آموزش راه اندازی VPN Server در ویندوز سرور

Q: VPN چیست؟

VPN مخفف Virtual Private Network یه شبکه خصوصی مجازی است و این امکان را به شما می دهد که از یک مبدا تا یک مقصد در فضای اینترنت یا شبکه داخلی را با رمزنگاری و بدون نگرانی از شنود اطلاعات ، ارتباط برقرار کنید

Q: مهمترین پروتکل های ساخت VPN سرور چه چیزهایی هستند؟

مهمترین پروتکل های VPN شامل PPTP ، L2TP ، SSTP ، OpenVPN ، IKEv2 و IPSec هستند.

در این مقاله قصد داریم به مبحث شبکه خصوصی مجازی یا VPN و نحوه راه اندارزی آن بپردازیم . امروزه با وجود بعد مسافت و نیاز به برقراری ارتباطات میان شعب مختلف سازمان ها کاربران به دنبال راهی برای برقراری ارتباط و دسترسی از راه دور به سایر شعب بصورت امن و البته سریع و آسان هستند که VPN این امکان را فراهم آورده است . VPN در حقیقت با ایجاد یک شبکه خصوصی مجازی و ارائه ی یک مکانیزم امن برای رمز نگاری و کپسوله سازی ترافیک ،در محیط ناامن اینترنت شرایط مناسب را برای برقراری ارتباط امن میان شبکه مبدا و مقصد مورد نظر آن فراهم می کند. در این ساختار برای حفظ محرمانگی داده ها آنها را رمزنگاری می کنند و از انتشار و اشتراک گذاری Packet هایی که فاقد کلید های رمزنگاری صحیح هستند در این محیط جلوگیری می شود .

پیشنیاز راه اندازی این سرویس یادگیری دوره آموزش مهندسی شبکه مایکروسافت یا دوره MCSE می باشد ، پیشنیاز دوره MCSE یا مدیریت شبکه مایکروسافت ، دوره آموزشی نتورک پلاس یا مبانی شبکه می باشد.

در این ساختار، داده ها با یک هدر در بردارنده ی اطلاعات مسیریابی ،محصور و کپسوله می شوند. در اولین قسمت مقاله به توضیح برخی از نکات و اطلاعات فنی مربوط به VPN پرداخته و در مقاله بعدی با طرح یک سناریو به پیاده سازی این سرویس می پردازیم.

چند سناریوی راه اندازی ( معماری ) برای VPN وجود دارد؟

راه های متفاوتی برای برقراری ارتباط به کمک VPN وجود دارد که در اینجا به دو سناریوی رایج آن اشاره می کنیم :

ارتباطات VPN بر بستر اینترنت و شبکه های عمومی

Remote access VPN: کاربر دور کاری که قصد ریموت زدن به شبکه داخلی یک سازمان را دارد و بدین منظور از یک شبکه خصوصی مجازی برای ایجاد این ارتباط بهره می گیرد. در حقیقت VPN سرور است که دسترسی به منابع مورد نیازموجود در شبکه داخلی را برای کاربر فراهم می کند. و بسته های اطلاعاتی از طریق تونل VPN میان شبکه و کلاینت رد و بدل می شود.با توجه به شکل زیر یک VPN سرور هم به محیط اینترنت و هم به شبکه داخلی دسترسی دارد و کاربرنیز از طریق یک لینک ISP به اینترنت متصل است. و در نتیجه کلاینت از طریق تونل ایجاد شده در محیط اینترنت توسط VPN سرور، قادر به دسترسی به شبکه داخلی خواهد بود.

در این مقاله قصد داریم به مبحث شبکه خصوصی مجازی یا VPN بپردازیم . امروزه با وجود بعد مسافت و نیاز به برقراری ارتباطات میان شعب مختلف سازمان ها کاربران به دنبال راهی برای برقراری ارتباط و دسترسی از راه دور به سایر شعب بصورت امن و البته سریع و آسان هستند که VPN این امکان را فراهم آورده است . VPN در حقیقت با ایجاد یک شبکه خصوصی مجازی و ارائه ی یک مکانیزم امن برای رمز نگاری و کپسوله سازی ترافیک ،در محیط ناامن اینترنت شرایط مناسب را برای برقراری ارتباط امن میان شبکه مبدا و مقصد مورد نظر آن فراهم می کند. در این ساختار برای حفظ محرمانگی داده ها آنها را رمزنگاری می کنند و از انتشار و اشتراک گذاری Packet هایی که فاقد کلید های رمزنگاری صحیح هستند در این محیط جلوگیری می شود .در این ساختار، داده ها با یک هدر در بردارنده ی اطلاعات مسیریابی ،محصور و کپسوله می شوند. در اولین قسمت مقاله به توضیح برخی از نکات و اطلاعات فنی مربوط به VPN پرداخته و در مقاله بعدی با طرح یک سناریو به پیاده سازی این سرویس می پردازیم.

!! معماری Virtual Private Network یا VPN
راه های متفاوتی برای برقراری ارتباط به کمک VPN وجود دارد که در اینجا به دو سناریوی رایج آن اشاره می کنیم :

!! ارتباطات VPN مبتنی بر اینترنت
*Remote access VPN:* کاربر دور کاری که قصد ریموت زدن به شبکه داخلی یک سازمان را دارد و بدین منظور از یک شبکه خصوصی مجازی برای ایجاد این ارتباط بهره می گیرد. در حقیقت VPN سرور است که دسترسی به منابع مورد نیازموجود در شبکه داخلی را برای کاربر فراهم می کند. و بسته های اطلاعاتی از طریق تونل VPN میان شبکه و کلاینت رد و بدل می شود.با توجه به شکل زیر یک VPN سرور هم به محیط اینترنت و هم به شبکه داخلی دسترسی دارد و کاربرنیز از طریق یک لینک ISP به اینترنت متصل است. و در نتیجه کلاینت از طریق تونل ایجاد شده در محیط اینترنت توسط VPN سرور، قادر به دسترسی به شبکه داخلی خواهد بود.

||http://www.tosinso.com/files/get/e28aa7cf-2c57-4100-a43d-b5253ebb2b0c||

*Site-to-site VPN: * به عنوان مثال ،به کمک این ساختار دو شعبه از یک سازمان که در مکان های دور از هم قرار دارند از طریق VPN با یکدیگر ارتباط برقرار می کنند در چنین شرایطی روتر های شعب به یکدیگر VPN زده و از طریق VPN به انتقال ترافیک می پردازند. مزیت این روش نسبت به روش قبلی در این است که دیگر نیازی نیست برای تک تک کاربران VPN Connection تعریف شود و صرفا با برقراری دو ارتباط بین سرورها یا روترهای مبدا و مقصد این ارتباط به درستی برقرار می شود.

||http://www.tosinso.com/files/get/625715ba-66b7-4e29-853c-335245399354||

!! ارتباطات VPN مبتنی بر اینترانت
!!! برقراری ارتباط به صورت Remote Access VPN از طریق اینترانت
در اینترانت برخی سازمان ها ، داده های مهم و محرمانه ی موجود در شبکه را به صورت فیزیکی از بقیه اینترانت سازمان جدا می کنند و این جدا سازی دستیابی کاربران سازمان را که به صورت فیزیکی به این بخش از شبکه دسترسی ندارند ،دشوار می سازد .VPN راهی امن برای ایجاد ارتباط کاربران با این بخش محصور شده ی سازمان را از طریق محیط اینترانت فراهم می کند. در این ساختار VPN سرور یک مسیر مستقیم برای ارتباط اینترانت سازمانی و بخش ایزوله شده سازمان ارائه می دهد. بنابراین کاربران اینترانت سازمان باید با سطح دسترسی ای که برای آنها در نظر گرفته شده یک کانکشن VPN برای ارتباط با VPN سرور ایجاد کنند تا بتوانند به منابع بخش ایزوله دست یابند.علاوه براین برای محرمانه باقی ماندن داده ها ، تمامی ارتباطات صورت گرفته از طریق VPN رمز گذاری می شوند وبخش های جدا شده سازمان نیز از دید کاربرانی که مجوز VPN زدن ندارند ، پنهان می ماند.

||http://www.tosinso.com/files/get/d16cc5a4-a981-4c6d-bc81-2deadec65cfd||

!! ارتباطات Site to Site روی بستر اینترانت
دوبخش شبکه با دو بستر اینترانت از طریق ساختار Site to Site می توانند با یکدیگر ارتباط برقرار کنند، این نوع برقراری ارتباط برای تبادل اطلاعات میان دوبخش مجزای سازمان با داده های محرمانه از اهمیت بالایی برخودار است.بعنوان مثال ممکن است بخش مالی سازمان نیاز به برقراری ارتباط با بخش منابع انسانی به منظور مبادله اطلاعات مربوط به حقوق و دستمزد داشته باشد.

||http://www.tosinso.com/files/get/2c304eb5-eb16-4ff3-a801-836bcccb1ebb||

!! Tunneling در VPN
همانگونه که ذکر شد در ارتباطاتVPN ، برای حفظ امنیت اطلاعات ،Packet های اطلاعاتی در طول روند انتقال، کپسوله و محصور می شوند این فرایند تکنولوژی Tunneling نامیده می شود. VPN برای عملیات tunneling از پروتکل های متفاوتی بهره می گیرد که توضیح جامع این پروتکل ها در |مقاله خانم مهندس مرشدی::https://tosinso.com/articles/204/VPN-%da%86%db%8c%d8%b3%d8%aa%d8%9f-%d8%a2%d8%b4%d9%86%d8%a7%db%8c%db%8c-%d8%a8%d8%a7-%d8%b4%d8%a8%da%a9%d9%87-%d8%ae%d8%b5%d9%88%d8%b5%db%8c-%d9%85%d8%ac%d8%a7%d8%b2%db%8c-%d9%88-3-%d9%be%d8%b1%d9%88%d8%aa%da%a9%d9%84-%d9%85%d8%b9%d8%b1%d9%88%d9%81-%d8%a2%d9%86| بیان شده است . در اینجا ما تنها به حالت امنی از پروتکل L2TP با نام L2TP with Internet Protocol security یا (L2TP-IPSEC) اشاره می کنیم. همانگونه که می دانیم پروتکل های PPTP و L2TP با ایجاد یک تونل امنیت داده ها را به هنگام انتقال در لایه دوم مدل OSI میسر می سازند، در مقابل پروتکل IPSEC در لایه شبکه اجرا شده و کمک می کند تا Packet داده ها ایمن بمانند.IPSEC دو پروتکل امنیتی را فراهم می آورد: تایید Header ها با عنوان AH و Encapsulating Security Payload یا (ESP) که علاوه بر احراز هویت و حفظ یکپارچگی و anti-reply بودن ، محرمانه ماندن داده ها را نیز پشتیبانی می کند.و در واقع بالا ترین سطح امنیت را برای پکت های L2TP-IPsec ایجاد می کند.

!! شیوه آدرس دهی توسط VPN
به دو صورت سرور IPآدرس در اختیار کاربران قرار می دهد :

* *DHCP Delivered:* در این روش برای هر کلاینتی که در خواست IP داشته باشد ،این درخواست باید از VPN عبور کرده و وارد شبکه ی مقصد شود و VPN Server با توجه به درخواست دریافتی ، از DHCP Server شبکه داخلی IP گرفته و در اختیار کلاینت قرار می دهد . باید توجه داشت که VPN سرور IP ها را در قالب یک بلاک 10تایی از DHCP دریافت می کند و یکی از این IP های Invalid را برای خود VPN سرور در نظر می گیرد که بیانگر این مطلب است که VPN سرور عملیات Routing را نیزانجام داده و نه آدرس باقی مانده را به کاربران متقاضی IP، اختصاص می دهد.

* *Automatic assignment: *روی VPN سرور یک Address pool تعریف می کنیم تا VPN سرور بتواند به در خواست IP دریافتی از سوی کاربران به صورت خودکار پاسخ دهد. و یا اینکه از طریق Remote Access policy به کلاینت ها IP اختصاص می دهیم . همچنین می توانیم برای کاربری که قصد برقراری ارتباط به کمک VPN را دارد ، در تب Networking موجود در properties گرفته شده از VPN connection به صورت دستی به کاربر IP اختصاص دهیم.

||http://www.tosinso.com/files/get/a7bfd945-44d7-4409-ae21-c94724092aad||

!! ایجاد رمز عبور و حساب کاربری برای کلاینت ها
* می توانیم روی سروری که نقش VPN را بر عهده دارد user name و پسورد ها را ایجاد کنیم .
* روی یک دومین کنترلر موجود در شبکه مقصد که VPN سرور به آن join شده و قادر است رمز عبور و حسابهای کاربری را از آن دریافت کند ، USER name و پسوردها را تعریف کنیم .
* بر روی یک RADIUS سرور User name و پسوردها را ایجاد کنیم تا کاربران بتوانند از این مجموعه ی موجود ، حساب کاربری و رمز عبور دریافت کنند.

!! احراز هویت در VPN
!!! پروتکل های احراز هویت
* *PAP * یا Password Authentication Protocol یک پروتکل احراز هویت ساده است که در آن نام کاربری و پسورد در قالب متن رمزگذاری نشده (unencrypted) به سروری که به آن ریموت زده ایم ارسال می شود .PAP در واقع شمایی است که بیشتر به منظور احراز هویت برای پروتکلPPP به کاربرده می شودو پروتکلی امنی نیست و به راحتی توسط هکر ها مورد حمله قرار می گیرد زیرا که بهنگام ارسال و یا دریافت packet ها در طی فرایند احراز هویت ، پسورد به راحتی خوانده می شود. در اصطلاح می توان گفت که PAP از یک فرایند hand shake متقابل تبعیت می کند و پس از برقرای ارتباط،user name و پسورد را برای سرور مقابل که قصد ریموت زدن به آن را داریم ارسال می کند اگر این رمز کاربری و پسورد برای سرور مقابل معتبر باشد تائیدیه خود را برای ما ارسال می کند (acknowledge می دهد ) در غیر اینصورت به ارتباط خاتمه داده و در انتظار فرصتی دیگر برای برقراری ارتباط می ماند.

* *SPAP* یا Secure Password Authentication Protocol یک الگوریتم رمز گذاری دو طرفه برای امنیت پسورد و برای احراز هویت به هنگام برقرای ارتباط به صورت ریموت ارائه می دهد. این پروتکل به پروتکل شیوا معروف است واز یک encryption ساده بهره می گیرد که به راحتی شکسته می شود که در این الگوریتم کلاینت پسورد خود را به صورت Encrypt و رمزگذاری شده برای سروری که به آن ریموت زده ارسال می کند و سرور این پسورد را decrypt کرده و از پسورد در یک قالب متنی برای ارتباط ریموت با کلاینت استفاده می کند .SPAP نسبت به PAP ایمن تر است اما باز هم پسورد ،به دلیل اینکه SPAP بهنگام برقراری هر ارتباطی، مجددا از همان رمز عبور کاربر که بصورت برگشت پذیر رمز گذاری کرده ، بهره می گیرد به آسانی قابل دستیابی است. برای استفاده از پروتکل شیوا باید نکات زیر را در نظر داشت ، اول اینکه اگر پسورد کلاینت منقضی شود SPAP قادر به تغییر پسورد در طی پروسه احراز هویت نخواهد بود و دومین نکته این است که قبل از اینکه network policy های مربوط به SPAP را روی NPS فعال کنیم باید مطمئن شویم که Network Access Server یا (NAS) این پروتکل را پشتیبانی می کند.

* *CHAP:* یا Challenge Handshake Authentication Protocol این پروتکل یک رشته (string) را به مقصد مورد نظر ارسال می کند هنگامی که یک ارتباط ریموت میان کلاینت و سرور با استفاده از CHAP برقرار می شود ، در واقع سرور یک challenge میان خود و کلاینت ایجاد می کند . کلاینت بهنگام ارتباط ریموت از یک تابع و یا الگوریتم hash استفاده می کند که بر اساس challenge ایجاد شده میان کاربر و سرور و در نتیجه هش محاسبه شده از رمز عبور کاربر ، به محاسبه ی message digest-5 یا (MD5)که یک تابع هش رمزنگاری شناخته شده با مقدار 128 بیت است می پردازد .متقابلا سرور نیز با همین روش به هش مربوط به پسورد کابر دست یافته و آن را با اطلاعاتی که از سوی کاربر دریافت کرده مقایسه می کند و در صورت تشابه هش ها ارتباط را برقرار کرده در غیر اینصورت برقراری ارتباط منتفی خواهد شد.واین مفهوم handshake authentication Challenge می باشد.

* *MSCHAP: * یا Microsoft Challenge Handshake Authentication Protocol نسخه ی از CHAP است که مایکروسافت منحصرا برای احراز هویت در ارتباطات ریموت سیستم عامل های ویندوزی با یکدیگر ارائه داده است .MS-CHAP نیز همانند CHAP از مکانیزم پاسخ به یک challenge و بدون ارسال پسورد، فرایند احراز هویت را انجام می دهد. و برای ایجاد این challenge از الگوریتم hashing بنام MD4 و الگوریتم استاندارد رمزگذاری داده ها (DES) استفاده می کند و همچنین مکانیزمی را برای ارائه گزارش از خطاهای هنگام اتصال و نیز تغییر رمز عبور کاربران در نظر گرفته است.

* *MS-CHAPv2: *در MS-CHAPv1 احراز هویت تنها به عهده سرور بود اما در این نسخه این ضعف برطرف شده و احراز هویت به صورت متقابل (هم از سوی سرور و هم کلاینت ) صورت می گیرد. به این حالت در اصطلاح Mutual Authentication یا احراز هویت دو طرفه هم می گویند.

* *EAP:* یا Extensible Authentication Protocl قویترین ، منعطف ترین و متنوع ترین پروتکل احراز هویت می باشد و علاوه بر احراز هویت براساس پسورد ،با ترکیبی از پروتکل های مختلف کار می کند به عنوان مثال از TLS یا SSL بهره می گیرد .قوی ترین حالت ممکن برای این پروتکل EAP-TLS است و یک EAP حفاظت شده محسوب می شود و از TLS برای رمزگذاری و احراز هویت بر اساس Certificate استفاده می کند.این پروتکل برای کارت های هوشمند ، کارت احراز هویت، مودم های بی سیم ،VPN واستاندارد 802.1x برای تکنولوژی های سیمی با استفاده از NPS کاربرد دارد.

روش های حفظ امنیت در شبکه های VPN در |مقاله خانم مهندس زهرا مرشدی::https://tosinso.com/articles/221/VPN-%da%86%da%af%d9%88%d9%86%d9%87-%d8%a7%d9%85%d9%86-%d9%85%db%8c-%d8%b4%d9%88%d8%af%d8%9f-%d8%a8%d8%b1%d8%b1%d8%b3%db%8c-%d8%a7%d9%85%d9%86%db%8c%d8%aa-%d8%af%d8%b1-%d8%b4%d8%a8%da%a9%d9%87-%d9%87%d8%a7%db%8c-VPN| توضیح داده شده است.

حال از اطلاعات ذکر شده ی فوق به یک جمع بندی کلی می رسیم که کلاینت باید یک connection ایجاد کند و اعتبارUser name و پسورد کاربرباید طی فرایند Authentication و به کمک پروتکل های احراز هویت تایید شود و در نهایت طی فرایند Authorization برای کاربری که احراز هویت شده و ارتباط آن با شبکه برقرار شده است ، سطح دسترسی به منابع تعیین می شود. بعنوان مثال اینکه از چه لینکی در ISP اینترنت را دریافت کند.

*نکته:* در ویندوز می توان Policy هایی همچون ساعت استفاده ی یک کاربر را مشخص کرد اما فرایند مهمی تحت عنوان Accounting وجود دارد که ویندوز به درستی قادر به انجام آن نیست که بواسطه آن می توان برای یک کلاینت مقدار حجم دانلود ، مدت زمان و ساعت connect شدن ، انقضای حساب کاربری و مواردی از این قبیل را تعیین کرد، به همین دلیل از نرم افزارهای جانبی Accounting مثل NT TACACS و IBSng و سیب و ... برای تعیین چنین محدودیت هایی برای کلاینت ،استفاده می کنیم .که به آنها نرم افزارهای RADIUS SERVER می گویند.

* *RADIUS SERVER:* نقش NPS یا (Network Policy Server) موجود در ویندوز سرور می تواند از یک RADIUS سرور برای پیاده سازی فرایند های احراز هویت (Authentication) و واگذاری اختیارات (Authorization)و مدیریت حسابها و دسترسی های کاربران (Accounting) که در اصطلاح به آنها AAA گویند استفاده کند . RADIUS مخفف عبارت ( Remote Authentication Dial-In User Service) می باشد.

در این مقاله سعی بر آن شد که نگاهی بر پروتکل ها و فرایند ی که باید طی شود تا بواسطه آنها عمل VPN صورت گیرد داشته باشیم . حال با شناختی که از موارد عنوان شده بدست آورده ایم می توانیم با دیدی باز به پیاده سازی VPN بپردازیم .در قسمت دوم این مقاله به شرح شیوه ی برقراری ارتباط یک کلاینت دور کار با یک شبکه داخلی (remote Access Client ) با بهره گیری از VPN سرور موجود در ویندوز سرور 2008 خواهیم پرداخت .

نویسنده : مریم حیات رمضانی
منبع : |جزیره سرویس های شبکه مایکروسافت وب سایت توسینسو::https://tosinso.com/microsoft|
هرگونه نشر و کپی برداری بدون ذکر منبع دارای اشکال اخلاقی می باشد .

Site-to-site VPN: به عنوان مثال ،به کمک این ساختار دو شعبه از یک سازمان که در مکان های دور از هم قرار دارند از طریق VPN با یکدیگر ارتباط برقرار می کنند در چنین شرایطی روتر های شعب به یکدیگر VPN زده و از طریق VPN به انتقال ترافیک می پردازند. مزیت این روش نسبت به روش قبلی در این است که دیگر نیازی نیست برای تک تک کاربران VPN Connection تعریف شود و صرفا با برقراری دو ارتباط بین سرورها یا روترهای مبدا و مقصد این ارتباط به درستی برقرار می شود.

ارتباطات VPN بر بستر اینترانت و شبکه های داخلی

برقراری ارتباط به صورت Remote Access VPN از طریق اینترانت

در اینترانت برخی سازمان ها ، داده های مهم و محرمانه ی موجود در شبکه را به صورت فیزیکی از بقیه اینترانت سازمان جدا می کنند و این جدا سازی دستیابی کاربران سازمان را که به صورت فیزیکی به این بخش از شبکه دسترسی ندارند ،دشوار می سازد .VPN راهی امن برای ایجاد ارتباط کاربران با این بخش محصور شده ی سازمان را از طریق محیط اینترانت فراهم می کند. در این ساختار VPN سرور یک مسیر مستقیم برای ارتباط اینترانت سازمانی و بخش ایزوله شده سازمان ارائه می دهد. بنابراین کاربران اینترانت سازمان باید با سطح دسترسی ای که برای آنها در نظر گرفته شده یک کانکشن VPN برای ارتباط با VPN سرور ایجاد کنند تا بتوانند به منابع بخش ایزوله دست یابند.علاوه براین برای محرمانه باقی ماندن داده ها ، تمامی ارتباطات صورت گرفته از طریق VPN رمز گذاری می شوند وبخش های جدا شده سازمان نیز از دید کاربرانی که مجوز VPN زدن ندارند ، پنهان می ماند.

VPN از نوع Site To Site VPN چیست؟

دوبخش شبکه با دو بستر اینترانت از طریق ساختار Site to Site می توانند با یکدیگر ارتباط برقرار کنند، این نوع برقراری ارتباط برای تبادل اطلاعات میان دوبخش مجزای سازمان با داده های محرمانه از اهمیت بالایی برخودار است.بعنوان مثال ممکن است بخش مالی سازمان نیاز به برقراری ارتباط با بخش منابع انسانی به منظور مبادله اطلاعات مربوط به حقوق و دستمزد داشته باشد.

Tunneling در VPN به چه معناست؟

همانگونه که ذکر شد در ارتباطاتVPN ، برای حفظ امنیت اطلاعات ،Packet های اطلاعاتی در طول روند انتقال، کپسوله و محصور می شوند این فرایند تکنولوژی Tunneling نامیده می شود. VPN برای عملیات tunneling از پروتکل های متفاوتی بهره می گیرد که توضیح جامع این پروتکل ها در مقاله VPN چیست؟ آشنایی با شبکه خصوصی مجازی و 3 پروتکل معروف آن بیان شده است .

در اینجا ما تنها به حالت امنی از پروتکل L2TP با نام L2TP with Internet Protocol security یا (L2TP-IPSEC) اشاره می کنیم. همانگونه که می دانیم پروتکل های PPTP و L2TP با ایجاد یک تونل امنیت داده ها را به هنگام انتقال در لایه دوم مدل OSI میسر می سازند، در مقابل پروتکل IPSEC در لایه شبکه اجرا شده و کمک می کند تا Packet داده ها ایمن بمانند.

IPSEC دو پروتکل امنیتی را فراهم می آورد: تایید Header ها با عنوان AH و Encapsulating Security Payload یا (ESP) که علاوه بر احراز هویت و حفظ یکپارچگی و anti-reply بودن ، محرمانه ماندن داده ها را نیز پشتیبانی می کند.و در واقع بالا ترین سطح امنیت را برای پکت های L2TP-IPsec ایجاد می کند.

شیوه آدرس دهی توسط VPN چگونه انجام می شود؟

به دو صورت سرور IPآدرس در اختیار کاربران قرار می دهد :

DHCP Delivered: در این روش برای هر کلاینتی که در خواست IP داشته باشد ،این درخواست باید از VPN عبور کرده و وارد شبکه ی مقصد شود و VPN Server با توجه به درخواست دریافتی ، از DHCP Server شبکه داخلی IP گرفته و در اختیار کلاینت قرار می دهد . باید توجه داشت که VPN سرور IP ها را در قالب یک بلاک 10تایی از DHCP دریافت می کند و یکی از این IP های Invalid را برای خود VPN سرور در نظر می گیرد که بیانگر این مطلب است که VPN سرور عملیات Routing را نیزانجام داده و نه آدرس باقی مانده را به کاربران متقاضی IP، اختصاص می دهد.

Automatic assignment: روی VPN سرور یک Address pool تعریف می کنیم تا VPN سرور بتواند به در خواست IP دریافتی از سوی کاربران به صورت خودکار پاسخ دهد. و یا اینکه از طریق Remote Access policy به کلاینت ها IP اختصاص می دهیم . همچنین می توانیم برای کاربری که قصد برقراری ارتباط به کمک VPN را دارد ، در تب Networking موجود در properties گرفته شده از VPN connection به صورت دستی به کاربر IP اختصاص دهیم.

آموزش ایجاد Username و Password برای کاربر VPN

می توانیم روی سروری که نقش VPN را بر عهده دارد user name و پسورد ها را ایجاد کنیم .
روی یک دومین کنترلر موجود در شبکه مقصد که VPN سرور به آن join شده و قادر است رمز عبور و حسابهای کاربری را از آن دریافت کند ، USER name و پسوردها را تعریف کنیم .
بر روی یک RADIUS سرور User name و پسوردها را ایجاد کنیم تا کاربران بتوانند از این مجموعه ی موجود ، حساب کاربری و رمز عبور دریافت کنند.

بررسی فرآیند احراز هویت در VPN

معرفی انواع پروتکل های احراز هویت در VPN

PAP یا Password Authentication Protocol یک پروتکل احراز هویت ساده است که در آن نام کاربری و پسورد در قالب متن رمزگذاری نشده (unencrypted) به سروری که به آن ریموت زده ایم ارسال می شود .PAP در واقع شمایی است که بیشتر به منظور احراز هویت برای پروتکلPPP به کاربرده می شودو پروتکلی امنی نیست و به راحتی توسط هکر ها مورد حمله قرار می گیرد زیرا که بهنگام ارسال و یا دریافت packet ها در طی فرایند احراز هویت ، پسورد به راحتی خوانده می شود. در اصطلاح می توان گفت که PAP از یک فرایند hand shake متقابل تبعیت می کند و پس از برقرای ارتباط،user name و پسورد را برای سرور مقابل که قصد ریموت زدن به آن را داریم ارسال می کند اگر این رمز کاربری و پسورد برای سرور مقابل معتبر باشد تائیدیه خود را برای ما ارسال می کند (acknowledge می دهد ) در غیر اینصورت به ارتباط خاتمه داده و در انتظار فرصتی دیگر برای برقراری ارتباط می ماند.

SPAP یا Secure Password Authentication Protocol یک الگوریتم رمز گذاری دو طرفه برای امنیت پسورد و برای احراز هویت به هنگام برقرای ارتباط به صورت ریموت ارائه می دهد. این پروتکل به پروتکل شیوا معروف است واز یک encryption ساده بهره می گیرد که به راحتی شکسته می شود که در این الگوریتم کلاینت پسورد خود را به صورت Encrypt و رمزگذاری شده برای سروری که به آن ریموت زده ارسال می کند و سرور این پسورد را decrypt کرده و از پسورد در یک قالب متنی برای ارتباط ریموت با کلاینت استفاده می کند .SPAP نسبت به PAP ایمن تر است اما باز هم پسورد ،به دلیل اینکه SPAP بهنگام برقراری هر ارتباطی، مجددا از همان رمز عبور کاربر که بصورت برگشت پذیر رمز گذاری کرده ، بهره می گیرد به آسانی قابل دستیابی است. برای استفاده از پروتکل شیوا باید نکات زیر را در نظر داشت ، اول اینکه اگر پسورد کلاینت منقضی شود SPAP قادر به تغییر پسورد در طی پروسه احراز هویت نخواهد بود و دومین نکته این است که قبل از اینکه network policy های مربوط به SPAP را روی NPS فعال کنیم باید مطمئن شویم که Network Access Server یا (NAS) این پروتکل را پشتیبانی می کند.

CHAP: یا Challenge Handshake Authentication Protocol این پروتکل یک رشته (string) را به مقصد مورد نظر ارسال می کند هنگامی که یک ارتباط ریموت میان کلاینت و سرور با استفاده از CHAP برقرار می شود ، در واقع سرور یک challenge میان خود و کلاینت ایجاد می کند . کلاینت بهنگام ارتباط ریموت از یک تابع و یا الگوریتم hash استفاده می کند که بر اساس challenge ایجاد شده میان کاربر و سرور و در نتیجه هش محاسبه شده از رمز عبور کاربر ، به محاسبه ی message digest-5 یا (MD5)که یک تابع هش رمزنگاری شناخته شده با مقدار 128 بیت است می پردازد .متقابلا سرور نیز با همین روش به هش مربوط به پسورد کابر دست یافته و آن را با اطلاعاتی که از سوی کاربر دریافت کرده مقایسه می کند و در صورت تشابه هش ها ارتباط را برقرار کرده در غیر اینصورت برقراری ارتباط منتفی خواهد شد.واین مفهوم handshake authentication Challenge می باشد.

MSCHAP: یا Microsoft Challenge Handshake Authentication Protocol نسخه ی از CHAP است که مایکروسافت منحصرا برای احراز هویت در ارتباطات ریموت سیستم عامل های ویندوزی با یکدیگر ارائه داده است .MS-CHAP نیز همانند CHAP از مکانیزم پاسخ به یک challenge و بدون ارسال پسورد، فرایند احراز هویت را انجام می دهد. و برای ایجاد این challenge از الگوریتم hashing بنام MD4 و الگوریتم استاندارد رمزگذاری داده ها (DES) استفاده می کند و همچنین مکانیزمی را برای ارائه گزارش از خطاهای هنگام اتصال و نیز تغییر رمز عبور کاربران در نظر گرفته است.

MS-CHAPv2: در MS-CHAPv1 احراز هویت تنها به عهده سرور بود اما در این نسخه این ضعف برطرف شده و احراز هویت به صورت متقابل (هم از سوی سرور و هم کلاینت ) صورت می گیرد. به این حالت در اصطلاح Mutual Authentication یا احراز هویت دو طرفه هم می گویند.

EAP: یا Extensible Authentication Protocl قویترین ، منعطف ترین و متنوع ترین پروتکل احراز هویت می باشد و علاوه بر احراز هویت براساس پسورد ،با ترکیبی از پروتکل های مختلف کار می کند به عنوان مثال از TLS یا SSL بهره می گیرد .قوی ترین حالت ممکن برای این پروتکل EAP-TLS است و یک EAP حفاظت شده محسوب می شود و از TLS برای رمزگذاری و احراز هویت بر اساس Certificate استفاده می کند.این پروتکل برای کارت های هوشمند ، کارت احراز هویت، مودم های بی سیم ،VPN واستاندارد 802.1x برای تکنولوژی های سیمی با استفاده از NPS کاربرد دارد.

روش های حفظ امنیت در شبکه های VPN در مقاله VPN چگونه امن می شود؟ بررسی امنیت در شبکه های VPN توضیح داده شده است.حال از اطلاعات ذکر شده ی فوق به یک جمع بندی کلی می رسیم که کلاینت باید یک connection ایجاد کند و اعتبارUser name و پسورد کاربرباید طی فرایند Authentication و به کمک پروتکل های احراز هویت تایید شود و در نهایت طی فرایند Authorization برای کاربری که احراز هویت شده و ارتباط آن با شبکه برقرار شده است ، سطح دسترسی به منابع تعیین می شود. بعنوان مثال اینکه از چه لینکی در ISP اینترنت را دریافت کند.

نکته: در ویندوز می توان Policy هایی همچون ساعت استفاده ی یک کاربر را مشخص کرد اما فرایند مهمی تحت عنوان Accounting وجود دارد که ویندوز به درستی قادر به انجام آن نیست که بواسطه آن می توان برای یک کلاینت مقدار حجم دانلود ، مدت زمان و ساعت connect شدن ، انقضای حساب کاربری و مواردی از این قبیل را تعیین کرد، به همین دلیل از نرم افزارهای جانبی Accounting مثل NT TACACS و IBSng و سیب و ... برای تعیین چنین محدودیت هایی برای کلاینت ،استفاده می کنیم .که به آنها نرم افزارهای RADIUS SERVER می گویند.

RADIUS SERVER: نقش NPS یا (Network Policy Server) موجود در ویندوز سرور می تواند از یک RADIUS سرور برای پیاده سازی فرایند های احراز هویت (Authentication) و واگذاری اختیارات (Authorization)و مدیریت حسابها و دسترسی های کاربران (Accounting) که در اصطلاح به آنها AAA گویند استفاده کند . RADIUS مخفف عبارت ( Remote Authentication Dial-In User Service) می باشد.

در این مقاله سعی بر آن شد که نگاهی بر پروتکل ها و فرایند ی که باید طی شود تا بواسطه آنها عمل VPN صورت گیرد داشته باشیم . حال با شناختی که از موارد عنوان شده بدست آورده ایم می توانیم با دیدی باز به پیاده سازی VPN بپردازیم .

در بخش اول مقاله به تشریح مفاهیم فنی VPN پرداختیم ،حال در این قسمت راه اندازی VPN سرور در ویندوز سرور 2008 را به صورت تصویری و در قالب یک سناریو اجرا می کنیم . قبل از انجام سناریو به مرور پیش نیاز های ایجاد VPN سرور خواهیم پرداخت.برای پیاده سازی VPN سرور به یک سری نکات باید توجه داشت از جمله اینکه :

باید تعیین کرد که کدام رابط شبکه برای اینترنت و کدام برای شبکه داخلی در نظر گرفته شده است.
تعیین اینکه کاربر ریموت از DHCP سرور IP دریافت کند و یا از طریق Scope در نظر گرفته شده برای VPN سرور.
مشخص کردن اینکه درخواست VPN client، با تنظیمات انجام شده روی VPN سرور احراز هویت شود و یا به کمک یک RADIUS سرور.
اگر برای آدرس دهی از DHCP استفاده کنیم باید در نظر داشته باشیم که درخواست VPN client برای DHCP سروری که Subnet آن با VPN سرور برابر است ، مستقیما ارسال خواهد شد اما در صورتیکه VPN سرور و DHCP سرور Subnet مجزا داشته باشند برای پاسخ به درخواست آی پی از سوی کاربر ریموت ،باید مطمئن شویم که بواسطه یک روتر ارتباط میان این دو سرور برقرار باشد اگر روتر بر روی ویندوز سرور 2008 راه اندازی شده باید DHCP Relay Agent را نیز روی آن فعال کنیم.
همانگونه که ذکر شد باید یک حساب کاربری برای کانکشن VPN با استفاده از روش های عنوان شده در قسمت قبلی مقاله ، ایجاد کنیم .و نیز باید دسترسی ریموت را برای یوزر تعیین کنیم به همین منظور از یوزر مورد نظر Properties گرفته و در تب Dial in درصورت بهره گیری از NPS تیک مربوط به آن و در غیر این صورت گزینه Allow access را مارکدار می کنیم .

در اینجا می توان برای کاربر Static IP نیز در نظر گرفت تا برای هر بار کانکت شدن با VPN از همان IP ای استفاده کند که منحصرا برای آن در نظر گرفته ایم .به همین منظور عبارت Assign Static IP Addresses رامارکدار کرده و در قسمت Static IP Addresses آی پی مورد نظر را که در رنج IP شبکه داخلی قرار دارد ،برای کاربر در نظر می گیریم.

در |قسمت اول::https://tosinso.com/articles/649/%d8%a2%d9%85%d9%88%d8%b2%d8%b4-%d8%b1%d8%a7%d9%87-%d8%a7%d9%86%d8%af%d8%a7%d8%b2%db%8c-VPN-Server-%d8%af%d8%b1-%d9%88%db%8c%d9%86%d8%af%d9%88%d8%b2-%d8%b3%d8%b1%d9%88%d8%b1-%da%af%d8%a7%d9%85-%d8%a8%d9%87-%da%af%d8%a7%d9%85-plus-%d9%85%d9%81%d8%a7%d9%87%db%8c%d9%85| مقاله به تشریح مفاهیم فنی VPN پرداختیم ،حال در این قسمت راه اندازی VPN سرور در ویندوز سرور 2008 را به صورت تصویری و در قالب یک سناریو اجرا می کنیم . قبل از انجام سناریو به مرور پیش نیاز های ایجاد VPN سرور خواهیم پرداخت.برای پیاده سازی VPN سرور به یک سری نکات باید توجه داشت از جمله اینکه :

* باید تعیین کرد که کدام رابط شبکه برای اینترنت و کدام برای شبکه داخلی در نظر گرفته شده است.
* تعیین اینکه کاربر ریموت از DHCP سرور IP دریافت کند و یا از طریق Scope در نظر گرفته شده برای VPN سرور.
* مشخص کردن اینکه درخواست VPN client، با تنظیمات انجام شده روی VPN سرور احراز هویت شود و یا به کمک یک RADIUS سرور.
* اگر برای آدرس دهی از DHCP استفاده کنیم باید در نظر داشته باشیم که درخواست VPN client برای DHCP سروری که Subnet آن با VPN سرور برابر است ، مستقیما ارسال خواهد شد اما در صورتیکه VPN سرور و DHCP سرور Subnet مجزا داشته باشند برای پاسخ به درخواست آی پی از سوی کاربر ریموت ،باید مطمئن شویم که بواسطه یک روتر ارتباط میان این دو سرور برقرار باشد اگر روتر بر روی ویندوز سرور 2008 راه اندازی شده باید DHCP Relay Agent را نیز روی آن فعال کنیم.
* همانگونه که ذکر شد باید یک حساب کاربری برای کانکشن VPN با استفاده از روش های عنوان شده در قسمت قبلی مقاله ، ایجاد کنیم .و نیز باید دسترسی ریموت را برای یوزر تعیین کنیم به همین منظور از یوزر مورد نظر Properties گرفته و در تب Dial in درصورت بهره گیری از NPS تیک مربوط به آن و در غیر این صورت گزینه Allow access را مارکدار می کنیم .
در اینجا می توان برای کاربر Static IP نیز در نظر گرفت تا برای هر بار کانکت شدن با VPN از همان IP ای استفاده کند که منحصرا برای آن در نظر گرفته ایم .به همین منظور عبارت Assign Static IP Addresses رامارکدار کرده و در قسمت Static IP Addresses آی پی مورد نظر را که در رنج IP شبکه داخلی قرار دارد ،برای کاربر در نظر می گیریم.

||http://www.tosinso.com/files/get/0c23c6da-8381-4241-b655-bc627368e522||
پس از توضیحات ارائه شده در رابطه با VPN حال با طرح یک سناریوبرای Remote access client ها به پیاده سازی یک VPN سرور می پردازیم . در اینجا یک کلاینت دور کار با گذر از محیط اینترنت به کمک VPN سرور قصد برقراری ارتباط با شبکه داخلی و فرضا استفاده ازوب سرور موجود در شبکه را دارد.این کلاینت IP خود را از DHCP سرور موجود در شبکه داخلی دریافت خواهد کرد. بنابراین VPN سرور باید دارای یک Inter Face در محیط اینترنت با IP معتبر و یک Inter Face دیگر در شبکه داخلی باشد. کلاینت دور کار نیز با یک Valid IP به اینترنت متصل است. در اینجا VPN سرور را با پروتکل L2TP پیاده سازی خواهیم کرد.شکل زیر شرح کامل سناریو مورد نظر ما را به روشنی بیان می کند.
*تذکر:* در این مقاله به دلیل پیاده سازی سناریو در محیط مجازی به جای استفاده از Valid IP برای اتصال به اینترنت از IP کلاس B استفاده خواهیم کرد.
||http://www.tosinso.com/files/get/e91cab4e-0115-4697-bb95-478083061601||

!! *تنظیمات مربوط به VPN Server*
ابتدا به توضیح تنظیمات روی VPN سرور می پردازیم .در اول کار باید رول Network policy & Access services موجود در Server manager را نصب کنیم بدین منظور وارد کنسول Server manager شده و گزینه Add roles را انتخاب می کنیم و در صفحه نمایان شده ،روی Next کلیک می کنیم .

||http://www.tosinso.com/files/get/2d029646-1d32-45e1-b040-b451d1e63e1a||

در این بخش نقش Network policy & Access Service را مارکدار می کنیم و در مرحله بعد با خواندن توضیحات مربوط به این نقش با کلیک روی گزینه Next وارد مرحله بعد می شویم .

||http://www.tosinso.com/files/get/417732fe-0bdd-423f-b389-5d9e04109900||

سرویس Routing & Remote Access Services را برای این رول انتخاب می کنیم و در قسمت بعد روی گزینه Install کلیک می کنیم .

||http://www.tosinso.com/files/get/612e65ac-8ac6-4e73-940e-cccade777dd6||

پس از نصب رول ، بر روی گزینه Close کلیک می کنیم.

||http://www.tosinso.com/files/get/b1ce5d9e-fd13-44be-bd06-8c12c6763914||

بعد از اینکه نصب Network Policy &Remote Access به پایان رسید با تایپ عبارت rrasmgmt.msc در Run و یا از طریق مسیر زیر وارد کنسول RRAS می شویم:
<c#>
Start => Administrative tools => Routing and Remote Access Services
<c#>
علامت قرمز نشان داده شده روی سرور در تصویر بیانگر Offline بودن آن است. برای فعال سازی سرور روی آن راست کلیک کرده و گزینه Configure & enable routing &remote access را انتخاب می کنیم .بدین ترتیب ویزارد Routing & Remote Access Server باز خواهد شد.روی گزینه Next کلیک می کنیم.

||http://www.tosinso.com/files/get/83d95e7a-be33-4053-8898-2b28dc1d72f3||

برای راه اندازی یک VPN سرور از میان گزینه های موجود در این صفحه می توانیم سه گزینه را به دلخواه و بسته به شرایط انتخاب کنیم:

* * (Remote Access (Dial up or VPN:*شرایط را برای برقراری ارتباط کاربران از طریق dial-up و یا VPN با سرور فراهم می کند.
* *Virtual Private Network (VPN) access NAT:* بستر را برای برقراری ارتباط کاربران به صورت ریموت و از راه دور با سرور از طریق VPN و برای دسترسی کابران لوکال به اینترنت به کمک NAT فراهم می آورد.
* *Custom configuration:* نوع برقراری ارتباط به عهده مدیریت سرور بوده و او می تواند هر کدام از ویژگی های موجود در این سرویس را بنا به صلاح دید خود برگزیند.
دراین ویزارد ما گزینه custom configuration را انتخاب می کنیم تا از طریق کنسول مدیریتی ، تنظیمات مورد نظر را اعمال کنیم .

||http://www.tosinso.com/files/get/539fae12-64e1-43d1-b089-086e4f512a09||

در این مرحله سرویس VPN Accessرا برای ایجاد یک شبکه خصوصی مجازی انتخاب می کنیم با کلیک روی گزینه Next خلاصه ای از انتخاب های صورت گرفته نمایش داده خواهد شد .به هنگام خروج از این ویزارد پیغامی مبنی بر استارت این سرویس نشان داده می شود ،برای شروع فعالیت این سرویس روی گزینه Start service کلیک می کنیم.

||http://www.tosinso.com/files/get/32c739bd-f24c-400f-8eed-1aef44ab0f5c||

پس از گذشت چند ثانیه سرویس استارت خورده و ویزارد بسته می شود . تصویر زیر کنسول RRAS را پس از شروع فعالیت سرور نشان می دهد. علامت سبز رنگ روی سرور نیز نمایانگر سرور در وضعیت فعال می باشد. در این حالت سرویس VPN ما راه اندازی شده اما نیاز به اعمال یک سری تنظیمات دارد .به همین منظور روی سرور (در اینجا (PDC (local) موجود Properties گرفته و یک به یک تنظیمات مودر نظر را روی تب های آن انجام می دهیم.

||http://www.tosinso.com/files/get/ba04f5a2-c2d0-412d-9e09-359ac3096793||

همانگونه که در تصور نمایش داده شده در تب IPv4 برای VPN سرور تعیین می کنیم که به چه طریق VPN کلاینت ها را آدرس دهی کند. در اینجا دو انتخاب پیش روی ماست استفاده از DHCP Server که در صورت انتخاب آن باید در قسمت پایین شکل برای سرور تعیین کنیم که از کدام رابط شبکه با DHCP Server ارتباط بر قرار کند. و نیز ایجاد یک Static address pool که باید برای این منظور یک محدوده IP را در این قسمت برای آدرس دهی در نظر بگیریم .در این سناریو ما از DHCP سرور استفاده خواهیم کرد.

||http://www.tosinso.com/files/get/cf48c8fc-722b-4661-9932-23711155b358||

در تب Security در قسمت Authentication providers در حقیقت برای VPN سرور تعیین می کنیم که ازکجا User name و پسوردهای ساخته شده رابخواند و احراز هویت آنها را به چه صورتی انجام دهد . اگر RADIUS server داشته باشیم در اینجا آن را معرفی می کنیم و یا اینکه با انتخاب گزینه Windows Authentication تعیین می کنیم که خود سرور عمل احراز هویت را انجام دهد . با کلیک روی گزینه Authentication methods می توانیم از میان پروتکل های احراز هویت موجود، پروتکل مورد نظر را انتخاب کنیم.توضیحات مربوط به این پروتکل ها در قسمت اول مقاله بیان شد.در اینجا ما این تنظیمات را به صورت پیش فرض رها می کنیم.

||http://www.tosinso.com/files/get/96808834-2f87-4790-b14e-16e2e394ebdb||

در قسمت Accounting Providers نیز دو گزینه Windows Accounting و RADIUS Accounting پیش روی ماست .همانطور که قبلا اشاره کردیم استفاده از Accounting توسط ویندوز کارایی چندانی ندارد و بهتر این است که از نرم افزارهای جانبی Accounting استفاده شود. در صورت انتخاب RADIUS Accounting روی گزینه Configure کلیک می کنیم تا اسم و یا آدرس RADIUS سرور را به VPN سرور معرفی کنیم .در این مقاله به دلیل اینکه سناریو ما شبکه گسترده ای را در بر نمی گیرد و کلاینت های ما محدود هستند گزینه Windows Accounting را در نظر می گیریم . (1)
پروتکل PPTP بصورت پیش فرض برای عمل Tunneling توسط VPN سرور در نظر گرفته شده است، می توانیم با مارکدار کردن گزینه Allow custom IPsec policy for L2TP connection و انتخاب یک پسورد برای آن ،از یک پروتکل ایمن تر بهره بگیریم .باید به خاطر داشت که این پسورد باید در تنظیمات مربوط به Connection ساخته شده برای VPN کلاینت نیز تعریف شود. و این همان مفهوم Preshared key می باشد. (2)

||http://www.tosinso.com/files/get/c8e8b176-1d64-45c5-bcb4-4d24b38a8ce3||

پس از انتخاب پروتکل L2TPبرای اعمال آن، سرور یک پیغام مبنی بر ریستارت کردن سرویس Routing & Remote Access برای ما نمایش می دهد. برای ریستارت کردن سرویس روی سرور موجود در کنسول راست کلیک کرده و از قسمت All tasks گزینه Restart را انتخاب می کنیم.

||http://www.tosinso.com/files/get/aca2a710-d0d7-4092-9d88-84669af761a5||

!! *تنظیمات مربوط به VPN Client*
پس از اعمال تنظیمات مورد نظر روی سرور ، حال نوبت به ساخت یک VPN connection برای کاربر دور کار می رسد.قبل از هر چیز باید یک نکته بسیار مهم را به خاطر داشته باشیم که تنظیمات انجام شده روی سرور باید با تنظیمات مربوط به کانکشن کلاینت یکسان باشد و در صورت عدم تطبیق این تنظیمات ، ارتباط VPN کلاینت با سرور برقرار نخواهد شد. برای ایجاد VPN Connection به مسیر زیر می رویم:
<c#>
Start => control panel => Network & Sharing Center
<c#>
در این بخش روی گزینه ی Setup a new connection or network کلیک می کنیم :

||http://www.tosinso.com/files/get/20827644-3d82-4df5-8ec1-1bd554fa3feb||

در این صفحه گزینه ی Connect to the workplace را انتخاب می کنیم .

||http://www.tosinso.com/files/get/d5ceb5c9-17c2-4a3c-9274-0b2e03e4b92c||

در این مرحله روی عبارت (Use my Internet connection (VPN کلیک می کنیم .

||http://www.tosinso.com/files/get/abf394ae-dfaa-44aa-9074-642547dcc815||

در اینجا آدرس VPN سرور را به کلاینت معرفی کرده و با کلیک روی Next به مرحله بعد می رویم .

||http://www.tosinso.com/files/get/642854e9-0b6a-4159-a288-0a703fc07338||

در این بخش حساب کاربری ساخته شده برای کاربر VPN را به همراه پسورد آن تایپ کرده و گزینه Create را انتخاب می کنیم .

||http://www.tosinso.com/files/get/408d35f1-2c30-45c1-843c-90edebceb91a||

در این قسمت روی Close کلیک می کنیم .

||http://www.tosinso.com/files/get/d5991f9f-4a82-40ed-a513-1b1a56e3888f||

تصویر زیر Connection ایجاد شده را نمایش می دهد .User name پسورد ساخته شده برای VPN connection را در این بخش وارد می کنیم .اگر حساب کاربری را روی دومین کنترلر ایجاد کرده باشیم درقسمت Domain باید نام دومین کنترلر را نیز معرفی کنیم . حال باید تنظیمات مربوط به VPN connection را انجام دهیم و همانطور که پیشتر گفتیم باید در نظر داشت که این تنظیمات کاملا مطابق با تنظیمات انجام شده بر روی سرور باشد برای این منظور روی گزینه Properties کلیک می کنیم .

||http://www.tosinso.com/files/get/1b8bb5fb-5141-427e-b7d9-73536db57479||

تمامی تنظیمات مورد نظر ما در این سناریو در تب Security انجام خواهد شد . در این تب در قسمت Type of VPN پروتکل Tunneling مورد نظر خود را انتخاب می کنیم با گزینش پروتکل L2TP بر روی گزینه Advance settings کلیک کرده و پسورد share شده ای را که روی VPN سرور تعریف کردیم به VPN کلاینت معرفی می کنیم .

||http://www.tosinso.com/files/get/00cd48ce-392e-41df-8ce3-eb6050151d13||

در همین صفحه پروتکل های مربوط به احراز هویت نیز نمایش داده شده اند که همانند سرور تنظیمات آن را به صورت پیشفرض در نظر می گیریم.

||http://www.tosinso.com/files/get/454cd17b-155b-4bb7-bc0e-0cecdb0abb92||

پس از انجام تنظیمات در پنجره VPN connection روی گزینه Connect کلیک می کنیم تا ارتباط کلاینت با شبکه داخلی بر قرار شود . در این شرایط کلاینت یک IP آدرس در محدوده IP شبکه داخلی دریافت می کند ومی توان گفت که بصورت مجازی در شبکه داخلی قرار می گیرد .بنابراین می تواند از وب سرور شبکه داخلی استفاده کند. بعد از برقراری ارتباط VPN،در قسمت Remote Access Client موجود در کنسول مدیریتی RRAS ویندوز سرور می توانیم نام کاربری را که ارتباط VPN بواسطه آن برقرار شده است مشاهده کنیم .

||http://www.tosinso.com/files/get/ba04f5a2-c2d0-412d-9e09-359ac3096793||

در این مقاله سعی بر آن شد تا راه اندازی VPN را به زبانی ساده بیان کنیم .امیدوارم که این مقاله برای شما دوستان مفید واقع شده باشد ،برای آموزش پیاده سازی جدیدترین پروتکل VPN به نام SSTP مقالات جناب مهندس نصیری را از دست ندهید .

|آموزش راه اندازی سرویس SSL VPN در ویندوز سرور 2008 – قسمت اول::https://tosinso.com/articles/262/%da%a9%d8%a7%d9%85%d9%84%d8%aa%d8%b1%db%8c%d9%86-%d8%a2%d9%85%d9%88%d8%b2%d8%b4-%d8%b1%d8%a7%d9%87-%d8%a7%d9%86%d8%af%d8%a7%d8%b2%db%8c-SSTP-VPN-Server-%d8%af%d8%b1-%d9%88%db%8c%d9%86%d8%af%d9%88%d8%b2-%d8%b3%d8%b1%d9%88%d8%b1-plus-%d9%85%d9%81%d8%a7%d9%87%db%8c%d9%85|
|آموزش راه اندازی سرویس SSL VPN در ویندوز سرور 2008 – قسمت دوم::http://www.tosinso.com/Articles/Details/271/%D8%A2%D9%85%D9%88%D8%B2%D8%B4%20%D8%B1%D8%A7%D9%87%20%D8%A7%D9%86%D8%AF%D8%A7%D8%B2%DB%8C%20%D8%B3%D8%B1%D9%88%DB%8C%D8%B3%20SSL%20VPN%20%D8%AF%D8%B1%20%D9%88%DB%8C%D9%86%D8%AF%D9%88%D8%B2%20%D8%B3%D8%B1%D9%88%D8%B1%20%202008%20%E2%80%93%20%D9%82%D8%B3%D9%85%D8%AA%20%D8%AF%D9%88%D9%85|
|آموزش راه اندازی سرویس SSL VPN در ویندوز سرور 2008 – قسمت سوم::http://www.tosinso.com/Articles/Details/295/%D8%A2%D9%85%D9%88%D8%B2%D8%B4%20%D8%B1%D8%A7%D9%87%20%D8%A7%D9%86%D8%AF%D8%A7%D8%B2%DB%8C%20%D8%B3%D8%B1%D9%88%DB%8C%D8%B3%20SSL%20VPN%20%D8%AF%D8%B1%20%D9%88%DB%8C%D9%86%D8%AF%D9%88%D8%B2%20%D8%B3%D8%B1%D9%88%D8%B1%202008%20%E2%80%93%20%D9%82%D8%B3%D9%85%D8%AA%20%D8%B3%D9%88%D9%85|

نویسنده : مریم حیات رمضانی
منبع : |جزیره سرویس های شبکه مایکروسافت وب سایت توسینسو::https://tosinso.com/microsoft|
هرگونه نشر و کپی برداری بدون ذکر منبع دارای اشکال اخلاقی می باشد .

پس از توضیحات ارائه شده در رابطه با VPN حال با طرح یک سناریوبرای Remote access client ها به پیاده سازی یک VPN سرور می پردازیم . در اینجا یک کلاینت دور کار با گذر از محیط اینترنت به کمک VPN سرور قصد برقراری ارتباط با شبکه داخلی و فرضا استفاده ازوب سرور موجود در شبکه را دارد.این کلاینت IP خود را از DHCP سرور موجود در شبکه داخلی دریافت خواهد کرد. بنابراین VPN سرور باید دارای یک Inter Face در محیط اینترنت با IP معتبر و یک Inter Face دیگر در شبکه داخلی باشد. کلاینت دور کار نیز با یک Valid IP به اینترنت متصل است. در اینجا VPN سرور را با پروتکل L2TP پیاده سازی خواهیم کرد.شکل زیر شرح کامل سناریو مورد نظر ما را به روشنی بیان می کند.

تذکر: در این مقاله به دلیل پیاده سازی سناریو در محیط مجازی به جای استفاده از Valid IP برای اتصال به اینترنت از IP کلاس B استفاده خواهیم کرد.

آموزش انجام تنظیمات VPN Server در ویندوز سرور

ابتدا به توضیح تنظیمات روی VPN سرور می پردازیم .در اول کار باید رول Network policy & Access services موجود در Server manager را نصب کنیم بدین منظور وارد کنسول Server manager شده و گزینه Add roles را انتخاب می کنیم و در صفحه نمایان شده ،روی Next کلیک می کنیم .

در این بخش نقش Network policy & Access Service را مارکدار می کنیم و در مرحله بعد با خواندن توضیحات مربوط به این نقش با کلیک روی گزینه Next وارد مرحله بعد می شویم .

سرویس Routing & Remote Access Services را برای این رول انتخاب می کنیم و در قسمت بعد روی گزینه Install کلیک می کنیم .

پس از نصب رول ، بر روی گزینه Close کلیک می کنیم.

بعد از اینکه نصب Network Policy &Remote Access به پایان رسید با تایپ عبارت rrasmgmt.msc در Run و یا از طریق مسیر زیر وارد کنسول RRAS می شویم:

Start => Administrative tools => Routing and Remote Access Services

علامت قرمز نشان داده شده روی سرور در تصویر بیانگر Offline بودن آن است. برای فعال سازی سرور روی آن راست کلیک کرده و گزینه Configure & enable routing &remote access را انتخاب می کنیم .بدین ترتیب ویزارد Routing & Remote Access Server باز خواهد شد.روی گزینه Next کلیک می کنیم.

برای راه اندازی یک VPN سرور از میان گزینه های موجود در این صفحه می توانیم سه گزینه را به دلخواه و بسته به شرایط انتخاب کنیم:

(Remote Access (Dial up or VPN:شرایط را برای برقراری ارتباط کاربران از طریق dial-up و یا VPN با سرور فراهم می کند.
Virtual Private Network (VPN) access NAT: بستر را برای برقراری ارتباط کاربران به صورت ریموت و از راه دور با سرور از طریق VPN و برای دسترسی کابران لوکال به اینترنت به کمک NAT فراهم می آورد.
Custom configuration: نوع برقراری ارتباط به عهده مدیریت سرور بوده و او می تواند هر کدام از ویژگی های موجود در این سرویس را بنا به صلاح دید خود برگزیند.

دراین ویزارد ما گزینه custom configuration را انتخاب می کنیم تا از طریق کنسول مدیریتی ، تنظیمات مورد نظر را اعمال کنیم .

در این مرحله سرویس VPN Accessرا برای ایجاد یک شبکه خصوصی مجازی انتخاب می کنیم با کلیک روی گزینه Next خلاصه ای از انتخاب های صورت گرفته نمایش داده خواهد شد .به هنگام خروج از این ویزارد پیغامی مبنی بر استارت این سرویس نشان داده می شود ،برای شروع فعالیت این سرویس روی گزینه Start service کلیک می کنیم.

پس از گذشت چند ثانیه سرویس استارت خورده و ویزارد بسته می شود . تصویر زیر کنسول RRAS را پس از شروع فعالیت سرور نشان می دهد. علامت سبز رنگ روی سرور نیز نمایانگر سرور در وضعیت فعال می باشد. در این حالت سرویس VPN ما راه اندازی شده اما نیاز به اعمال یک سری تنظیمات دارد .به همین منظور روی سرور (در اینجا (PDC (local) موجود Properties گرفته و یک به یک تنظیمات مودر نظر را روی تب های آن انجام می دهیم.

همانگونه که در تصور نمایش داده شده در تب IPv4 برای VPN سرور تعیین می کنیم که به چه طریق VPN کلاینت ها را آدرس دهی کند. در اینجا دو انتخاب پیش روی ماست استفاده از DHCP Server که در صورت انتخاب آن باید در قسمت پایین شکل برای سرور تعیین کنیم که از کدام رابط شبکه با DHCP Server ارتباط بر قرار کند. و نیز ایجاد یک Static address pool که باید برای این منظور یک محدوده IP را در این قسمت برای آدرس دهی در نظر بگیریم .در این سناریو ما از DHCP سرور استفاده خواهیم کرد.

در تب Security در قسمت Authentication providers در حقیقت برای VPN سرور تعیین می کنیم که ازکجا User name و پسوردهای ساخته شده رابخواند و احراز هویت آنها را به چه صورتی انجام دهد . اگر RADIUS server داشته باشیم در اینجا آن را معرفی می کنیم و یا اینکه با انتخاب گزینه Windows Authentication تعیین می کنیم که خود سرور عمل احراز هویت را انجام دهد . با کلیک روی گزینه Authentication methods می توانیم از میان پروتکل های احراز هویت موجود، پروتکل مورد نظر را انتخاب کنیم.توضیحات مربوط به این پروتکل ها در قسمت اول مقاله بیان شد.در اینجا ما این تنظیمات را به صورت پیش فرض رها می کنیم.

در قسمت Accounting Providers نیز دو گزینه Windows Accounting و RADIUS Accounting پیش روی ماست .همانطور که قبلا اشاره کردیم استفاده از Accounting توسط ویندوز کارایی چندانی ندارد و بهتر این است که از نرم افزارهای جانبی Accounting استفاده شود. در صورت انتخاب RADIUS Accounting روی گزینه Configure کلیک می کنیم تا اسم و یا آدرس RADIUS سرور را به VPN سرور معرفی کنیم .در این مقاله به دلیل اینکه سناریو ما شبکه گسترده ای را در بر نمی گیرد و کلاینت های ما محدود هستند گزینه Windows Accounting را در نظر می گیریم . (1)

پروتکل PPTP بصورت پیش فرض برای عمل Tunneling توسط VPN سرور در نظر گرفته شده است، می توانیم با مارکدار کردن گزینه Allow custom IPsec policy for L2TP connection و انتخاب یک پسورد برای آن ،از یک پروتکل ایمن تر بهره بگیریم .باید به خاطر داشت که این پسورد باید در تنظیمات مربوط به Connection ساخته شده برای VPN کلاینت نیز تعریف شود. و این همان مفهوم Preshared key می باشد. (2)

پس از انتخاب پروتکل L2TPبرای اعمال آن، سرور یک پیغام مبنی بر ریستارت کردن سرویس Routing & Remote Access برای ما نمایش می دهد. برای ریستارت کردن سرویس روی سرور موجود در کنسول راست کلیک کرده و از قسمت All tasks گزینه Restart را انتخاب می کنیم.

آموزش انجام تنظیمات VPN Client یا سمت کاربر

پس از اعمال تنظیمات مورد نظر روی سرور ، حال نوبت به ساخت یک VPN connection برای کاربر دور کار می رسد.قبل از هر چیز باید یک نکته بسیار مهم را به خاطر داشته باشیم که تنظیمات انجام شده روی سرور باید با تنظیمات مربوط به کانکشن کلاینت یکسان باشد و در صورت عدم تطبیق این تنظیمات ، ارتباط VPN کلاینت با سرور برقرار نخواهد شد. برای ایجاد VPN Connection به مسیر زیر می رویم:

Start => control panel => Network & Sharing Center

در این بخش روی گزینه ی Setup a new connection or network کلیک می کنیم :

در این صفحه گزینه ی Connect to the workplace را انتخاب می کنیم .

در این مرحله روی عبارت (Use my Internet connection (VPN کلیک می کنیم .

در اینجا آدرس VPN سرور را به کلاینت معرفی کرده و با کلیک روی Next به مرحله بعد می رویم .

در این بخش حساب کاربری ساخته شده برای کاربر VPN را به همراه پسورد آن تایپ کرده و گزینه Create را انتخاب می کنیم .

در این قسمت روی Close کلیک می کنیم .

تصویر زیر Connection ایجاد شده را نمایش می دهد .User name پسورد ساخته شده برای VPN connection را در این بخش وارد می کنیم .اگر حساب کاربری را روی دومین کنترلر ایجاد کرده باشیم درقسمت Domain باید نام دومین کنترلر را نیز معرفی کنیم . حال باید تنظیمات مربوط به VPN connection را انجام دهیم و همانطور که پیشتر گفتیم باید در نظر داشت که این تنظیمات کاملا مطابق با تنظیمات انجام شده بر روی سرور باشد برای این منظور روی گزینه Properties کلیک می کنیم .

تمامی تنظیمات مورد نظر ما در این سناریو در تب Security انجام خواهد شد . در این تب در قسمت Type of VPN پروتکل Tunneling مورد نظر خود را انتخاب می کنیم با گزینش پروتکل L2TP بر روی گزینه Advance settings کلیک کرده و پسورد share شده ای را که روی VPN سرور تعریف کردیم به VPN کلاینت معرفی می کنیم .

در همین صفحه پروتکل های مربوط به احراز هویت نیز نمایش داده شده اند که همانند سرور تنظیمات آن را به صورت پیشفرض در نظر می گیریم.

پس از انجام تنظیمات در پنجره VPN connection روی گزینه Connect کلیک می کنیم تا ارتباط کلاینت با شبکه داخلی بر قرار شود . در این شرایط کلاینت یک IP آدرس در محدوده IP شبکه داخلی دریافت می کند ومی توان گفت که بصورت مجازی در شبکه داخلی قرار می گیرد .بنابراین می تواند از وب سرور شبکه داخلی استفاده کند. بعد از برقراری ارتباط VPN،در قسمت Remote Access Client موجود در کنسول مدیریتی RRAS ویندوز سرور می توانیم نام کاربری را که ارتباط VPN بواسطه آن برقرار شده است مشاهده کنیم .

در این مقاله سعی بر آن شد تا راه اندازی VPN را به زبانی ساده بیان کنیم .امیدوارم که این مقاله برای شما دوستان مفید واقع شده باشد .

نظرات کاربران (8)

کاربر توسینسو

1395/08/20

سلام

اگه بخواهیم یه vpn server راه اندازی کنیم که با استفاده از اون کاربرامون که خارج از کشور هستند و به سایت های داخل کشور به هر نحوی دسترسی ندارند(مثلا در خارج از ایران بعضی سایت های ایرانی رو ف ی ل ت ر کرده باشند)بتونن به سایت های مربوطه دسترسی داشته باشند . راه اندازی وی پی ان سرور روش خوبی هست؟

چه تجهیزاتی مورد نیاز هست؟

سیدمحمد محمودی

1395/08/17

ممنون خانم رمضانی.

دنبال چنین مقاله ای بودم.

مهسا مصلح

1394/11/01

خیلی واضح و کامل بود خانم مهندس

ممنون

محمد نصیری

1394/01/17

دوست عزیز شما می تونید از Site To Site خود سرویس TMG استفاده کنید ، بسیار بسیار قویتر از سرویس RRAS هست.

با سلام

می خواستم ببینم اگر بر روی لبه شبکه سرور TMG قرار گرفته باشه چطور میشه VPN Site to Site زد؟

1393/04/27

البته این روند کاری مایکروسافت هست ، میگه وقتی داره کاربر کار میکنه نباید از کار خارج بشه اما شما یک تست بکن ، در Group Policy و فکر می کنم در قسمت Computer Configuration و Security Settings به دنبال گزینه ای به نام Force logoff after logon hours expire بگردید و فعالش کنید این باعث میشه زمانیکه کاربر logon hour اش تموم میشه از سیستم logoff بشه اما در خصوص VPN مطمئن نیستم باید تست کنید.

1393/04/16

من در ویندوز 2012 سرور برای اتصال کاربرانی که در دامین هستند از vpn استفاده میکنم و جهت محدود کردن کاربرای ساعات خاصی رو در قسمت login hours تعیین کردم حالا مشکل اینجاست که زمانیکه ساعت مربوطه تموم میشه اکانت vpn دیسکانکت نمیشه و تا زمانی که خود کاربر ارتباط رو قطع نکنه اینترنتش وصل میمونه لطفا راهنمایی بفرمائید.

با تشکر

1392/12/18

در ادامه تلاشهام برای موشکافیه بیشتر سرور با سرچ در گوگل اسمه شما رو واسم اورد بالا گفتم Login کنم بگم سپاس ،نمیدونم چرا هر جا میرم شما هم اونجا هستید ، در کل سپاسگذارم

آموزش راه اندازی VPN Server در ویندوز سرور | گام به گام + مفاهیم