Neste procedimento, será colocada segurança na ligação VPN entre o cliente e o Servidor de Roteamento. Usaremos duas formas de ligação, uma através de utilizador/password do Diretório Ativo e outra através da utilização de certificados (EAP).

CONFIGURAÇÃO DO SERVIDOR:

Primeiro de tudo, é criar um grupo no diretório ativo, usá-lo-emos para conceder permissões aos seus membros que se conectem com a VPN.

Será um grupo de Segurança e chamá-lo-emos ‘GrupoVPN’.

Fim.

Agora precisamos de instalar o servidor IAS (Internet Authentication Service) para configurá-lo com o Servidor VPN, e fazer o chamado RADIUS. Para isso, vamos ao Painel de Controlo > Adicionar ou remover programas > Componentes do Windows > E entramos em ‘Serviços de Rede’.

Marcamos com o check ‘Internet Authentication Service'’ e damos a OK para que seja instalado.

Abrimos a consola que estará nas Ferramentas administrativas > Internet Authentication Service. Temos que registar o IAS no Diretório Ativo (D.A.), por isso, em cima do nosso servidor IAS botão direito > ‘Registar no D.A.’.

Okey.

Okey.

Uma vez autorizado a funcionar no nosso D.A. tenemos que crear un cliente RADIUS, que será el servidor VPN (que deberá estar ya instalado, caso contrário, mirar el capitulo de configuración del Servidor VPN – AQUI). Creamos el cliente con botón derecho en ‘RADIUS Clients’ y ‘New RADIUS Client’

Deberemos de meter el nombre del servidor VPN que puede que sea el propio donde esté instalado el IAS, metemos su nombre y su IP. Seguinte.

Metemos un secreto para que tengan en común el IAS y el Servidor VPN.

Ahora deberemos de crear una Politica de Acceso al Grupo creado anteriormente.

Seguinte.

Le ponemos un nombre para identificarla.

VPN y Siguiente.

Seleccionamos el grupo que hemos creado al principio. Y le damos a Siguiente.

Seleccionamos EAP (con certificados o tarjeta inteligente) y pinchamos en ‘Configure…’, seleccionamos el certificado que hemos criado en el capítulo de poner seguridad al OWA (AQUI) y marcamos el check de MS-CHAP2 (es opcional).

La encriptación más fuerte, Seguinte.

Fim.

Abrimos la consola de configuración del Servidor VPN, en Herramientas Administrativas > Enrutamiento y Acceso Remoto. Entramos en las propiedades del Servidor.

Pestaña Seguridad > Seleccionamos Authenticación RADIUS y pinchamos 'Configure…’

Pinchamos en 'Añadir’

Selecionamos o nome do servidor IAS (que como ele disse antes pode que sea que el mismo que el Servidor VPN). Temos que meter ahora el secreto que se configuro en el IAS pinchando en 'Change'.

Metemos el secreto que se puso en el IAS y Ok.

De nuevo en las propiedades del Servidor VPN, en la pestaña Seguridad > En Proveedor de cuenta metemos ‘RADIUS Accounting’ y pulsamos en ‘Configure…’

Adicionar…

Aquí lo mismo que antes, metemos el nombre del servidor IAS y metemos el secreto en comun que tienen el IAS y el Servidor VPN, en ‘Change…’.

El secreto ese famoso y Ok.

Ahora pinchamos en ‘Metodos de Autenticación…’

Seleccionamos EAP y opcionalmente MS-CHAP2, pulsamos en ‘Metodos EAP…’

Seleccionamos ‘tarjeta inteligente u otro certificado…’ y Aceptamos todas las ventanas.

Lo que quedaría ahora es generar el certificado por cada usuario que nos interese que se conecte a la VPN, para ello abriremos el explorador y nos conectamos a nuestro servidor C.A. Referências HTTP://servidorca/certsrv. Lo importante aqui es logearnos con el usuario en cuestión, así que no podemos estar logeados como el administrador en Windows pq sino nos cojerá los credenciales de este. O sino cambiando en las propiedades del sitio ‘certsrv’ en el IIS el tipo de autenticación para que nos pida usuario y contraseña siempre y asi logearnos con el usuario que nos interese.

Pinchamos en ‘Request a certificate’.

Ahora pinchamos en ‘User Certificate’

Pinchamos en el botón ‘Submit’ y nos saltara un mensaje de advertencia que confirmaremos la peticion del certificado diciendo que Sí en el mensaje.

Nos abrirá la web con el certificado generado, lo que tenemos que hacer ahora es pinchar en el enlace de ‘Install this certificate’ y diremos que Sí para que se instale en este PC el certifiado. Si queremos usar el certificado en otro PC (algo lógico) lo deberemos exportar desde las Opciones de Internet en el Panel de Control.

CONFIGURACIÓN DEL CLIENTE:

Esta es la parte que queda ahora, sería sólo para hacer en los puestos que quieren conectarse al servidor.

Vamos al 'Panel de Control’ y luego a 'Conexiones de red', creamos una nueva conexión, saldrá este asistente, damos a SIGUIENTE.

Conectarme a mi lugar de trabajo’ y 'Siguiente’

Conexión a Red Privada Virtual (VPN)’ y 'Siguiente'.

Ponemos un nombre a la coneción VPN y damos a 'Siguiente'.

Esto ya es según la conexión de cada uno. En mi caso no marcar una conexión antes. 'Siguiente'.

O nome do servidor ao qual nos vamos ligar ou o endereço IP, normalmente será um nome público.

'Apenas para meu uso'’ y 'Siguiente’

'Terminar'’

Entramos nas propriedades da ligação VPN que acabámos de criar.

Vamos ao separador 'Segurança', marcamos a caixa 'Avançadas'’ e clicamos no botão 'Propriedades'.

Selecionamos 'Usar protocolo EAP'’ e selecionamos 'Cartão inteligente ou outro certificado'’ e clicamos no botão 'Propriedades'.

A segunda opção 'Usar um certificado deste computador', marcamos el check. Ligamos aos seguintes servidores, onde colocaremos lá o servidor CA, e marcamos o certificado abaixo. Se o certificado estiver criado com outro nome de utilizador, marcaremos a opção 'Usar um nome de utilizador diferente para a ligação'.

Pinchamos en ‘Conectar’.

‘Ok’. Y ya nos conectaríamos.