In diesem Verfahren, Die VPN-Verbindung zwischen dem Client und dem Routingserver wird gesichert. Wir werden zwei Arten der Verbindung verwenden, eine durch den Benutzernamen/das Passwort des Ativo-Verzeichnisses und die andere durch die Verwendung von Zertifikaten (EAP).

SERVERKONFIGURATION:

Zuerst erstellen wir eine Gruppe im Active Directory, Wir werden sie verwenden, um ihren Mitgliedern, die sich mit dem VPN verbinden, Berechtigungen zu geben.

Es wird eine Sicherheitsgruppe sein und wir nennen sie 'GruppeVPN'.

Ende.

Jetzt müssen wir den IAS-Server installieren (Internet Authentication Service) Um ihn mit dem VPN-Server zu konfigurieren, Und das sogenannte RADIUS zu machen. Dazu gehen wir in die Systemsteuerung > Programme hinzufügen oder entfernen > Windows-Komponenten > Und dann auf 'Netzwerkdienste'.

Wir markieren das Häkchen bei 'Internet Authentication Service'’ Und klicken auf OK, um die Installation zu starten.

Wir öffnen die Konsole, die sich unter den Verwaltungstools befindet > Internet Authentication Service. Wir müssen den IAS im Active Directory registrieren (A.D.), hierfür, Über unserem IAS-Server Rechtsklick > 'Im A.D. registrieren'.

Okay.

Okay.

Sobald es für die Arbeit in unserem A.D. autorisiert ist. tenemos que crear un cliente RADIUS, que será el servidor VPN (que deberá estar ya instalado, sonst, mirar el capitulo de configuración del Servidor VPN – HIER). Creamos el cliente con botón derecho en ‘RADIUS Clients’ y ‘New RADIUS Client’

Deberemos de meter el nombre del servidor VPN que puede que sea el propio donde esté instalado el IAS, metemos su nombre y su IP. Folgende.

Metemos un secreto para que tengan en común el IAS y el Servidor VPN.

Ahora deberemos de crear una Politica de Acceso al Grupo creado anteriormente.

Folgende.

Le ponemos un nombre para identificarla.

VPN y Siguiente.

Seleccionamos el grupo que hemos creado al principio. Y le damos a Siguiente.

Seleccionamos EAP (con certificados o tarjeta inteligente) y pinchamos en ‘Configure…’, seleccionamos el certificado que hemos creado en el capitulo de poner seguridad al OWA (HIER) y marcamos el check de MS-CHAP2 (ist optional).

La encriptación más fuerte, Folgende.

Ende.

Abrimos la consola de configuración del Servidor VPN, en Herramientas Administrativas > Enrutamiento y Acceso Remoto. Entramos en las propiedades del Servidor.

Pestaña Seguridad > Seleccionamos Authenticación RADIUS y pinchamos 'Configure…’

Pinchamos en 'Añadir’

Seleccionamos el nombre del servidor IAS (que como he dicho antes puede que sea que el mismo que el Servidor VPN). Tenemos que meter ahora el secreto que se configuro en el IAS pinchando en 'Change'.

Metemos el secreto que se puso en el IAS y Ok.

De nuevo en las propiedades del Servidor VPN, en la pestaña Seguridad > En Proveedor de cuenta metemos ‘RADIUS Accounting’ y pulsamos en ‘Configure…’

Hinzufügen…

Aquí lo mismo que antes, metemos el nombre del servidor IAS y metemos el secreto en comun que tienen el IAS y el Servidor VPN, en ‘Change…’.

El secreto ese famoso y Ok.

Ahora pinchamos en ‘Metodos de Autenticación…’

Seleccionamos EAP y opcionalmente MS-CHAP2, pulsamos en ‘Metodos EAP…’

Seleccionamos ‘tarjeta inteligente u otro certificado…’ y Aceptamos todas las ventanas.

Lo que quedaría ahora es generar el certificado por cada usuario que nos interese que se conecte a la VPN, para ello abriremos el explorador y nos conectamos a nuestro servidor C.A. HTTP (Englisch)://servidorca/certsrv. Lo importante aqui es logearnos con el usuario en cuestión, así que no podemos estar logeados como el administrador en Windows pq sino nos cojerá los credenciales de este. O sino cambiando en las propiedades del sitio 'certsrv’ en el IIS el tipo de autenticación para que nos pida usuario y contraseña siempre y asi logearnos con el usuario que nos interese.

Pinchamos en 'Request a certificate'.

Ahora pinchamos en 'User Certificate’

Pinchamos en el botón 'Submit’ y nos saltara un mensaje de advertencia que confirmaremos la peticion del certificado diciendo que Sí en el mensaje.

Nos abrirá la web con el certificado generado, lo que tenemos que hacer ahora es pinchar en el enlace de 'Install this certificate’ y diremos que Sí para que se instale en este PC el certifiado. Wenn wir das Zertifikat auf einem anderen PC verwenden möchten (etwas Logisches) müssen wir es über die Internetoptionen in der Systemsteuerung exportieren.

CLIENTKONFIGURATION:

Das ist jetzt der Teil, der übrig bleibt, es wäre nur für die Arbeitsplätze, die sich mit dem Server verbinden möchten.

Gehen wir zum 'Systemsteuerung'’ und dann zu 'Netzwerkverbindungen', wir erstellen eine neue Verbindung, dieser Assistent erscheint, auf WEITER klicken.

'Mit meinem Arbeitsplatz verbinden'’ und 'Weiter'’

'Verbindung mit virtuellem privaten Netzwerk' (VPN)’ und 'Weiter'.

Geben wir der VPN-Verbindung einen Namen und klicken auf 'Weiter'.

Das hängt jetzt von der jeweiligen Verbindung ab. In meinem Fall keine Verbindung zuvor auswählen. 'Weiter'.

Der Name des Servers, mit dem wir uns verbinden werden, oder die IP-Adresse, wird normalerweise ein öffentlicher Name sein.

Nur für meine Nutzung’ und 'Weiter'’

Beenden’

Wir gehen in die Eigenschaften der VPN-Verbindung, die wir gerade erstellt haben.

Wir gehen zum Reiter 'Sicherheit', Wir markieren das Kombinationsfeld 'Erweitert'’ und klicken auf die Schaltfläche 'Eigenschaften'.

Wir wählen 'Protokoll EAP verwenden'’ und wählen 'Smartcard oder anderes Zertifikat'’ und klicken auf die Schaltfläche 'Eigenschaften'.

Die zweite Option 'Ein Zertifikat auf diesem Computer verwenden', Wir markieren das Häkchen. Wir verbinden uns mit den folgenden Servern, wir geben dort den CA-Server ein, und markieren das Zertifikat unten. Wenn das Zertifikat für einen anderen Benutzernamen erstellt wurde, markieren wir das Häkchen bei 'Für die Verbindung einen anderen Benutzernamen verwenden'.

Pinchamos en ‘Conectar’.

‘Ok’. Y ya nos conectaríamos.