onderhoud en beheer informatiesystemen....onderhoud en beheer informatiesystemen mcts 70-642...

----------------------------------------------------------------------------------------------------------------

- Onderhoud en Beheer Informatiesystemen

MCTS 70-642

Augustus 2010 J., van NImwegen Pagina 1 van 39

Onderhoud en Beheer Informatiesystemen.

70_642 opdracht RRas en VPN’s in Windows 2008.

Deze opdracht maakt gebruik van de vApp, vApp_JVN_DualNic.

De opdtracht is werkend getest in de cloud.

Docentenexemplaar Onderwerp; RRas en vpn’s in windows 2008

Inhoud van deze opdracht;

Configuratie van de RRAS server. ....................................................... 3

Radius. ............................................................................................ 3

VPN verbinding opzetten op de client. ................................................ 13

Verbindingstypes; ............................................................................ 20

L2TP met IPSEC. ............................................................................. 20

Certficate Services. .......................................................................... 23

IPSec encryptie. .............................................................................. 25

CMAK; Connection Manager Administration Kit .................................... 34

Maximaal aantal VPN verbindingen. ................................................... 37

Bijlage netwerktekening ................................................................... 39

Doel van deze opdracht; - implementatie en configuratie van RRas met VPN clients

- kennisnemen van PPTP, L2TP, IPsec en diverse authenticatie protocollen

Benodigde virtuele machines;

Een domaincontroller, DC_RRAS genaamd.

Een memberserver, Member_RRAS genaamd. Een Win7 machine, Win7_RRAS genaamd

Richt nu eerst een windows server2008 machine in als Domain controller

van het domein Rras.com. Gebruik hierbij de volgende gegevens;

Computernaam;DC_RRAS Ipadres ; 192.168.20.1 /24

Disable ipv6 Forest functional level; windows2008

----------------------------------------------------------------------------------------------------------------


MCTS 70-642


Vanwege verdeling van werkdruk en veiligheidsredenen is het verstandig

om niet de Domain Controller van het netwerk tevens tot VPN server te benoemen.

Wij gaan daarom straks een tweede server2008 machine, Member_RRAS, als VPN server inrichten. Ook hier zullen we de veiligheid van ons eigen

domein moeten bewaken. Member_RRAS zal daarom niet in het domein worden opgenomen. De beoordeling of een user via een VPN verbinding

mag connecten kan Member_RRAS dus ook niet maken, omdat Member_RRAS dit niet kan nagaan in AD. Daarom zullen we op een

andere machine ( die wel in het domein is opgenomen) een Radius server installeren. Deze service zoekt dan namens Member_RRAS in AD op of

een user toegang mag krijgen of niet. Wij zullen de Radiusserver nu installeren op onze enige andere machine, DC_RRAS. Enige taak van

Member_RRAS is nu dus om de connection requests van “inbellende” users door te sturen naar DC_RRAS. Als DC_RRAS de connection

goedkeurt, zal Member_RRAS de connection tot stand brengen.

Voordeel van deze Radiusconstructie;

1. omdat de VPN server geen lid is van het domein, loopt het domein minder risico. Mocht een hacker zich toegang verschaffen tot de

VPN server, dan nog heeft hij geen toegang tot AD. 2. De Radius service is onderdeel van de Network Policy Service. Met

deze NPS kunnen we gecentraliseerd allerlei securitysettings instellen ( networkpolicies en connection request policies). Door

elke VPN server te verwijzen naar de Radiusserver, bereiken we dat elke VPN server dezelfde security settings hanteert, namelijk die

settings die op de Radius server centraal zijn vastgelegd. We hebben nu dus te maken met een Radius server ( DC_RRAS ) en

een of meer Radius Clients ( onze VPN server, Member_RRAS )

Thuiswerkers kunnen via Member_RRAS toegang krijgen tot de resources van het domein.

LET OP;

Uiteraard heeft Member_RRAS twee netwerkverbindingen nodig; één voor de

communicatie binnen het bedrijfsnetwerk, en een andere voor de communicatie met de

buitenwereld.

Op DC_RRAS;

Installeer de rol van DHCP server.

Richt een dhcp scope in als volgt; Parent domain; Rras.com

----------------------------------------------------------------------------------------------------------------


MCTS 70-642


Dns server 192.168.20.1

Scopename; Rrasscope Start ip 192.168.20.10

End ip 192.168.20.100 Subnetmask 255.255.255.0

Gateway 192.168.20.1 ( DC_RRAS) Scopetype; wired

Configuratie van de RRAS server.

Richt nu een memberserver, Member_RRAS, in. Ip adres intern 192.168.20.2 /24

Ipadres voor de verbinding met de buitenwereld 201.6.12.10 /24 DNS server is natuurlijk DC_RRAS.

Disable ook hier ipv6.

Het zal je duidelijk zijn dat Member_RRAS géén lid wordt van het domein.

Radius. Radius zorgt voor centralisatie van alle remote access connections,

waaronder ook vpn verbindingen. Dit gaat via één centraal punt ( een NPS server).

Radius kent een Radius server en een Radius client. De client is een vpn server die een connection request van een inbellende

user doorstuurt naar de NPS server. Deze NPS server toetst of de inbellende gebruiker wel via vpn mag connecten. Als dit is toegestaan,

krijgt de VPN server van de NPS server toestemming om de gebruiker door te laten.

De Radius server zorgt uiteindelijk voor de Authentication, de

authorisation en de accounting. ( triple A noemt men dat)

Installeer nu Op Dc_RRAS eerst de NPS role. Start daarna vanuit het startmenu de NPS console op.

----------------------------------------------------------------------------------------------------------------


MCTS 70-642


Configureer Radius als volgt; Rechtsklik op Radius Clients; Kies new Radiusclient

Geef de naam en

het ip adres van Member_RRAS als

nieuwe radiuscliënt mee.

Vul ook de shared

secret in; dit is een sleutel waarmee de

Radius server en de

Radius client zich tegenover elkaar

identificeren.

Maak meteen een connection request policy en een networkpolicy aan

waarmee we de security settings gaan instellen voor onze VPN verbinding.

Maak eerst de nieuwe CRP aan als volgt; Rechtsklik op Connection request policies; kies New

Policyname; Radiustoegang.

Type of network access server;

RRAS/VPN

----------------------------------------------------------------------------------------------------------------


MCTS 70-642


Conditions;

Day and Time restriction. Stel in;

Permitted altijd.

Deze instelling bepaalt nu dat deze

policy constant zal moeten gelden.

Een beetje

verwarrende

omschrijving dus…

Settings;

Authentication;

Stel in Authenticate requests on this

server.

Hiermee vertellen

we DC_RRAS dat hij degene is die AD

moet raadplegen om na te gaan of aan

een bepaalde request kan worden

voldaan.

Verder alle defaultwaardes kiezen…..

Maak nu een nieuwe Networkpolicy aan als volgt;

Rechtsklik op Networkpolicies; kies New.

----------------------------------------------------------------------------------------------------------------


MCTS 70-642


Policyname;

Nieuwe netwerkpolicy

Type of network

access server; RRAS/VPN

Day and time

restrictions; ook weer always

permitted…

Grant Access

Authentication methods; MS-CHAP-v2 en MS-CHAP

Verder alle defaultwaardes.

Dit is niet de best beveiligde

verbindingsmethode, maar wel de

meest eenvoudige om te

implementeren. We

bereiken hiermee dat een inbellende

user zich kan identificeren met

simpelweg zijn username en

password. Er zijn geen extra zaken

nodig, zoals certificaten of smart

cards enz… Voor onze testdoeleinde

volstaat het.

----------------------------------------------------------------------------------------------------------------


MCTS 70-642


Van belang is nu om ervoor te zorgen, dat altijd zowel de Radius server, als de Radius client EN de machine van de inbellende user dezelfde

authentication protocollen ondersteunen. Anders wordt er geen verbinding toegestaan.

Dus als we een ander authenticationprotocol gaan gebruiken, moeten we dat op drie plaatsen wijzigen, namelijk;

1. Op de Radiusserver, in de networkpolicysettings 2. Op de Radiusclient, in de RRAS properties (zien we straks)

3. Op de inbellende machine, in de properties van de connectie

Dit is het eindresultaat; de

nieuwe policy samengevat.

Nu we de Radius server hebben geconfigureerd, moeten we ook de Radius Client, Member_RRAS, inrichten.

----------------------------------------------------------------------------------------------------------------


MCTS 70-642


Op Member_RRAS;

Log in als local administrator. Installeer ook hier weer de role van NPS server.

Kies alleen de opties RRAS en

Routing.

Configureer nu RRAS zodat Member_RRAS als VPN server kan optreden.

Kies voor de optie

Remote Access ( dialup or VPN)

Kies daarna uitsluitend VPN.

----------------------------------------------------------------------------------------------------------------


MCTS 70-642


Laat een speciale IP range range gebruiken voor de VPN clients;

192.168.20.150 tot 192.168.20.200.

Verwijs

Member_RRAS naar DC_RRAS als zijnde

de Radius server.

Alle communicatie tussen Radius

server en Radius client wordt nu

versleuteld met behulp van de

shared secret. We hoeven hierop dus

geen aparte encryptie meer toe

te passen. Binnen

het domein is dit veilig genoeg.

----------------------------------------------------------------------------------------------------------------


MCTS 70-642


Constateer dat na de configuratie van de VPN server in de console van

RRAS onder Ports de verschillende poorten zichtbaar zijn (SSTP , PPTP en L2TP).

Standaard zijn er 128 poorten beschikbaar. Dit aantal gaan we vanwege het overzicht eerst terugbrengen tot 5 poorten per verbindingstype.

Daarmee wordt overigens ook de veiligheid van onze VPN server verhoogd, omdat er minder ingangen zijn….

Rechtsklik op Ports,

kies de properties en configureer de drie

verbindingstypes.

Onder Ipv4/ general is nu bij de properties van de gekozen vpn verbinding zichtbaar welke inbound en outbound filters automatisch zijn

aangemaakt.

Hiermee worden alle packets

gedropt m.u.v. die packets die VPN

verkeer betreffen.

----------------------------------------------------------------------------------------------------------------


MCTS 70-642


Open de properties van Member_RRAS en constateer dat deze vpn server alleen ipv4 ondersteunt met LAN routing en demand dial .

Het tabblad Security meldt bij zowel de authentication provider als de

accounting provider dat gebruikgemaakt wordt van Radius Authentication/-Accounting. Dit is automatisch ingesteld toen

Member_RRAS werd geconfigureerd als Radius client.

Stel vast dat voor de user authentication default gebruik wordt gemaakt van MSCHAPv2 en EAP. Deze authentication vindt o.a. plaats tussen

inbellende user en de VPN server, via het internet. Hier willen we straks wel graag extra encryptie op loslaten, want deze data gaat over het

onveilige internet.

----------------------------------------------------------------------------------------------------------------


MCTS 70-642


De optie van de pre shared key bij security

is erg onveilig want dan gaat de eigenlijke

data weliswaar encrypted over de lijn,

maar de authentication data

is nog steeds

unencrypted.

Het is wel een goede optie om een en ander

te testen als je eraan twijfelt of de

verbinding überhaupt wel werkt en je denkt

dat het probleem bij de authentication zit.

----------------------------------------------------------------------------------------------------------------


MCTS 70-642


VPN verbinding opzetten op de client.

Wat je van nu af goed in gedachten moet houden is het volgende;

De bedoeling van een VPN is dat mensen vanuit elders ( in ons geval; vanuit thuis) kunnen inloggen op het domein van hun werkgever. Die

mensen moeten dan wel een account hebben dat bekend is in Active Directory. De computer waarmee ze van buiten (thuis) af willen

inloggen is per definitie geen lid van het domein. (Deze “thuis machine” heeft van zijn provider een ip adres gekregen waarmee internet

bereikbaar is. Over dat internet zoekt de thuiscomputer straks contact met de VPN server op kantoor.

Als er wordt gevraagd om in te loggen op WIN7_RRAS, dan bedoelen

we dus ook steeds dat je LOKAAL moet inloggen. Dus niet op het domein. Het bedrijfsdomein is thuis immers niet beschikbaar…..

Start Win7_RRAS op.

Direct na de opstart van WIN7_RRAS: Log in als administrator.

Geef WIN7_RRAS het static ip adres 201.6.12.11 /24. Gateway 201.6.12.10. ( work network)

Maak een VPN verbinding aan via het network sharing center.

----------------------------------------------------------------------------------------------------------------


MCTS 70-642


Kies;

Use my Internetconnection. I will setup an internet connection later.

Bij de credentials vul je in; RRAS\administrator en wachtwoord. Klik op

Create en daarna Close.. Daarna vind je onder Network sharing center/connect to a network de

VPN verbinding.

----------------------------------------------------------------------------------------------------------------


MCTS 70-642


Klik op Connect.

Wanneer de

administrator geen toegang krijgt kan

dit komen omdat

de geldende network policy hem

de toegang ontzegt.

----------------------------------------------------------------------------------------------------------------


MCTS 70-642


Hier zie je dat de VPN server eerst in Active Directory gaat kijken of de user wel authorised is om via Dial up/ Vpn verbinding in te loggen.

Geef de administrator even expliciet toegang door in zijn AD properties de

access te wijzigen in Control access through NPS Network Policy.

Constateer dat de administrator nu wel

toegang krijgt.

In essentie werkt de vpn verbinding nu

dus…

Stel vast dat Member_RRAS een remote Access Client detecteert;

----------------------------------------------------------------------------------------------------------------


MCTS 70-642


Constateer op WIN7_RRAS dat deze client een ip adres heeft gekregen uit

de range die we in Member_RRAS daarvoor hebben ingesteld. Dit ip adres gebruikt Win7_RRAS voor de vpn communicatie met Member_RRAS, die

speciaal voor dat doel een tweede ipadres heeft gekregen, hier 192.168.20.150. Ook zie je op welk extern ip adres WIN7_RRAS de vpn

server benadert.

Stel vast dat voor de authentication

gebruikgemaakt wordt van

MSCHAPv2 over een PPTP verbinding. (

WAN Miniport)

Constateer dat de administrator nu via Run \\DC_RRAS.Rras.com

binnenkomt op DC_RRAS.

Oftewel de LAN routing werkt. Via

de VPN verbinding met Member_RRAS

kan WIN7_RRAS nu naar DC_RRAS toe.

Constateer dat Run

\\Member_RRAS

niet werkt.

Member_RRAS is nu alleen een router,

en daarmee zelf niet toegankelijk.

----------------------------------------------------------------------------------------------------------------


MCTS 70-642


Verbreek de VPN verbinding.

Probeer of de administrator ook binnen kan op DC_RRAS als je niet eerst de vpn verbinding hebt opgezet.

Kan de administrator inloggen?

Antwoord;………………. NEE

Noteer welke melding het systeem geeft; Melding:………………………………………….……………………………………..…………………

Windows cannot access \\dc_rras.rras.com

Stel nu in de properties van de administrator in dat zijn Dial-in toegang

bepaald moet worden via de NPS Network policy. Zorg dat de policy201 op Grant Access Staat.

Controleer eerst of de administrator nu kan connecten. Ga niet verder als dit nu niet werkt.

Op Win7_RRAS:

Maak een lokale gebruiker, huisman, aan.

Limited account.

( My computer/

manage/ local users and groups/ users).

De naam Huisman is dus niet bekend in

Active Directory. Huisman is echter

werknemer bij RRAS.Com en heeft

daar een account onder de naam

User1.

----------------------------------------------------------------------------------------------------------------


MCTS 70-642


Maak nu in AD een aparte OU, VPN, aan. Maak in die OU meteen een

account, User1, aan.

Op Win7_RRAS: Log uit als beheerder en log in als Huisman.

Zorg dat Huisman via de VPN verbinding kan inloggen

op Member_RRAS.

Let op; vul geen domeinnaam in.

Maak het mogelijk voor Huisman om een printer te vinden op DC_RRAS. Installeer hiervoor op DC_RRAS een printer en share deze.

Ga na dat Huisman, via de vpn verbinding als User1, deze printer kan benaderen.

Hiermee heb je dus gezien hoe vpn verbindingen gebruikt worden om remote users toegang te geven tot resources binnen het domein.

Verbreek de vpn verbinding.

Uiteraard is het de bedoeling dat alle mappen die de user op deze manier kan zien,

voldoende zijn afgeschermd. Dat doet hier nu echter even niet terzake……

----------------------------------------------------------------------------------------------------------------


MCTS 70-642


Verbindingstypes; Reeds eerder in deze opgave hebben we gezien dat de WIN7 client tijdens de vpn verbinding gebruikmaakt van het Point to point tunnelingsprotocol,

PPTP.

Dit protocol is echter niet echt veilig, daarom

gebruiken we liever het

L2TP, protocol in combinatie met Ipsec.

Erg belangrijk in dit overzicht is; 1. het type WAN minipoort; PPTP of L2TP

2. authentication; welk protocol wordt gebruikt voor de authenticatie

3. hoe komen vpn server en client aan het ip adres?

Noteer de volgende informatie;

Wan minport type;…………..…………….pptp Authentication;………………………….…..ms chap v2

Encryption; ……………………..…….……..mppe 128 Server IP address;………….……………..192.168.20.150

client IP address;………..…………………192.168.20.152

L2TP met IPSEC.

Een beter beveiligde vpn verbinding is die waarbij gebruik gemaakt wordt van het L2TP. Dit protocol zorgt ervoor dat alle data verkeer tusen VPN

server en client wordt encrypt. Daarbij zijn twee mogelijkheden; 1. het gebruik van een pre shared key. Dit is de eenvoudigste vorm

om te configureren, maar tevens ook de zwakste vorm van beveiliging.

2. Het gebruik van certificaten . Hiervoor moeten we wel een CA in het domein hebben die certificaten verstrekt aan de VPN server en aan

----------------------------------------------------------------------------------------------------------------


MCTS 70-642


de client. Dit is een betere beveiliging dan die met de pre shared

key, maar uiteraard ook wat lastiger om te configureren.

Hiermee wordt dus de verbinding tussen de VPN server en de inbellende user encrypt, niet de verbinding tussen Radius server

en Radiusclient.

Op Member_RRAS;

Log in als administrator; Ga in de RRAS console op zoek naar de properties van Member_RRAS.

Kies het tabblad Security.

Vink aan; Allow custom Ipsecpolicy for L2TP

connection.

Key = geheim.

Klik op OK.

Restart de RRAS service.

Op WIN7_RRAS;

Log in als Huisman.

Start de vpn verbinding naar RRAS.com weer op. In de properties van de vpn verbinding, tabblad Security;

----------------------------------------------------------------------------------------------------------------


MCTS 70-642


Kies Type of VPN;

L2tp.

Via de Advanced Settings vul je de

pre shared key in.

Vul de key geheim in.

Start de vpn verbinding weer opnieuw op. Vraag via de properties van de openstaande vpn verbinding de status op

en de details. Noteer de volgende informatie;

WAN miniport type;……………………..L2TP Encryption;……………………….Ipsec AES 128

Kortom; het dataverkeer over deze vpn verbinding is nu encrypted m.b.v

L2TP in combinatie met IPSEC. En het type encryption is veranderd van Mppe 128 ( zie PPTP ) in AES 128, een veel strengere vorm van encryptie.

Wat indien RRAS server en client niet over dezelfde encryptie sleutel

beschikken?

----------------------------------------------------------------------------------------------------------------


MCTS 70-642


Op WIN7_RRAS:

Stel een andere preshared key in en probeer weer een nieuwe vpn verbinding te openen.

Constateer dat de

verbinding nu niet tot stand komt.

Stel weer de juiste key in en controleer dat de verbinding weer werkt.

Het gebruik van Ipsec vergt de aanwezigheid van een certificate Authority. Deze zal certificaten uitgeven aan andere computers waarmee

zij zich kunnen identificeren tegenover de VPN Server. Ook de VPN server zelf zal zich met zo’n certificaat identificeren tegenover de VPN clients.

Verwijder de preshared key op zowel Win7 als Member_RRAS.

Certficate Services.

Installeer nu op DC_RRAS de rol van de Certificate Services.

Laat Web enrollment

meteen mee installeren.

----------------------------------------------------------------------------------------------------------------


MCTS 70-642


Uiteraard kiezen we de Enterprise Root CA met een nieuwe private key. Kies verder alle default opties, tot je uit de wizard bent.

Start DC_RRAS even opnieuw op….. Direct na de restart moeten we een certificaat gaan aanvragen bij de CA.

Daarvoor hebben we ActiveX scripting nodig; dat zullen we eerst moeten enabelen;

Zorg er voor dat in de internet opties

ActiveX control scripting wordt

toegestaan op de Lokale intranet zone.

Anders verschijnt straks onderstaand

scherm;

Vraag nu eerst op DC_RRAS een certificaat aan via; Run; http://localhost/certsrv.

Kies achtereenvolgens; - Request a certificate

- Advanced certificate request

- Create and submit a request to this CA - Certificate template; Administrator .

- Submit deze request - Install Certificate.

Plaats op het bureaublad van DC_RRAS nu een MMC met de peronal

certificates van de User én van de local computer.

http://localhost/certsrv

----------------------------------------------------------------------------------------------------------------


MCTS 70-642


Ga na dat beide onderdelen nu een certificaat bevatten:

De user store bevat

een certificaat ( purpose; MS

Trustlist signing…. ) bij de personal

certificates issued aan de

administrator t.b.v. oa prove your ID

t.o.v remote computers.

De Computer store bevat een certificaat

bij de personal certificates tbv all

issuance policies en

all application policies.

En een certificaat

t.b.v. de client authentication

Het certificaat t.b.v. van client authentication heeft de CA overigens aan zichzelf uitgedeeld bij de installatie van de Enterprise Root CA in

de vorige stap.

IPSec encryptie.

----------------------------------------------------------------------------------------------------------------


MCTS 70-642


Maak nu op DC_RRAS via server manager op de Cert Auth een kopie

beschikbaar van de Ipsec template; Duplicate de template onder de naam Kopie van Ipsec.

Kies voor de Windows server 2008 edition. laat de template publishen in AD,

geef de auth users Read en Enroll, geef de administrator het R/W/Enroll recht

en geef de Domain computers het Enroll recht)

Issue deze nieuwe template, zodat

DC_RRAS erover kan beschikken.

Vraag nu op DC_RRAS via de MMC voor de personal store van de

computer het ipseccertificaat aan. Uiteraard gebruik je de copy die je net hebt gemaakt…..

----------------------------------------------------------------------------------------------------------------


MCTS 70-642


Laat dit certificaat enrollen. Zorg

ervoor dat de private key

exportable is en archived wordt,

voordat je op Enroll klikt.

Ga na dat nu ook

het ipsec certificaat

zichtbaar is op DC_RRAS:

Het Ipsec

certificaat; allows secure

communication on internet

Het client

authentication certificaat;proves

your identity and ensures the identity

of a remote computer.

Exporteer nu op DC_RRAS het ipseccert certificaat als ipseccert naar een aparte gedeelde map, Certexports.

----------------------------------------------------------------------------------------------------------------


MCTS 70-642


Exporteer de

private key ook.

Kopieer het

geëxporteerdipse certificaat daarna

over het netwerk naar Win7_RRAS

en naar member_RRAS..

Maak hierbij o.a gebruik van de vpn verbinding van de administrator van Win7_RRAS.

Importeer het ipsec certificaat op zowel MEMBER RRAS als op

Win7_RRAS uitsluitend in de computer store. Uiteraard maak je eerst op Win7_RRAS als local administrator eerst

een MMC met de certificates van de local user en de local computer.

(Mark de key als exportable!!)

Dit certificaat hebben Member_RRAS en Win7_RRAS nodig om over internet te kunnen communiceren met gebruikmaking van Ipsec

encryptie.

----------------------------------------------------------------------------------------------------------------


MCTS 70-642


Open nu m.b.v een MMC op zowel Win7_RRAS als op Member_RRAS

het vers geïmporteerde certificaat.

Constateer dat dit certificaat wordt

aangemerkt als Cannot be verified.

Dit komt omdat dit

certficaat is uitgegeven door

een CA die niet bekend staat als

Trusted CA. ( rras-DC_RRAS-CA )

Dat moeten we nu dus nog regelen.

Zowel op Member_RRAS als op Win7_RRAS;

Constateer dat de computerstore geen

Trusted Root Certification

Authority kent met de naam rras-

DC_RRAS-CA

Hier moet nu dus

onze CA worden toegevoegd als

Trusted Root CA.

Op DC_RRAS:

Exporteer het certificaat met de intended purposes ALL. Mark de key als Exportable.

----------------------------------------------------------------------------------------------------------------


MCTS 70-642


Importeer het zowel op Member_RRAS als op Win7_RRAS in de

computer store van de Trusted

Root CA. Ga na dat direct na

deze import het certificaat wel

vertrouwd wordt.

Dat komt omdat

onze CA nu wel als Trusted Root CA

bekend is….

----------------------------------------------------------------------------------------------------------------


MCTS 70-642


Stel tot slot in de properties van de

vpn verbinding op de client in dat L2TP

gebruikt moet worden.

Maak nu verbinding en voila! Het werkt.

Disconnect de verbinding. Log uit

als beheerder. Log in als Huisman en

maak ook onder dit account een L2TP

vpn verbinding.

Constateer dat ook Huisman nu een veilige

L2TP vpn verbinding kan opzetten.

Er is echter alleen nog één probleem;

Als Huisman in de properties van de VPn verbinding niet kiest voor de L2TP optie, wordt er ook een verbinding tot stand gebracht. Maar dan

een onveilige PPTP verbinding. En dat willen we niet !!

Dat betekent dat we nu de Network policy server zodanig moeten

configureren dat PPTP verbinding geweigerd moeten worden.

----------------------------------------------------------------------------------------------------------------


MCTS 70-642


Maak daarom nu

een nieuwe netwerkpolicy aan.

Voeg in de Properties, tabblad

Conditions toe;

Day and Time restrictions;altijd

Tunnel Type; L2TP

Voeg beide conditions toe in de

policy.

----------------------------------------------------------------------------------------------------------------


MCTS 70-642


Vanaf dit moment

zullen PPTP connection request

worden geweigerd.

Alleen als Win7_RRAS het

L2TP protocol gebruikt, wordt de

vpn verbinding toegestaan.

Als dit niet direct werkt; start de

machines eens een keer opnieuw op…

Tot slot;

Het beschikbaar maken van de certificaten op de Win7 client is een heel gedoe. Dit kan veel eenvoudiger als we alle benodigde certificaten

automatisch laten enrollen via een grouppolicy. Dit heb je gedaan in een andere opdracht, vorig jaar. Omdat we nu echter gebruikmaken

van een client en en vpn server die geen lid zijn van het domein, kunnen we de optie van grouppolicies niet inzetten. Dus moeten we

uitwijken naar deze omslachtige werkwijze. Wel kan de administrator

de certificaten op een usb stick plaatsen zodat de gebruiker ze thuis kan importeren; een uitgebreide handleiding of deskundige hulp blijft

echter noodzakelijk.

Tot zover de L2TP vpn verbinding met Ipsec encryptie.

----------------------------------------------------------------------------------------------------------------


MCTS 70-642


CMAK; Connection Manager Administration Kit

Omdat we niet van alle gebruikers kunnen verwachten dat ze weten

hoe ze een vpn verbinding moeten opzetten, kunnen we ze daarbij helpen. Met de Connection Manager Administration Kit ( CMAK) kunnen

we een executable maken die de user maar hoeft te runnen. De executable brengt vervolgens alle benodigde wijzigingen aan, de user

hoeft dus geenn technische kennis te hebben.

Installeer nu op DC_RRAS de CMAK.

Dit is een feature.

Start nu vanuit het startmenu/ adm tools de CMAK op. Kies Windows Vista,

Kies new profile

----------------------------------------------------------------------------------------------------------------


MCTS 70-642


Servicename; naar RRAS.com Filename; Rrasvpn

Voeg als Realm toe RRAS.com;

kies meteen de optie

After the username.

We hoeven geen informatie te mergen; ga door

Vul het ipadres van de vpn server in;

Edit de VPN entry als volgt;

----------------------------------------------------------------------------------------------------------------


MCTS 70-642


Only ipv4 adressess;

Server assigns

addresses;

Only use L2TP;

Geen custom phone

book adden; (automatically

download uitzetten) ga gewoon door.

Do not change routing tables.

Do not configure proxy settings. Voeg geen custom action toe.

Kies de default graphic, icons en helpfile.

De license ontbreekt, dus niet

invullen.

Geen additional files nodig.

Geen advanced customization

Bij het afronden van de wizard wordt er een map aangemaakt met een exectuable van ca. 170 KB.

De locatie is C:\program files\CMAK\Profiles\Vista\rrasvpn\Rrasvpn.exe

Kopieer de map naar WIN7_RRAS.

----------------------------------------------------------------------------------------------------------------


MCTS 70-642


Ook hier geldt weer dat de thuisgebruiker dit zou kunnen doen met

een usbstick.

Maak op WIN7_RRAS een nieuwe user, Huisvrouw, aan. Zorg dat Huisvrouw bij de map kan komen. Huisvrouw krijgt uiteraard ook

een account in AD in de OU VPN. ( user2)

Log nu op WIN7_RRAS in als Huisvrouw en dubbelklik op de executable en constateer dat zich even later het inlogscherm voor

de vpn verbinding opent…. ; Huisvrouw kan nu een L2TP vpn verbinding opzetten met Member_RRAS.

In een domeinomgeving zouden we deze executable via een softwaredistributie policy (GPO) kunnen distribueren. Onze

WIN7_RRAS is echter geen lid van het domein, dus nu lukt dat niet, maar zoals je nu dus hebt gezien werkt de executable ook met clients

die géén lid zijn van het domein.

Maximaal aantal VPN verbindingen.

Op Member_RRAS; Log in als administrator ; in de RRAS console.

Selecteer Ports.

Klik met de rechtermuisknop; kies properties. Selecteer de WAN miniport L2TP.

Klik op Configure

en beperk het maximale aantal

gelijktijdige L2TP vpn verbindingen

dat member_RRAS

mag bedienen tot 1.

Klik op OK.

----------------------------------------------------------------------------------------------------------------


MCTS 70-642


Sluit de RRAS console.

Op WIN7_RRAS; Log in als Huisvrouw;

Maak met behulp van Rrasvpn.exe een nieuwe L2TP VPN verbinding aan.

Let op; de bestaande

snelkoppeling van de eerste VPN wordt nu

overschreven.

Rename die daarom

eerst even.

Probeer nu twee verbindingen tegelijk open te zetten; - Een verbinding als administrator

- Een verbinding als Huisvrouw

Constateer dat dit niet mag. De VPN

server accepteert maximaal één vpn

verbinding tegelijkertijd.

Hiermee zijn we aan het einde gekomen van de opdracht RRAS en VPN’s in Windows server2008.

Vraag de docent om te registreren dat je de aan opdracht hebt voldaan.

----------------------------------------------------------------------------------------------------------------


MCTS 70-642


Bijlage netwerktekening

DC_Rras.RRAS.

com

192.168.20.1 /24

Radius server

Member_RRAS

Radius clientWin7ext,

Windows 7

client.

Thuis computer

201.6.12.11 /24

201.6.12.10 /24

RRAS.com

192.168.20.2 /24Ipsec

encryptieShared secret

onderhoud en beheer informatiesystemen....onderhoud en beheer informatiesystemen mcts 70-642...

Documents