Windows server ja RRAS tunnelid, ehk kuidas teha VPN (EAP-MSCHAP v2 SSTP baasil)

Kirjutan natuke VPN lahendustest Microsoft Serveri baasil. Valikuteks on RRAS ja DirectAccess. Kuna viimane eeldab kliendi pool Enterprise litsentsitaset, siis olen kasutanud nö odavamat lahendust RRAS (Routing and Remote Access).

NB!!! See juhend eeldab, et lugeja on juba RRAS konsooliga tuttav ja ei sisalda päris nullist seadistamist.

Kasutasin eelnevalt MS RRAS auditemis protokolli MSCHAP v2 ja protokolli PPTP tunneli loomiseks. Selle koosluse plussiks on üles-seadmise lihtsus aga miinuseks ebaturvalisus (MSCHAP v2 protokollist saab autendimis info MITM ründega kätte) ja teiseks PPTP port 1723, mis võib osades võrkudes blokeeritud olla.

Edaspidi kasutame autendimis protokolliks EAP-MSCHAP v2, ehk siis MSCHAPv2 pakett liigub kliendi-serveri vahel läbi turvatud transpordi kihi. Tunneli protokolliks võtame SSTP, mis liigub üle 443 pordi ja on tõenäoliselt lahti igas kohtvõrgus.

Minu testkeskkonnas on üks füüsiline server litsentsiga MS Server 2012 R2 standard, kus RRAS, IIS, ADDS, DHCP on kõik ühe füüsilise masina peal. Võrgu tasemel tuleb teha järgnevad muutused:

Globaalsed viited zone.ee näitel (siin on eeldatud, et sul on domeen, mida saab aduendida läbi admin@sinudomeen.xyz aadressi):

  • Lisa DNSi uus A kirje (näiteks vpn.sinudomeen.ee), mis viitab Ruuteri välisele aadressile kus asub RRAS server.
  • Soeta sellele kirjele SSL sertifikaat (cheapest will do here)

Lokaalsed viited Mikrotik näitel:

  • Input ahelas lubada paketid mille sihtaadress on ruuteri väline aadress ja port 443
  • NAT ahelas dstnat mis suunab selle liikluse RRAS serveri IP ja pordi 443 peale

Kui registripidaja sulle sertifikaadi väljastab saad RRAS seadistamise lõpule viia.

Samm1 (mittekohustuslik)

Zone.ee väljastas sertifikaadi 3 formaadis .pem .der ja .net et sertifikaat IISi sisse importida on vaja see konvertida .pfx formaati.

pem
Sertifikaadi konverteerimine – https://www.sslshopper.com/ssl-converter.html

Peale konverteerimist saab IIS Server Certificates menüü alt selle importida. Peale seda tuleb ka Default web site bindinguid muuta

  • Type: https
  • IP aadress: serveri sisemine IP aadress
  • Port: 443
  • Host name: võib tühjaks jääda
  • SSL certificate: imporditud sertifikaat

Lihtsalt testimise mõttes tegin lahti ka pordi 80 ja lisasin IISi teenuse HTTP Redirect (add roles and features), see tuleb seadistada viitama https://sinudomeen.xyz peale. Kui kõik on korrektselt tehtud peaks aadressile minnes leht ilusti ette tulema ilma ühtegi turvahoiatust andmata ja http suunatakse alati https peale.encrypted
M
ission accomplished 😛

Samm 2 (kohustuslik)

RRAS server properties menüüs tuleb Security tabis teha järgnevad muudatusedrras1
Authentication Methods: jäta ainult EAP
SSL Certificate Binding: pane sinna korrektne sertifikaat

Samm 3 (kohustuslik)

  1. Nüüd ava Network Policy Server konsool.
  2. Network Policy Server konsoolis, navigeeri kausta Network Policies.
  3. Kustuta või pane Disable kehtivatele reeglitele ja loo uus järgmiste andmetega (Actions -> New)
  • Policy name: VPN Policy
  • Type of network access server: Remote Access Server(VPN-Dial up)
  • Windows Groups: VPN õiguste grupp (Ntx: Domain Users)
  • Specify Access Permission: Access granted
  • Configure Authentication Methods: Eemalda kõik linnukesed Less secure authentication methods valikutes, seejärel add Microsoft Secured password (EAP-MSCHAP v2) ja Microsoft: Smart Card or other certificate. Viimase peal edit ja sööda sisse juba tuttav sertifikaat.
  • Lõpeta wizard aktsepteerides vaikeväärtusi järgnevatel lehtedel.

rras2
L
õpptulemus peaks olema selline

Peale seda sammu on VPN tunnel töövalmis, testi ja veendu, et töötab 🙂

Samm 4 (mittekohustuslik)

Kuna mul NPSi sai VPN ligipääsu Grupp Domain Users, siis piiran selle kasutamist ikkagi eraldi masinapõhise grupiga, mis loob liikme peal VPN võrguprofiili. Selleks loo uus poliitka (GPO) ja piira selle rakendamist viimase grupi peale.

Computer configuration > Preferences > Control panel settings > Network options > New > VPN Connection

VPN Connection tab

  • Action: Create
  • Connection name: suvaline nimi mida kasutaja näeb  (ntx XYZ VPN)
  • IP aadress: Use DNS name linnuke ja lisa aadress

Options tab

  • Linnuke kasti: Display progress while connecting

Security tab

  • Vali: Advanced (custom settings)
  • Data encryption: Required
  • Logon security: Use EAP, kõik muu jäta vaikeväärtuste peale.

Nüüd navigeeri samas GPOs: Computer configuration > Preferences > Windows settings > Ini files > New > Ini File

  • Action: Replace
  • File Path: %ProgramData%\Microsoft\Network\Connections\pbk\rasphone.pbk
  • Section name: eelnevalt loodud ühenduse nimi (XYZ VPN)
  • Property Name: VpnStrategy
  • Property Value: 5

See plokk defineerib loodavas VPN ühenduses ära type of VPNiks SSTP kuna GPO seda ise ei võimalda.

Kui see GPO on korrektselt tehtud, siis luuakse masinate peal VPN profiil. Peale restarti on võimalik teha ka VPN login. See on eriti kasulik kui arvuti pole ettevõtte sisevõrgus ning sisse proovib logida arvuti jaoks tundmatu domeeni kasutaja. Sellisel juhul saab autentimise teha läbi tunneli ja kasutaja saab sisse 🙂

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s