Lukáš Beran
Lukáš Beran

Vítejte na mém blogu! Pokud hledáte návody, rady nebo tipy k IT, jste tu správně. Najdete zde převážně články k produktům a technologiím společnosti Microsoft – operační systémy, servery, virtualizace, sítě, správa, ale i cloud. Občas přidám i nějaké jiné další zajímavosti.

Prosinec 2016
Po Út St Čt So Ne
« Říj   Bře »
 1234
567891011
12131415161718
19202122232425
262728293031  

Rubriky


Jak nastavit SSTP VPN na Windows Server

Lukáš BeranLukáš Beran

SSTP VPN je moderní a bezpečná VPN, která navíc projde velmi pravděpodobně různými firewally, protože běží na TCP portu 443, tedy stejném portu jako zabezpečené http (https). Navíc oproti stále velmi populární PPTP, která je však dnes již velmi nebezpečná, je SSTP VPN velmi bezpečná a tedy doporučeníhodná.

Nastavit SSTP VPN na Windows Server je opravdu triviální záležitost. Potřebujete jen veřejnou IP adresu nebo alespoň forwardovaný TCP port 443 na váš server a certifikát, kterému budou klientské počítače důvěřovat. Můžete tedy buď použít self-signed certifikát podepsaný autoritou, kterou si nainstalujete do důvěryhodných autorit na klientských počítačích, nebo ideálně použijete certifikát podepsaný důvěryhodnou certifikační autoritou.

Návod budu popisovat na Windows Server 2016, ale na jiných verzích by postup měl být stejný nebo velmi podobný.

Instalace Remote Access

Prvním krokem je instalace Remote Access role. Spusťte Server Manager a v něm průvodce instalací a odebráním rolí. V nabídce rolí vyberte roli Remote Access.

Instalace Remote Access role

Instalace Remote Access role

Potvrďte instalaci dalších závislostí a stránce Role Services vyberte DirectAccess and VPN (RAS).

DirectAccess and VPN

DirectAccess and VPN

Potvrďte několikrát Next a spusťte instalaci. Součástí instalace Remote Access je povinně i IIS, ale to neznamená, že IIS musíme používat – IIS může být úplně zakázané a VPN bude stále fungovat.

Konfigurace Remote Access a SSTP VPN

Po instalaci role je potřeba spustit konfiguračního průvodce.

Konfigurační průvodce SSTP VPN

Konfigurační průvodce SSTP VPN

V prvním kroku vybereme, že chceme nasadit pouze VPN.

Nasazení pouze VPN

Nasazení pouze VPN

Nyní již můžeme nakonfigurovat samotný VPN server. Klikněte pravým tlačítkem na daný server a vyberte možnost Configure and Enable Routing and Remote Access.

Průvodce konfigurací VPN serveru

Průvodce konfigurací VPN serveru

Protože chceme nainstalovat pouze VPN bez dalších služeb, vybereme poslední možnost Custom configuration.

Vlastní konfigurace VPN

Vlastní konfigurace VPN

Na další stránce vybereme pouze VPN access.

VPN přístup

VPN přístup

Po skončení průvodce se služba nakonfiguruje a restartuje.

Nyní již můžeme vybrat certifikát pro připojení k danému serveru. Ideální postup je certifikát nainstalovat přímo z IIS, ale můžete certifikát nainstalovat i přímo do osobních certifikátů daného počítače (ne uživatele).

Instalace certifikátu pro IIS

Instalace certifikátu pro IIS

Nyní můžeme certifikát nastavit i pro VPN server. Přejdeme tedy do Routing and Remote Access konzole, pravým tlačítkem klikneme na náš server a vybereme Properties. Přepneme se na záložku Security a dole v části SSL Certificate Binding vybereme nově nainstalovaný certifikát.

Výběr certifikátu pro VPN

Výběr certifikátu pro VPN

Pokud máte aktivní DHCP server na stejné síti, není nutné již nic dalšího dělat. Stačí již jen povolit přihlášení k VPN pro uživatele, u kterých to povolit chceme. Stačí si u daného uživatele přejít na záložku Dial-in a zatrhnout Allow access v části Network Access Permission.

Oprávnění uživatele pro přihlášení k VPN

Oprávnění uživatele pro přihlášení k VPN

Klienti by se v tuto chvíli měli být schopni přihlásit a měli by dostat adresu z lokálního DHCP serveru. Pokud není DHCP server dostupný nebo z nějakého důvodu nepřiřazuje IP adresy, můžete ručně nastavit rozsah adres (mimo DHCP pool, aby nedošlo ke kolizi), které dostanou klienti přiděleny. U daného VPN serveru klikněte opět pravým tlačítkem a vyberte Properties a běžte na záložku IPv4 a přepněte z DHCP na Static address pool.

Static address pool na VPN

Static address pool na VPN

Jako poslední doporučuji zakázat PPTP, které není bezpečné. Klikněte pravým tlačítkem na Ports a vyberte Properties. Označte PPTP a vyberte Configure, kde odznačte obě možnosti.

Zakázání PPTP

Zakázání PPTP

Jeden tip na závěr – pokud má server nastavenou rezervaci IP adresy na DHCP serveru, je potřeba tuto rezervaci zrušit a serveru nastavit ručně statickou IP adresu. Pokud totiž má server rezervaci na DHCP, dostane jen tu svoji jednu rezervovanou IP adresu a VPN klienti tudíž nedostanou další volné IP adresy z DHCP serveru.

Nadšenec do nových technologií se zájmem primárně o technologie a služby společnosti Microsoft. Občasný blogger a cestovatel.

Komentáře 0
Nejsou zde žádné komentáře.