Virtual Private Network - educheck

Virtual Private Network Ver 1.0

Mag Georg Steingruber Veröffentlicht: April 2003 Installationsanleitung für den Einsatz der im Microsoft-BM:BWK Schoolagreement enthaltenen Serverprodukte

Abstract Dieses Dokument beschreibt die Einrichtung eines VPN Netzes, um Schülern und Lehrern die Möglichkeit zu bieten, alle Schulressourcen von zuhause aus zu nutzen. Eine VPN Verbindung stellt eine verschlüsselte Verbindung über das Internet in das Schulnetz her.

Inhalt Überblick über VPN........................................................ 3 Einrichten des VPN-Servers ............................................ 4 Installation von Routing and Remote Access Service ...................... 4 Einrichten des DHCP Relay Agents............................................... 9 Einrichten der Zugriffsrechte für VPN Benutzer............................ 11 Verändern bestehender Zugriffspolicies.......................................................16

ISA Server Virtual Private Networks: ......................................... 17 VPN Verbindungen zulassen ......................................................................17

VPN Verbindungen von zuhause herstellen .............. 20 VPN Clientverbindung verwenden.............................................. 23

Windows Server 2003: Virtual Private Network

2

Überblick über VPN Mit VPN können wir Schülern und Lehrern einen Zugang zu allen schulinternen Ressourcen (Fileserver, Printserver, Mailingserver,…) von zuhause aus übers Internet ermöglichen. Falls Lehrer oder Schüler von zuhause aus einen Internetzugang haben, wird über die VPN Verbindung ein verschlüsselter Tunnel über diese Internetverbindung erstellt, um direkt ins schulinterne Netzwerk zu gelangen.

Schüler oder Lehrer von zuhause

Schulnetzwerk

Voraussetzung ist das Einrichten des VPN Servers im Schulnetzwerk, der über eine extern gültige IP Adresse verfügen muss. Der VPN Server kann gleichzeitig auch der ISA Server sein (siehe Integration ISA Server - Virtual Private Networks))


3

Einrichten des VPN-Servers Der VPN Server muss über eine extern gültige IP Adresse verfügen

Installation von Routing and Remote Access Service •

Wählen Sie im Start Menü den Punkt „Verwaltung“ und danach „Routing und RAS“ aus


4

Mit der rechten Maustaste klicken Sie auf den Servernamen Wählen Sie den Punkt “Routing und RAS konfigurieren und aktivieren”

•

Ein Assistent hilft bei der Einrichtung des VPN Servers

Folgende Optionen stehen zur Verfügung: • •

RAS: erlaubt das Einwählen in das Windows Server 2003 Netzwerk NAT: erlaubt den Internet Zugang für Computer aus dem Intranet über eine einzige IP Adresse Windows Server 2003: Virtual Private Network

5

• • •

• •

• •

VPN und NAT: kombiniert die beiden ersten Optionen Sichere Verbindung zwischen zwei privaten Netzwerken: ermöglicht die Verbindung zweier Netzwerke (z.Bsp. 2 dislozierte Schulgebäude einer Schule) Benutzerdefinierte Konfiguration: erfordert die manuelle Einrichtung der Routerdienste

Im nächsten Dialog ist jene Netzwerkschnittstelle (=Netzwerkkarte) auszuwählen, die die Verbindung zum Internet darstellt Die Basisfirewall schützt vor unberechtigtem Zugang von der Seite des Internets

Falls Sie einen DHCP Server für Ihr Schulnetz verwenden, wählen Sie die Option "Automatisch" Am Ende der Konfiguration muss noch der DHCP Relay Agent konfiguriert Windows Server 2003: Virtual Private Network

6

•

werden (siehe unten) Falls Sie keinen DHCP Server verwenden, muss die zweite Option ausgewählt werden

Die folgenden beiden Schritte sind nur dann durchzuführen, falls kein DHCP Server verwendet wird und somit die zweite Option des vorigen Dialogs ausgewählt wurde

Durch Klicken auf den Button Neu können die Adressbereiche eingegeben werden.


7

Der Adressbereich muss aus dem Bereich der internen Netzwerkadressen kommen. Falls Ihr Intranet mit der IP Adressrange 192.168.100.x konfiguriert wurde, muss der VPN Adressbereich ebenso aus dem Bereich 192.168.100.x stammen.

Im Standardfall werden Sie im nächsten Dialog die erste Option wählen. Erklärung: Ein RADIUS (Remote Access Dial-In User Service) Server ermöglicht ein genaues Protokollieren von Anmeldezeit, Abmeldezeit sowie ein genaues Abrechnen der Einwahlzeiten. Windows 2003 stellt einen RADIUS Server unter der Bezeichnung Internet Authentication Server (IAS) zur Verfügung.

Zum Abschluss werden Sie über die getroffenen Einstellungen noch einmal informiert. Klicken Sie auf Finish Windows Server 2003: Virtual Private Network

8

Einrichten des DHCP Relay Agents Der DHCP Relay Agent muss dann eingerichtet werden, falls Sie die Option Automatisch im Dialog IP-Adressbereich ausgewählt haben und somit Ihren DHCP Server für die Zuweisung von IP Adressen für VPN Clients verwenden wollen. Der DHCP Relay Agent hat lediglich die Aufgabe DHCP Anforderungen zu akzeptieren und an den DHCP Server weiterzuleiten.

Sollte der DHCP Relay Agent unter IP Routing noch nicht aufscheinen, so • •

Klicken Sie mit der rechten Maus auf Allgemein und Wählen Sie Neues Routingprotokoll


9

• •

Wählen Sie DHCP Relay Agent Klicken Sie auf OK

• •

Nun scheint im Baum der DHCP Relay Agent auf Klicken Sie mit der rechten Maus auf DHCP Relay Agent und wählen Eigenschaften


10

•

Geben Sie im nächsten Dialog die Adresse Ihres DHCP Servers ein und klicken Sie auf Hinzufügen

Einrichten der Zugriffsrechte für VPN Benutzer Zum Schluss müssen wir noch die Zugriffsrechte für unsere User definieren. Mit den RAS-Richtlinien bestimmen Sie, wann welcher Benutzer sich per VPN einwählen darf. Um die RAS-Richtlinien verwenden zu können, muss das Active Directory im Native Mode ausgeführt werden.


11

• • •

Start - Verwaltung – Active Directory-Benutzer und -Computer Wählen Sie mit der rechten Maustaste den Domain Namen aus Eigenschaften auswählen

Falls Active Directory im Mixed Mode verwendet wird, erscheint im nächsten Dialog ein Button, mit dem das Active Directory in den Native Mode umgeschaltet werden kann.


12

• •

Klicken Sie mit der rechten Maustaste auf RAS Richtlinien Wählen Sie “Neue RAS Richtline”

•

Auch bei dieser Aufgabe hilft ein Assistent weiter

Im nächsten Schritt können Sie zwischen der Konfiguration von typischen und benutzerdefinierten Richtlinien auswählen. Unter „Benutzerdefinierter Richtlinie“ können spezielle Zugriffsrichtlinien definiert werden. In der Schule werden Sie mit den Standardzugriffsrichtlinien das Auslangen finden. •

Wählen Sie “Assistant verwenden’, um eine typische Richtlinie für ein Szenario einzurichten” Windows Server 2003: Virtual Private Network

13

•

Geben Sie Ihrer Richtlinie einen Namen

•

Im nächsten Dialog wählen Sie VPN aus

•

Um einer Gruppe von Benutzern den Zugriff zu ermöglichen, wählen Sie Gruppen und dann Hinzufügen


14

•

Im nächsten Dialog geben Sie den gewünschten Gruppennamen ein oder suchen den Gruppennamen über die Schaltfläche Erweitert

•

Im folgenden Dialog wählen Sie als Authentifizierungsmethode „Microsoftverschlüsselte Authentifizierung, Version 2 (MS-CHAPv2)“ aus


15

•

Im nächsten Dialog behalten Sie die Standardeinstellungen und klicken auf Weiter

Ab nun sollten die Mitglieder der Gruppe "RAS User" VPN Verbindungen ins Schulnetz herstellen können und somit alle Ressourcen, die ihnen auch in der Schule zur Verfügung stehen, von zuhause aus verwenden können.

Verändern bestehender Zugriffspolicies Um bestehende RAS Richtlinien zu verändern • •

Klicken Sie mit der rechten Maustaste auf die zu verändernde Richtlinie Wählen Sie Eigenschaften


16

•

Verwenden Sie die Buttons "Hinzufügen", "Bearbeiten" und "Entfernen" sowie "Profil bearbeiten" um die Einstellungen der Zugriffsrichtlinie zu verändern

ISA Server Virtual Private Networks: Falls Sie den ISA Server auf Ihrem VPN Server verwenden, muss ISA so konfiguriert werden, dass PPTP oder L2TP Pakete zugelassen werden. Um diese Paketfilter zu erstellen, gehen Sie wie folgt vor: VPN Verbindungen zulassen • Starten Sie ISA Verwaltung • Klicken Sie mit der rechten Maustaste auf Netzwerkkonfiguration • Wählen Sie aus dem Kontextmenü "VPN Clientverbindungen zulassen"


17

•

Der Assistent richtet die notwendigen Paketfilter für VPN ein.


18

•

Wählen Sie “Weiter”

• •

Wählen Sie “Fertig stellen” Der Assistent hat die folgenden Paketfilter erstellt:


19

VPN Verbindungen von zuhause herstellen Damit Schüler oder Lehrer von zuhause auf die Schulressourcen zugreifen können, müssen Sie zuerst eine Internetverbindung mit ihrem Provider herstellen. Client: Windows 2000 Starten von Start-Einstellungen-Netzwerk und DFÜ Verbindungen

Doppelklicken Sie auf Neue Verbindung herstellen


20

Klicken Sie auf Weiter

Wählen Sie Verbindung mit einem privaten Netzwerk über das Internet herstellen


21

Geben Sie die externe IP Adresse oder den DNS Namen Ihres VPN Servers ein

Wählen Sie nach Wunsch eine der beiden Optionen und klicken Sie auf Weiter


22

Falls Sie anderen Computern aus ihrem Heimnetzwerk eine Verbindung über die VPN Verbindung ermöglichen wollen, kreuzen Sie die Option „Gemeinsame Nutzung der Internetverbindung“ an

Geben Sie einen Namen für Ihre VPN Verbindung an Klicken Sie auf Fertigstellen Damit ist die VPN Clientverbindung eingerichtet

VPN Clientverbindung verwenden Stellen Sie von Ihrem Clientrechner zuhause eine Internetverbindung her Starten Sie Start-Einstellungen-Netzwerk und DFÜ Verbindungen


23

Doppelklicken Sie VPN Schule

Geben Sie Benutzername und Kennwort Ihrer Schuldomäne ein Klicken Sie auf Verbinden


24

Ab nun sind sie mit Ihrem HeimPC mit dem Schulnetz so verbunden als wären Sie direkt im Schulnetz.


25