Routing i dostęp zdalny

1. Informacje wstępne
RRAS (Remote and Routing Access) jest usługą routingu oraz łączności zdalnych użytkowników z pomocą wirtualnej sieci prywatnej VPN. Funkcja dostępu zdalnego zapewnia usługi sieci VPN, przez co użytkownicy uzyskują bezpieczny dostęp do sieci firmowych przez Internet, zupełnie jakby byli bezpośrednio z siecią firmową połączeni.
Dostęp zdalny umożliwia użytkownikom, którzy znajdują się poza siecią lokalną dostęp do jej zasobów. Jednym ze sposobów jest uzyskanie dostępu przy pomocy linii telefonicznej, jednak ze względu na niskie przepustowości (56 Kbit/s), tego modelu nie stosuje się. Zamiast tego używa się dostępu za pomocą VPN (Virtual Private Network). VPN pozwala na bezpieczny dostęp do zasobów lokalnych sieci pomimo używania niebezpiecznego medium jakim jest Internet. Transmisja odbywa się bowiem poprzez szyfrowane tunele. Hosty końcowe mogą się ze sobą łączyć, tak, jakby istniało pomiędzy nimi rzeczywiste połączenie. Sieć taka jest wirtualna co znaczy, iż istnieje jedynie jako struktura logiczna w obrębie sieci fizycznej, np. Internetu. Windows Server obsługuje 3 rodzaje połączeń VPN: PPTP, L2TP/IPSec, SSTP.
Serwer WS pełni funkcję bramy, za pomocą której zdalni użytkownicy uzyskują dostęp do sieci lokalnej (np. firmowej). Użytkownicy sieci VPN są uwierzytelniani w usłudze AD, co oznacza, że muszą mieć konta domenowe z uprawnieniami do logowania się przez VPN.
2. Instalacja i ustawianie routingu
Nasz serwer jest w tym momencie serwerem domenowym, jednak nie udostępnia dostępu do Internetu. W tym ćwiczeniu postaramy się to zmienić. Z menedżera serwera wybieramy Add roles and features celem zainstalowania usług routingu i dostępu zdalnego. W momencie gdy dochodzimy do dodawania ról i funkcji zaznaczamy dostęp zdalny.



Przechodzimy w kolejnych oknach dalej, aż do okna w którym musimy zaznaczyć DirectAccess and VPN (RAS), Routing oraz Web Application Proxy.



Przechodzimy dalej, a po instalacji zaznaczamy opcję automatycznego restartu komputera, po czym klikamy Install.



Po odczekaniu chwili i zainstalowaniu usługi konfigurujemy zainstalowaną opcję DirectAccess and VPN (RAS) poprzez kliknięcie w żółty znak z wykrzyknikiem i otwieramy w ten sposób kreatora wprowadzenia.



W ten posób pojawia się kreator konfiguracji dostępu zdalnego, z którego wybieramy opcję wdrożenia sieci VPN - Deploy VPN only.



W wyniku tego pojawia się okno Routing and Remote Access w którym naciskamy na nazwie naszego serwera PPM i wybieramy opcję konfiguracji i włączenia routingu i dostępu zdalnego.



W momencie pojawienia się poniższego okna wybieramy opcję translacji adresów sieciowych, która jest niczym innym jak NATem. Gdybyśmy chcieli dodatkowo skonfigurować możliwość udostępniania klientom połączeń poprzez VPN, należałoby zaznaczyć opcję VPNu w połączeniu z NATem.



W kolejnym kroku zaznaczamy kartę sieciową, odpowiedzialną za połączenie z Internetem. U nas jest to ethWAN. Ten zrzut ekranu należy włączyć do sprawozdania



Po zakończeniu nastąpi uruchamianie usługi.



W oknie Routing and remote access widać, że serwer routingu jest włączony. Po pewnym czasie nastąpi też przywrócenie połączenia z Internetem, o czym będą informować ikonki połączenia sieciowego w prawym dolnym rogu ekranu serwera i klienta.



Jeśli nie restartowaliśmy serwera wcześniej (po instalacji usług) zróbmy to teraz.
Teraz pingujemy - z poziomu serwera - dowolny serwer internetowy oraz adres IP klienta. Jak widać połączenie z serwerem internetowym zostało nawiązane za pośrednictwem usługi NAT, uruchomionej na interfejsie ethWAN. Z kolei połączenie z klientem zostało nawiązane za pośrednictwem interfejsu karty sieciowej ethLAN. Ten zrzut ekranu należy włączyć do sprawozdania



To samo robimy z poziomu klienta z tą różnicą, że pingujemy oczywiście serwer. Ten drugi ping działa w sieci wewnętrznej, poprzez kartę ethLAN serwera (i - co jasne - kartę sieciową klienta). Ten zrzut ekranu należy włączyć do sprawozdania



Na kliencie uruchamiamy również stronę google.pl. Ten zrzut ekranu należy włączyć do sprawozdania



3. Tworzenie tunelowanego połączenia VPN
Pierwszą rzeczą jaką należy uczynić, ażeby dany klient mógł się łączyć z serwerem za pomocą szyfrowanego połączenia VPN jest wejście do przystawki Active Directory Users and Computers na serwerze a następnie przejście PPM na danego użytkownika, u nas Imię Nazwisko, wybranie Properties a następnie przejście na kartę telefonowania (Dial-in) i włączenie opcji zezwalania na dostęp Allow access. Na



Następnie trzeba zrekonfigurować usługę Routing and Remote Access, którą skonfigurowaliśmy w poprzednim kroku aby przełączyć się z samej translacji adresów sieciowych na VPN w połączeniu z translacją adresów sieciowych. W tym celu musimy wyłączyć tymczasowo usługę Remote and Remote Access.



Następnie przechodzimy do jej ponownej konfiguracji.



Jedyną zmianą w porównaniu z konfiguracją dokonywaną poprzednio będzie zaznaczenie innej opcji w poniższym oknie kreatora.



Ważniejsze opcje ustawiamy następująco.





W dużych sieciach do uwierzytelniania służy serwer RADIUS. W małych sieciach wystarczy w oknie Zarządzanie wieloma serwerami dostępu zdalnego wybrać opcję Nie, użyję usługi routingu i dostępu zdalnego do uwierzytelniania żądań połączeń.



Teraz przechodzimy na klienta z poziomu którego będziemy łączyć się tunelem VPN z serwerem. Upewniamy się, że klient pinguje serwer.



Otwieramy Centrum sieci i udostępniania i wybieramy opcję Skonfiguruj nowe połączenie lub nową sieć.



Chcemy połączyć się poprzez opcję Połącz z miejscem pracy.



W oknie Jak chcesz się łączyć należy wybrać opcję Użyj mojego połączenia internetowego (VPN).



Następnie wpisujemy adres IP serwera. Ten zrzut ekranu należy włączyć do sprawozdania



Przechodzimy do kart sieciowych i klikamy PPM na utworzonym połączeniu VPN aby je włączyć.



Następnie w uruchomionym w prawym dolnym rogu ekranu okienku klikamy nazwę połączenia VPN po czym klikamy Połącz.



Wpisujemy poświadczenia użytkownika Imię Nazwisko, a więc imnazwisko i hasło.



Jak widać połączenie zostało nawiązane. Ten zrzut ekranu należy włączyć do sprawozdania



Można się o tym przekonać wydając polecenie ipconfig w wierszu polecenia. Będzie tam widoczny dodatkowy interfejs sieciowy utworzony dla połączenia VPN. Ten zrzut ekranu należy włączyć do sprawozdania



Z kolei gdy klikniemy Rozłącz po naciśnięciu na ikonę połączenia VPN, w wierszu polecenia oczywiście połączenia VPN nie będzie widać.