CONFIGURAR VPN NO WINDOWS SERVER 2008 R2

Antes de começar, é recomendável que o servidor tenha 2 interfaces de rede (uma para comunicação com internet e

outra para rede local), é possível que seja feito através de uma única interface, porém não é o objetivo desse artigo.

1- Vamos abrir o Server Manager, botão direito em “Roles” e clicar em “Add Roles“. Vamos selecionar a opção “Network

Policy and Access Services” e clicar em Next.

2- Será apresentado um overview sobre a função a ser instalada, clique em Next.
3- Em “Select Role Services” selecione as opções “Network Policy Server” e “Routing and Remote Access Services” repare

que na segunda a ser clicado a opções filhos serão marcadas também, clique em Next.
4- Clique em “Install” para iniciar o processo de instalação.
5- Verifique os resultados em clique em “Close“.

6- Com a role já instalada, através do próprio Server Manager expanda: “Roles” e depois “Network Policy and Access

Services”, clique com o botão direito em “Routing and Remote Access” e clique em “Configure and Enable Routing and
Remote Access“.
7- O assistente será iniciado, clique em Next.
8- Em “Configuration” podemos escolher o que configurar, para esse ambiente vamos marcar a opção “Virtual Private

Network (VPN) access and NAT” e depois em Next.

9- Como não iremos dispor de um modem e linha direta, não vamos marcar a opção “Dial Up”, marque somente “VPN” e

clique emNext.
10- Agora devemos selecionar a interface que se conecta a internet, depois clicar em Next.

11- Em “IP Address Assignment” vamos definir se os IPs para os clients provenientes de conexão VPN irão receber o

endereçamento através de um servidor DHCP (que deve estar instalado em algum servidor do domínio), ou através de

um range a ser definido. Como nós temos um servidor já instalado no domínio, nada mais correto que usar o mesmo para
a atribuição, por isso marcamos a opção “Automatically” e depois em Next.
12- Na tela seguinte é perguntado se quer definir e configurar o servidor RADIUS, a princípio não, pois ele já faz uma pré

configuração, marque a primeira opção e depois em Next.

13- Veja o resumo das configurações definidas anteriormente e depois clique em “Finish“.
14- Será apresentado um warning, informando que foi criado uma política padrão de conexões no NPS, mensagem

normal, clique em “OK” para finalizar essa parte.

15- Agora vamos criar uma nova política, contendo as regras necessárias para o acesso via VPN. Ainda no Server

Manager navegue até “NPS” em seguida “Policies” e depois clique com o botão direito em “Network Policies“. Agora clique
em “New” para a nova política.
16- O assistente será iniciado, vamos selecionar um nome para ele “REMOTE ACCESS” em Type of network access

server marque a opção “Remote Access Server (VPN-Dial up)“. Clique em Next.

17- Em “Specify Conditions” podemos selecionar alguns parâmetros como por exemplo: Somente usuários de um

determinado grupo / determinado sistema operacional /determinada localização / etc … Somente para exemplificar tenho

um grupo criado no Active Directory chamado “REMOTE ACCESS”, dentro desse grupo tenho todos os usuários que

terão permissão para o acesso remoto. (Inclusive o gerente conforme exemplificado no início do artigo). Selecione “User
Groups” e clique em Add.
18- Será aberta uma caixa para que seja digitado o nome, selecionei o mesmo e confirmo em “ OK“.
19- Será apresentada todas as condições configuradas, nesse caso usei somente a de “User Groups” clico em Next para

o próximo passo.
20- Devemos definir qual é a permissão de acesso para essa regra, como queremos permitir o acesso clicamos em

“Access granted” e depois em “Next“.

21- Precisamos configurar os métodos de autenticação, em EAP Types clique em Add e escolha “EAP-MSCHAP v2” e

confirme, em Less secure authentication methods marque também a opção MS-CHAP-v2. É possível marcar os outros
métodos porém comprometerá na segurança.

22- Em “Configure Constraints” podemos definir alguns parâmetros como: Desconectar após determinado tempo /

desconectar após determinado tempo de inatividade / Restrição de data / hora. Para o cenário não criaremos nenhum
parâmetro.

23- Agora em “Configure Settings” temos algumas outras opções disponíveis para configuração, a princípio vamos apenas

na opção “Encryption” e desmarcar as opções “Basic / No encryption” para termos um pouco mais de segurança em
nossa conexão.
24- Temos agora um review das configurações feitas anteriormente, caso esteja correto, só clicar em Finish.
25- Já temos a regra apresentada e habilitada em nosso NPS. Com as configurações acima o servidor já está preparado

para fornecer conexão através da VPN.

OBSERVAÇÃO: Deve se certificar se a porta tcp 1723 (PPTP) está aberta pois é necessária para a conexão, no servidor

configurado estará tudo OK pois a configuração é feita automaticamente, verifique firewall de rede / roteadores.
26- Vamos agora simular a conexão entre o Client e o Server, a princípio nesse Client não foi feita nenhuma configuração,

o mesmo dispõe apenas de internet. Vou tentar acessar o meu servidor \\fs01.suportederede.local

27- O mesmo não será localizado.
28- O primeiro passo é criar a conexão VPN, para isso devemos abrir o “Network and Sharing Center“.
29- Com ele aberto clique em “Set up a new connection or network“.
30- Marque a opção “Connect to workplace (Dial up or VPN connection)“.
31- Marque a opção “Use my Internet connection (VPN)” pois você usará a internet para se conectar ao servidor a

distância.
32- Em “Internet Address” coloque o nome do caminho (caso seja divulgado na internet) ou simplesmente o endereço de

IP do servidor. Em “Destination name” coloque um nome comum para identificação.

33- Agora precisamos definir as credenciais do usuário.
34- Após clicar em connect temos o status de conectado.
35- Se expandirmos as nossas conexões, verificamos que a “Conexão VPN” definida está conectada normalmente,

clicando com o botão direito sobre a conexão e indo em “Properties” na aba “Details” temos os detalhes da conexão.
36- Vamos agora tentar acessar o nosso servidor, assim como tentamos anteriormente \\fs01.suportederede.local E olhem

lá conseguimos o acesso aos compartilhamentos.