Налаштування VPN і RADIUS сервера на Windows Server 2008

Сьогодні мова піде про встановлення та налаштування VPN сервера на Windows Server 2008 в зв’язці з Network Policy Server (NPS), який буде виконувати роль RADIUS сервера, а також захищатиме нашу мережу за допомогою мережевих політик.

Для початку визначимося для чого нам потрібно встановлювати і налаштовувати VPN? Найчастіше VPN використовується для надання доступу до своєї мережі з поза, по захищеному каналу. Але тут потрібно подумати, є це для Вас найкращим рішенням або можна обійтися і без VPN (наприклад «Віддалений робочий стіл»). Але якщо у Вас немає іншого виходу, крім як налаштовувати VPN, то давайте приступимо.

Для початку розповім, в яких умовах ми будемо все це справа налаштовувати.

  • По-перше, на базі служби каталогів Active Directory Windows Server 2008;
  • По-друге, зазвичай другий мережевий інтерфейс, який слухає вхідні дзвінки, має зовнішній IP адреса, я для тестів буду використовувати просто іншу локальну мережу. Передбачається, що у нас на сервері є два мережевих інтерфейсу:

перший (локальний) 10.10.10.3255.255.255.0    другий (як би вихід в інет, тобто цей інтерфейс буде приймати вхідні підключення) 192.168.1.1255.255.255.0Завдання. Налаштувати VPN сервер і NPS сервер. При цьому клієнти VPN сервера повинні підключатися тільки в певний час (з 20:00 до 21:00) В інший час їм заборонено входити в мережу.

Для початку створіть групу безпеки в оснащенні Active Directory «Користувачі і комп’ютери». Для того щоб в неї поміщати користувачів, які матимуть можливість підключатися до мережі по VPN.

Установка ролей сервера для VPN і NPS

Далі можна переходити до установки необхідних ролей сервера. Як VPN сервера у нас буде виступати «Служба маршрутизації та віддаленого доступу», А в якості RADIUS сервера буде виступати«Сервер політики мережі». Для установки як зазвичай зайдіть в «Диспетчер сервера»І додайте роль«Служба політики мережі та доступу». На вкладці «служби ролей»Поставте необхідні галочки (як на картинці).

Налаштування служби маршрутизації і віддаленого доступу для VPN

Після того як все встановилося можна переходити до налаштування «Служби маршрутизації і віддаленого доступу». Для цього запустіть відповідну оснастку в адміністрування. Запускайте майстер налаштування сервера (правою кнопкою «Налаштувати і включити маршрутизацію і віддалений доступ»).

вибирайте «Віддалений доступ (VPN або модем)” як на картинці (ми зараз будемо налаштовувати тільки віддалений доступ, NAT налаштовувати не будемо, у нас немає такого завдання, тому вибираємо найперший пункт).

Далі вибираємо «Доступ до віртуальної приватної мережі (VPN)».

На наступному етапі вибирайте інтерфейс, який буде слухати вхідні дзвінки, тобто саме за цією адресою клієнти будуть до нас підключатися (в справжніх умовах це інтерфейс який дивиться в Інтернет).

Далі виберете спосіб роздачі IP адрес клієнтам, які будуть підключатися, іншими словами, для того щоб користувач знаходився в одній мережі, йому необхідно присвоїти відповідний IP адреса. Існує два способи це зробити:

  • Роздати через DHCP;
  • Задати вручну діапазон.

Перший варіант можна використовувати тоді, коли у Вас налаштований DHCP сервер у Вашій мережі. Весь процес виглядає так – якщо Ви вибрали цей варіант «Служба маршрутизації і віддалено доступу»Відразу займе на DHCP сервері 10 IP адрес, тому не дивуйтеся, чому у Вас на DHCP сервері з’явилися зайняті ip-ки з унікальному кодом RAS. До речі якщо одночасних підключень буде більше 10, то RAS займе ще 10 і так далі, тобто займає відразу по десять штук.

Якщо Ви не хочете використовувати DHCP, то просто на все виберете відповідний пункт і задайте діапазон IP адрес.

Примітка! Якщо Ви вирішили поставити вручну і при цьому у Вас працює DHCP сервер, то задавайте той діапазон, який не буде перетинатися з видачею DHCP, або просто на DHCP сервері задайте діапазон винятків, IP адреси якого не видаватимуться, а тут Ви його вкажіть для видачі .

На наступному етапі Вам запропонують вибрати спосіб перевірки автентичності запитів на підключення. Тут у Вас знову два варіанти: перший, сама служба буде це робити, а другий RADIUS сервер, якраз другий варіант ми сьогодні і розглядаємо.

Далі належить вибрати адресу основного RADIUS сервера, так як основним сервером є ми самі, то і пишемо наш IP адреса: 10.10.10.3

Все тисніть готове, у Вас при цьому налаштуватися DHCP сервер для спільної роботи з цією службою.

Налаштування Network Policy Server (NPS)

Тепер переходимо до налаштування Network Policy Server (NPS) для цього запускайте оснащення “Сервер політики мережі». Для початку зареєструйте цей сервер в AD, правою кнопкою «Зареєструвати сервер в AD». Потім можна вимкнути політики, які створилися за замовчуванням (також легко, правою кнопкою вимкнути). Потім можете запускати майстер настройки сервера.

Спочатку вибираєте тип підключення і можете задати ім’я Ваших політик, я наприклад не змінював, а залишив все за замовчуванням.

Потім можна вказати клієнтів RADIUS сервера. Під цим розуміється сервера, яким потрібні послуги RADIUS сервера, наприклад наш VPN сервер, але так як він знаходиться на нашому локальному комп’ютері, то тут можна нічого не заповнювати.

На наступному етапі у Вас запитають, який метод перевірки автентичності хочете використовувати, виберіть варіант MS-CHAPv2.

Далі додайте групу користувачів, які мають право на підключення до VPN сервера. Свою групу я назвав VPN.

Потім Вас попросять налаштувати ip-фільтри, але ми цього робити не будемо, тиснемо далі і потрапляємо на етап настройки шифрування, тут знову нічого не міняємо (за замовчуванням всі галочки включені). Переходимо до наступного етапу, де необхідно вказати «ім’я сфери»Ми це теж пропускаємо і тиснемо далі, де нам вже скажуть, що настройка пройшла успішно. тиснемо «Готово».

Тепер можете розкрити політики, виберете «Політики запитів на підключення»Натисніть правою кнопку на створену Вами політику і натисніть властивості, перейдіть на вкладку умови і натисніть додати. Знайдіть там розділ «Обмеження по днях тижня і часу доби»І тисніть ще раз додати. Налаштуйте час так, як Вам потрібно, для нашої з Вами тестового завдання це з 20:00 по 21:00.

Тепер можна переходити до тестування, в настройках підключення клієнта вказуємо адресу 192.168.1.1 (в реальність зовнішній IP адресу або DNS ім’я).

Все, на цьому наша з Вами тестова задача виконана. Але відразу можу сказати, що можливостей у NPS сервера дуже багато і Ви можете задавати свої мережеві політики для своєї локальної мережі, при виконанні деяких умов. Наприклад, комп’ютери повинні бути в домені і у них повинен бути включений NAP агент. Але про це та багато іншого будемо розмовляти в наступних статтях.

Ссылка на основную публикацию