Publicado por Bruno Felipe sbado, 31 dezembro 2011 Hoje vou detalhar o procedimento para configurao de um servidor que ter a funo de VPN Server, alm da configurao do Client para conectar ao mesmo. De modo geral, a necessidade em ter as informaes da empresa em qualquer lugar que esteja, j era forte e est se tornando mais ainda com esse aumento significativo em vendas de notebooks / tablets / smartphones. Para esse cenrio, vamos considerar que temos um ambiente de domnio com Windows 2008 R2 instalado nos respectivos servidores e um dos diretores da companhia em uma viagem tem a necessidade de acessar os seus arquivos em seus compartilhamentos dentro da rede, esse diretor prov de um notebook com Windows 7 e Internet. Antes de comear, recomendvel que o servidor tenha 2 interfaces de rede (uma para comunicao com internet e outra para rede local), possvel que seja feito atravs de uma nica interface, porm no o objetivo desse artigo. Meu nome Ronaldo Gomes do Couto, e sei como difcil conseguir informao quando se necessita de algo. Procurei muito tpicos como esse do Bruno, e como est bem explicado e eu resolvi compartilhar a informao para que quem venha a precisar como eu precisei um dia consiga fazer uso. 1- Vamos abrir o Server Manager, boto direito em Roles e clicar em Add Roles. Vamos selecionar a opo Network Policy and Access Services e clicar em Next. 2- Ser apresentado um overview sobre a funo a ser instalada, clique em Next. 3- Em Select Role Services selecione as opes Network Policy Server e Routing and Remote Access Services repare que na segunda a ser clicado a opes filhos sero marcadas tambm, clique em Next. 4- Clique em Install para iniciar o processo de instalao. 5- Verifique os resultados em clique em Close. 6- Com a role j instalada, atravs do prprio Server Manager expanda: Roles e depois Network Policy and Access Services, clique com o boto direito em Routing and Remote Access e clique em Configure and Enable Routing and Remote Access. 7- O assistente ser iniciado, clique em Next. 8- Em Configuration podemos escolher o que configurar, para esse ambiente vamos marcar a opo Virtual Private Network (VPN) access and NAT e depois em Next. 9- Como no iremos dispor de um modem e linha direta, no vamos marcar a opo Dial Up, marque somente VPN e clique em Next. 10- Agora devemos selecionar a interface que se conecta a internet, depois clicar em Next. 11- Em IP Address Assignment vamos definir se os IPs para os clients provenientes de conexo VPN iro receber o endereamento atravs de um servidor DHCP (que deve estar instalado em algum servidor do domnio), ou atravs de um range a ser definido. Como ns temos um servidor j instalado no domnio, nada mais correto que usar o mesmo para a atribuio, por isso marcamos a opo Automatically e depois em Next. 12- Na tela seguinte perguntado se quer definir e configurar o servidor RADIUS, a princpio no, pois ele j faz uma pr configurao, marque a primeira opo e depois em Next. 13- Veja o resumo das configuraes definidas anteriormente e depois clique em Finish. 14- Ser apresentado um warning, informando que foi criado uma poltica padro de conexes no NPS, mensagem normal, clique em OK para finalizar essa parte. 15- Agora vamos criar uma nova poltica, contendo as regras necessrias para o acesso via VPN. Ainda no Server Manager navegue at NPS em seguida Policies e depois clique com o boto direito em Network Policies. Agora clique em New para a nova poltica. 16- O assistente ser iniciado, vamos selecionar um nome para ele REMOTE ACCESS em Type of network access server marque a opo Remote Access Server (VPN-Dial up). Clique em Next. 17- Em Specify Conditions podemos selecionar alguns parmetros como por exemplo: Somente usurios de um determinado grupo / determinado sistema operacional /determinada localizao / etc Somente para exemplificar tenho um grupo criado no Active Directory chamado REMOTE ACCESS, dentro desse grupo tenho todos os usurios que tero permisso para o acesso remoto. (Inclusive o gerente conforme exemplificado no incio do artigo). Selecione User Groups e clique em Add. 18- Ser aberta uma caixa para que seja digitado o nome, selecionei o mesmo e confirmo em OK. 19- Ser apresentada todas as condies configuradas, nesse caso usei somente a de User Groups clico em Next para o prximo passo. 20- Devemos definir qual a permisso de acesso para essa regra, como queremos permitir o acesso clicamos em Access granted e depois em Next. 21- Precisamos configurar os mtodos de autenticao, em EAP Types clique em Add e escolha EAP-MSCHAP v2 e confirme, em Less secure authentication methods marque tambm a opo MS-CHAP-v2. possvel marcar os outros mtodos porm comprometer na segurana. 22- Em Configure Constraints podemos definir alguns parmetros como: Desconectar aps determinado tempo / desconectar aps determinado tempo de inatividade / Restrio de data / hora. Para o cenrio no criaremos nenhum parmetro. 23- Agora em Configure Settings temos algumas outras opes disponveis para configurao, a princpio vamos apenas na opo Encryption e desmarcar as opes Basic / No encryption para termos um pouco mais de segurana em nossa conexo. 24- Temos agora um review das configuraes feitas anteriormente, caso esteja correto, s clicar em Finish. 25- J temos a regra apresentada e habilitada em nosso NPS. Com as configuraes acima o servidor j est preparado para fornecer conexo atravs da VPN. OBSERVAO: Deve se certificar se a porta tcp 1723 (PPTP) est aberta pois necessria para a conexo, no servidor configurado estar tudo OK pois a configurao feita automaticamente, verifique firewall de rede / roteadores. 26- Vamos agora simular a conexo entre o Client e o Server, a princpio nesse Client no foi feita nenhuma configurao, o mesmo dispe apenas de internet. Vou tentar acessar o meu servidor \\fs01.suportederede.local 27- O mesmo no ser localizado. 28- O primeiro passo criar a conexo VPN, para isso devemos abrir o Network and Sharing Center. 29- Com ele aberto clique em Set up a new connection or network. 30- Marque a opo Connect to workplace (Dial up or VPN connection). 31- Marque a opo Use my Internet connection (VPN) pois voc usar a internet para se conectar ao servidor a distncia. 32- Em Internet Address coloque o nome do caminho (caso seja divulgado na internet) ou simplesmente o endereo de IP do servidor. Em Destination name coloque um nome comum para identificao. 33- Agora precisamos definir as credenciais do usurio. 34- Aps clicar em connect temos o status de conectado. 35- Se expandirmos as nossas conexes, verificamos que a Conexo VPN definida est conectada normalmente, clicando com o boto direito sobre a conexo e indo em Properties na aba Details temos os detalhes da conexo. 36- Vamos agora tentar acessar o nosso servidor, assim como tentamos anteriormente \\fs01.suportederede.local E olhem l conseguimos o acesso aos compartilhamentos. Espero que tenham gostado, passei aqui uma forma geral de implantar um servidor VPN, porm h possibilidades de melhorar a segurana, como por exemplo uso de smart cards. H como melhorar o modo de criao das conexes, usando o CMAK por exemplo, entre outras. Porm isso ficar para um outro dia. Abraos a todos.