om over internet te kunnen communiceren met gebruikmaking van Ipsec
encryptie.
----------------------------------------------------------------------------------------------------------------
- Onderhoud en Beheer Informatiesystemen
MCTS 70-642
Augustus 2010 J., van NImwegen Pagina 29 van 39
Open nu m.b.v een MMC op zowel Win7_RRAS als op Member_RRAS
het vers geïmporteerde certificaat.
Constateer dat dit certificaat wordt
aangemerkt als Cannot be verified.
Dit komt omdat dit
certficaat is uitgegeven door
een CA die niet bekend staat als
Trusted CA. ( rras-DC_RRAS-CA )
Dat moeten we nu dus nog regelen.
Zowel op Member_RRAS als op Win7_RRAS;
Constateer dat de computerstore geen
Trusted Root Certification
Authority kent met de naam rras-
DC_RRAS-CA
Hier moet nu dus
onze CA worden toegevoegd als
Trusted Root CA.
Op DC_RRAS:
Exporteer het certificaat met de intended purposes ALL. Mark de key als Exportable.
----------------------------------------------------------------------------------------------------------------
- Onderhoud en Beheer Informatiesystemen
MCTS 70-642
Augustus 2010 J., van NImwegen Pagina 30 van 39
Importeer het zowel op Member_RRAS als op Win7_RRAS in de
computer store van de Trusted
Root CA. Ga na dat direct na
deze import het certificaat wel
vertrouwd wordt.
Dat komt omdat
onze CA nu wel als Trusted Root CA
bekend is….
----------------------------------------------------------------------------------------------------------------
- Onderhoud en Beheer Informatiesystemen
MCTS 70-642
Augustus 2010 J., van NImwegen Pagina 31 van 39
Stel tot slot in de properties van de
vpn verbinding op de client in dat L2TP
gebruikt moet worden.
Maak nu verbinding en voila! Het werkt.
Disconnect de verbinding. Log uit
als beheerder. Log in als Huisman en
maak ook onder dit account een L2TP
vpn verbinding.
Constateer dat ook Huisman nu een veilige
L2TP vpn verbinding kan opzetten.
Er is echter alleen nog één probleem;
Als Huisman in de properties van de VPn verbinding niet kiest voor de L2TP optie, wordt er ook een verbinding tot stand gebracht. Maar dan
een onveilige PPTP verbinding. En dat willen we niet !!
Dat betekent dat we nu de Network policy server zodanig moeten
configureren dat PPTP verbinding geweigerd moeten worden.
----------------------------------------------------------------------------------------------------------------
- Onderhoud en Beheer Informatiesystemen
MCTS 70-642
Augustus 2010 J., van NImwegen Pagina 32 van 39
Maak daarom nu
een nieuwe netwerkpolicy aan.
Voeg in de Properties, tabblad
Conditions toe;
Day and Time restrictions;altijd
Tunnel Type; L2TP
Voeg beide conditions toe in de
policy.
----------------------------------------------------------------------------------------------------------------
- Onderhoud en Beheer Informatiesystemen
MCTS 70-642
Augustus 2010 J., van NImwegen Pagina 33 van 39
Vanaf dit moment
zullen PPTP connection request
worden geweigerd.
Alleen als Win7_RRAS het
L2TP protocol gebruikt, wordt de
vpn verbinding toegestaan.
Als dit niet direct werkt; start de
machines eens een keer opnieuw op…
Tot slot;
Het beschikbaar maken van de certificaten op de Win7 client is een heel gedoe. Dit kan veel eenvoudiger als we alle benodigde certificaten
automatisch laten enrollen via een grouppolicy. Dit heb je gedaan in een andere opdracht, vorig jaar. Omdat we nu echter gebruikmaken
van een client en en vpn server die geen lid zijn van het domein, kunnen we de optie van grouppolicies niet inzetten. Dus moeten we
uitwijken naar deze omslachtige werkwijze. Wel kan de administrator
de certificaten op een usb stick plaatsen zodat de gebruiker ze thuis kan importeren; een uitgebreide handleiding of deskundige hulp blijft
echter noodzakelijk.
Tot zover de L2TP vpn verbinding met Ipsec encryptie.
----------------------------------------------------------------------------------------------------------------
- Onderhoud en Beheer Informatiesystemen
MCTS 70-642
Augustus 2010 J., van NImwegen Pagina 34 van 39
CMAK; Connection Manager Administration Kit
Omdat we niet van alle gebruikers kunnen verwachten dat ze weten
hoe ze een vpn verbinding moeten opzetten, kunnen we ze daarbij helpen. Met de Connection Manager Administration Kit ( CMAK) kunnen
we een executable maken die de user maar hoeft te runnen. De executable brengt vervolgens alle benodigde wijzigingen aan, de user
hoeft dus geenn technische kennis te hebben.
Installeer nu op DC_RRAS de CMAK.
Dit is een feature.
Start nu vanuit het startmenu/ adm tools de CMAK op. Kies Windows Vista,
Kies new profile
----------------------------------------------------------------------------------------------------------------
- Onderhoud en Beheer Informatiesystemen
MCTS 70-642
Augustus 2010 J., van NImwegen Pagina 35 van 39
Servicename; naar RRAS.com Filename; Rrasvpn
Voeg als Realm toe RRAS.com;
kies meteen de optie
After the username.
We hoeven geen informatie te mergen; ga door
Vul het ipadres van de vpn server in;
Edit de VPN entry als volgt;
----------------------------------------------------------------------------------------------------------------
- Onderhoud en Beheer Informatiesystemen
MCTS 70-642
Augustus 2010 J., van NImwegen Pagina 36 van 39
Only ipv4 adressess;
Server assigns
addresses;
Only use L2TP;
Geen custom phone
book adden; (automatically
download uitzetten) ga gewoon door.
Do not change routing tables.
Do not configure proxy settings. Voeg geen custom action toe.
Kies de default graphic, icons en helpfile.
De license ontbreekt, dus niet
invullen.
Geen additional files nodig.
Geen advanced customization
Bij het afronden van de wizard wordt er een map aangemaakt met een exectuable van ca. 170 KB.
De locatie is C:\program files\CMAK\Profiles\Vista\rrasvpn\Rrasvpn.exe
Kopieer de map naar WIN7_RRAS.
----------------------------------------------------------------------------------------------------------------
- Onderhoud en Beheer Informatiesystemen
MCTS 70-642
Augustus 2010 J., van NImwegen Pagina 37 van 39
Ook hier geldt weer dat de thuisgebruiker dit zou kunnen doen met
een usbstick.
Maak op WIN7_RRAS een nieuwe user, Huisvrouw, aan. Zorg dat Huisvrouw bij de map kan komen. Huisvrouw krijgt uiteraard ook
een account in AD in de OU VPN. ( user2)
Log nu op WIN7_RRAS in als Huisvrouw en dubbelklik op de executable en constateer dat zich even later het inlogscherm voor
de vpn verbinding opent…. ; Huisvrouw kan nu een L2TP vpn verbinding opzetten met Member_RRAS.
In een domeinomgeving zouden we deze executable via een softwaredistributie policy (GPO) kunnen distribueren. Onze
WIN7_RRAS is echter geen lid van het domein, dus nu lukt dat niet, maar zoals je nu dus hebt gezien werkt de executable ook met clients
die géén lid zijn van het domein.
Maximaal aantal VPN verbindingen.
Op Member_RRAS; Log in als administrator ; in de RRAS console.
Selecteer Ports.
Klik met de rechtermuisknop; kies properties. Selecteer de WAN miniport L2TP.
Klik op Configure
en beperk het maximale aantal
gelijktijdige L2TP vpn verbindingen
dat member_RRAS
mag bedienen tot 1.
Klik op OK.
----------------------------------------------------------------------------------------------------------------
- Onderhoud en Beheer Informatiesystemen
MCTS 70-642
Augustus 2010 J., van NImwegen Pagina 38 van 39
Sluit de RRAS console.
Op WIN7_RRAS; Log in als Huisvrouw;
Maak met behulp van Rrasvpn.exe een nieuwe L2TP VPN verbinding aan.
Let op; de bestaande
snelkoppeling van de eerste VPN wordt nu
overschreven.
Rename die daarom
eerst even.
Probeer nu twee verbindingen tegelijk open te zetten; - Een verbinding als administrator
- Een verbinding als Huisvrouw
Constateer dat dit niet mag. De VPN
server accepteert maximaal één vpn
verbinding tegelijkertijd.
Hiermee zijn we aan het einde gekomen van de opdracht RRAS en VPN’s in Windows server2008.
Vraag de docent om te registreren dat je de aan opdracht hebt voldaan.
----------------------------------------------------------------------------------------------------------------
- Onderhoud en Beheer Informatiesystemen
MCTS 70-642
Augustus 2010 J., van NImwegen Pagina 39 van 39
Bijlage netwerktekening
DC_Rras.RRAS.
com
192.168.20.1 /24
Radius server
Member_RRAS
Radius clientWin7ext,
Windows 7
client.
Thuis computer
201.6.12.11 /24
201.6.12.10 /24
RRAS.com
192.168.20.2 /24Ipsec
encryptieShared secret