RRAS: Zorg dat op de DC een DHCP scope word geïnstalleerd en NPS Role. Vul bij de scope de gateway in van de DC. Let op: RRAS member server moet 2 netwerkkaarten bevatten (1. Interne netwerk, 2. Externe netwerk). Let op: Member RRAS is geen lid van het domein! Let op: Disable altijd IPv6 functie in je netwerkkaart Configureren Radius Client op DC: 1. Start NPS op 2. Rechtsklik op radius clients en kies new radiusclient 3. Friendly name = servernaam_rras bv. Member.RRAS 4. Address (IP or DNS) = IP adres van Member server 5. Vul ook de shared secret in en zet hem op manual shared secret = zelf bepalen! 6. Maak meteen een connection request policy en een networkpolicy aan Aanmaken van Connection request policy: 1. Rechtsklik op connection request policy en kies nieuw 2. Policyname = Zelf verzinnen 3. Type of network = RRAS/VPN Remote Acces server (VPN-DIAL up) 4. Ga naar tabblad conditions en vul hier eventuele toegangstijden in. 5. Ga naar de tabblad settings en ga naar de kopje Authentication 6. Stel hier Authenticate requests on this server in. 7. Verder alles op defaultwaardes laten staan Aanmaken networkpolicy: 1. Rechtsklik op networkpolicies en kies nieuw 2. Policy name = Zelf verzinnen 3. Vink Policy enabled aan onder Policy state 4. Vink Grant access aan bij Acces Premission 5. Kies bij Network connection method Remote Acces Server (VPN-Dial up) 6. Verder alles op default waarde laten staan 7. Ga naar de tabblad Constraints en kies authentication methods 8. Hier kun je instellen welke beveiliging je nodig hebt voor je VPN verbinding. Let op: als je een andere authenticatie instelt moet je dit wijzigen op 3 plekken 1. Op de radiusserver in de networkpolicysettings 2. Op de raduisclient in de RRAS properties 3. Op de inbellende machine in de properties van de connectie
Op member RRAS: Installatie NPS role: 1. Kies alleen de optie RRAS en Routing 2. Configureer RRAS zodat hij als VPN server kan optreden (zie punt 3.) 3. Rechtsklik op Meber server en configure 4. Kies voor Remote Acces (dial-up or VPN) 5. Kies uitsluitend voor VPN 6. Maak nu een speciale IP range aan voor de VPN clients 7. Kies bij Managing Multiple Remote Access Servers voor Yes, set up this server 8. Constateer nu bij Ports dat er verschillende poorten krijgt te zien (128 totaal) 9. Rechtsklik op alle porten (SSTP, PPTP en L2TP) breng het overzicht terug naar 5 per poort 10. Ga vervolgens naar IPv4 -> General -> Kies nu de netwerkaart van de buitenwereld (VPN) 11. Rechtsklik hierop en naar properties en kies dan op het tabblad General Inbound Filters en vink hier Drop all aan. 12. Rechtsklik nu op Member_RRAS (Local) properties en constateer dat de VPN server alleen IPv4 ondersteunt met LAN routen en demand dial. 13. Ga nu naar het tabblad Security en zorg ervoor dat de authentication provider op Radius Authentication staat 14. Klik vervolgens op Authentication methode en vink hier Extenable Authentication Protocol (EAP) + Microsoft Encrypted authentication version 2 aan. 15. Ga terug naar Security Tabblad Vink vervolgens Allow custom IPsec L2TP connection aan voor beveiligd VPN en vul hier een Preshard Key in (DIT ALLEEN NODIG ALS L2TP GEBRUIKT!) LET OP: Als je iets hebt gewijzigd in RRAS, vergeet dan niet de RRAS te herstarten! LET OP: Vergeet niet bij het aanmaken van je VPN verbinding op de client bij het tabblad security L2TP te kiezen en de preshared key te gebruiken.
VPN Certificaten: Als je en Certificaat gaat gebruiken dan moet je bij security tabblad van de client NIET VAN DE SERVER!" de preshared key weghalen en kiezen voor Certification authentication Op de DC: 1. Installeer de rol van Certificate Service 2. Kies voor Certification Authority & Web enrollment 3. Kies vervolgens voor Enterprise Root CA met een nieuwe private Key 4. Kies verder alle default waardes 5. Start DC_RRAS opnieuw op 6. Start IE op en stel bij veiligheid instellingen Lokale Intranet Zone de ActiveX Control Intalize and script ActiveX Constrols not marked as safe. Op enable. 7. Vraag nu de Certificaat op via http://localhost/certsrv 8. Kies nu achtereenvolgend: a. Request a certifcate b. Advanced certificate reqeust c. Create and submit a request to his CA d. Certificate template; Administrator e. Submit deze request f. Install certificate 9. Plaats op het bureaublad van de DC een MMC met me personal certificates van User en Local computer 10. Controleer nu dat bij personal het certificaat aanwezig is zowel bij User als Computer 11. Ga nu naar de Server Manger van de DC en kies AD Certificates -> Certifcates templates 12. Maak een kopie beschikbaar van de Ipsec template (rechtsklik IPsec -> Properties); Duplicate de template onder de naam Kopie van Ipsec. Kies voor de Windows server 2008 edition. laat de template publishen in AD, geef de auth users Read en Enroll, geef de administrator het R/W/Enroll recht en geef de Domain computers het Enroll recht) 13. Klik nu op Certifacte Templates en kies new -> Certificate template to issue 14. Vraag nu op DC via MMC voor de personal store van de computer het IPseccertificaat aan. Gebruik wel de de kopie die je hebt gemaakt! 15. Enroll dit certificaal en zorg ervoor dat de private key exportable is en archived wordt voordat je op enroll klikt. Copy of IPsec -> Details -> Properties -> Private Key Tabblad vink hier exportable en archived aan. 16. Nu staat IP sec tussen je personal certificaten. 17. Exporteer de certificaat naar een gedeelde map zodat andere deze kunnen importeren, je exporteert ook de private key mee!
18. Importeer het IPsec certificaat op zowel member als win7 client in de MMC Local Computer en dan in de personal map. 19. Nu staan de certificaten erin alleen zijn ze nog niet trusted. 20. Ga naar de MMC toe van DC en exporteer de Certificaat DC_RRAS-CA vanuit de map Personal -> Certificate naar de shared folder. Kies tijdens het exporteren voor Intended purpose ALL, Mark de key als Exportable 21. Importeer deze certificaat op Member en Win7 client in de local computer certificaten -> trusted root certification. TIP: Je kunt de certificaten ook automatisch laten uitrollen via GPO! NPS Policy Server aanpassen voor Certificaten: 1. Start NPS op 2. Ga naar policy -> Network policy en maak een nieuwe aan 3. Voeg in de properties, tabblad condition Day and Time restricion Altijd en Tunnel Type LT2P aan/toe. 4. Mocht je VPN nu nog niet werken, herstart je machines! CMAK (Automatisch VPN verbindingen laten maken via.exe bestand) 1. Installeer op de DC feature Connection Manager Administration 2. Start nu CMAK op 3. Kies Windows Vista vervolgens New Profile 4. Service Name = Naar RRAS.COM (of anders) 5. Filename = RrasVPN 6. Kies Add a realm name. en vervolgens vink After the user name. Aan. 7. Vul bij VPN server name or IP address de IP van de VPN server in. (IP van netwerkkaart naar buiten!) 8. Vervolgens in de overzicht klik je op Edit en voer het volgende allemaal in: a. Only ipv4 address b. Only use L2TP c. Geen custom phone, book adden (automatically download uitzetten) d. Do not change routing tables e. Do not configure proxy settings f. Voeg geen custom actie toe g. Kies default graphic, icons en helpfile 9. De licentie ontbreekt dus niet invullen 10. Geen additonal files nodig 11. Geen advanced customization
12. Bij het afronden van de wizard wordt er een map aangemaakt met een executable C:\program files\cmak\profiles\vista\rrasvpn\rrasvpn.exe 13. Zorg ervoor dat de win7 gebruikers deze exe bestand krijgen, dan hoeven ze VPN niet zelf te configureren, kan eventueel via een GPO. Op Member_RRAS; Voor instellen maximaal VPN verbindingen: Log in als administrator ; in de RRAS console. Selecteer Ports. Klik met de rechtermuisknop; kies properties. Selecteer de WAN miniport L2TP. Klik op Configure en beperk het maximale aantal gelijktijdige L2TP vpn verbindingen dat member_rras mag bedienen tot 1. Klik op OK.