Geplaatst door / published by: pejanssen

Met de introductie van "het nieuwe werken", de mode kreet van het jaar 2010, gaan medewerkers meer en meer plaats en tijd onafhankelijk werken. Infrastructuren moeten hierop aangepast worden door faciliteiten beschikbaar te stellen waarmee medewerkers overal ter wereld door middel van hun internet verbinding informatie op het bedrijfsnetwerk kunnen benaderen.

Natuurlijk is het zaak om deze toegang vanaf het bedrijfsnetwerk tot het internet goed te beveiligen. Daarom in dit blog een introductie in de wereld van de Virtual Private Networks (VPN), waarmee door het internet een virtueel netwerk opgezet kan worden dat door middel van encryptie enkel toegankelijk is voor geautoriseerde gebruikers.




In dit blog is bovenstaande infrastructuur als voorbeeld genomen, de linkerzijde van de afbeelding is de (willekeurige) remote lokatie waar de medewerker op dat moment aan het werk is. De rechterzijde van de afbeelding is het bedrijf waar de medewerker werkzaam is.

Zoals je ziet is het ontwerp van deze infrastructuur behoorlijk basic, dit zorgt voor een klein beetje extra werk, maar het voordeel is dat de oplossing voor vrijwel iedereen toepasbaar is. Op de router waar het internetverkeer het kantoor binnenkomt dient door middel van portforwarding (NAT - Network Address Translation) alle verkeer dat binnenkomt op poort 1723 van de WAN interface doorgestuurd te worden naar poort 1723 van de VPN Server (10.20.67.50), deze zorgt voor de verdere opbouw van de VPN verbinding.

Om de structuur verder werkend te krijgen dient allereerst de "Network Policy and Access Services" rol aan de Windows 2008 server toegevoegd te worden. Hiervoor kan gebruik gemaakt worden van de Windows 2008 Server Manager. Tijdens het installeren van de rol wordt gevraagd welke services van deze rol benodigd zijn, hierbij dient gekozen te worden voor "routing and remote access","Remote Access Service" en "Routing" (zie onderstaande afbeelding).



Nu de installatie voltooid is moet RRAS (Routing and Remote Access Services) nog configureerd worden. Gebruik hiervoor het programma Routing and Remote Access dat staat onder Start -> Administrative tools.



Klik met de rechtermuistoets op de RRAS server en kies voor Configure and Enable Routing and Remote Access. Aangezien onze server van slechts een netwerkkaart is voorzien kunnen we geen gebruik maken van de standaard opties maar kiezen we voor "Custom configuratie" en vervolgens voor "VPN Access".

Na het starten van de service is de configuratie voor het grootste gedeelte voltooid. In de RRAS moet nog een zogenaamde "Static Address Pool" gedefinieerd worden waarin de tcp/ip adressen opgenomen worden die toegekend worden aan de clients op het moment dat er een VPN verbinding opgezet wordt.

Om deze static address pool aan te maken klikken we in de Routing And Remote Access manager met de rechtermuistoets op de server, kiezen voor properties en vervolgens op het tabblad IPv4.  geef vervolgens aan dat er gebruik gemaakt wordt van een static address pool en voeg de scope op van de pool (minimaal zo veel adressen als clients die tegelijkertijd verbinding kunnen maken).

Een aantal critici zullen opmerken dat Windows Server 2008 R2 nou net een nieuwe functionaliteit DirectAccess heeft geintroduceerd om eenvoudig beveiligde verbindingen op te kunnen zetten. Nadeel van die structuur is echter dat er meerdere servers en tcp/ip netwerken nodig zijn om te laten slagen, daarnaast werkt deze combinatie alleen als het Windows 7 Operating System op de client gebruikt wordt. Bij een relatief eenvoudige en kleinschalige opzet als hierboven kan met een eenvoudige RRAS volstaan worden. Meer informatie over Direct Access is te vinden via deze link.

De configuratie van de VPN server is op dit moment voltooid. Om daadwerkelijk een beveiligde VPN verbinding op te kunnen zetten vanaf de client naar de server, moet op de client nog een VPN-verbinding aangemaakt worden.

In dit blog wordt uitgegaan van het Windows 7 Operating system als basis voor het aanmaken van een VPN Verbinding. Hiervoor moet in het netwerkcentrum gekozen worden voor het aanmaken van een nieuwe verbinding of netwerk en vervolgens voor "Verbinden met een kantoor".


In het bovenstaande scherm geeft u an dat voor het maken van de VPN verbinding gebruik gemaakt moet worden van de gewone internetverbinding die reeds aanwezig is.


In het bovenstaande venster moet het adres van de VPN Server opgegeven worden, in deze casus is deze niet rechtstreeks bereikbaar maar alleen via de router op de kantoorlocatie. Als internet adres gebruiken we dan ook het WAN adres van de router. Deze router zorgt er vervolgens voor dat alle verkeer transparant doorgestuurd wordt naar de VPN server.

Het volgende scherm vraagt om inlog informatie (gebruikersnaam, wachtwoord en domeinnaam) waarmee de gebruiker op het Windows domein van kantoor in kan loggen. Aan de hand hiervan vindt authenticatie en autorisatie plaats en wordt de VPN verbinding als dan niet opgezet.

Nadat de VPN verbinding aangemaakt is, kan het in principe gebruikt worden. de standaard Windows configuratie zorgt er echter voor dat alle verkeer vanaf het betreffende werkstation via de tunnel (VPN verbinding) verzonden wordt, ook het gewone internet verkeer dat niet door de tunnel hoeft maar rechtstreeks het internet op kan.

Door middel van "Split tunneling" kunnen de verkeersstromen gescheiden worden, verkeer dat door de tunnel moet wordt erdoor gestuurd, het overige verkeer gaat rechtstreeks het internet op.  Om dit aan te passen moet er nog een kleine aanpassing aan de VPN verbinding uitgevoerd worden. Hiervoor gaat u in het netwerkcentrum en kiest voor het wijzigen van adapter settings, kies de betreffende VPN verbinding, selecteer met de rechtermuistoets de eigenschappen en ga naar het tabblad "Network"

In het bovenstaande scherm dient het vinkje bij "Use default gateway on remote network" uitgezet te worden. Hierdoor wordt voorkomen dat de router op de kantoor locaties (voor alle externe medewerkers) gebruikt om ook het gewone internet verkeer doorheen te sturen.

Over het opzetten van een afgeschermde VPN is nog veel en veel meer te schrijven, door middel van dit blog is het mogelijk een werkend geheel te realiseren dat als basis kan dienen voor verdere ontwikkeling van de infrastructuur.

Mocht er opmerkingen zijn, laat ze achter als reactie op dit blog, anderen kunnen net op zoek zijn naar dat puzzelstukje !

Bye !

Voeg commentaar toe