5.5 Настройка службы Routing and Remote Access

Из панели управления «Маршрутизация и удаленный доступ» выбираем в дереве навигации имя сервера и открываем контекстное меню. Выбираем пункт «Настроить и включить маршрутизацию и удаленный доступ».

Рисунок 19 – Настройка службы маршрутизации и удаленного доступа

Откроется окно мастера установки сервера маршрутизации и удаленного доступа, в котором необходимо выбирать пункт «особая конфигурация». На следующем шаге мастера включаем службу «доступ к виртуальной частной сети».

Далее нажимаем кнопку готово и соглашаемся с предложением запуска службы.

После этого в консоли «маршрутизация и удаленный доступ» снова выбираем используемый сервер и переходим в его свойства.

В открывшемся окне свойств на закладке «общие» убеждаемся в том, что включена маршрутизация – «локальной сети и вызова по требованию», а также активен функционал сервера удалённого доступа – «IPv4 – сервер удаленного доступа».

Рисунок 20 – Проверка необходимых настроек сервера

Переключимся на закладку «безопасность» и просматриваем настройки аутентификации по умолчанию. Использование провайдера аутентификации «Windows проверка подлинности» в доменной среде подразумевает то, что к серверу удалённого доступа смогут подключиться любые доменные пользователи, у которых в свойствах учетной записи включено право удалённого доступа (проверить это можно в оснастке Active Directory — пользователи и компьютеры, для учетной записи доменного пользователя на закладке Dial-In параметр «разрешение на доступ в сеть» должен быть определён как «разрешить доступ»).

Далее переходим на закладку «IPv4» и включим пересылку трафика с целью предоставления VPN-серверу возможности пересылать трафик VPN-клиентов в локальную сеть и обратно. В свойстве назначения IP адресов подключающимся VPN-клиентам выбираем использование статического пула.

Рисунок 21 – Назначение статического пула адресов для подключающихся VPN - клиентов

При этом для маршрутизации трафика из указанного диапазона сети VPN-клиентов в локальную сеть и обратно, на маршрутизирующем сетевом оборудовании в локальной сети необходимо будеть создать статический маршрут.

Далее выполняем настройку допустимого количества портов, на которые смогут подключаться VPN-клиенты для каждого отдельно взятого протокола.

В конфигурации по умолчанию создано множество портов для разных VPN-протоколов. Основным протоколом для VPN-соединений будет L2TP поверх IPSec с количеством портов не более, чем количество ранее выделенных в статическом пуле IP адресов.

Настроим порты для протокола L2TP, указав максимально возможное количество клиентских подключений, 50. Для всех других протоколов, которые мы не планируем настраивать и использовать, обнуляем значение количества портов.

Рисунок 22 – Настройка количества портов

5.6 Настройка правил Windows Firewall

Сервер имеет прямое подключение к сети Интернет, требуется настроить максимально строгие правила Windows Firewall. Выключаем большую массу правил, которые были включены по умолчанию. Оставляем включенными лишь правила, относящиеся к службам RAS по портам, которые будут в дальнейшем использоваться. Правила удалённого доступа к серверу по таким протоколам как WinRM и RDP ограничиваем профилем «Домен» и диапазоном локальной сети, из которого разрешается удалённый доступ к серверу.

5.7 Создание доменных групп доступа и настройка политик

Для дальнейшей настройки аутентификации VPN-клиентов потребуется создать в домене Active Directory (AD) группу безопасности, в которую будут включены учетные записи пользователей, которым требуется предоставить доступ к VPN. В рассматриваемом примере это будет доменная локальная группа безопасности VPN – Users.

Рисунок 23 - Создание группы безопасности VPN – Users

В дальнейшем, для предоставления какому-либо пользователю домена доступа к VPN, его учетную запись будет достаточно включить в эту группу безопасности. При этом сервер необходимо настроить таким образом, что пользователь сможет подключаться к VPN вне зависимости от того, как выставлены в свойствах его учетной записи в AD на закладке Dial-In ранее упомянутые настройки.

Будем использовать возможности служб Network Policy Server (NPS) для того, чтобы более гибко управлять параметрами подключения VPN-клиентов. Для этой цели создаются две сетевые политики.

Первая политика будет использоваться как основная для всех клиентов. Вторая политика будет применяться к клиентам в том случае, если они используют подключение по протоколу PPTP и будет иметь ряд настроек, которые будут жёстко ограничивать VPN - сессии такого рода.

В дереве навигации оснастки выбираем пункты «NPS», «Политики», «Сетевые политики». В контекстном меню выбираем пункт «Новый документ». Вводим имя политики, в качестве типа соединения указываем «Сервер удаленного доступа». На следующем шаге мастера добавим новое условие для применения политики. В открывшемся окне выбора условий выбираем «Группы пользователей».

Рисунок 24 – Создание политики на группу пользователей

На следующем шаге обозначим методы аутентификации доступные для подключающихся VPN-клиентов, подпадающих под правила обозначенные ранее (в нашем случае это пока только членство в доменной группе безопасности). Убедимся в том, что включён метод MS-CHAP-v2 и отключим прочие устаревшие и менее безопасные методы аутентификации, такие как MS-CHAP. На следующем шаге мастера Configure Constraints при необходимости можно настроить ограничения для подключений, такие как например ограничение простоя сессии или общий таймаут сессии. В данном случае эти ограничения нам не нужны и поэтому настройки на этом шаге мы оставляем без изменений.

На следующем шаге мастера настройки параметров в разделе настроек шифрования включаем шифрование MPPE 128-bit и MPPE 56-bit (при необходимости подключения пользователей на базе Windows XP).

Созданная сетевая политика будет использоваться как основная политика для всех подключающихся VPN клиентов. PPTP-сессия в нужна для того, чтобы подключиться клиенту к одному единственному ресурсу локальной сети – центру сертификации для получения сертификата для клиентского компьютера. Так как протокол PPTP является более устаревшим и менее защищённым чем L2TP/IPSec, нам нужно на сервере NPS создать ещё одну сетевую политику, с помощью которой будут определены жёсткие ограничения для PPTP соединений. Таким образом, в рамках нашей задачи, любая PPTP-сессия будет разрешать трафик исключительно до нескольких хостов локальной сети (Сервер ЦС и DNS-серверы) и будет при этом ограничена по времени – 30 минут, которого достаточно для того, чтобы сформировать запрос на получение сертификата в центре сертификации и получение автоматически выданного цифрового сертификата клиентского компьютера.

Настраиваем дополнительную сетевую политику.

Рисунок 25 – Настройка дополнительной политики для PPTP подключения.

После того, как политика создана, приоритет обработки политик должен быть выстроен таким образом, чтобы политика для PPTP соединений имела более высокий приоритет.

Таким образом, если любой VPN-клиент подключится по протоколу PPTP, то его сессия будет иметь выше-обозначенные ограничения и будет пригодна только для процедуры получения цифрового сертификата, необходимого для последующих полноценных L2TP/IPSec подключений.