• biuro@ar-net.info
  • 48 663 208 340

Windows Server 2008 jako serwer zdalnego dostępu SSL VPN, cz. 2

Windows Server 2008 jako serwer zdalnego dostępu SSL VPN, cz. 2

Wymagane kroki, aby sprawić, że trzy komputery będą pracować w rozwiązaniu klient/serwer SSTP VPN.

 

 

Źródło: www.windowsecurity.com

Tłumaczenie: Paweł Adamski, Opole

W pierwszej części serii artykułów na temat jak skonfigurować Windows Server 2008 jako serwer SSL VPN omówiłem rozwój tak serwerów Microsoft VPN jak i protokołów VPN. Skończyliśmy artykuł opisem przykładowej sieci, której będziemy używać, tak w tym jak i następujących po nim artykułach, dotyczących konfigurowania bramki VPN obsługującej połączenia SSTP dla klientów Vista SP1.

 

Zanim rozpocznę, powinienem nadmienić, że w witrynie internetowej www.microsoft.com znajduje się przewodnik, jak krok po kroku skonfigurować połączenia SSTP dla Windows Server 2008. Odniosłem jednak wrażenie, że znajdujące się tam wyjaśnienie systemu certyfikacji CA dla przydzielania certyfikatów jest problematyczne, ponieważ nie odzwierciedla ono rzeczywistego środowiska. Zarówno z tego powodu, jak i ponieważ pewne kwestie nie zostały poruszone w przewodniku Microsoftu, zdecydowałem się napisać niniejszy artykuł. Myślę, że będzie on pomocny w nauczeniu się czegoś nowego.

Nie mam zamiaru przerabiać wszystkiego od podstaw. Zakładam, że na serwerze masz zainstalowane usługi DC, DHCP, DNS oraz role Certificate Services. Typem serwera certyfikującego powinien być Enterprise, aby środowisko firmowe Enterprise CA było głównym rozwiązaniem w Twojej sieci. Serwer VPN powinien być przyłączony do domeny zanim podejmiemy wymienione poniżej kroki. Niezbędna jest też wcześniejsza instalacja SP1 u klientów Visty.

 

Żeby wprowadzić to rozwiązanie musimy wykonać następujące czynności:

  • Zainstalować IIS na serwerze VPN
  • Poprosić o komputerowy certyfikat dla serwera VPN, stosując IIS Certificate Request Wizard
  • Zainstalować rolę serwera RRAS na serwerze VPN
  • Uaktywnić RRAS Server i skonfigurować go jako serwer VPN i NAT
  • Skonfigurować serwer NAT tak, żeby publikował CRL
  • Skonfigurować Konto Użytkownika, żeby pozwalało na zdalne połączenia typu dial-up
  • Skonfigurować IIS na Certificate Server w taki sposób, żeby pozwalał na połączenia HTTP z katalogiem CRL
  • Skonfigurować plik HOSTS u klienta VPN
  • Zastosować PPTP w celu połączenia z serwerem VPN
  • Otrzymać certyfikat CA od Enterprise CA
  • Skonfigurować Klienta w taki sposób, żeby stosował SSTP oraz Połączenie do Serwera VPN przy użyciu SSTP

 

Zainstaluj IIS na serwerze VPN Server

Może to zabrzmieć jako dziwny sposób na rozpoczęcie procesu, ponieważ zwykle sugeruję żeby nigdy nie instalować serwera WWW na serwerze odpowiedzialnym za bezpieczeństwo sieci. Dobrą wiadomością jest to, że nie potrzebujemy ciągłego utrzymywania serwera WWW na serwerze VPN, wystarczy, że zastosujemy go przez krótką chwilę. Spowodowane jest to tym, że rejestracja w witrynie internetowej, zastosowana w Windows Server 2008 Certificate Server, nie jest już zbytnio użyteczną przy wnoszeniu prośby o komputerowe certyfikaty. W rzeczywistości nie ma ona w ogóle zastosowania. Interesującym jest to, że ciągle można próbować zdobyć komputerowy certyfikat, używając rejestracyjnej witryny internetowej i wygląda na to, że został on zainstalowany, jednak w rzeczywistości certyfikat nie jest zainstalowany.

 

Żeby ten problem rozwiązać, wykorzystamy fakt użycia firmowego Enterprise CA. Podczas użycia Enterprise CA, możesz przesłać prośbę do podłączonego do systemu serwera certyfikującego. Tego typu prośba o komputerowy certyfikat jest możliwa przy zastosowaniu IIS Certificate Request Wizard, a prośba ta obecnie nazywana jest „Domain Certificate”. Będzie to funkcjonowało jedynie w przypadku, kiedy urządzenie wnoszące prośbę o certyfikat należy do tej samej domeny co Enterprise CA.

W celu zainstalowania roli serwera IIS Web, wykonaj następujące czynności na serwerze VPN:

  1. Otwórz Windows 2008 Server Manager.
  2. W lewym polu konsoli, kliknij Roles.

Rys. 1

  1. Kliknij odnośnik Add Roles po prawej stronie prawego pola.
  2. Kliknij Next na stronie Before You Begin.
  3. Zaznacz pole wyboru Web Server (IIS) na stronie Select Server Roles. Kliknij Next.

Rys. 2

  1. Jeśli chcesz, to przeczytaj informacje na stronie Web Server (IIS). Jest to dobra i ogólna informacja o używaniu IIS 7 jako serwera WWW, skoro jednak nie będziemy używali serwera IIS Web na serwerze VPN, informacje te w rzeczywistości nie dotyczą naszego przypadku. Kliknij Next.
  2. Na stronie Select Role Services pewne opcje są już wybrane. Jeśli jednak pozostaniesz przy opcjach domyślnych, to wygląda na to, że nie otrzymasz możliwości skorzystania z Certificate Request Wizard. Tak się stało podczas mojego testowania. Role Service nie pojawił się w Certificate Request Wizard, próbowałem więc oznaczyć każde pole wyboru w opcjach Security i wtedy wydawało się, że to działa. Wykonaj więc to w ten sposób i kliknij Next.

Rys. 3

  1. Przeglądnij informacje na stronie Confirm Installation Selections i kliknij Install.
  2. Kliknij Close na stronie Installation Results.

Rys. 4

Poproś o komputerowy certyfikat dla serwera VPN, używając IIS Certificate Request Wizard

Następnym krokiem jest wystąpienie z prośbą o komputerowy certyfikat dla serwera VPN. Serwer VPN potrzebuje tego certyfikatu w celu zainicjowania połączenia SSL VPN z komputerem klientem SSL VPN. Nazwa publiczna w certyfikacie musi być zgodna z nazwą, której klient VPN będzie używał podczas połączenia z bramką SSL VPN komputera.Oznacza to, że powinno się utworzyć publiczny wpis DNS dla tej nazwy w certyfikacie, który będzie odpowiadał zewnętrznemu adresowi IP w serwerze VPN albo adresowi IP urządzenia NAT przed serwerem VPN przekazującego połączenie do serwera SSL VPN.

 

Wykonaj następujące czynności, żeby poprosić i zainstalować komputerowy certyfikat na serwerze SSL VPN:

  1. W Server Manager, rozwiń Roles w lewym polu, następnie rozwiń Web Server (IIS). Kliknij na Internet Information Services (IIS) Manager.

Rys. 5

  1. W konsoli Internet Information Services (IIS) Manager, która pojawi się w polach po prawej stronie lewego polu, kliknij na nazwę serwera. W tym przykładzie nazwa serwera to W2008RC0-VPNGW. Kliknij na ikonę Server Certificates w prawym polu konsoli IIS.

Rys. 6

  1. W prawym polu konsoli kliknij link Create Domain Certificate.

Rys. 7

  1. Wypełnij informacje na stronie Distinguished Name Properties. Najważniejszym wpisem na tej stronie jest wpis Common Name. Wpis ten jest nazwą, której klienci VPN będą używali w celu połączenia się z serwerem VPN. Potrzebny będzie wpis publiczny DNS dla tej nazwy, który bedzie odnosił się do zewnętrznego interfejsu serwera VPN albo publicznego adresu urządzenia NAT, umieszczonego przed serwerem VPN. W tym przykładzie będziemy używać publicznej nazwy sstp.msfirewall.org. Później utworzymy zbiór wpisów HOSTS w komputerze kliencie VPN, odnoszącym się do tej nazwy. Kliknij Next.

Rys. 8

  1. Na stronie Online Certification Authority kliknij przycisk Select. W okienku dialogowym Select Certification Authority kliknij na nazwę Enterprise CA i kliknij OK. Wprowadź przyjazną nazwę dla certyfikatu w okienku tekstowym Friendly name. W tym przykładzie użyjemy nazwy SSTP Cert skoro wiemy, że taka jest używana dla bramki SSTP VPN.

Rys. 9

  1. Kliknij Finish na stronie Online Certification Authority.

Rys. 10

  1. Kreator wykona zadanie i zniknie. W tym momencie certyfikat pojawi się w konsoli IIS. Kliknij dwukrotnie na certyfikat, wtedy zobaczysz, że pojawiła się nazwa publiczna w sekcji Issued to oraz informacja, że posiadamy prywatny klucz, który odnosi się do certyfikatu. Kliknij OK, żeby zamknąć okienko dialogowe Certificate.

Rys. 11

Skoro mamy już certyfikat, możemy zainstalować RRAS Server Role. Zauważ, że kluczowym jest fakt, by najpierw został zainstalowany certyfikat, zanim zainstalujesz RRAS Server Role. W przeciwnym razie czekałaby Cię „ciężka przeprawa”, ponieważ musiałbyś zastosować niełatwą procedurę liniowych poleceń w celu powiązania certyfikatu z odbiornikiem SSL VPN.

 

Zainstaluj RRAS Server Role w serwerze VPN

W celu zainstalowania RRAS Server Role, wykonaj następujące czynności:

  1. W Server Manager kliknij Roles w lewym polu konsoli.
  2. W sekcji Roles Summary kliknij odnośnik Add Roles.
  3. Na stronie Before You Begin kliknij Next.
  4. Na stronie Select Server Roles zaznacz pole wyboru przy Network Policy and Access. Kliknij Next.

Rys. 12

  1. Przeczytaj informacje na stronie Network Policy and Access Services. Większość jest na temat nowego serwera Network Policy Server (który poprzednio był nazywany Internet Authentication Server [IAS], który był serwerem RADIUS) i NAP, z których żaden nie ma zastosowania w naszym scenariuszu. Kliknij Next.
  2. Na stronie Select Role Services zaznacz pole wyboru Routing and Remote Access Services. Spowoduje to zaznaczenie pól wyboru w Remote Access Service i w Routing. Kliknij Next.

Rys. 13
  1. Kliknij Install na stronie Confirm Installation Selection.
  2. Kliknij Close na stronie Installation Results.

Uaktywnij serwer RRAS i skonfiguruj go w taki sposób, żeby był serwerem VPN i NAT

Skoro rola serwera RRAS została zainstalowana, musimy uaktywnić usługę RRAS w ten sam sposób, jak robiliśmy to w poprzednich wersjach Windowsa. Musimy uaktywnić funkcję serwera VPN oraz usługę NAT. Jest raczej oczywiste, dlaczego mamy uaktywnić komponent serwera VPN, ale zdziwienie możne budzić fakt, dlaczego uaktywniamy serwer NAT. Uaktywnianie serwera NAT spowodowane jest potrzebą, aby zewnętrzni klienci mogli mieć dostęp do Certificate Server w celu połączenia się z CRL. Jeśli klient SSTP VPN nie może ściągnąć CRL, połączenie z SSTP VPN zawiedzie.

Żeby umożliwić dostęp do CRL, skonfigurujemy serwer VPN jako serwer NAT i opublikujemy CRL stosując odwrotny NAT. W środowisku pracującym, prawdopodobnie zastosowana będzie zapora sieciowa, np. ISA Firewall, przed Certificate Server, więc CRL będzie publikowany z użyciem zapory. Skoro w tym przykładzie jedyną zaporą, którą zastosujemy jest Windows Firewall w serwerze VPN, w związku z tym potrzebne jest skonfigurowanie serwera VPN jako serwera NAT.

 

Wykonaj następujące czynności w celu uaktywnienia usługi RRAS:

  1. W Server Manager rozwiń Roles w lewym polu konsoli. Rozwiń Network Policy and Access Services i kliknij na Routing and Remote Access. Kliknij prawym przyciskiem myszy na Routing and Remote Access i kliknij Configure and Enable Routing and Remote Access.

Rys. 14
  1. Kliknij Next na stronie Welcome to the Routing and Remote Access Server Setup Wizard.
  2. Na stronie Configuration wybierz opcję Virtual private network (VPN) access and NET i kliknij Next.

Rys. 15
  1. Na stronie VPN Connection wybierz NIC w sekcji Network interfaces, który reprezentuje zewnętrzny interfejs serwera VPN. Następnie kliknij Next.

Rys. 16
  1. Na stronie IP Address Assignment wybierz opcję Automatically. Możemy wybrać tę opcję, ponieważ posiadamy zainstalowany serwer DHCP w kontrolerze domeny serwera za serwerem VPN. Jeśli nie mielibyśmy serwera DHCP, wtedy musielibyśmy wybrać opcję From a specified range of addresses i następnie dostarczyć listę adresów, których klienci VPN mogliby używać podczas przyłączania się do sieci poprzez bramkę VPN. Kliknij Next.

Rys. 17
  1. Na stronie Managing Multiple Remote Access Servers wybierz No, use Routing and Remote Access to authenticate connection requests. Jest to opcja, której używamy, gdy nie ma dostępnych serwerów NPS ani RADIUS. Ponieważ serwer VPN jest członkiem domeny, możemy uwierzytelniać użytkowników, stosując konta domenowe. Jeśli serwer VPN nie byłby członkiem domeny, jedynie lokalne konta na serwerze VPN mogłyby być użyte, chyba że zdecydowalibyśmy się na użycie serwera NPS. W przyszłości napiszę jeszcze artykuł na temat zastosowania serwera NPS. Kliknij Next.

Rys. 18
  1. Przeczytaj informacje podsumuwujące na stronie Completing the Routing and Remote Access Server Setup Wizard i kliknij Finish.
  2. Kliknij OK w okienku dialogowym Routing and Remote Access informującym, że przekazywanie wiadomości DHCP wymaga agenta przekazującego DHCP.
  3. W lewym polu konsoli rozwiń Routing and Remote Access i wtedy kliknij na Ports. W środkowym polu zobaczysz, że połączenia WAN Miniport są teraz dostępne dla SSTP.

Rys. 19

Skonfiguruj serwer NAT w taki sposób, żeby publikował CRL

Jak już wcześniej wspomniałem, klient SSL VPN musi mieć możliwość pobrania CRL w celu upewnienia się, że serwerowy certyfikat w serwerze VPN nie został anulowany. Żeby to zapewnić, trzeba skonfigurować urządzenie przed serwerem certyfikującym przekazującym prośby HTTP o lokalizację CRL do Certificate Server.

Skąd się dowiedzieć z jakim URL klient SSL VPN potrzebuje się połączyć, żeby ściągnąć CRL? Ta informacja jest zawarta wewnątrz certyfikatu. Jeśli ponownie wrócisz do serwera VPN i klikniesz dwukrotnie na certyfikat w konsoli IIS, jak to zrobiłeś wcześniej, będziesz w stanie znaleźć tę informację.

Kliknij na zakładkę Details certyfikatu i przejedź w dół do pozycji CRL Distribution Points i kliknij na nią. W dolnym polu zobaczysz różnorodne punkty dystrybucyjne w zależności od protokołu użytego do ich dostępu. W certyfikacie widocznym na rysunku poniżej, można zobaczyć, że musimy umożliwić klientowi SSL VPN dostęp do CRL poprzez URL:

 

http://win2008rc0-dc.msfirewall.org/CertEnroll/WIN2008RC0-DC.msfirewall.org.crl

Rys. 20

Z tego powodu, trzeba stworzyć publiczny wpis DNS dla tej nazwy, tak żeby zewnętrzni klienci VPN mogli odnieść tę nazwę do adresu IP w urządzeniu, które będzie wykonywało odwrotny NAT albo odwrotne Proxy w celu umożliwienia dostępu do witryny internetowej Certificate Server. W tym przykładzie potrzebne jest, aby win2008rc0-dc.msfirewall.org określał adres IP na zewnętrznym interfejsie serwera VPN, serwer VPN przemieści NAT tego połączenia do Certificate Server.

Jeśli stosujesz zaawansowaną zaporę sieciową, np. ISA Firewall, mógłbyś uczynić publikowanie witryny CRL bardziej bezpiecznym poprzez przyzwolenie dostępu jedynie do CRL, a nie do całej witryny. Jednak w tym artykule ograniczymy się do możliwości prostego urządzenia NAT, takiego jakiego dostarcza RRAS NAT.

Powinienem tutaj dodać, że stosowanie domyślnej witryny CRL niekoniecznie będzie bezpieczniejszą opcją, ponieważ sprawia, że nazwa prywatnego komputera pojawia się w Internecie. Jeśli uważasz, że upublicznienie DNS przez umieszczenie Twojego prywatnego CA w publicznym DNS jest problemem związanym z bezpieczeństwem, można temu zapobiec poprzez stworzenie niestandardowego CDP (CRL Distribution Point). Więcej informacji na temat jak zmienić te wartości można znaleźć na How to Change the Policy Settings for a Certification Authority (CA) in Windows 2000.

 

Wykonaj następujące czynności konfiguracyjne RRAS NAT w taki sposób, żeby przekazywał prośby HTTP do Certificate Server:

  1. W lewym polu Server Manager rozwiń Routing and Remote Access i następnie rozwiń IPv4. Kliknij na NAT.
  2. W NAT kliknij prawym przyciskiem myszy na zewnętrzny interfejs w środkowym polu konsoli. W tym przykładzie nazwa zewnętrznego interfejsu to Local Area Conneciton. Kliknij Properties.


Rys. 21
  1. W ramce dialogowej Local Area Connection Properties kliknij na pole wyboru Web Server (HTTP). Spowoduje to pojawienie się ramki dialogowej Edit Service. Do ramki tekstowej Private Address wprowadź adres IP serwera Certificate Server sieci wewnętrznej. Kliknij OK.

Rys. 22
  1. Kliknij OK w ramce dialogowej Local Area Connection Properties.

Rys. 23

Teraz, kiedy już serwer NAT jest zainstalowany i skonfigurowany, możemy skoncentrować się na konfiguracji serwera CA oraz klienta SSTP VPN.

 

Podsumowanie

W tym artykule kontynuowaliśmy naszą serię na temat konfigurowania serwera SSL VPN przy użyciu Windows Server 2008. Przerobiliśmy instalowanie IIS na serwerze VPN, prośbę o serwerowy certyfikat i jego instalowanie oraz instalowanie i konfigurowanie usług RRAS i NAT na serwerze VPN. W następnym artykule dojdziemy do końca, konfigurując serwer CA i klienta SSTP VPN. Więc do zobaczenia! – Tom.

 

Źródło: www.windowsecurity.com

 


Potrzebujesz wsparcia