Olá amigos, este post aborda a configuração de servidores VPN que interconectam duas unidades fÃsica da mesma empresa. Este post ensinará os passos para configurar uma VPN site-to-site com o Windows Server 2012 R2. Para que você possa reproduzir os passos em um ambiente controlado (laboratório), antes de partir para o mundo real, deixo aqui a imagem do projeto de forma simplificada.
Para este laboratório (ou estrutura real), você pode utilizar tanto o Hyper-V como o VMWare ou ainda uma estrutura fÃsica. Não existe nenhum impedimento quanto a configuração, porém não abordaremos neste post a configuração dos hypervisores. Um único detalhe em especial é que os servidores RRAS devem possuir duas interfaces de redes, onde uma esta representando sua rede interna e outra a rede externa (link de dados), dos provedores.
Recomendo ainda que você renomeie as interfaces de redes, assim fica mais fácil para criarmos a configuração e documentarmos depois o ambiente como um todo.
Neste projeto estou simulando uma mesma rede com conexões completamente únicas, isso significa que cada uma das unidades fÃsicas possui seu próprio bloco de endereços, porém fazem parte do mesmo domÃnio, ou seja pertencem à mesma estrutura lógica. Este processo também pode ser efetuado com estruturas diferentes, porém exigirá conhecimento sobre relações de confiança, que não é exatamente o tema deste post.
Outro ponto importante aqui, é que procurei facilitar ao máxmo a configuração utilizando o protocolo PPTP e a autenticação direta sem um servidor RADIUS na ponta. Porém é bem possÃvel criar configurações mais robustas que façam uso de estruturas mais complexas. Este post aborda algo mais simples para que você entenda o processo e depois destrinche de forma mais interessante conforme sua necessidade.
Bom, será necessário atentar em especial para quatro etapas, das quais listo aqui:
1. Configure o servidor RRAS1
2. Configure o servidor RRAS2
3. Monte a conexão do servidor RRAS1
4. Monte a conexão do servidor RRAS2
5. Efetue testes de conectividade (ping, por exemplo)
Obs.: Você deve criar antes de tudo, um usuário no AD que será utilizado para essa conexão. Recomendo que crie um usuário para cada conexão, ou seja se você tiver sete filiais, crie sete usuários; se tiver dez filiais, crie 10 usuários, e assim por diante.
1. SERVIDOR RRAS1
1.01 RRAS 1 - interface NIC interna LAN-SP
1.02 RRAS 1 - interface NIC externa VPN-SP
1.03 RRAS 1 - Instalar o RRAS (DirectAcces and VPN e o Routing) / marque o restart / finalize a instalação
1.04 RRAS 1 - Abra Routing and Access / botão direito no servidor RRAS1 / Configure
1.05 RRAS 1 - Marque a terceira opção, Virtual Private Network (VPN) access and NAT [NEXT]
1.06 RRAS 1 - Escolha a interface externa VPN-SP [NEXT]
1.07 RRAS 1 - Especifique um rande de endereços IP selecionando a segunda opção, From a specified range of addresses [NEXT] --> clique em [New] na próxima janela
1.08 RRAS 1 - atribua endereços IP de dentro do seu bloco [172.40.10.50 até 55] e clique em [OK] e depois em [NEXT]
1.09 Você também pode utilizar um servidor RADIUS para esta configuração, porém neste laboratório não abordaremos esse item, portanto escolha a primeira opção da janela, No use Routing and Remote Access to authenticate connection requests. Clique em [FINISH] e depois em [OK], caso apareça uma janela informando sobre a configuração que deve ser efetuada no servidor DHCP.
1.10 RRAS 1 - Expanda IPv4, clique em NAT e veja se ambas as interfaces de redes estão ali configuradas
1.11 RRAS 1 - Clique com o botão direito na interface de rede VPN-SP e em propriedades valide se o item Public interface esta marcado. O item Enable NAT deve estar selecionado
1.12 RRAS 1 - Clique com o botão direito de seu mouse em cima do servidor RRAS1, no canto esquerdo superior da tela e em seguida em propriedades
1.13 RRAS 1 - Na guia General, valide se a opção IPv4 Remote Access server, esta marcada
2. SERVIDOR RRAS2
2.01 RRAS 2 - interface NIC interna LAN-RJ
2.02 RRAS 2 - interface NIC externa VPN-RJ
2.03 RRAS 2 - Instalar o RRAS (DirectAcces and VPN e o Routing) / marque o restart / finalize a instalação
2.04 RRAS 2 - Abra Routing and Access / botão direito no servidor RRAS2 / Configure
2.05 RRAS 2 - Selecione a terceira opção, Virtual Private Network (VPN) access and NAT e pressione o [NEXT]
2.06 RRAS 2 - Selecione a interface externa VPN-RJ e clique em [NEXT]
2.07 RRAS 2 - Selecione a segunda opção From a specified range of addresses e então clique em [NEXT]
2.08 RRAS 2 - Clique no botão [NEW] e preencha um bloco de endereços dentro de seu range, [172.40.10.50 até 55] e clique em [OK] e depois em [NEXT]
2.09 RRAS 2 - Selecione a primeira opção, Enable basic name and address services, pressione o [NEXT]
2.10 RRAS 2 - Confira o resumo informativo da janela e então pressione o [NEXT]
2.11 RRAS 2 - Marque a primeira opção da janela, No use Routing and Remote Access to authenticate connection requests. Clique em [NEXT] e depois em [FINISH]. Quando for apresentado a mensagem sobre o DHCP, pressione o [OK]
3. CONECTANDO OS SERVIDORES, RRAS1
3.01 RRAS1 - Acesso a janela Routing and Access do servidor RRAS1
3.02 RRAS1 - Em Network Interfaces, clique com o botão direito de seu mouse. Clique em New-Demand-dial Interface...
3.03 RRAS1 - A primeira tela do assitente, clique em [NEXT]
3.04 RRAS1 - Adicione um nome a essa conexão. Em nosso Caso chamaremos de VPN-HTBRAZ. Pressione o [NEXT]
3.05 RRAS1 - Marque a segunda opção, Connect using virtual private network (VPN)
3.06 RRAS1 - Marque a segunda opção, Point to point Tunneling Protocol (PPTP) e pressione o [NEXT]
3.07 RRAS1 - Na tela Destination Address, digite o IP da outra ponta da rede. Se estamos no servidor RRAS1, então deve-se digitar o IP do link conectado ao servidor RRAS2. Então pressione o [NEXT]
3.08 RRAS1 - Na próxima janela, chamada de Static Routes for Remote Networks, clique no botão [ADD]
3.09 RRAS1 - Aqui deve ser adicionado uma róta estática que fará com que ambas as redes se conheçam. Digite então [172.40.20.0] com a mascara [255.255.255.0] com métrica 1. Pressione o [OK]
3.10 RRAS1 - Digite agora as credenciais de acesso para a conexão VPN-HTBRAZ que criamos neste item 3.04 e pressione o [NEXT]
3.11 RRAS1 - Preencha as credencias de acesso para a caixa Dial-Out Credentials e pressione o [NEXT] e depois em [FINISH]
4. CONECTANDO OS SERVIDORES, RRAS2
4.01 RRAS2 - Acesso a janela Routing and Access do servidor RRAS2
4.02 RRAS2 - Em Network Interfaces, clique com o botão direito de seu mouse. Clique em New-Demand-dial Interface...
4.03 RRAS2 - A primeira tela do assitente, clique em [NEXT]
4.04 RRAS2 - Adicione um nome a essa conexão. Em nosso Caso chamaremos de VPN-HTBRAZ. Pressione o [NEXT]
4.05 RRAS2 - Marque a segunda opção, Connect using virtual private network (VPN)
4.06 RRAS2 - Marque a segunda opção, Point to point Tunneling Protocol (PPTP) e pressione o [NEXT]
4.07 RRAS2 - Na tela Destination Address, digite o IP da outra ponta da rede, como fizemos anteriormente
4.08 RRAS2 - Na próxima tela, chamada Protocols and Security, masque a primeira opção Route IP packets on the interface, e marque a segunda opção Add a user account soa a remote route can dial in. Pressione o [NEXT]
4.09 RRAS2 - Na próxima janela, chamada de Static Routes for Remote Networks, clique no botão [ADD]
4.10 RRAS2 - Aqui deve ser adicionado uma róta estática que fará com que ambas as redes se conheçam. Digite então [172.40.10.0] com a mascara [255.255.255.0] com métrica 1. Pressione o [OK]
4.11 RRAS2 - Digite agora as credenciais de acesso para a conexão VPN-HTBRAZ que criamos neste item 3.04 e pressione o [NEXT]
4.12 RRAS2 - Preencha as credencias de acesso para a caixa Dial-Out Credentials e pressione o [NEXT] e depois em [FINISH]
4.13 RRAS2 - Localize a conexao VPN-HTBRAZ dentro de Network Interfaces
4.14 RRAS2 - Clique em cima da conexão VPN-HTBRAZ com o botão direito de seu mouse e em seguida clique em connect
Obs.: Se você gostou deste post, deixe seu comentário. Se acha que faltou algo ou que possui uma forma diferente de realizar a configuração fique a vontade para colaborar com a comunidade técnica.
Veja também:
https://social.technet.microsoft.com/wiki/pt-br/contents/articles/36515.windows-server-2008-e-r2-como-configurar-um-servidor-l2tpipsec-atras-de-um-dispositivo-nat-t.aspx
Veja também:
https://social.technet.microsoft.com/wiki/pt-br/contents/articles/36515.windows-server-2008-e-r2-como-configurar-um-servidor-l2tpipsec-atras-de-um-dispositivo-nat-t.aspx