Onderhoud en Beheer Informatiesystemen. 70_642 opdracht RRas en VPN s in Windows 2008.

Transcriptie

1 . 70_642 opdracht RRas en VPN s in Windows Deze opdracht maakt gebruik van de vapp, vapp_jvn_dualnic. De opdtracht is werkend getest in de cloud. Docentenexemplaar Onderwerp; RRas en vpn s in windows 2008 Inhoud van deze opdracht; Configuratie van de RRAS server Radius VPN verbinding opzetten op de client Verbindingstypes; L2TP met IPSEC Certficate Services IPSec encryptie CMAK; Connection Manager Administration Kit Maximaal aantal VPN verbindingen Bijlage netwerktekening Doel van deze opdracht; implementatie en configuratie van RRas met VPN clients kennisnemen van PPTP, L2TP, IPsec en diverse authenticatie protocollen Benodigde virtuele machines; Een domaincontroller, DC_RRAS genaamd. Een memberserver, Member_RRAS genaamd. Een Win7 machine, Win7_RRAS genaamd Richt nu eerst een windows server2008 machine in als Domain controller van het domein Rras.com. Gebruik hierbij de volgende gegevens; Computernaam;DC_RRAS Ipadres ; /24 Disable ipv6 Forest functional level; windows2008 MCTS J., van NImwegen Pagina 1 van 39

2 Vanwege verdeling van werkdruk en veiligheidsredenen is het verstandig om niet de Domain Controller van het netwerk tevens tot VPN server te benoemen. Wij gaan daarom straks een tweede server2008 machine, Member_RRAS, als VPN server inrichten. Ook hier zullen we de veiligheid van ons eigen domein moeten bewaken. Member_RRAS zal daarom niet in het domein worden opgenomen. De beoordeling of een user via een VPN verbinding mag connecten kan Member_RRAS dus ook niet maken, omdat Member_RRAS dit niet kan nagaan in AD. Daarom zullen we op een andere machine ( die wel in het domein is opgenomen) een Radius server installeren. Deze service zoekt dan namens Member_RRAS in AD op of een user toegang mag krijgen of niet. Wij zullen de Radiusserver nu installeren op onze enige andere machine, DC_RRAS. Enige taak van Member_RRAS is nu dus om de connection requests van inbellende users door te sturen naar DC_RRAS. Als DC_RRAS de connection goedkeurt, zal Member_RRAS de connection tot stand brengen. Voordeel van deze Radiusconstructie; 1. omdat de VPN server geen lid is van het domein, loopt het domein minder risico. Mocht een hacker zich toegang verschaffen tot de VPN server, dan nog heeft hij geen toegang tot AD. 2. De Radius service is onderdeel van de Network Policy Service. Met deze NPS kunnen we gecentraliseerd allerlei securitysettings instellen ( networkpolicies en connection request policies). Door elke VPN server te verwijzen naar de Radiusserver, bereiken we dat elke VPN server dezelfde security settings hanteert, namelijk die settings die op de Radius server centraal zijn vastgelegd. We hebben nu dus te maken met een Radius server ( DC_RRAS ) en een of meer Radius Clients ( onze VPN server, Member_RRAS ) Thuiswerkers kunnen via Member_RRAS toegang krijgen tot de resources van het domein. LET OP; Uiteraard heeft Member_RRAS twee netwerkverbindingen nodig; één voor de communicatie binnen het bedrijfsnetwerk, en een andere voor de communicatie met de buitenwereld. Op DC_RRAS; Installeer de rol van DHCP server. Richt een dhcp scope in als volgt; Parent domain; Rras.com MCTS J., van NImwegen Pagina 2 van 39

3 Dns server Scopename; Rrasscope Start ip End ip Subnetmask Gateway ( DC_RRAS) Scopetype; wired Configuratie van de RRAS server. Richt nu een memberserver, Member_RRAS, in. Ip adres intern /24 Ipadres voor de verbinding met de buitenwereld /24 DNS server is natuurlijk DC_RRAS. Disable ook hier ipv6. Het zal je duidelijk zijn dat Member_RRAS géén lid wordt van het domein. Radius. Radius zorgt voor centralisatie van alle remote access connections, waaronder ook vpn verbindingen. Dit gaat via één centraal punt ( een NPS server). Radius kent een Radius server en een Radius client. De client is een vpn server die een connection request van een inbellende user doorstuurt naar de NPS server. Deze NPS server toetst of de inbellende gebruiker wel via vpn mag connecten. Als dit is toegestaan, krijgt de VPN server van de NPS server toestemming om de gebruiker door te laten. De Radius server zorgt uiteindelijk voor de Authentication, de authorisation en de accounting. ( triple A noemt men dat) Installeer nu Op Dc_RRAS eerst de NPS role. Start daarna vanuit het startmenu de NPS console op. MCTS J., van NImwegen Pagina 3 van 39

4 Configureer Radius als volgt; Rechtsklik op Radius Clients; Kies new Radiusclient Geef de naam en het ip adres van Member_RRAS als nieuwe radiuscliënt mee. Vul ook de shared secret in; dit is een sleutel waarmee de Radius server en de Radius client zich tegenover elkaar identificeren. Maak meteen een connection request policy en een networkpolicy aan waarmee we de security settings gaan instellen voor onze VPN verbinding. Maak eerst de nieuwe CRP aan als volgt; Rechtsklik op Connection request policies; kies New Policyname; Radiustoegang. Type of network access server; RRAS/VPN MCTS J., van NImwegen Pagina 4 van 39

5 Conditions; Day and Time restriction. Stel in; Permitted altijd. Deze instelling bepaalt nu dat deze policy constant zal moeten gelden. Een beetje verwarrende omschrijving dus Settings; Authentication; Stel in Authenticate requests on this server. Hiermee vertellen we DC_RRAS dat hij degene is die AD moet raadplegen om na te gaan of aan een bepaalde request kan worden voldaan. Verder alle defaultwaardes kiezen.. Maak nu een nieuwe Networkpolicy aan als volgt; Rechtsklik op Networkpolicies; kies New. MCTS J., van NImwegen Pagina 5 van 39

6 Policyname; Nieuwe netwerkpolicy Type of network access server; RRAS/VPN Day and time restrictions; ook weer always permitted Grant Access Authentication methods; MSCHAPv2 en MSCHAP Verder alle defaultwaardes. Dit is niet de best beveiligde verbindingsmethod e, maar wel de meest eenvoudige om te implementeren. We bereiken hiermee dat een inbellende user zich kan identificeren met simpelweg zijn username en password. Er zijn geen extra zaken nodig, zoals certificaten of smart cards enz Voor onze testdoeleinde volstaat het. MCTS J., van NImwegen Pagina 6 van 39

7 Van belang is nu om ervoor te zorgen, dat altijd zowel de Radius server, als de Radius client EN de machine van de inbellende user dezelfde authentication protocollen ondersteunen. Anders wordt er geen verbinding toegestaan. Dus als we een ander authenticationprotocol gaan gebruiken, moeten we dat op drie plaatsen wijzigen, namelijk; 1. Op de Radiusserver, in de networkpolicysettings 2. Op de Radiusclient, in de RRAS properties (zien we straks) 3. Op de inbellende machine, in de properties van de connectie Dit is het eindresultaat; de nieuwe policy samengevat. Nu we de Radius server hebben geconfigureerd, moeten we ook de Radius Client, Member_RRAS, inrichten. MCTS J., van NImwegen Pagina 7 van 39

8 Op Member_RRAS; Log in als local administrator. Installeer ook hier weer de role van NPS server. Kies alleen de opties RRAS en Routing. Configureer nu RRAS zodat Member_RRAS als VPN server kan optreden. Kies voor de optie Remote Access ( dialup or VPN) Kies daarna uitsluitend VPN. MCTS J., van NImwegen Pagina 8 van 39

9 Laat een speciale IP range range gebruiken voor de VPN clients; tot Verwijs Member_RRAS naar DC_RRAS als zijnde de Radius server. Alle communicatie tussen Radius server en Radius client wordt nu versleuteld met behulp van de shared secret. We hoeven hierop dus geen aparte encryptie meer toe te passen. Binnen het domein is dit veilig genoeg. MCTS J., van NImwegen Pagina 9 van 39

10 Constateer dat na de configuratie van de VPN server in de console van RRAS onder Ports de verschillende poorten zichtbaar zijn (SSTP, PPTP en L2TP). Standaard zijn er 128 poorten beschikbaar. Dit aantal gaan we vanwege het overzicht eerst terugbrengen tot 5 poorten per verbindingstype. Daarmee wordt overigens ook de veiligheid van onze VPN server verhoogd, omdat er minder ingangen zijn. Rechtsklik op Ports, kies de properties en configureer de drie verbindingstypes. Onder Ipv4/ general is nu bij de properties van de gekozen vpn verbinding zichtbaar welke inbound en outbound filters automatisch zijn aangemaakt. Hiermee worden alle packets gedropt m.u.v. die packets die VPN verkeer betreffen. MCTS J., van NImwegen Pagina 10 van 39

11 Open de properties van Member_RRAS en constateer dat deze vpn server alleen ipv4 ondersteunt met LAN routing en demand dial. Het tabblad Security meldt bij zowel de authentication provider als de accounting provider dat gebruikgemaakt wordt van Radius Authentication/Accounting. Dit is automatisch ingesteld toen Member_RRAS werd geconfigureerd als Radius client. Stel vast dat voor de user authentication default gebruik wordt gemaakt van MSCHAPv2 en EAP. Deze authentication vindt o.a. plaats tussen inbellende user en de VPN server, via het internet. Hier willen we straks wel graag extra encryptie op loslaten, want deze data gaat over het onveilige internet. MCTS J., van NImwegen Pagina 11 van 39

12 De optie van de pre shared key bij security is erg onveilig want dan gaat de eigenlijke data weliswaar encrypted over de lijn, maar de authentication data is nog steeds unencrypted. Het is wel een goede optie om een en ander te testen als je eraan twijfelt of de verbinding überhaupt wel werkt en je denkt dat het probleem bij de authentication zit. MCTS J., van NImwegen Pagina 12 van 39

13 VPN verbinding opzetten op de client. Wat je van nu af goed in gedachten moet houden is het volgende; De bedoeling van een VPN is dat mensen vanuit elders ( in ons geval; vanuit thuis) kunnen inloggen op het domein van hun werkgever. Die mensen moeten dan wel een account hebben dat bekend is in Active Directory. De computer waarmee ze van buiten (thuis) af willen inloggen is per definitie geen lid van het domein. (Deze thuis machine heeft van zijn provider een ip adres gekregen waarmee internet bereikbaar is. Over dat internet zoekt de thuiscomputer straks contact met de VPN server op kantoor. Als er wordt gevraagd om in te loggen op WIN7_RRAS, dan bedoelen we dus ook steeds dat je LOKAAL moet inloggen. Dus niet op het domein. Het bedrijfsdomein is thuis immers niet beschikbaar.. Start Win7_RRAS op. Direct na de opstart van WIN7_RRAS: Log in als administrator. Geef WIN7_RRAS het static ip adres /24. Gateway ( work network) Maak een VPN verbinding aan via het network sharing center. MCTS J., van NImwegen Pagina 13 van 39

14 Kies; Use my Internetconnection. I will setup an internet connection later. Bij de credentials vul je in; RRAS\administrator en wachtwoord. Klik op Create en daarna Close.. Daarna vind je onder Network sharing center/connect to a network de VPN verbinding. MCTS J., van NImwegen Pagina 14 van 39

15 Klik op Connect. Wanneer de administrator geen toegang krijgt kan dit komen omdat de geldende network policy hem de toegang ontzegt. MCTS J., van NImwegen Pagina 15 van 39

16 Hier zie je dat de VPN server eerst in Active Directory gaat kijken of de user wel authorised is om via Dial up/ Vpn verbinding in te loggen. Geef de administrator even expliciet toegang door in zijn AD properties de access te wijzigen in Control access through NPS Network Policy. Constateer dat de administrator nu wel toegang krijgt. In essentie werkt de vpn verbinding nu dus Stel vast dat Member_RRAS een remote Access Client detecteert; MCTS J., van NImwegen Pagina 16 van 39

17 Constateer op WIN7_RRAS dat deze client een ip adres heeft gekregen uit de range die we in Member_RRAS daarvoor hebben ingesteld. Dit ip adres gebruikt Win7_RRAS voor de vpn communicatie met Member_RRAS, die speciaal voor dat doel een tweede ipadres heeft gekregen, hier Ook zie je op welk extern ip adres WIN7_RRAS de vpn server benadert. Stel vast dat voor de authentication gebruikgemaakt wordt van MSCHAPv2 over een PPTP verbinding. ( WAN Miniport) Constateer dat de administrator nu via Run \\DC_RRAS.Rras.com binnenkomt op DC_RRAS. Oftewel de LAN routing werkt. Via de VPN verbinding met Member_RRAS kan WIN7_RRAS nu naar DC_RRAS toe. Constateer dat Run \\Member_RRAS niet werkt. Member_RRAS is nu alleen een router, en daarmee zelf niet toegankelijk. MCTS J., van NImwegen Pagina 17 van 39

18 Verbreek de VPN verbinding. Probeer of de administrator ook binnen kan op DC_RRAS als je niet eerst de vpn verbinding hebt opgezet. Kan de administrator inloggen? Antwoord;. NEE Noteer welke melding het systeem geeft; Melding:... Windows cannot access \\dc_rras.rras.com Stel nu in de properties van de administrator in dat zijn Dialin toegang bepaald moet worden via de NPS Network policy. Zorg dat de policy201 op Grant Access Staat. Controleer eerst of de administrator nu kan connecten. Ga niet verder als dit nu niet werkt. Op Win7_RRAS: Maak een lokale gebruiker, huisman, aan. Limited account. ( My computer/ manage/ local users and groups/ users). De naam Huisman is dus niet bekend in Active Directory. Huisman is echter werknemer bij RRAS.Com en heeft daar een account onder de naam User1. MCTS J., van NImwegen Pagina 18 van 39

19 Maak nu in AD een aparte OU, VPN, aan. Maak in die OU meteen een account, User1, aan. Op Win7_RRAS: Log uit als beheerder en log in als Huisman. Zorg dat Huisman via de VPN verbinding kan inloggen op Member_RRAS. Let op; vul geen domeinnaam in. Maak het mogelijk voor Huisman om een printer te vinden op DC_RRAS. Installeer hiervoor op DC_RRAS een printer en share deze. Ga na dat Huisman, via de vpn verbinding als User1, deze printer kan benaderen. Hiermee heb je dus gezien hoe vpn verbindingen gebruikt worden om remote users toegang te geven tot resources binnen het domein. Verbreek de vpn verbinding. Uiteraard is het de bedoeling dat alle mappen die de user op deze manier kan zien, voldoende zijn afgeschermd. Dat doet hier nu echter even niet terzake MCTS J., van NImwegen Pagina 19 van 39

20 Verbindingstypes; Reeds eerder in deze opgave hebben we gezien dat de WIN7 client tijdens de vpn verbinding gebruikmaakt van het Point to point tunnelingsprotocol, PPTP. Dit protocol is echter niet echt veilig, daarom gebruiken we liever het L2TP, protocol in combinatie met Ipsec. Erg belangrijk in dit overzicht is; 1. het type WAN minipoort; PPTP of L2TP 2. authentication; welk protocol wordt gebruikt voor de authenticatie 3. hoe komen vpn server en client aan het ip adres? Noteer de volgende informatie; Wan minport type;...pptp Authentication;...ms chap v2 Encryption;.....mppe 128 Server IP address; client IP address; L2TP met IPSEC. Een beter beveiligde vpn verbinding is die waarbij gebruik gemaakt wordt van het L2TP. Dit protocol zorgt ervoor dat alle data verkeer tusen VPN server en client wordt encrypt. Daarbij zijn twee mogelijkheden; 1. het gebruik van een pre shared key. Dit is de eenvoudigste vorm om te configureren, maar tevens ook de zwakste vorm van beveiliging. 2. Het gebruik van certificaten. Hiervoor moeten we wel een CA in het domein hebben die certificaten verstrekt aan de VPN server en aan MCTS J., van NImwegen Pagina 20 van 39

21 de client. Dit is een betere beveiliging dan die met de pre shared key, maar uiteraard ook wat lastiger om te configureren. Hiermee wordt dus de verbinding tussen de VPN server en de inbellende user encrypt, niet de verbinding tussen Radius server en Radiusclient. Op Member_RRAS; Log in als administrator; Ga in de RRAS console op zoek naar de properties van Member_RRAS. Kies het tabblad Security. Vink aan; Allow custom Ipsecpolicy for L2TP connection. Key = geheim. Klik op OK. Op WIN7_RRAS; Log in als Huisman. Start de vpn verbinding naar RRAS.com weer op. In de properties van de vpn verbinding, tabblad Security; Restart de RRAS service. MCTS J., van NImwegen Pagina 21 van 39

22 Kies Type of VPN; L2tp. Via de Advanced Settings vul je de pre shared key in. Vul de key geheim in. Start de vpn verbinding weer opnieuw op. Vraag via de properties van de openstaande vpn verbinding de status op en de details. Noteer de volgende informatie; WAN miniport type;..l2tp Encryption;.Ipsec AES 128 Kortom; het dataverkeer over deze vpn verbinding is nu encrypted m.b.v L2TP in combinatie met IPSEC. En het type encryption is veranderd van Mppe 128 ( zie PPTP ) in AES 128, een veel strengere vorm van encryptie. Wat indien RRAS server en client niet over dezelfde encryptie sleutel beschikken? MCTS J., van NImwegen Pagina 22 van 39

23 Op WIN7_RRAS: Stel een andere preshared key in en probeer weer een nieuwe vpn verbinding te openen. Constateer dat de verbinding nu niet tot stand komt. Stel weer de juiste key in en controleer dat de verbinding weer werkt. Het gebruik van Ipsec vergt de aanwezigheid van een certificate Authority. Deze zal certificaten uitgeven aan andere computers waarmee zij zich kunnen identificeren tegenover de VPN Server. Ook de VPN server zelf zal zich met zo n certificaat identificeren tegenover de VPN clients. Verwijder de preshared key op zowel Win7 als Member_RRAS. Certficate Services. Installeer nu op DC_RRAS de rol van de Certificate Services. Laat Web enrollment meteen mee installeren. MCTS J., van NImwegen Pagina 23 van 39

24 Uiteraard kiezen we de Enterprise Root CA met een nieuwe private key. Kies verder alle default opties, tot je uit de wizard bent. Start DC_RRAS even opnieuw op.. Direct na de restart moeten we een certificaat gaan aanvragen bij de CA. Daarvoor hebben we ActiveX scripting nodig; dat zullen we eerst moeten enabelen; Zorg er voor dat in de internet opties ActiveX control scripting wordt toegestaan op de Lokale intranet zone. Anders verschijnt straks onderstaand scherm; Vraag nu eerst op DC_RRAS een certificaat aan via; Run; Kies achtereenvolgens; Request a certificate Advanced certificate request Create and submit a request to this CA Certificate template; Administrator. Submit deze request Install Certificate. Plaats op het bureaublad van DC_RRAS nu een MMC met de peronal certificates van de User én van de local computer. MCTS J., van NImwegen Pagina 24 van 39

25 Ga na dat beide onderdelen nu een certificaat bevatten: De user store bevat een certificaat ( purpose; MS Trustlist signing. ) bij de personal certificates issued aan de administrator t.b.v. oa prove your ID t.o.v remote computers. De Computer store bevat een certificaat bij de personal certificates tbv all issuance policies en all application policies. En een certificaat t.b.v. de client authentication Het certificaat t.b.v. van client authentication heeft de CA overigens aan zichzelf uitgedeeld bij de installatie van de Enterprise Root CA in de vorige stap. IPSec encryptie. MCTS J., van NImwegen Pagina 25 van 39

26 Maak nu op DC_RRAS via server manager op de Cert Auth een kopie beschikbaar van de Ipsec template; Duplicate de template onder de naam Kopie van Ipsec. Kies voor de Windows server 2008 edition. laat de template publishen in AD, geef de auth users Read en Enroll, geef de administrator het R/W/Enroll recht en geef de Domain computers het Enroll recht) Issue deze nieuwe template, zodat DC_RRAS erover kan beschikken. Vraag nu op DC_RRAS via de MMC voor de personal store van de computer het ipseccertificaat aan. Uiteraard gebruik je de copy die je net hebt gemaakt.. MCTS J., van NImwegen Pagina 26 van 39

27 Laat dit certificaat enrollen. Zorg ervoor dat de private key exportable is en archived wordt, voordat je op Enroll klikt. Ga na dat nu ook het ipsec certificaat zichtbaar is op DC_RRAS: Het Ipsec certificaat; allows secure communication on internet Het client authentication certificaat;proves your identity and ensures the identity of a remote computer. Exporteer nu op DC_RRAS het ipseccert certificaat als ipseccert naar een aparte gedeelde map, Certexports. MCTS J., van NImwegen Pagina 27 van 39

28 Exporteer de private key ook. Kopieer het geëxporteerdipse certificaat daarna over het netwerk naar Win7_RRAS en naar member_rras.. Maak hierbij o.a gebruik van de vpn verbinding van de administrator van Win7_RRAS. Importeer het ipsec certificaat op zowel MEMBER RRAS als op Win7_RRAS uitsluitend in de computer store. Uiteraard maak je eerst op Win7_RRAS als local administrator eerst een MMC met de certificates van de local user en de local computer. (Mark de key als exportable!!) Dit certificaat hebben Member_RRAS en Win7_RRAS nodig om over internet te kunnen communiceren met gebruikmaking van Ipsec encryptie. MCTS J., van NImwegen Pagina 28 van 39

29 Open nu m.b.v een MMC op zowel Win7_RRAS als op Member_RRAS het vers geïmporteerde certificaat. Constateer dat dit certificaat wordt aangemerkt als Cannot be verified. Dit komt omdat dit certficaat is uitgegeven door een CA die niet bekend staat als Trusted CA. ( rras DC_RRASCA ) Dat moeten we nu dus nog regelen. Zowel op Member_RRAS als op Win7_RRAS; Constateer dat de computerstore geen Trusted Root Certification Authority kent met de naam rras DC_RRASCA Hier moet nu dus onze CA worden toegevoegd als Trusted Root CA. Op DC_RRAS: Exporteer het certificaat met de intended purposes ALL. Mark de key als Exportable. MCTS J., van NImwegen Pagina 29 van 39

30 Importeer het zowel op Member_RRAS als op Win7_RRAS in de computer store van de Trusted Root CA. Ga na dat direct na deze import het certificaat wel vertrouwd wordt. Dat komt omdat onze CA nu wel als Trusted Root CA bekend is. MCTS J., van NImwegen Pagina 30 van 39

31 Stel tot slot in de properties van de vpn verbinding op de client in dat L2TP gebruikt moet worden. Maak nu verbinding en voila! Het werkt. Disconnect de verbinding. Log uit als beheerder. Log in als Huisman en maak ook onder dit account een L2TP vpn verbinding. Constateer dat ook Huisman nu een veilige L2TP vpn verbinding kan opzetten. Er is echter alleen nog één probleem; Als Huisman in de properties van de VPn verbinding niet kiest voor de L2TP optie, wordt er ook een verbinding tot stand gebracht. Maar dan een onveilige PPTP verbinding. En dat willen we niet!! Dat betekent dat we nu de Network policy server zodanig moeten configureren dat PPTP verbinding geweigerd moeten worden. MCTS J., van NImwegen Pagina 31 van 39

32 Maak daarom nu een nieuwe netwerkpolicy aan. Voeg in de Properties, tabblad Conditions toe; Day and Time restrictions;altijd Tunnel Type; L2TP Voeg beide conditions toe in de policy. MCTS J., van NImwegen Pagina 32 van 39

33 Vanaf dit moment zullen PPTP connection request worden geweigerd. Alleen als Win7_RRAS het L2TP protocol gebruikt, wordt de vpn verbinding toegestaan. Als dit niet direct werkt; start de machines eens een keer opnieuw op Tot slot; Het beschikbaar maken van de certificaten op de Win7 client is een heel gedoe. Dit kan veel eenvoudiger als we alle benodigde certificaten automatisch laten enrollen via een grouppolicy. Dit heb je gedaan in een andere opdracht, vorig jaar. Omdat we nu echter gebruikmaken van een client en en vpn server die geen lid zijn van het domein, kunnen we de optie van grouppolicies niet inzetten. Dus moeten we uitwijken naar deze omslachtige werkwijze. Wel kan de administrator de certificaten op een usb stick plaatsen zodat de gebruiker ze thuis kan importeren; een uitgebreide handleiding of deskundige hulp blijft echter noodzakelijk. Tot zover de L2TP vpn verbinding met Ipsec encryptie. MCTS J., van NImwegen Pagina 33 van 39

34 CMAK; Connection Manager Administration Kit Omdat we niet van alle gebruikers kunnen verwachten dat ze weten hoe ze een vpn verbinding moeten opzetten, kunnen we ze daarbij helpen. Met de Connection Manager Administration Kit ( CMAK) kunnen we een executable maken die de user maar hoeft te runnen. De executable brengt vervolgens alle benodigde wijzigingen aan, de user hoeft dus geenn technische kennis te hebben. Installeer nu op DC_RRAS de CMAK. Dit is een feature. Start nu vanuit het startmenu/ adm tools de CMAK op. Kies Windows Vista, Kies new profile MCTS J., van NImwegen Pagina 34 van 39

35 Servicename; naar RRAS.com Filename; Rrasvpn Voeg als Realm toe RRAS.com; kies meteen de optie After the username. We hoeven geen informatie te mergen; ga door Vul het ipadres van de vpn server in; Edit de VPN entry als volgt; MCTS J., van NImwegen Pagina 35 van 39

36 Only ipv4 adressess; Server assigns addresses; Only use L2TP; Geen custom phone book adden; (automatically download uitzetten) ga gewoon door. Do not change routing tables. Do not configure proxy settings. Voeg geen custom action toe. Kies de default graphic, icons en helpfile. De license ontbreekt, dus niet invullen. Geen additional files nodig. Geen advanced customization Bij het afronden van de wizard wordt er een map aangemaakt met een exectuable van ca. 170 KB. De locatie is C:\program files\cmak\profiles\vista\rrasvpn\rrasvpn.exe Kopieer de map naar WIN7_RRAS. MCTS J., van NImwegen Pagina 36 van 39

37 Ook hier geldt weer dat de thuisgebruiker dit zou kunnen doen met een usbstick. Maak op WIN7_RRAS een nieuwe user, Huisvrouw, aan. Zorg dat Huisvrouw bij de map kan komen. Huisvrouw krijgt uiteraard ook een account in AD in de OU VPN. ( user2) Log nu op WIN7_RRAS in als Huisvrouw en dubbelklik op de executable en constateer dat zich even later het inlogscherm voor de vpn verbinding opent. ; Huisvrouw kan nu een L2TP vpn verbinding opzetten met Member_RRAS. In een domeinomgeving zouden we deze executable via een softwaredistributie policy (GPO) kunnen distribueren. Onze WIN7_RRAS is echter geen lid van het domein, dus nu lukt dat niet, maar zoals je nu dus hebt gezien werkt de executable ook met clients die géén lid zijn van het domein. Maximaal aantal VPN verbindingen. Op Member_RRAS; Log in als administrator ; in de RRAS console. Selecteer Ports. Klik met de rechtermuisknop; kies properties. Selecteer de WAN miniport L2TP. Klik op Configure en beperk het maximale aantal gelijktijdige L2TP vpn verbindingen dat member_rras mag bedienen tot 1. Klik op OK. MCTS J., van NImwegen Pagina 37 van 39

38 Sluit de RRAS console. Op WIN7_RRAS; Log in als Huisvrouw; Maak met behulp van Rrasvpn.exe een nieuwe L2TP VPN verbinding aan. Let op; de bestaande snelkoppeling van de eerste VPN wordt nu overschreven. Probeer nu twee verbindingen tegelijk open te zetten; Een verbinding als administrator Een verbinding als Huisvrouw Rename die daarom eerst even. Constateer dat dit niet mag. De VPN server accepteert maximaal één vpn verbinding tegelijkertijd. Hiermee zijn we aan het einde gekomen van de opdracht RRAS en VPN s in Windows server2008. Vraag de docent om te registreren dat je de aan opdracht hebt voldaan. MCTS J., van NImwegen Pagina 38 van 39

39 Bijlage netwerktekening DC_Rras.RRAS. com /24 Radius server Shared secret /24 Ipsec encryptie /24 Member_RRAS Radius client Win7ext, Windows 7 client. Thuis computer /24 RRAS.com MCTS J., van NImwegen Pagina 39 van 39