VPN di Microsoft Windows 2003 con certificati EAP

Compatibile con la stampa, PDF ed e-mail

In questo procedimento, verrà messa sicurezza alla connessione VPN tra il cliente e il Server di Routing. Useremo due modalità di connessione, una tramite nome utente/password della Directory Attiva e l'altra tramite l'uso di certificati (EAP).

CONFIGURAZIONE DEL SERVER:

La prima cosa da fare è creare un gruppo in Active Directory, Lo useremo per dare permessi ai suoi membri che si connettono tramite VPN.

Sarà un gruppo di Sicurezza e lo chiameremo 'GruppoVPN'.

Fine.

Ora dobbiamo installare il server IAS (Internet Authentication Service) per configurarlo con il Server VPN, e creare il cosiddetto RADIUS. Per farlo andiamo nel Pannello di Controllo > Installazione di programmi > Componenti di Windows > E accediamo a 'Servizi di Rete'.

Selezioniamo con il check 'Internet Authentication Service'’ e clicchiamo su OK per installarlo.

Apriamo la console che sarà negli Strumenti di Amministrazione > Internet Authentication Service. Dobbiamo registrare l'IAS in Active Directory (A.D.), per questo, sopra il nostro server IAS clic destro > 'Registra in A.D.'.

Ok.

Una volta autorizzato a funzionare nel nostro A.D.. tenemos que crear un cliente RADIUS, que será el servidor VPN (que deberá estar ya instalado, altrimenti, mirar el capitulo de configuración del Servidor VPN – QUI). Creamos el cliente con botón derecho en ‘RADIUS Clients’ y ‘New RADIUS Client’

Deberemos de meter el nombre del servidor VPN que puede que sea el propio donde esté instalado el IAS, metemos su nombre y su IP. Seguente.

Metemos un secreto para que tengan en común el IAS y el Servidor VPN.

Ahora deberemos de crear una Politica de Acceso al Grupo creado anteriormente.

Seguente.

Le ponemos un nombre para identificarla.

VPN y Siguiente.

Seleccionamos el grupo que hemos creado al principio. Y le damos a Siguiente.

Seleccionamos EAP (con certificados o tarjeta inteligente) y pinchamos en ‘Configure…’, seleccionamos el certificado que hemos creado en el capitulo de poner seguridad al OWA (QUI) y marcamos el check de MS-CHAP2 (è facoltativo).

La encriptación más fuerte, Seguente.

Fine.

Abrimos la consola de configuración del Servidor VPN, en Herramientas Administrativas > Enrutamiento y Acceso Remoto. Entramos en las propiedades del Servidor.

Pestaña Seguridad > Seleccionamos Authenticación RADIUS y pinchamos ‘Configure…’

Pinchamos en ‘Añadir’

Seleccionamos el nombre del servidor IAS (que como he dicho antes puede que sea que el mismo que el Servidor VPN). Tenemos que meter ahora el secreto que se configuro en el IAS pinchando en ‘Change’.

Metemos el secreto que se puso en el IAS y Ok.

De nuevo en las propiedades del Servidor VPN, en la pestaña Seguridad > En Proveedor de cuenta metemos ‘RADIUS Accounting’ y pulsamos en ‘Configure…’

Aggiungere…

Aquí lo mismo que antes, metemos el nombre del servidor IAS y metemos el secreto en comun que tienen el IAS y el Servidor VPN, en ‘Change…’.

El secreto ese famoso y Ok.

Ahora pinchamos en ‘Metodos de Autenticación…’

Seleccionamos EAP y opcionalmente MS-CHAP2, pulsamos en ‘Metodos EAP…’

Seleccionamos ‘tarjeta inteligente u otro certificado…’ y Aceptamos todas las ventanas.

Lo que quedaría ahora es generar el certificado por cada usuario que nos interese que se conecte a la VPN, para ello abriremos el explorador y nos conectamos a nuestro servidor C.A. Protocollo HTTP://servidorca/certsrv. Lo importante aqui es logearnos con el usuario en cuestión, así que no podemos estar logeados como el administrador en Windows pq sino nos cojerá los credenciales de este. O sino cambiando en las propiedades del sitio ‘certsrv’ en el IIS el tipo de autenticación para que nos pida usuario y contraseña siempre y asi logearnos con el usuario que nos interese.

Pinchamos en ‘Request a certificate’.

Ahora pinchamos en ‘User Certificate’

Pinchamos en el botón ‘Submit’ y nos saltara un mensaje de advertencia que confirmaremos la peticion del certificado diciendo que Sí en el mensaje.

Nos abrirá la web con el certificado generado, lo que tenemos que hacer ahora es pinchar en el enlace de ‘Install this certificate’ y diremos que Sí para que se instale en este PC el certifiado. Si queremos usar el certificado en otro PC (algo lógico) lo deberemos exportar desde las Opciones de Internet en el Panel de Control.

CONFIGURACIÓN DEL CLIENTE:

Esta es la parte que queda ahora, sería sólo para hacer en los puestos que quieren conectarse al servidor.

Vamos al ‘Panel de Control’ y luego a ‘Conexiones de red’, creamos una nueva conexión, saldrá este asistente, damos a SIGUIENTE.

‘Conectarme a mi lugar de trabajo’ y ‘Siguiente’

‘Conexión a Red Privada Virtual (VPN)’ y ‘Siguiente’.

Ponemos un nombre a la coneción VPN y damos a ‘Siguiente’.

Esto ya es según la conexión de cada uno. En mi caso no marcar una conexión antes. ‘Siguiente’.

El nombre del servidor al que nos vamos a conectar o la dirección IP, normalmente será un nombre público.

‘Sólo para mi uso’ y ‘Siguiente’

‘Finalizar’

Entramos en las propiedades de la conexión VPN que acabamos de crear.

Vamos a la pestaña ‘Seguridad’, marcamos el combo ‘Avanzadas’ y pinchamos en el botón ‘Propiedades’.

Seleccionamos ‘Usar protocolo EAP’ y seleccionamos ‘Tarjeta inteligente u otro certificado’ y pinchamos en el botón ‘Propiedades’.

La segunda opción ‘Usar un certificado de este equipo’, marcamos el check. Conectamos con los siguientes servidores, que meteremos ahí el servidor CA, y marcamos el certificado abajo. Si el certificado está creado a otro nombre de usuario marcaremos el check de ‘Usar un nombre de usuario diferente para la conexión’.