Virtual Private Network Ver 1.0 Mag Georg Steingruber Veröffentlicht: April 2003 Installationsanleitung für den Einsatz der im Microsoft-BM:BWK Schoolagreement enthaltenen Serverprodukte Abstract Dieses Dokument beschreibt die Einrichtung eines VPN Netzes, um Schülern und Lehrern die Möglichkeit zu bieten, alle Schulressourcen von zuhause aus zu nutzen. Eine VPN Verbindung stellt eine verschlüsselte Verbindung über das Internet in das Schulnetz her.
Inhalt Überblick über VPN... 3 Einrichten des VPN-Servers... 4 Installation von Routing and Remote Access Service...4 Einrichten des DHCP Relay Agents...9 Einrichten der Zugriffsrechte für VPN Benutzer... 11 Verändern bestehender Zugriffspolicies...16 ISA Server Virtual Private Networks:... 17 VPN Verbindungen zulassen...17 VPN Verbindungen von zuhause herstellen... 20 VPN Clientverbindung verwenden... 23 Windows Server 2003: Virtual Private Network 2
Überblick über VPN Mit VPN können wir Schülern und Lehrern einen Zugang zu allen schulinternen Ressourcen (Fileserver, Printserver, Mailingserver, ) von zuhause aus übers Internet ermöglichen. Falls Lehrer oder Schüler von zuhause aus einen Internetzugang haben, wird über die VPN Verbindung ein verschlüsselter Tunnel über diese Internetverbindung erstellt, um direkt ins schulinterne Netzwerk zu gelangen. Schüler oder Lehrer von zuhause Schulnetzwerk Voraussetzung ist das Einrichten des VPN Servers im Schulnetzwerk, der über eine extern gültige IP Adresse verfügen muss. Der VPN Server kann gleichzeitig auch der ISA Server sein (siehe Integration ISA Server - Virtual Private Networks)) Windows Server 2003: Virtual Private Network 3
Einrichten des VPN-Servers Der VPN Server muss über eine extern gültige IP Adresse verfügen Installation von Routing and Remote Access Service Wählen Sie im Start Menü den Punkt Verwaltung und danach Routing und RAS aus Windows Server 2003: Virtual Private Network 4
Mit der rechten Maustaste klicken Sie auf den Servernamen Wählen Sie den Punkt Routing und RAS konfigurieren und aktivieren Ein Assistent hilft bei der Einrichtung des VPN Servers Folgende Optionen stehen zur Verfügung: RAS: erlaubt das Einwählen in das Windows Server 2003 Netzwerk NAT: erlaubt den Internet Zugang für Computer aus dem Intranet über eine einzige IP Adresse Windows Server 2003: Virtual Private Network 5
VPN und NAT: kombiniert die beiden ersten Optionen Sichere Verbindung zwischen zwei privaten Netzwerken: ermöglicht die Verbindung zweier Netzwerke (z.bsp. 2 dislozierte Schulgebäude einer Schule) Benutzerdefinierte Konfiguration: erfordert die manuelle Einrichtung der Routerdienste Im nächsten Dialog ist jene Netzwerkschnittstelle (=Netzwerkkarte) auszuwählen, die die Verbindung zum Internet darstellt Die Basisfirewall schützt vor unberechtigtem Zugang von der Seite des Internets Falls Sie einen DHCP Server für Ihr Schulnetz verwenden, wählen Sie die Option "Automatisch" Am Ende der Konfiguration muss noch der DHCP Relay Agent konfiguriert Windows Server 2003: Virtual Private Network 6
werden (siehe unten) Falls Sie keinen DHCP Server verwenden, muss die zweite Option ausgewählt werden Die folgenden beiden Schritte sind nur dann durchzuführen, falls kein DHCP Server verwendet wird und somit die zweite Option des vorigen Dialogs ausgewählt wurde Durch Klicken auf den Button Neu können die Adressbereiche eingegeben werden. Windows Server 2003: Virtual Private Network 7
Der Adressbereich muss aus dem Bereich der internen Netzwerkadressen kommen. Falls Ihr Intranet mit der IP Adressrange 192.168.100.x konfiguriert wurde, muss der VPN Adressbereich ebenso aus dem Bereich 192.168.100.x stammen. Im Standardfall werden Sie im nächsten Dialog die erste Option wählen. Erklärung: Ein RADIUS (Remote Access Dial-In User Service) Server ermöglicht ein genaues Protokollieren von Anmeldezeit, Abmeldezeit sowie ein genaues Abrechnen der Einwahlzeiten. Windows 2003 stellt einen RADIUS Server unter der Bezeichnung Internet Authentication Server (IAS) zur Verfügung. Zum Abschluss werden Sie über die getroffenen Einstellungen noch einmal informiert. Klicken Sie auf Finish Windows Server 2003: Virtual Private Network 8
Einrichten des DHCP Relay Agents Der DHCP Relay Agent muss dann eingerichtet werden, falls Sie die Option Automatisch im Dialog IP-Adressbereich ausgewählt haben und somit Ihren DHCP Server für die Zuweisung von IP Adressen für VPN Clients verwenden wollen. Der DHCP Relay Agent hat lediglich die Aufgabe DHCP Anforderungen zu akzeptieren und an den DHCP Server weiterzuleiten. Sollte der DHCP Relay Agent unter IP Routing noch nicht aufscheinen, so Klicken Sie mit der rechten Maus auf Allgemein und Wählen Sie Neues Routingprotokoll Windows Server 2003: Virtual Private Network 9
Wählen Sie DHCP Relay Agent Klicken Sie auf OK Nun scheint im Baum der DHCP Relay Agent auf Klicken Sie mit der rechten Maus auf DHCP Relay Agent und wählen Eigenschaften Windows Server 2003: Virtual Private Network 10
Geben Sie im nächsten Dialog die Adresse Ihres DHCP Servers ein und klicken Sie auf Hinzufügen Einrichten der Zugriffsrechte für VPN Benutzer Zum Schluss müssen wir noch die Zugriffsrechte für unsere User definieren. Mit den RAS-Richtlinien bestimmen Sie, wann welcher Benutzer sich per VPN einwählen darf. Um die RAS-Richtlinien verwenden zu können, muss das Active Directory im Native Mode ausgeführt werden. Windows Server 2003: Virtual Private Network 11
Start - Verwaltung Active Directory-Benutzer und -Computer Wählen Sie mit der rechten Maustaste den Domain Namen aus Eigenschaften auswählen Falls Active Directory im Mixed Mode verwendet wird, erscheint im nächsten Dialog ein Button, mit dem das Active Directory in den Native Mode umgeschaltet werden kann. Windows Server 2003: Virtual Private Network 12
Klicken Sie mit der rechten Maustaste auf RAS Richtlinien Wählen Sie Neue RAS Richtline Auch bei dieser Aufgabe hilft ein Assistent weiter Im nächsten Schritt können Sie zwischen der Konfiguration von typischen und benutzerdefinierten Richtlinien auswählen. Unter Benutzerdefinierter Richtlinie können spezielle Zugriffsrichtlinien definiert werden. In der Schule werden Sie mit den Standardzugriffsrichtlinien das Auslangen finden. Wählen Sie Assistant verwenden, um eine typische Richtlinie für ein Szenario einzurichten Windows Server 2003: Virtual Private Network 13
Geben Sie Ihrer Richtlinie einen Namen Im nächsten Dialog wählen Sie VPN aus Um einer Gruppe von Benutzern den Zugriff zu ermöglichen, wählen Sie Gruppen und dann Hinzufügen Windows Server 2003: Virtual Private Network 14
Im nächsten Dialog geben Sie den gewünschten Gruppennamen ein oder suchen den Gruppennamen über die Schaltfläche Erweitert Im folgenden Dialog wählen Sie als Authentifizierungsmethode Microsoftverschlüsselte Authentifizierung, Version 2 (MS-CHAPv2) aus Windows Server 2003: Virtual Private Network 15
Im nächsten Dialog behalten Sie die Standardeinstellungen und klicken auf Weiter Ab nun sollten die Mitglieder der Gruppe "RAS User" VPN Verbindungen ins Schulnetz herstellen können und somit alle Ressourcen, die ihnen auch in der Schule zur Verfügung stehen, von zuhause aus verwenden können. Verändern bestehender Zugriffspolicies Um bestehende RAS Richtlinien zu verändern Klicken Sie mit der rechten Maustaste auf die zu verändernde Richtlinie Wählen Sie Eigenschaften Windows Server 2003: Virtual Private Network 16
Verwenden Sie die Buttons "Hinzufügen", "Bearbeiten" und "Entfernen" sowie "Profil bearbeiten" um die Einstellungen der Zugriffsrichtlinie zu verändern ISA Server Virtual Private Networks: Falls Sie den ISA Server auf Ihrem VPN Server verwenden, muss ISA so konfiguriert werden, dass PPTP oder L2TP Pakete zugelassen werden. Um diese Paketfilter zu erstellen, gehen Sie wie folgt vor: VPN Verbindungen zulassen Starten Sie ISA Verwaltung Klicken Sie mit der rechten Maustaste auf Netzwerkkonfiguration Wählen Sie aus dem Kontextmenü "VPN Clientverbindungen zulassen" Windows Server 2003: Virtual Private Network 17
Der Assistent richtet die notwendigen Paketfilter für VPN ein. Windows Server 2003: Virtual Private Network 18
Wählen Sie Weiter Wählen Sie Fertig stellen Der Assistent hat die folgenden Paketfilter erstellt: Windows Server 2003: Virtual Private Network 19
VPN Verbindungen von zuhause herstellen Damit Schüler oder Lehrer von zuhause auf die Schulressourcen zugreifen können, müssen Sie zuerst eine Internetverbindung mit ihrem Provider herstellen. Client: Windows 2000 Starten von Start-Einstellungen-Netzwerk und DFÜ Verbindungen Doppelklicken Sie auf Neue Verbindung herstellen Windows Server 2003: Virtual Private Network 20
Klicken Sie auf Weiter Wählen Sie Verbindung mit einem privaten Netzwerk über das Internet herstellen Windows Server 2003: Virtual Private Network 21
Geben Sie die externe IP Adresse oder den DNS Namen Ihres VPN Servers ein Wählen Sie nach Wunsch eine der beiden Optionen und klicken Sie auf Weiter Windows Server 2003: Virtual Private Network 22
Falls Sie anderen Computern aus ihrem Heimnetzwerk eine Verbindung über die VPN Verbindung ermöglichen wollen, kreuzen Sie die Option Gemeinsame Nutzung der Internetverbindung an Geben Sie einen Namen für Ihre VPN Verbindung an Klicken Sie auf Fertigstellen Damit ist die VPN Clientverbindung eingerichtet VPN Clientverbindung verwenden Stellen Sie von Ihrem Clientrechner zuhause eine Internetverbindung her Starten Sie Start-Einstellungen-Netzwerk und DFÜ Verbindungen Windows Server 2003: Virtual Private Network 23
Doppelklicken Sie VPN Schule Geben Sie Benutzername und Kennwort Ihrer Schuldomäne ein Klicken Sie auf Verbinden Windows Server 2003: Virtual Private Network 24
Ab nun sind sie mit Ihrem HeimPC mit dem Schulnetz so verbunden als wären Sie direkt im Schulnetz. Windows Server 2003: Virtual Private Network 25