RRAS: Zorg dat op de DC een DHCP scope word geïnstalleerd en NPS Role. Vul bij de scope de gateway in van de DC. Let op: RRAS member server moet 2 netwerkkaarten bevatten (1. Interne netwerk, 2. Externe netwerk). Let op: Member RRAS is geen lid van het domein! Let op: Disable altijd IPv6 functie in je netwerkkaart Configureren Radius Client op DC: 1. 2. 3. 4. 5. 6.
Start NPS op Rechtsklik op radius clients en kies new radiusclient Friendly name = servernaam_RRAS “bv. Member.RRAS” Address (IP or DNS) = IP adres van Member server Vul ook de shared secret in en zet hem op manual “shared secret = zelf bepalen!” Maak meteen een connection request policy en een networkpolicy aan
Aanmaken van Connection request policy: 1. 2. 3. 4. 5. 6. 7.
Rechtsklik op connection request policy en kies nieuw Policyname = “Zelf verzinnen” Type of network = RRAS/VPN “Remote Acces server (VPN-DIAL up)” Ga naar tabblad conditions en vul hier eventuele toegangstijden in. Ga naar de tabblad settings en ga naar de kopje Authentication Stel hier “Authenticate requests on this server” in. Verder alles op defaultwaardes laten staan
Aanmaken networkpolicy: 1. 2. 3. 4. 5. 6. 7. 8.
Rechtsklik op networkpolicies en kies nieuw Policy name = “Zelf verzinnen” Vink “Policy enabled” aan onder Policy state Vink “Grant access” aan bij Acces Premission Kies bij Network connection method “Remote Acces Server (VPN-Dial up)” Verder alles op default waarde laten staan Ga naar de tabblad “Constraints” en kies authentication methods Hier kun je instellen welke beveiliging je nodig hebt voor je VPN verbinding.
Let op: als je een andere authenticatie instelt moet je dit wijzigen op 3 plekken 1. Op de radiusserver in de networkpolicysettings 2. Op de raduisclient in de RRAS properties 3. Op de inbellende machine in de properties van de connectie
Op member RRAS: Installatie NPS role: 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15.
Kies alleen de optie RRAS en Routing Configureer RRAS zodat hij als VPN server kan optreden (zie punt 3.) Rechtsklik op Meber server en configure Kies voor Remote Acces (dial-up or VPN) Kies uitsluitend voor VPN Maak nu een speciale IP range aan voor de VPN clients Kies bij “Managing Multiple Remote Access Servers” voor “Yes, set up this server…” Constateer nu bij Ports dat er verschillende poorten krijgt te zien (128 totaal) Rechtsklik op alle porten (SSTP, PPTP en L2TP) breng het overzicht terug naar 5 per poort Ga vervolgens naar IPv4 -> General -> Kies nu de netwerkaart van de buitenwereld (VPN) Rechtsklik hierop en naar properties en kies dan op het tabblad General Inbound Filters en vink hier “Drop all” aan. Rechtsklik nu op Member_RRAS (Local) properties en constateer dat de VPN server alleen IPv4 ondersteunt met LAN routen en demand dial. Ga nu naar het tabblad “Security” en zorg ervoor dat de authentication provider op “Radius Authentication” staat Klik vervolgens op “Authentication methode” en vink hier “Extenable Authentication Protocol (EAP) + Microsoft Encrypted authentication version 2” aan. Ga terug naar Security Tabblad Vink vervolgens “Allow custom IPsec L2TP connection” aan voor beveiligd VPN en vul hier een Preshard Key in (DIT ALLEEN NODIG ALS L2TP GEBRUIKT!)
LET OP: Als je iets hebt gewijzigd in RRAS, vergeet dan niet de RRAS te herstarten! LET OP: Vergeet niet bij het aanmaken van je VPN verbinding op de client bij het tabblad security L2TP te kiezen en de preshared key te gebruiken.
VPN Certificaten: Als je en Certificaat gaat gebruiken dan moet je bij security tabblad van de client “NIET VAN DE SERVER!" de preshared key weghalen en kiezen voor Certification authentication Op de DC: 1. 2. 3. 4. 5. 6. 7. 8.
9. 10. 11.
Installeer de rol van Certificate Service Kies voor Certification Authority & Web enrollment Kies vervolgens voor Enterprise Root CA met een nieuwe private Key Kies verder alle default waardes Start DC_RRAS opnieuw op Start IE op en stel bij veiligheid instellingen “Lokale Intranet Zone” de ActiveX Control “Intalize and script ActiveX Constrols not marked as safe….” Op enable. Vraag nu de Certificaat op via http://localhost/certsrv Kies nu achtereenvolgend: a. Request a certifcate b. Advanced certificate reqeust c. Create and submit a request to his CA d. Certificate template; Administrator e. Submit deze request f. Install certificate Plaats op het bureaublad van de DC een MMC met me personal certificates van User en Local computer Controleer nu dat bij personal het certificaat aanwezig is zowel bij User als Computer Ga nu naar de Server Manger van de DC en kies AD Certificates -> Certifcates templates
12. Maak een kopie beschikbaar van de Ipsec template (rechtsklik IPsec -> Properties); Duplicate de template onder de naam Kopie van Ipsec. Kies voor de Windows server 2008 edition. laat de template publishen in AD, geef de auth users Read en Enroll, geef de administrator het R/W/Enroll recht en geef de Domain computers het Enroll recht) 13. Klik nu op Certifacte Templates en kies new -> Certificate template to issue 14. Vraag nu op DC via MMC voor de personal store van de computer het IPseccertificaat aan. Gebruik wel de de kopie die je hebt gemaakt! 15. Enroll dit certificaal en zorg ervoor dat de private key exportable is en archived wordt voordat je op enroll klikt. “Copy of IPsec -> Details -> Properties -> Private Key Tabblad vink hier exportable en archived aan. 16. Nu staat IP sec tussen je personal certificaten. 17. Exporteer de certificaat naar een gedeelde map zodat andere deze kunnen importeren, je exporteert ook de private key mee!
18. Importeer het IPsec certificaat op zowel member als win7 client in de MMC Local Computer en dan in de personal map. 19. Nu staan de certificaten erin alleen zijn ze nog niet trusted. 20. Ga naar de MMC toe van DC en exporteer de Certificaat “DC_RRAS-CA” vanuit de map Personal -> Certificate naar de shared folder. Kies tijdens het exporteren voor “Intended purpose ALL, Mark de key als Exportable” 21. Importeer deze certificaat op Member en Win7 client in de local computer certificaten -> trusted root certification.
TIP: Je kunt de certificaten ook automatisch laten uitrollen via GPO!
NPS Policy Server aanpassen voor Certificaten: 1. Start NPS op 2. Ga naar policy -> Network policy en maak een nieuwe aan 3. Voeg in de properties , tabblad condition Day and Time restricion “Altijd” en “Tunnel Type LT2P” aan/toe. 4. Mocht je VPN nu nog niet werken, herstart je machines! CMAK (Automatisch VPN verbindingen laten maken via .exe bestand) 1. 2. 3. 4. 5. 6. 7. 8.
9. 10. 11.
Installeer op de DC feature “Connection Manager Administration Start nu CMAK op Kies Windows Vista vervolgens New Profile Service Name = Naar RRAS.COM (of anders) Filename = RrasVPN Kies “Add a realm name….” en vervolgens vink “After the user name….” Aan. Vul bij VPN server name or IP address de IP van de VPN server in. (IP van netwerkkaart naar buiten!) Vervolgens in de overzicht klik je op “Edit” en voer het volgende allemaal in: a. Only ipv4 address b. Only use L2TP c. Geen custom phone, book adden (automatically download uitzetten) d. Do not change routing tables e. Do not configure proxy settings f. Voeg geen custom actie toe g. Kies default graphic, icons en helpfile De licentie ontbreekt dus niet invullen Geen additonal files nodig Geen advanced customization
12. Bij het afronden van de wizard wordt er een map aangemaakt met een executable “C:\program files\CMAK\Profiles\Vista\rrasvpn\Rrasvpn.exe” 13. Zorg ervoor dat de win7 gebruikers deze exe bestand krijgen, dan hoeven ze VPN niet zelf te configureren, kan eventueel via een GPO. Op Member_RRAS; Voor instellen maximaal VPN verbindingen: Log in als administrator ; in de RRAS console. Selecteer Ports. Klik met de rechtermuisknop; kies properties. Selecteer de WAN miniport L2TP.
Klik op Configure en beperk het maximale aantal gelijktijdige L2TP vpn verbindingen dat member_RRAS mag bedienen tot 1. Klik op OK.
