Configureren van een VPN L2TP/IPSEC verbinding
In combinatie met:
Inhoudsopgave 1.
Voorbereiding. ................................................................................................................................. 3
2.
Domaincontroller installeren en configuren. .................................................................................. 4
3.
VPN Server Installeren en Configureren.......................................................................................... 7
4.
Port forwarding. ............................................................................................................................ 11
5.
Externe Clients verbinding laten maken. ...................................................................................... 12
2 Erik Bakker
1. Voorbereiding. Je kan gebruik maken van fysieke servers of virtuele servers. Dit zal voor het configureren niet uit maken. Installeer als eerste de twee servers. Een Windows Server 2012 en een Windows Server 2008 R2. Dit is een standaard installatie. Gebruik wachtwoord op beide servers het zelfde wachtwoord. Dit voorkomt verwarring. Na de installatie de servers activeren en compleet updaten. Installeer eventueel nog extra software die je erop wilt hebben. (zip-7, Notepad++, Enz) Geef de servers een vast IP adres en een duidelijke naam. Servernaam DomainServer (Domaincontroller is te lang) VPNServer VPNServer
IP adres 192.168.1.253 192.168.1.252 192.168.1.251
Vul bij DNS het IP adres in van de Domain Controller. Als tweede DNS kan je de Gateway opgeven. Dit is meestal ook een DNS server. Als de gateway 192.168.1.254 is maak dan gebruik van de bovenstaande tabel. Als de gateway 192.168.1.1 is hoog alles met 1 op. Controleer wel of andere machines geen gebruik maken van dit IP adres. De VPN server moet over 2 nic’s beschikken. Een van de nic’s is voor het VPN verkeer en de andere voor Internet en RDP sessies.
3 Erik Bakker
2. Domaincontroller installeren en configuren. Login op de Windows Server 2012 server en open de Server Manager. Deze opent meestal standaard mits dit niet is uit gezet. Klik op Manage en dan op Add Roles and Features. Klik op next. Zorg dat Role-based or feature-based installation is aangevinkt en klik op next. Zorg dat select a server from the server pool is aangevinkt. De juiste server zal al aangeklikt zijn. Dit komt omdat dit de enige bekende server is. Klik op next. Vink nu Active Directory Domain Services en DNS Server aan. Installeer ook de Features waar de server om vraagt. Klik op next en dan nogmaals op next.
Klik Next, Nogmaals next en dan install Als de installatie klaar is klik op close.
4 Erik Bakker
Recht boven staat nu een vlaggetje met een uitroepteken. Klik daar op. Klik daarna op Promote this server to a domain controller.
Vink add a new forest aan en vul de domain naam in die je wilt gaan gebruiken. Klik daarna op next.
Vul een wachtwoord in en klik op next. Klik next, next, next, controleer de gegevens en klik op next. Er wordt een check gedaan als dit goed is klik op install. Als er een fout optreedt kijk wat er moet gebeuren om dit te verhelpen. Waarschuwingen kunnen genegeerd worden. Na de installatie zal de server herstarten. Als dit niet het geval is herstart de server dan handmatig. Als de server herstart is open dan het start menu en dan Active Directory Users and Computers. Klap dan je Domain open Klik je Domain aan en maak twee nieuwe Organizational Units aan. Eén genaamd Servers en één VPN Users. Maak in de OU VPN Users ook nog de OU Disabled en VPN groups aan. 5 Erik Bakker
Disabled wordt nu niet gebruikt maar dit is voor mensen die tijdelijk VPN mogen gebruiken. Zodat je ze niet hoeft te verwijderen alleen uitschakelen en verplaatsen. Maak in de OU VPN Groups de Groep VPN Access aan.
Maak daarna in de OU VPN Users een Gebruiker aan. Maak deze lid van de group VPN access.
Maak daarna je VPN Server lid van je Domain. Verplaats daarna de server van de OU Computers naar de OU Servers. Dit maakt het makkelijker om in de toekomst Group Policy’s toe te kennen en je hebt een duidelijker overzicht als je Active Directory groeit. Nu is het domain en de domain controller klaar. Er kunnen eventueel nog meer dingen worden geconfigureerd maar dit is niet verplicht.
6 Erik Bakker
3. VPN Server Installeren en Configureren. Login op de Windows Server 2008 R2 server. Open de server manager en klik links op roles. Hierna zal rechts staan add roles. Klik hier op Klik op next. Vink dan Network Policy and access services aan. Klik daarna weer op next. Klik weer op next. Vink daarna Network Policy Server en Remote Access Service aan. Klik weer op next en daarna op install.
Klik daarna op Close en Reboot de server. Als de server is opgestart duurt het even voordat de Services die nodig zijn voor VPN gestart worden. Deze kunnen wel handmatig eerder worden gestart. Het kan zijn dat de Routing and Remote Access services uitgeschakeld staat. Ga naar services (services.msc) zoek deze service en verander van Disabled naar Automatic en start dan de service. Ga daarna weer naar de server manager, naar roles en naar Network Policy and Access services.
7 Erik Bakker
Doe daarna rechtermuis knop op Routing and Remote Access. Klik dan op Configure and Enable…
Nu opent een scherm. Klik op next. Vink dan Remote access (dial-up or VPN) aan. Klik op next. Vink daarna VPN aan. Klik op Next. Je krijgt nu de nic’s te zien. Selecteer de eerste. Klik dan op next.
Vink in het volgende scherm From a Specified range of addresses aan. Klik Next Klik nu op New en geef aan welke adressen je wilt gebruiken. Klik op ok en dan next.
Klik Next en dan Finish 8 Erik Bakker
Doe rechtermuisknop op Routing and Remote Access en klik op Properties. Ga naar het tabje Security. Vink Allow Custom IPsec Policy for L2TP Connection aan. Vul hierna een Preshared key in. Klik daarna op OK.
Je krijg nu een melding dat je de services moet herstarten. Doe dit door rechtermuisknop op Routing and Remote Access, all tasks en dan restart. Ga daarna naar NPS (local), Policies en dan Network Policies.
9 Erik Bakker
Er staan standaard al twee Policies. Deze moeten gedisabled worden. Klik daarna rechts op New. Geef de Policy de naam L2TP en zorg dat bij Type of network access server, Unspecified staat. Klik hierna op next. Hierna kom je bij Specify Conditions. Hier moeten vier conditions worden toegevoegd. Dit doe je doormiddel van Add… Voeg eerst User Groups toe. Nu opent een scherm. Klik op add groups en voeg de groep VPN Access toe. Voeg als tweede Authentication Type toe. Vink MS-CHAP v2 en MS-CHAP v2 CPW aan. Voeg als derde Tunnel Type toe. Vink in de bovenste box Layer two Tunneling Protocol (L2TP) aan. In de onderste box moet dit ook maar hier doet die dat zelf. Voeg als laatst MS-RAS Vendor toe. Vul in deze balk ^311$ toe.
Klik hierna op next. Zorg dat Access granted is aangevinkt en klik op next. Kin het volgende scherm op Add en selecteer Microsoft: Secured Password (EAP-MSCHAP v2). Klik op OK en dan next. Zet de Idle time op 15 en klik next. Klik nu Links op Ip Filters. Klik bij IPv4 op Input filters. Vink Permit only packets listed below aan. Klik op New… en klik op OK. Klik nog een keer OK aan. Doe het zelfde bij Output Filters. Klik next. Nu krijg je een samenvatting te zien van wat je hebt ingesteld. Controleer en klik op Finish Test indien mogelijk of je verbinding kan maken met een client naar de VPN server. Deze moet lokaal in je netwerk staan. Als dit mogelijk is, is de server goed geconfigureerd.
10 Erik Bakker
4. Port forwarding. Om te zorgen dat van buitenaf verbinding kan worden gemaakt met de VPN server moeten de volgende poorten worden open gezet: Port: 1701 Protocol: UDP Onderdeel: L2TP Port: 500 Protocol: UDP Onderdeel: IPSec Port: 4500 Protocol: UDP Onderdeel: NAT-T Deze moeten verwijzen naar het IP adres waar het VPN verkeer overheen moet.
11 Erik Bakker
5. Externe Clients verbinding laten maken. Omdat deze VPN manier geen standaard manier is moet er op de cliënt een Register key worden aangemaakt. In Windows XP: HKLM\System\CurrentControlSet\services\IPSec Maak DWORD met de naam AssumeUDPEncapsulationContextOnSendRule en geef het de waarde 2. Herstart de cliënt. In Windows Vista/7: HKLM\System\CurrentControlSet\services\PolicyAgent Maak DWORD met de naam AssumeUDPEncapsulationContextOnSendRule en geef het de waarde 2. Herstart de cliënt. Mobiele telefoons kunnen wel verbinding maken zonder extra instellingen. Het kan handig zijn om ook een IIS server in te richten en deze ook te portforwarden. Als je van de Register key een export maakt. Kan je deze op de IIS server zetten zodat je je altijd makkelijk en snel deze key kan toevoegen. Standaard ondersteunt IIS geen .Reg bestanden. Daarom kan je deze inpakken in een .Zip bestand. Deze worden wel ondersteund door IIS
12 Erik Bakker
