Serverskolen del 6: Hvordan sette opp PPTP VPN på TMG

I del 5 av serverskolen fikk vi vår TMG operativ og vi er nå klar for å legge inn mulighet for VPN tilkobling. En VPN tilkobling er en sikker tunnel man etablerer med sitt eget hjemmenettverk. Dette innebærer at man får mulighet til å aksessere lokale ressurser på samme måte som om man fysisk var koblet til det interne nettet. I første omgang så er dette veldig nyttig for oss i forhold til å gjøre det mulig å opprette en RDP-sesjon mot en hvilken som helst maskin på det interne nettverket vårt, men det kan også brukes til å utforske filsystemet og generelt alle andre ting som du kan gjøre når du har en intern IP på nettverket ditt. Dette fungerer ved at vi setter opp TMGen vår til å være et aksesspunkt som autentiserer brukeren vår mot domenekontrolleren og deretter godkjenner eller avslår forespørselen vår om å få sette opp en VPN-tunnel mot internnettverket vårt.

Oppsett av VPN på TMG Serveren

Vi starter med å logge inn på TMG-serveren og starte opp TMG-administrasjonsgrensesnittet. Her velger du Remote Access Policy (VPN) i venstre meny slik du ser på figur 1.

Figur 1

I task fanen på høyre side klikk på Enable VPN Client Access som du kan se i figur 2.

Figur 2

Nå får du opp den samme feilmeldingen som jeg ble forvirret av første gang jeg skulle sette opp VPN på TMG (figur 3). Man må tydeligvis definere hvordan man vil tildele IP adresseinformasjon til VPN-klienten før man kan aktivere VPN-konfigurasjonen.

Figur 3

Vi må altså konfigurere metoden for tildeling av adresser. Dette gjør man ved å klikke på Configure Address Assignment Method linken i midtpanelet av TMG administrasjonsgrensesnittet som du kan se i figur 4 nedenfor.

Figur 4

Dette åpner Remote Access Policy (VPN) egenskapene sin dialogboks og gir deg med en gang en oversikt over fanen Address Assignment. Her har du to valg:

  • Static address pool: Velger du dette valget så kan du konfigurere et adressepool av statiske IP-adresser som du ønsker at skal bli tildelt VPN-klienter. Du kan tildele adresser både i og utenfor subnettet ditt. Hvis du tildeler en adresse på subnettet ditt vil de med samtidig får alle egenskapene som andre interne adresser på nettverket ditt har.
  • Dynamic Host Configuration Protocol: Hvis du velger å bruke dette valget så må du ha konfigurert domenekontrolleren din til å fungere som en DHCP-server (dette anbefales sterkt uansett). DHCP-serveren må også være tilgjengelig fra TMG-serverens interne nettverk. Legger du til rollen DHCP til domenekontrolleren så skal ikke dette være noe problem i oppsettet vårt.

I bunnen av dialogboksen i figur 5 så ser du en nedtrekksmeny under Use the following network to obtain DHCP, DNS and WINS service. Her er det viktig å velge det interne nettverket ditt slik at den ikke leter etter DHCP, DNS og WINS på feil nett.

Velg å bruke DHCP for tildeling av IP-adresser til vpn-klientene. Klikk på apply, og så på OK.

Figur 5

I midtpanelet på TMG-administrasjonsgrenssnittet klikker du så på Enable VPN Client Access som du ser i figur 6.

Figur 6

Etter at du har klikket på enable vpn client access så legg merke til at ikonet til i den høyre fanen endres fra Enable to Disable som du kan se i figur 7.

Figur 7

Klikk deretter på Configure VPN Client Access linken som du ser i figur 7. Dette gjør at VPN Clients Properties dialogboksen åpnes. På General fanen sjekk at det er huket av for Enable VPN Client Access og endre deretter verdien i Maximum number of VPN clients allowed til 10 som du kan se i figur 8.

Figur 8

Klikk på Groups fanen. Legg merke til at de kontoene som tilhører domenet som du velger her skal ha VPN-tilgang, slik som man og kan konfigurere i AD-kontoen sin dial-in egenskap, satt til Control access through remote access policy. 
Klikk her på Add knappen. Da får du opp muligheten til å velge grupper. Bekreft at du har valgt ditt eget domene her og skriv inn Domain users. Klikk deretter på check names for å få bekreftet at kommunikasjonen med domene kontrolleren fungerer som den skal. Klikk deretter på Ok i Select Groups dialogboksen som du kan se i figur 9.

Figur 10

Du bør nå se Domain Users i Select the domain groups for which remote access is allowed listen som du kan se i figur 10.

Figur 10

Logg deg deretter inn på domenekontrolleren din og start opp Active Directory Users and Computers konsollet fra Administrative Tools menyen på startmenyen. I venstre side av konsollet klikk på Users-noden. Finn deretter den brukeren du ønsker skal få tilgang til å aksessere hjemmenettverket over VPN. Dobbeltklikk på denne brukeren og velg Dial-in-fanen vist i figur 11. Legg merke til at standardinnstillingen er Control access through the NPS Network Policy.

Figur 11

Klikk så på Protocol fanen. Her velger du protokollen som du ønsker at TMG VPN serveren skal støtte. Huk av for Enable PPTP og klikk så på OK. Klikk deretter på Remote Access Policy (VPN) noden for å så velge Select access networks som du kan se i figur 12 under.

Figur 12

Dette får opp Remote Access Policy (VPN) Properties dialogboksen med Access Networks fanen aktiv. Default så vil TMG VPN serveren lytte på External. Dette betyr at VPN-serveren vil lytte på alle IP-adresser som er bundet til dette interfacet som er koblet til External nettverket. Velg derfor External som du ser i figur 13 under.

Figur 13

Klikk deretter på Address Assignment fanen og verifiser at den er satt til Dynamic Host Configuration Protocol (DHCP) og at det er det Internal som er valg som nettverk. Gå deretter videre til Authentication fanen. Her kan du velge hvilken type autentisering som du vil at VPN-klientene skal benytte seg av når de forsøker å opprette en tilkobling mot VPN-serveren. Standardvalget her er Microsoft encrypted authentication version 2 (MS-CHAPv2). Bruk standardautentiseringen. Den siste fanen går på RADIUS-autentisering og er en mulighet hvis du har en RADIUS-server tilgjengelig i nettverket. Klikk på Apply og så på OK. Du vil da få beskjeden “Applying these settings may cause the Routing and Remote Access service to restart. If a restart occurs, all active VPN sessions will be disconnected” som du kan se i figur 14.

Figur 14

Siden VPN-serveren vår ikke er funksjonell enda så trenger vi ikke bekymre oss for at VPN-sesjoner blir koblet fra.

Oppretting av regler for VPN gjennom TMG

Per nå så kan VPN-klienter fint koble seg til VPN-serveren vi har satt opp, men uten å sette opp aksessregler så får de ikke tilgang til noen ting. Her kan du lage regler som gir vpn-klienter adgang til hele det interne nettverket, eller du kan spesifisere akkurat hva en person får tilgang til. For å lage en aksessregel så klikk på Firewall Policy i venstre del av administrasjonspanelet før du klikker på Create Access Rule linken på høyre side av administrasjonspanelet.

Figur 15

Da får du opp Welcome to the New Access Rule Wizard dialogboksen. Her legger du inn navnet på aksessregelen du skal opprette, f.eks VPN-klienter til Internal og Internet. Legg merke til at vi må lage en regel som gjør at VPN-klienter kan koble seg til Internet da standardoppsettet på TMG innebærer at split tunneling er deaktivert. Når split tunneling er deaktivert så må en VPN klient nå Internett gjennom VPN-serveren. Klikk Next som vist i figur 16.

Figur 16

Rule Action siden velg Allow valget, siden denne regelen er designet for å tillate tilkoblinger og ikke avslå de. Klikk så på Next som vist i figur 17.

Figur 17

Protocol siden så skal du velge All outbound traffic valget fra This rule applies to nedtrekkslisten. Klikk på Next som vist i figur 18.

Figur 18

Malware Inspection siden så velg Enable malware inspection for this rule valget da vi ønsker at alle VPN klienter som kobler seg til Internet gjennom TMG brannmuren vår skal være beskyttet mot malware. Velg altså Enable malware inspection for this rule og klikk på Next som vist i figur 19.

Figur 19

Access Rule Sources siden klikker du på Add knappen. I Add Network Entities dialogboksen klikker du på Networks mappen og så dobbeltklikker på VPN Clients. Klikk så på Close i Add Network Entities dialogboksen som vises i figur 20. Dette konfigurerer regelen til å bare gjelde for VPN-klienter, noe som blir definert av hvilke IP-adresser som blir dynamisk lagt til i VPN Client Network av TMG brannmuren.

Figur 20

VPN Clients nettverket vil da dukke opp i This rule applies to traffic from these sources listen. Klikk så på Next som du kan se i figur 21.

Figur 21

Access Rules Destinations siden kan du klikke på Add knappen. I Add Network Entities dialogboksen skal du klikke på Networks mappen, for å så dobbeltklikke på Internal og External nettverkene. Klikk så på Close i Add Network Entities dialogboksen som vises i figur 22.

Figur 22

Internal og External nettverkene vil da ligge i listen This rule applies to traffic sent to these destinations. Klikk på NextAccess Rule Destinations siden som vist i figur 23.

Figur 23

User Sets siden kan du bruke standardinnstillingen All Users. Klikk så på Next som i figur 24.

Figur 24

Klikk deretter på Finish.

Den nye aksessregelen skal da være synlig i All Firewall Policy listen. Konfigurasjonen av VPN-serveren er da ferdig! Da er det bare å sette opp tilkobling på klienten for å teste.

Konfigurasjon av klient for VPN-tilkobling

Åpne startmenyen og skriv Network i søkefeltet. Du skal da få opp en rekke valg hvor dui skal klikke på Set up a connection or network linken som du kan se i figur 25 under.

Figur 25

Choose a connection option siden skal du klikke på Connect to a workplace som du kan se i figur 26 under, klikk så på Next.

Figur 26

How do you want to connect siden så velger du Use my Internet connection (VPN) valget som du kan se på figur 27.

Figur 27

Do you want to set up an Internet connection before continuing siden så velger du I’ll set up an Internet connection later som du ser i figur 27.

Figur 28

I Type the Internet address to connect to siden skal man legge inn den eksterne IP-adressen til TMG. Klikker du på Next da får du opp Type your user name and password hvor du skal legge inn brukeren og domenet som du skal koble deg til. Klikk på Create og tilkoblingen din er laget. Vi må likevel endre et par innstillinger slik at tilkobling går så smertefritt som mulig. Skriv inn ncpa.cpl i søkefeltet på startmenyen og trykk på enter. Du får da opp Network Connections hvor VPN-tilkoblingen vi nettopp lagde er en av de. Høyreklikk på denne og velg Properties. Gå inn på Security fanen og velg at Type of VPN: skal være PPTP. Dette er rett og slett fordi at vi vil at tilkoblingen skal automatisk gå på PPTP-protokollen istedenfor å prøve seg igjennom de andre, noe som fører til lengre påloggingstid.

VPN-tilkoblingen skal dermed være i boks! Lykke til og kontakt meg gjerne eller kommenter på artikkelen hvis du har noen problemer!

 

1. Hvorfor bygge egen server?
2. Budsjett, hardware og planlegging
3. Bygging og installasjon av OS
4. Installasjon av hyper-v, syspreppet image og domenekontroller
5. Installasjon av TMG (Threat Managment Gateway)
6. Hvordan sette opp VPN på TMG
7. Automatiske oppdateringer med WSUS
8. Backup av virtuelle maskiner
9. 13 må ha applikasjoner for en hjemmeserver