در قسمت اول مقاله به تشریح مفاهیم فنی VPN پرداختیم ،حال در این قسمت راه اندازی VPN سرور در ویندوز سرور 2008 را به صورت تصویری و در قالب یک سناریو اجرا می کنیم . قبل از انجام سناریو به مرور پیش نیاز های ایجاد VPN سرور خواهیم پرداخت.برای پیاده سازی VPN سرور به یک سری نکات باید توجه داشت از جمله اینکه :
- باید تعیین کرد که کدام رابط شبکه برای اینترنت و کدام برای شبکه داخلی در نظر گرفته شده است.
- تعیین اینکه کاربر ریموت از DHCP سرور IP دریافت کند و یا از طریق Scope در نظر گرفته شده برای VPN سرور.
- مشخص کردن اینکه درخواست VPN client، با تنظیمات انجام شده روی VPN سرور احراز هویت شود و یا به کمک یک RADIUS سرور.
- اگر برای آدرس دهی از DHCP استفاده کنیم باید در نظر داشته باشیم که درخواست VPN client برای DHCP سروری که Subnet آن با VPN سرور برابر است ، مستقیما ارسال خواهد شد اما در صورتیکه VPN سرور و DHCP سرور Subnet مجزا داشته باشند برای پاسخ به درخواست آی پی از سوی کاربر ریموت ،باید مطمئن شویم که بواسطه یک روتر ارتباط میان این دو سرور برقرار باشد اگر روتر بر روی ویندوز سرور 2008 راه اندازی شده باید DHCP Relay Agent را نیز روی آن فعال کنیم.
- همانگونه که ذکر شد باید یک حساب کاربری برای کانکشن VPN با استفاده از روش های عنوان شده در قسمت قبلی مقاله ، ایجاد کنیم .و نیز باید دسترسی ریموت را برای کاربر تعیین کنیم به همین منظور از کاربر مورد نظر Properties گرفته و در تب Dial in درصورت بهره گیری از NPS تیک مربوط به آن و در غیر این صورت گزینه Allow access را مارکدار می کنیم .
در اینجا می توان برای کاربر Static IP نیز در نظر گرفت تا برای هر بار کانکت شدن با VPN از همان IP ای استفاده کند که منحصرا برای آن در نظر گرفته ایم .به همین منظور عبارت Assign Static IP Addresses رامارکدار کرده و در قسمت Static IP Addresses آی پی مورد نظر را که در رنج IP شبکه داخلی قرار دارد ،برای کاربر در نظر می گیریم.
پس از توضیحات ارائه شده در رابطه با VPN حال با طرح یک سناریوبرای Remote access client ها به پیاده سازی یک VPN سرور می پردازیم . در اینجا یک کلاینت دور کار با گذر از محیط اینترنت به کمک VPN سرور قصد برقراری ارتباط با شبکه داخلی و فرضا استفاده ازوب سرور موجود در شبکه را دارد.این کلاینت IP خود را از DHCP سرور موجود در شبکه داخلی دریافت خواهد کرد. بنابراین VPN سرور باید دارای یک Inter Face در محیط اینترنت با IP معتبر و یک Inter Face دیگر در شبکه داخلی باشد. کلاینت دور کار نیز با یک Valid IP به اینترنت متصل است. در اینجا VPN سرور را با پروتکل L2TP پیاده سازی خواهیم کرد.شکل زیر شرح کامل سناریو مورد نظر ما را به روشنی بیان می کند.
تذکر: در این مقاله به دلیل پیاده سازی سناریو در محیط مجازی به جای استفاده از Valid IP برای اتصال به اینترنت از IP کلاس B استفاده خواهیم کرد.
تنظیمات مربوط به VPN Server
ابتدا به توضیح تنظیمات روی VPN سرور می پردازیم .در اول کار باید رول Network policy & Access services موجود در Server manager را نصب کنیم بدین منظور وارد کنسول Server manager شده و گزینه Add roles را انتخاب می کنیم و در صفحه نمایان شده ،روی Next کلیک می کنیم .
در این بخش نقش Network policy & Access Service را مارکدار می کنیم و در مرحله بعد با خواندن توضیحات مربوط به این نقش با کلیک روی گزینه Next وارد مرحله بعد می شویم .
سرویس Routing & Remote Access Services را برای این رول انتخاب می کنیم و در قسمت بعد روی گزینه Install کلیک می کنیم .
پس از نصب رول ، بر روی گزینه Close کلیک می کنیم.
بعد از اینکه نصب Network Policy &Remote Access به پایان رسید با تایپ عبارت rrasmgmt.msc در Run و یا از طریق مسیر زیر وارد کنسول RRAS می شویم:
Start => Administrative tools => Routing and Remote Access Services
علامت قرمز نشان داده شده روی سرور در تصویر بیانگر Offline بودن آن است. برای فعال سازی سرور روی آن راست کلیک کرده و گزینه Configure & enable routing &remote access را انتخاب می کنیم .بدین ترتیب ویزارد Routing & Remote Access Server باز خواهد شد.روی گزینه Next کلیک می کنیم.
برای راه اندازی یک VPN سرور از میان گزینه های موجود در این صفحه می توانیم سه گزینه را به دلخواه و بسته به شرایط انتخاب کنیم:
- (Remote Access (Dial up or VPN:شرایط را برای برقراری ارتباط کاربران از طریق dial-up و یا VPN با سرور فراهم می کند.
- Virtual Private Network (VPN) access NAT: بستر را برای برقراری ارتباط کاربران به صورت ریموت و از راه دور با سرور از طریق VPN و برای دسترسی کابران لوکال به اینترنت به کمک NAT فراهم می آورد.
- Custom configuration: نوع برقراری ارتباط به عهده مدیریت سرور بوده و او می تواند هر کدام از ویژگی های موجود در این سرویس را بنا به صلاح دید خود برگزیند.
دراین ویزارد ما گزینه custom configuration را انتخاب می کنیم تا از طریق کنسول مدیریتی ، تنظیمات مورد نظر را اعمال کنیم .
در این مرحله سرویس VPN Accessرا برای ایجاد یک شبکه خصوصی مجازی انتخاب می کنیم با کلیک روی گزینه Next خلاصه ای از انتخاب های صورت گرفته نمایش داده خواهد شد .به هنگام خروج از این ویزارد پیغامی مبنی بر استارت این سرویس نشان داده می شود ،برای شروع فعالیت این سرویس روی گزینه Start service کلیک می کنیم.
پس از گذشت چند ثانیه سرویس استارت خورده و ویزارد بسته می شود . تصویر زیر کنسول RRAS را پس از شروع فعالیت سرور نشان می دهد. علامت سبز رنگ روی سرور نیز نمایانگر سرور در وضعیت فعال می باشد. در این حالت سرویس VPN ما راه اندازی شده اما نیاز به اعمال یک سری تنظیمات دارد .به همین منظور روی سرور (در اینجا (PDC (local) موجود Properties گرفته و یک به یک تنظیمات مودر نظر را روی تب های آن انجام می دهیم.
همانگونه که در تصور نمایش داده شده در تب IPv4 برای VPN سرور تعیین می کنیم که به چه طریق VPN کلاینت ها را آدرس دهی کند. در اینجا دو انتخاب پیش روی ماست استفاده از DHCP Server که در صورت انتخاب آن باید در قسمت پایین شکل برای سرور تعیین کنیم که از کدام رابط شبکه با DHCP Server ارتباط بر قرار کند. و نیز ایجاد یک Static address pool که باید برای این منظور یک محدوده IP را در این قسمت برای آدرس دهی در نظر بگیریم .در این سناریو ما از DHCP سرور استفاده خواهیم کرد.
در تب Security در قسمت Authentication providers در حقیقت برای VPN سرور تعیین می کنیم که ازکجا User name و پسوردهای ساخته شده رابخواند و احراز هویت آنها را به چه صورتی انجام دهد . اگر RADIUS server داشته باشیم در اینجا آن را معرفی می کنیم و یا اینکه با انتخاب گزینه Windows Authentication تعیین می کنیم که خود سرور عمل احراز هویت را انجام دهد . با کلیک روی گزینه Authentication methods می توانیم از میان پروتکل های احراز هویت موجود، پروتکل مورد نظر را انتخاب کنیم.توضیحات مربوط به این پروتکل ها در قسمت اول مقاله بیان شد.در اینجا ما این تنظیمات را به صورت پیش فرض رها می کنیم.
در قسمت Accounting Providers نیز دو گزینه Windows Accounting و RADIUS Accounting پیش روی ماست .همانطور که قبلا اشاره کردیم استفاده از Accounting توسط ویندوز کارایی چندانی ندارد و بهتر این است که از نرم افزارهای جانبی Accounting استفاده شود. در صورت انتخاب RADIUS Accounting روی گزینه Configure کلیک می کنیم تا اسم و یا آدرس RADIUS سرور را به VPN سرور معرفی کنیم .در این مقاله به دلیل اینکه سناریو ما شبکه گسترده ای را در بر نمی گیرد و کلاینت های ما محدود هستند گزینه Windows Accounting را در نظر می گیریم . (1)
پروتکل PPTP بصورت پیش فرض برای عمل Tunneling توسط VPN سرور در نظر گرفته شده است، می توانیم با مارکدار کردن گزینه Allow custom IPsec policy for L2TP connection و انتخاب یک پسورد برای آن ،از یک پروتکل ایمن تر بهره بگیریم .باید به خاطر داشت که این پسورد باید در تنظیمات مربوط به Connection ساخته شده برای VPN کلاینت نیز تعریف شود. و این همان مفهوم Preshared key می باشد. (2)
پس از انتخاب پروتکل L2TPبرای اعمال آن، سرور یک پیغام مبنی بر ریستارت کردن سرویس Routing & Remote Access برای ما نمایش می دهد. برای ریستارت کردن سرویس روی سرور موجود در کنسول راست کلیک کرده و از قسمت All tasks گزینه Restart را انتخاب می کنیم.
تنظیمات مربوط به VPN Client
پس از اعمال تنظیمات مورد نظر روی سرور ، حال نوبت به ساخت یک VPN connection برای کاربر دور کار می رسد.قبل از هر چیز باید یک نکته بسیار مهم را به خاطر داشته باشیم که تنظیمات انجام شده روی سرور باید با تنظیمات مربوط به کانکشن کلاینت یکسان باشد و در صورت عدم تطبیق این تنظیمات ، ارتباط VPN کلاینت با سرور برقرار نخواهد شد.
برای ایجاد VPN Connection به مسیر زیر می رویم:
Start => control panel => Network & Sharing Center
در این بخش روی گزینه ی Setup a new connection or network کلیک می کنیم :
در این صفحه گزینه ی Connect to the workplace را انتخاب می کنیم .
در این مرحله روی عبارت (Use my Internet connection (VPN کلیک می کنیم .
در اینجا آدرس VPN سرور را به کلاینت معرفی کرده و با کلیک روی Next به مرحله بعد می رویم .
در این بخش حساب کاربری ساخته شده برای کاربر VPN را به همراه پسورد آن تایپ کرده و گزینه Create را انتخاب می کنیم .
در این قسمت روی Close کلیک می کنیم .
تصویر زیر Connection ایجاد شده را نمایش می دهد .User name پسورد ساخته شده برای VPN connection را در این بخش وارد می کنیم .اگر حساب کاربری را روی دومین کنترلر ایجاد کرده باشیم درقسمت Domain باید نام دومین کنترلر را نیز معرفی کنیم . حال باید تنظیمات مربوط به VPN connection را انجام دهیم و همانطور که پیشتر گفتیم باید در نظر داشت که این تنظیمات کاملا مطابق با تنظیمات انجام شده بر روی سرور باشد برای این منظور روی گزینه Properties کلیک می کنیم .
تمامی تنظیمات مورد نظر ما در این سناریو در تب Security انجام خواهد شد . در این تب در قسمت Type of VPN پروتکل Tunneling مورد نظر خود را انتخاب می کنیم با گزینش پروتکل L2TP بر روی گزینه Advance settings کلیک کرده و پسورد share شده ای را که روی VPN سرور تعریف کردیم به VPN کلاینت معرفی می کنیم .
در همین صفحه پروتکل های مربوط به احراز هویت نیز نمایش داده شده اند که همانند سرور تنظیمات آن را به صورت پیشفرض در نظر می گیریم.
پس از انجام تنظیمات در پنجره VPN connection روی گزینه Connect کلیک می کنیم تا ارتباط کلاینت با شبکه داخلی بر قرار شود . در این شرایط کلاینت یک IP آدرس در محدوده IP شبکه داخلی دریافت می کند ومی توان گفت که بصورت مجازی در شبکه داخلی قرار می گیرد .بنابراین می تواند از وب سرور شبکه داخلی استفاده کند.
بعد از برقراری ارتباط VPN،در قسمت Remote Access Client موجود در کنسول مدیریتی RRAS ویندوز سرور می توانیم نام کاربری را که ارتباط VPN بواسطه آن برقرار شده است مشاهده کنیم .
در این مقاله سعی بر آن شد تا راه اندازی VPN را به زبانی ساده بیان کنیم .امیدوارم که این مقاله برای شما دوستان مفید واقع شده باشد
نوشته اصلی توسط alisc
مجوز های ارسال و ویرایش
9سپاس
LinkBack URL
About LinkBacks
