Abbiamo già trattato la creazione di una VPN utilizzando i certificati per il sistema operativo Windows Server 2008.  Torniamo indietro al precedente s.o. Windows Server 2003 e ripetiamo lo stesso esercizio.

Premessa: Installeremo per comodità più servizi sulla stessa macchina virtuale: nella realtà è consigliabile avere la Certification Authority su un altro server aziendale o utilizzare una CA pubblica.

Di cosa abbiamo bisogno:

1 Macchina virtuale stand-alone con Windows Server 2003 sp2 che chiameremo SERVER2003 (sarà il nostro server VPN e ospiterà la Certification Authority). Avrà due interfacce di rete:  “Internet” (195.110.128.1) e una “rete interna aziendale” (192.168.33.200).

1 Macchina virtuale client con Windows XP (lo chiameremo CLIENTVPN) che simulerà il client VPN. L’indirizzo Ip sarà 195.110.128.2

STEP1: Installazione della CA su SERVER2003

Installiamo il servizio che ci servirà alla distribuzione dei certificati sul server SERVER2003.

Attenzione: Prima di installare la CA, provvedo all’installazione di Internet Information Services sulla stessa macchina in modo da poter richiedere certificati digitali tramite interfaccia web. Dal “control panel”, “add remove programs”, “add/remove windows components” aggiungo il servizio “Application server” con le opzioni di default, come da immagine:

A questo punto a fine installazione posso aggiungere, utilizzando lo stesso percorso, i “Certificate Services“:

… accettiamo le impostazioni di default (stand-alone root CA)  e diamo il common name alla CA:   AziendaCA

… andiamo avanti accettando le opzioi di default fino al termine dell’installazione.

STEP 2: Configurazione del servizio Routing and Remote Access su Server2003

Su Server2003, che fungerà da server vpn, raggiungiamo “administrative tools”  e clicchiamo su “Routing and remote access”: arriveremo alla seguente finestra….

… puntando sul nome del server e facendo click destro, facciamo partire il wizard “configure and enable routing and remote access”

.. e puntare alla configurazione “dial-up or VPN”….

..VPN….

…sottolineare l’interefaccia che comunica su internet…

A questo punto andiamo a configurare gli indirizzi che verranno assegnati ai client vpn che si collegheranno a questo server: avremmo potuto sfruttare un servizio dhcp, ma in questo caso creiamo un range di indirizzi manualmente…

…ed ecco il range…

… sono 10 client che possono ottenere indirizzi aziendali tramite servizio VPN.

Andiamo avanti cliccando sempre su “yes” fino a fine installazione e abbiamo il nostro servizio Routing Remote Access ben configurato per un server VPN.

 STEP3: Abilitare un’ utenza per la connessione VPN

Dobbiamo ora abilitare un’utenza che possa usufruire della connessione VPN. Normalmente, in una rete aziendale, dovrei scegliere utenze di dominio (sul domain controller tramite “active directory users and computers”. Nel nostro esercizio, stiamo lavorando al di fuori di un dominio, quindi saranno scelti utenti locali della stessa macchina VPN server.

Creo un utente sulla macchina SERVER2003 chiamato VpnUser e nelle sue proprietà scelgo il tab “dial-in”

A questo punto nel tab dial-in scelgo “ALLOW access” in alto a sinistra e premo “OK”

NB: La scelta “ALLOW access” prevede che io abbia le idee chiare riguardo il funzionamento delle policy RRAS e della combinazione di queste ultime con le configurazioni del tab “Dial-in”. In questo esercizio “ALLOW Access” ci consentirà di collegarc in VPN utilizzando l’utenza VpnUser.

STEP4 : Configurazione di un client VPN

Ed ora configuriamo un client VPN che nel nostro esercizio sarà una macchina Windows XP.

Da  “Network connection” creiamo una nuova connessione….

partirà il wizard e andremo a scegliere un collegamento verso una rete aziendale…

…Virtual Private Network Connection…

…Scegliamo un nome qualsiasi per la nuova interfaccia di connessione (io ho scelto “Rete VPN Aziendale” e configuriamo un indirizzo IP che sarà quello del SERVER2003 (quello pubblico del server VPN).

E a questo punto cliccando su “finish” avremo la nostra connessione già pronta come se fosse una nuova interfacia di rete…

Facciamo logon utilizzando l’account VpnUser e la password che abbiamo scelto in fase di creazione. Clicchiamo su “connect” e dovremmo collegarci in VPN con la rete aziendale (Ancora utilizziamo il protocollo PPTP senza utilizzare alcun certificato: questo è solo un test per provare la connessione VPN.

..funziona… Siamo pronti per la richiesta ed installazione dei certificati per una VPN L2TP/Ipsec.

 STEP5 : Richiesta certificati

Disconnettiamo la nostra VPN e passiamo alla richiesta di certificati.

1 certificato “Server” che andrà installato come certificato computer sul server VPN (SERVER2003). Ricordiamoci che la Certification Authority deve essere tra quelle riconosciute come attendibili dal server vpn.

1certificato “Client” che andrà installato come certificato computer sul Client VPN (VPNCLIENT). Ricordiamoci che la Certification Authority deve essere tra quelle riconosciute come attendibili dal client xp.

Cominciamo con il serverVPN: connettiamoci al sito della Certification Authority che abbiamo installato attraverso Internet Explorer all’indirizzo  http://SERVER2003/certsrv e richiediamo un certificato.

… advanced request…

… create and submit request to this CA…

… e a questo punto possiamo richiedere un certificato SERVER utilizzando le configurazioni che vedete nella foto in basso…

poi in basso possiamo cliccare su “submit”…

La nostra richiesta è “pendente”, dobbiamo andare sul serverVPN e aprire il tool Certification Authority tra i tool amministrativi. Andiamo sulle “pending requests” e facciamo l’ “issue” del certificato…

Torniamo sul ServerVpn sullo stesso sito della richiesta dei certificati  per vedere lo status della richiesta pendente…

clicchiamo sul certificato e installiamolo.

Importante: svolgiamo le stesse operazioni dello step per richiedere un certificato CLIENT facendo partire il sito di richiesta certificati dalla macchina XP (VPNCLIENT). Il certificato da richiedere non sarà più un servr auth. certificate, ma un CLIENT AUTHENTICATION CERTIFICATE.

Sul client dovremo ance mettere in “trust” la CA installando un certificato COMPUTER della CA, Questa cosa possiamo farla puntando sempre al sito http://server2003/certsrv e installando il certificato della CA.

Ricordate che dopo l’installazione il certificato della CA dovrà essere copiato dalla parte user alla parte computer dei certificati che si trovano in trusted root certification authority.

Ricorda: la copia del certificato installato si può fare aprendo lo snap-in “certificates” attraverso il tool mmc.exe (sia la parte user certificates, sia la parte computer certificates).

STEP6: Modificare le impostazioni del client VPN

Riprendiamo il client XP e torniamo alla scheda virtuale che abbiao utilizzato prima per la connessione VPN.

Nelle sue proprietà cambiamo le impostazioni di protocollo nel tab “networking” scegliendo L2TP…

premiamo ok e proviamo a riconnetterci in VPN con l’utente VpnUser…

OK!! Abbiamo collegato il nostro client in VPN con la rete aziendale attraverso il protocollo L2TP/Ipsec con un sistema di autentica basato su certificati.

Be Sociable, Share!

• 

The Lab: Vpn L2tp/ipsec in Windows Server 2003 con certificati by My Beautiful Place, unless otherwise expressly stated, is licensed under a Creative Commons Attribution-Noncommercial-No Derivative Works 2.5 Italy License.