Jump to content


Foto

Tutorial: Como criar uma VPN

w2k server


1 resposta(s) nesse tópico

#1 Bruno M.    

Bruno M.
  • Participante
  • 4645 mensagens

Publicado 07 April 2003 - 01:59 PM

O que é uma VPN ?
(VPN no Windows 2000)
Fonte: WWW.W2K.COM.BR

Uma rede privada virtual (VPN, Virtual Private Network) permite-lhe ligar componentes a uma rede, através de uma outra rede, como, por exemplo, a Internet. Pode transformar o computador com o Windows 2000 num servidor de acesso remoto para que outros utilizadores possam ligar-se ao mesmo através de uma rede privada virtual e, em seguida, aceder aos ficheiros partilhados existentes nas unidades locais ou na rede. Isso é possível com as redes privadas virtuais mediante a utilização de túneis (tunneling) através da Internet, ou de outra rede pública, de uma forma que proporcione a mesma segurança e funcionalidades que uma rede privada. Com uma VPN, as ligações estabelecidas na rede pública têm capacidade para transferir os dados utilizando a infra-estrutura de encaminhamento da Internet; no entanto, na perspectiva do utilizador, os dados estariam a ser enviados através de uma ligação dedicada privada.

Este artigo descreve como instalar uma rede privada virtual (VPN) e como criar uma ligação VPN nova no Windows 2000

Regressar ao início

Descrição geral de rede privada virtual
Uma rede privada virtual (VPN) é um meio de ligar a uma rede privada (como, por exemplo, a rede da empresa) através de uma rede pública, como, por exemplo, a Internet. Este conceito combina as virtudes de uma ligação de acesso telefónico a um servidor de acesso telefónico com a facilidade e flexibilidade de uma ligação à Internet. Através de utilização de uma ligação à Internet, poderá viajar por todo o mundo e, ainda assim, na maior parte dos locais, estabelecer uma ligação com a empresa através de uma chamada local para o número de telefone de acesso à Internet mais próximo. Caso tenha uma ligação à Internet de alta velocidade (como, por exemplo, por cabo ou DSL) no computador (assim como na empresa), poderá comunicar com a empresa com a mesma rapidez que caracteriza a Internet, ou seja, bastante mais rápida do que qualquer ligação de acesso telefónico através de um modem analógico.

As VPN utilizam ligações autenticadas para garantir que apenas os utilizadores autorizados poderão ligar-se à rede, sendo que estes utilizam a encriptação para assegurar que os dados transmitidos via Internet não poderão ser interceptados nem utilizados por outros. O Windows consegue atingir este nível de segurança mediante a utilização do protocolo PPTP (Point-to-Point Tunneling Protocol) ou L2TP (Layer Two Tunneling Protocol).

A tecnologia VPN também permite que uma empresa estabeleça ligação com as respectivas filiais ou com outras empresas através de uma rede pública (por exemplo, a Internet), mantendo, ainda assim, comunicações seguras. A ligação VPN via Internet opera, segundo parâmetros lógicos, como uma ligação de rede alargada (WAN, Wide Area Network) dedicada.



Componente de uma rede privada virtual
No Windows 2000, uma VPN é composta por um servidor VPN, um cliente VPN, uma ligação VPN (a parte da ligação na qual os dados estão encriptados) e pelo túnel (a parte da ligação na qual os dados estão encapsulados). A utilização de túneis é feita através de um dos respectivos protocolos incluídos no Windows 2000, sendo que ambos são instalados com o serviço Encaminhamento e acesso remoto (Routing and Remote Access). Seguem-se os dois protocolos de utilização de túneis incluídos no Windows 2000:

Point-to-Point Tunneling Protocol (PPTP) Possibilita a encriptação dos dados através da Codificação ponto a ponto da Microsoft (Microsoft Point-to-Point Encryption)
Layer Two Tunneling Protocol (L2TP) Possibilita a encriptação, autenticação e integridade dos dados através do IPSec
A ligação à Internet deverá utilizar uma linha dedicada, do tipo T1, T1 fraccionário ou Frame Relay. O adaptador de WAN tem de ser configurado com o endereço IP e a máscara de sub-rede atribuídos ao domínio em questão ou fornecidos por um fornecedor de serviços Internet (ISP, Internet Service Provider), assim como com o gateway predefinido do router do ISP.

NOTA: Para activar a VPN, tem de ter sessão iniciada com uma conta que tenha direitos administrativos.

Regressar ao início

Como instalar e activar uma rede privada virtual
Para instalar e activar um servidor VPN, siga estes passos:

No computador com o Microsoft Windows 2000 e a VPN, confirme que tanto a ligação à Internet como a ligação à rede local (LAN, Local Area Network) estão correctamente configuradas.
Clique em Iniciar (Start), aponte para Ferramentas administrativas (Administrative Tools) e, em seguida, clique em Acesso remoto e encaminhamento (Routing and Remote Access).
Clique no nome do servidor na árvore e, em seguida, clique em Configurar e activar encaminhamento e acesso remoto (Configure and Enable Routing and Remote Access) no menu Acção (Action). Clique em Seguinte (Next).
Na caixa de diálogo Configurações comuns (Common Configurations), clique em Rede privada virtual (servidor VPN) e, em seguida, clique em Seguinte (Next).
Na caixa de diálogo Protocolos de cliente remoto (Remote Client Protocols), confirme que o TCP/IP está incluído na lista, clique em Sim, todos os protocolos disponíveis estão nesta lista (Yes, all of the available protocols are on this list) e, em seguida, clique em Seguinte (Next).
Na caixa de diálogo Ligação à Internet (Internet Connection), seleccione a ligação à Internet que irá estabelecer ligação com a Internet e, em seguida, clique em Seguinte (Next).
Na secção Atribuição de endereços IP (IP Address Assignment), seleccione Automaticamente (Automatically) para utilizar o servidor DHCP na sub-rede com vista a atribuir endereços IP a clientes de acesso telefónico e ao servidor.
Na caixa de diálogo A gerir vários servidores de acesso remoto (Managing Multiple Remote Access Servers), confirme que a caixa de verificação Não, não quero configurar este servidor agora para utilizar o RADIUS (No, I don't want to set up this server to use RADIUS now) está seleccionada.
Clique em Seguinte (Next) e, em seguida, clique em Concluir (Finish).
Clique com o botão direito do rato no nó Portas (Ports) e, em seguida, clique em Propriedades (Properties).
Na caixa de diálogo Propriedades de portas (Ports Properties), clique no dispositivo WAN Miniport (PPTP) e, em seguida, clique em Configurar (Configure).
Na caixa de diálogo Configurar dispositivo - WAN Miniport (PPTP) (Configure Device - WAN Miniport (PPTP)), efectue um dos seguintes procedimentos:
Se não pretende suportar uma rede privada virtual directa de acesso telefónico para utilizadores para os modems instalados no servidor, clique para desmarcar a caixa de verificação Ligações de encaminhamento de marcação a pedido (entrada e saída) (Demand-Dial Routing Connections (Inbound and Outbound)).
Se pretende suportar uma rede privada virtual directa de acesso telefónico para utilizadores para os modems instalados no servidor, clique para seleccionar a caixa de verificação Ligações de encaminhamento de marcação a pedido (entrada e saída) (Demand-Dial Routing Connections (Inbound and Outbound)).
Escreva o número máximo de ligações PPTP simultâneas que pretende permitir na caixa de texto N.º máximo de portas (Maximum Ports). (Esta definição poderá depender do número de endereços IP disponíveis.
Repita os passos 11 a 13 relativamente ao dispositivo L2TP e, em seguida, clique em OK.
Regressar ao início

Como configurar o servidor de rede privada virtual
Para continuar a configurar o servidor VPN conforme necessário, siga estes passos.

Como configurar o servidor de acesso remoto como um router
Para que o servidor de acesso remoto reencaminhe correctamente o tráfego dentro da rede, terá de o configurar como um router com rotas estáticas ou protocolos de encaminhamento, de modo a que todas as localizações da intranet possam ser contactadas a partir do servidor de acesso remoto.

Para configurar o servidor como um router:

Clique em Iniciar (Start), aponte para Ferramentas administrativas (Administrative Tools) e, em seguida, clique em Acesso remoto e encaminhamento (Routing and Remote Access).
Clique com o botão direito do rato no nome do servidor e, em seguida, clique em Propriedades (Properties).
No separador Geral (General), clique para seleccionar a opção Activar este computador como router (Enable This Computer As A Router).
Seleccione Encaminhamento apenas de rede local (Local area network (LAN) routing only) ou Encaminhamento para marcação a pedido e LAN (LAN and demand-dial routing). Clique em OK para fechar a caixa de diálogo Propriedades (Properties).
Regressar ao início

Como configurar portas PPTP
Confirme o número de portas PPTP de que necessita. Para verificar o número de portas ou para adicionar portas, siga estes passos:

Clique em Iniciar (Start), aponte para Ferramentas administrativas (Administrative Tools) e, em seguida, clique em Acesso remoto e encaminhamento (Routing and Remote Access).
Na árvore da consola, expanda Encaminhamento e acesso remoto (Routing and Remote Access), expanda o nome do servidor e, em seguida, clique em Portas (Ports).
Clique com o botão direito do rato em Portas (Ports) e, em seguida, clique em Propriedades (Properties).
Na caixa de diálogo Propriedades de portas (Ports Properties), clique em WAN Miniport (PPTP) e, em seguida, clique em Configurar (Configure).
Na caixa de diálogo Configurar dispositivo - WAN Miniport (PPTP) (Configure Device WAN Miniport (PPTP)), seleccione o número máximo possível de portas para o dispositivo e, em seguida, seleccione as opções para especificar se o dispositivo só aceita ligações a receber, ou se aceita ligações a receber e a enviar.
Regressar ao início

Como gerir servidores de endereços e de nomes
O servidor VPN tem de ter endereços IP disponíveis para os atribuir à interface virtual do servidor VPN e aos clientes VPN durante a fase de negociação do protocolo IPCP (IP Control Protocol) do processo de ligação. O endereço IP atribuído ao cliente VPN é atribuído à interface virtual do cliente VPN.

Para os servidores VPN baseados no Windows 2000, os endereços IP atribuídos a clientes VPN são obtidos, por predefinição, através do protocolo DHCP. Também é possível configurar um conjunto de endereços IP estático. O servidor VPN também tem de estar configurado com servidores de resolução de nomes, regra geral, endereços de servidores de DNS e WINS, a atribuir ao cliente VPN durante a negociação de IPCP.

Regressar ao início

Como gerir o acesso
Configure as propriedades de acesso telefónico das contas de utilizador e políticas de acesso remoto de forma a gerir o acesso a ligações de acesso telefónico à rede e a ligações VPN.

NOTA: Por predefinição, o acesso telefónico é vedado aos utilizadores.

Regressar ao início

Acesso através de uma conta de utilizador
Se estiver a gerir o acesso remoto com base no utilizador, clique em Permitir acesso (Allow Access) no separador Acesso telefónico (Dial-In) da caixa de diálogo Propriedades (Properties) do utilizador das contas de utilizador que têm permissão para criar ligações VPN. Se o servidor VPN só estiver a permitir ligações VPN, elimine a política de acesso remoto predefinida denominada Permitir o acesso se as permissões de acesso telefónico estiverem activas (Allow Access If Dial-In Permission Is Enabled) Em seguida, crie uma nova política de acesso remoto com um nome descritivo, como, por exemplo, "Acesso VPN, se tal for permitido pela conta do utilizador". Para mais informações, consulta a ajuda do Windows 2000.

ATENÇÃO: Uma vez eliminada a política predefinida, será recusado o acesso aos clientes de acesso telefónico que não correspondam a, pelo menos, uma das configurações de política criadas.

Se o servidor VPN também permitir serviços de acesso remoto de acesso telefónico, não elimine a política predefinida, mas mova-a de modo a ser a última política a ser avaliada.

Regressar ao início

Acesso através de membros do grupo
Se estiver a gerir o acesso remoto com base em grupos, clique em Controlar o acesso através da política de acesso remoto (Control access through remote access policy) em todas as contas de utilizador. Crie um grupo do Windows 2000 com membros que tenham permissão para criar ligações VPN. Se o servidor VPN só permitir ligações VPN, elimine a política de acesso remoto predefinida denominada Permitir o acesso se as permissões de acesso telefónico estiverem activas (Allow Access If Dial-In Permission Is Enabled). Em seguida, crie uma nova política de acesso remoto com um nome descritivo como, por exemplo, "Acesso a VPN, se for membro de um grupo com permissão para VPN" e, em seguida, atribua ao grupo Windows 2000 à política.

Se o servidor VPN também permitir serviços de acesso remoto de acesso telefónico à rede, não elimine a política predefinida; em vez disso, mova-a de modo a ser a última política a ser avaliada.

Regressar ao início

Como configurar uma ligação de rede privada virtual a partir de um computador cliente
Para configurar uma ligação para uma VPN:

No computador cliente, confirme se a ligação à Internet está configurada correctamente.
Clique em Iniciar (Start), aponte para Definições (Settings) e, em seguida, clique em Ligações de acesso telefónico e de rede (Network and Dial-Up Connections).
Clique em Criar nova ligação (Make New Connection).
Clique em Seguinte (Next) e, em seguida, clique em Aceder a uma rede privada através da Internet (Connect To A Private Network Through The Internet) e, em seguida, clique em Seguinte (Next).
Efectue um dos seguintes procedimentos:
Se utiliza uma ligação de acesso telefónico para se ligar à Internet, clique em Marcar automaticamente esta ligação inicial (Automatically Dial This Initial Connection) e, em seguida, seleccione a ligação de acesso telefónico à Internet na lista.
Se utiliza uma ligação permanente (por exemplo, um modem por cabo), clique em Não marcar a ligação inicial (Do Not Dial The Initial Connection).
Clique em Seguinte (Next).
Escreva o nome do anfitrião (por exemplo, Microsoft.com) ou o endereço IP (por exemplo, 123.123.123.123) do computador com o qual pretende estabelecer ligação e, em seguida, clique em Seguinte (Next).
Clique para seleccionar Para todos os utilizadores (For All Users) se pretender que a ligação esteja disponível para todos os utilizadores que iniciem sessão no computador, ou clique para seleccionar Apenas para mim (Only For Myself) para que esta apenas esteja disponível quando iniciar sessão. Clique em Seguinte (Next).
Escreva um nome descritivo para a ligação e, em seguida, clique em Concluir (Finish).

NOTA: Esta opção só estará disponível se tiver iniciado sessão como membro do grupo de administradores.
Clique em Iniciar (Start), aponte para Definições (Settings) e, em seguida, clique em Ligações de acesso telefónico e de rede (Network and Dial-Up Connections).
Faça duplo clique na nova ligação.
Clique em Propriedades (Properties) para configurar as opções da ligação:


Se estiver a estabelecer ligação com um domínio, clique no separador Opções (Options) e, e seguida, clique para seleccionar a caixa de verificação Incluir domínio de início de sessão do Windows (Include Windows logon domain) para especificar se deverão ser pedidas informações de domínio de início de sessão do Windows 2000 antes de tentar estabelecer ligação.
Se pretender que a ligação seja novamente marcada no caso de a linha cair, clique no separador Opções (Options) e, e seguida, clique para seleccionar a caixa de verificação Marcar novamente se a linha cair (Redial if line is dropped).
Para estabelecer a ligação:

Clique em Iniciar (Start), aponte para Definições (Settings) e, em seguida, clique em Ligações de acesso telefónico e de rede (Network and Dial-Up Connections).
Faça duplo clique na nova ligação.
Se, de momento, não tiver uma ligação à Internet, o Windows oferecer-se-á para a estabelecer.
Uma vez estabelecida a ligação com a Internet, o servidor VPN pedir-lhe-á o nome de utilizador e a palavra-passe. Introduza o nome de utilizador e a palavra-passe e clique em Marcar (Connect); em seguida, os recursos da rede deverão ficar disponíveis da mesma forma que acontece quando se liga directamente à rede.

NOTA: Para se desligar da VPN, clique com o botão direito do rato no ícone da ligação e, em seguida, clique em Desligar (Disconnect).
Regressar ao início

Resolução de problemas
Resolução de problemas com redes privadas virtuais de acesso remoto
Não é possível estabelecer uma ligação VPN de acesso remoto

Causa: O nome do computador do cliente é igual ao nome de outro computador da rede.

Solução: Certifique-se de que os nomes de todos os computadores existentes na rede e com ligação à rede utilizam nomes exclusivos.
Causa: O serviço Encaminhamento e acesso remoto (Routing and Remote Access) não foi iniciado no servidor VPN.

Solução: Verifique o estado do serviço Encaminhamento e acesso remoto (Routing and Remote Access) no servidor VPN. Consulte a ajuda online do Windows 2000 para obter mais informações sobre os seguintes tópicos: monitorizar o serviço de encaminhamento e acesso remoto; iniciar e parar o serviço de encaminhamento e acesso remoto.
Causa: O acesso remoto não está activado no servidor VPN.

Solução: Active o acesso remoto no servidor VPN. Consulte a ajuda online do Windows 2000 para obter mais informações sobre o seguinte tópico: activar o servidor de acesso remoto
Causa: As portas PPTP ou L2TP não estão activadas para pedidos de acesso remoto a receber.

Solução: Active as portas PPTP ou L2TP, ou ambas, de modo a permitir pedidos de acesso remoto a receber. Consulte a ajuda online do Windows 2000 para obter mais informações sobre o seguinte tópico: configurar portas para o acesso remoto
Causa: Os protocolos de rede local utilizados pelos clientes VPN não estão activados para o acesso remoto no servidor VPN.

Solução: Active os protocolos de rede local utilizados pelos clientes VPN de modo a permitir o acesso remoto no servidor VPN. Consulte a ajuda online do Windows 2000 para obter mais informações sobre o seguinte tópico: visualizar as propriedades do servidor de acesso remoto
Causa: Já estão a ser utilizadas todas as portas PPTP ou L2TP no servidor VPN por parte dos clientes de acesso remoto ou dos routers de marcação a pedido actualmente ligados.

Solução: Certifique-se de que não estão a ser utilizadas todas as portas PPTP ou L2TP no servidor VPN clicando em Portas (Ports) em Encaminhamento e acesso remoto (Routing and Remote Access) Se for necessário, altere o número de portas PPTP ou L2TP para permitir mais ligações simultâneas. Consulte a ajuda online do Windows 2000 para obter mais informações sobre o seguinte tópico: adicionar portas PPTP ou L2TP.
Causa: O protocolo de utilização de túnel do cliente VPN não é suportado pelo servidor VPN.

Por predefinição, os clientes VPN de acesso remoto do Windows 2000 utilizam a opção de tipo de servidor Automático (Automatic), o que significa que, em primeiro lugar, tentam estabelecer uma ligação VPN baseada em L2TP via IPSec e, em seguida, tentam estabelecer uma ligação VPN baseada em PPTP. Se os clientes VPN utilizarem a opção de tipo de servidor Point-to-Point Tunneling Protocol (PPTP) ou Layer-2 Tunneling Protocol (L2TP), certifique-se de que o protocolo de utilização de túnel seleccionado é suportado pelo servidor VPN.

Por predefinição, um computador com o Windows 2000 Server e o serviço Encaminhamento e acesso remoto (Routing and Remote Access) é um servidor de PPTP e L2TP com cinco portas L2TP e cinco portas PPTP. Para criar um servidor só com PPTP, defina o número de portas L2TP como zero. Para criar um servidor só com L2TP, defina o número de portas PPTP como zero.

Solução: Certifique-se de que está configurado o número correcto de portas PPTP ou L2TP. Consulte a ajuda online do Windows 2000 para obter mais informações sobre o seguinte tópico: adicionar portas PPTP ou L2TP.
Causa: O cliente VPN e o servidor VPN, juntamente com uma política de acesso remoto, não estão configurados para utilizar, pelo menos, um método de autenticação comum.

Solução: Configure o cliente VPN e o servidor VPN, juntamente com uma política de acesso remoto, para utilizar, pelo menos, um método de autenticação comum. Consulte a ajuda online do Windows 2000 para obter mais informações sobre o seguinte tópico: configurar a autenticação.
Causa: O cliente VPN e o servidor VPN, juntamente com uma política de acesso remoto, não estão configurados para utilizar, pelo menos, um método de encriptação comum.

Solução: Configure o cliente VPN e o servidor VPN, juntamente com uma política de acesso remoto, para utilizar, pelo menos, um método de encriptação comum. Consulte a ajuda online do Windows 2000 para obter mais informações sobre o seguinte tópico: configurar a encriptação.
Causa: A ligação VPN não tem as permissões apropriadas através das propriedades de acesso telefónico das políticas de conta de utilizador e de acesso remoto.

Solução: Certifique-se de que a ligação VPN tem as permissões apropriadas através das propriedades de acesso telefónico das políticas de conta de utilizador e de acesso remoto. Para que a ligação seja estabelecida, as definições da tentativa de ligação terão de:
Cumprir todas as condições de, pelo menos, uma política de acesso remoto.
Obter permissão de acesso remoto através da conta de utilizador (definida para Permitir acesso (Allow Access)) ou através da conta de utilizador (definida para Controlar acesso através de 'Política de acesso remoto' ) e da permissão de acesso remoto da política de acesso remoto correspondente (definida para Conceder permissão de acesso remoto ).
Cumprir todas as definições do perfil.
Cumprir todas as definições das propriedades de acesso telefónico da conta de utilizador.
Consulte a ajuda online do Windows 2000 para obter mais informações sobre os seguintes tópicos: introdução às políticas de acesso remoto; aceitar uma tentativa de ligação.

Causa: As definições do perfil de política de acesso remoto estão em conflito com as propriedades do servidor VPN.

Tanto as propriedades do perfil de política de acesso remoto como as propriedades do servidor VPN contêm definições para:
Multiligação
Protocolo de atribuição de largura de banda
Protocolos de autenticação
Se as definições do perfil da política de acesso remoto correspondente estiverem em conflito com as definições do servidor VPN, a tentativa de ligação será rejeitada. Por exemplo, se o perfil da política de acesso remoto correspondente especificar que o protocolo de autenticação EAP-TLS tem de ser utilizado e o protocolo EAP não estiver activado no servidor VPN, a tentativa de ligação será rejeitada.

Solução: Certifique-se de que as definições do perfil de política de acesso remoto não estão em conflito com as propriedades do servidor VPN. Consulte a ajuda online do Windows 2000 para obter mais informações sobre os seguintes tópicos: activar protocolos de autenticação; configurar a autenticação.

Causa: O router de resposta não consegue validar as credenciais do router de chamada (nome de utilizador, palavra-passe e nome de domínio).

Solução: Certifique-se de que as credenciais do cliente VPN (nome de utilizador, palavra-passe e nome de domínio) estão correctas e de que podem ser validadas pelo servidor VPN.
Causa: Não existem endereços suficientes no conjunto de endereços IP estático.

Solução: Se o servidor VPN for configurado com um conjunto de endereços IP estático, certifique-se de que existem endereços suficientes no conjunto. No caso de todos os endereços contidos no conjunto estático terem sido atribuídos a clientes VPN ligados, o servidor VPN não conseguirá atribuir um endereço IP e a tentativa de ligação será rejeitada. Modifique o conjunto de endereços IP estático, se for necessário. Consulte a ajuda online do Windows 2000 para obter mais informações sobre os seguintes tópicos: TCP/IP e acesso remoto; criar um conjunto de endereços IP estático.
Causa: O cliente VPN foi configurado para pedir o respectivo número de nó IPX e o servidor VPN não foi configurado para permitir que clientes IPX peçam os respectivos números de nó IPX.

Solução: Configure o servidor VPN para permitir que clientes IPX peçam os respectivos números de nó IPX. Consulte a ajuda online do Windows 2000 para obter mais informações sobre o seguinte tópico: IPX e acesso remoto.
Causa: O servidor VPN foi configurado com um intervalo de números de rede IPX que estão a ser utilizados noutro local da rede IPX.

Solução: Configure o servidor VPN com um intervalo de números de rede IPX que seja exclusivo da rede IPX. Consulte a ajuda online do Windows 2000 para obter mais informações sobre o seguinte tópico: IPX e acesso remoto.
Causa: O fornecedor de autenticação do servidor VPN não está configurado correctamente.

Solução: Verifique a configuração do fornecedor de autenticação. Pode configurar o servidor VPN de modo a utilizar o Windows 2000 ou o RADIUS para autenticar as credenciais do cliente VPN. Consulte a ajuda online do Windows 2000 para obter mais informações sobre os seguintes tópicos: fornecedores de autenticação e de contas; utilizar a autenticação RADIUS.
Causa: O servidor VPN não consegue aceder ao Active Directory.

Solução: Para um servidor VPN que seja um servidor membro num domínio do Windows 2000 de modo misto ou nativo configurado para a autenticação do Windows 2000, certifique-se de que:
O grupo de segurança Servidores de IAS e RAS (RAS and IAS Servers) existe. Caso contrário, crie o grupo e defina o tipo de grupo para Segurança (Security) e o âmbito do grupo para Domínio local (Domain local).
O grupo de segurança Servidores de IAS e RAS (RAS and IAS Servers) tem a permissão Ler (Read) para o objeto Verificação de acesso de servidores de RAS e IAS (RAS and IAS Servers Access Check).
A conta de computador do servidor VPN é um membro do grupo de segurança Servidores de IAS e RAS (RAS and IAS Servers). Pode utilizar o comando netsh ras show registeredserver para visualizar o registo actual. Pode utilizar o comando "netsh ras add registeredserver" para registar o servidor num domínio especificado.

Se adicionar (ou remover) o computador do servidor VPN ao grupo de segurança Servidores de IAS e RAS (RAS and IAS Servers), a alteração não entrará imediatamente em vigor (devido à forma como o Windows 2000 coloca as informações do Active Directory em cache). Para que esta alteração seja imediatamente aplicada, terá de reiniciar o computador do servidor VPN.
Para um domínio em modo nativo, o servidor VPN foi associado ao domínio.
Consulte a ajuda online do Windows 2000 para obter mais informações sobre os seguintes tópicos: adicionar um grupo; verificar permissões do grupo de segurança RAS e IAS; comandos NetShell para acesso remoto.

Causa: Um servidor VPN que utilize o Windows NT 4.0 não pode validar pedidos de ligação.

Solução: Se os clientes VPN estiverem a efectuar a marcação para um servidor VPN com o Windows NT 4.0 que faça parte de um domínio de modo misto do Windows 2000, certifique-se de que o grupo Todos (Everyone) foi adicionado ao grupo Acesso compatível com anterior ao Windows 2000 (Pre-Windows 2000 Compatible Access) com o comando "net localgroup "Acesso compatível com anterior ao Windows 2000"". Caso contrário, escreva Internet localgroup "Acesso compatível com anterior ao Windows 2000" everyone /add numa linha de comandos no computador de um controlador de domínio e, em seguida, reinicie o computador do controlador de domínio. Consulte a ajuda online do Windows 2000 para obter mais informações sobre o seguinte tópico: servidor de acesso remoto com o Windows NT 4.0 num domínio do Windows 2000.
Causa: O servidor VPN não consegue comunicar com o servidor RADIUS configurado.

Solução: Se só for possível contactar o servidor RADIUS através da interface da Internet, adicione um filtro de entrada e um filtro de saída à interface da Internet para a porta UDP 1812 (com base no RFC 2138, "Remote Authentication Dial-In User Service (RADIUS)") ou porta UDP 1645 (para servidores RADIUS mais antigos) com vista à autenticação de RADIUS e para a porta UDP 1813 (com base no RFC 2139, "RADIUS Accounting") ou porta UDP 1646 (para servidores RADIUS mais antigos) para as contas de RADIUS. Consulte a ajuda online do Windows 2000 para obter mais informações sobre o seguinte tópico: adicionar um filtro de pacotes.
Causa: Não é possível ligar ao servidor VPN através da Internet usando o utilitário Ping.exe.

Solução: Devido à filtragem de pacotes PPTP e L2TP via IPSec configurada na interface da Internet do servidor VPN, os pacotes de ICMP (Internet Control Message Protocol) utilizados pelo comando ping foram excluídos. Para permitir que o servidor VPN responda a pacotes (ping) de ICMP, terá de adicionar um filtro de entrada e um filtro de saída que permita o tráfego do protocolo IP 1 (tráfego ICMP). Consulte a ajuda online do Windows 2000 para obter mais informações sobre o seguinte tópico: adicionar um filtro de pacotes.
Regressar ao início

Resolução de problemas com redes privadas virtuais entre routers
Não foi possível estabelecer uma ligação VPN entre routers

Causa: O serviço Encaminhamento e acesso remoto (Routing and Remote Access) não foi iniciado no cliente VPN (o router de chamada) nem no servidor VPN (o router de resposta).

Solução: Verifique o estado do serviço Encaminhamento e acesso remoto (Routing and Remote Access) no cliente VPN e no servidor VPN. Consulte a ajuda online do Windows 2000 para obter mais informações sobre os seguintes tópicos: monitorizar o serviço de encaminhamento e acesso remoto; iniciar e parar o serviço de encaminhamento e acesso remoto.
Causa: O encaminhamento de LAN e WAN não foi activado no router de chamada nem no router de resposta.

Solução: Active a opção Encaminhamento local e remoto (router de LAN e WAN) (Local and remote routing (LAN and WAN router)) no router de chamada e no router de resposta. Consulte a ajuda online do Windows 2000 para obter mais informações sobre o seguinte tópico: activar o encaminhamento de LAN e WAN.
Causa: As portas PPTP ou L2TP não foram activadas para ligações de encaminhamento de marcação a pedido a receber e a enviar.

Solução: Activar as portas PPTP ou L2TP, ou ambas, para ligações de encaminhamento de marcação a pedido a receber e a enviar. Consulte a ajuda online do Windows 2000 para obter mais informações sobre o seguinte tópico: activar o encaminhamento nas portas.
Causa: Já estão a ser utilizadas todas as portas PPTP ou L2TP no router de chamada ou de resposta por parte dos clientes de acesso remoto ou dos routers de marcação a pedido actualmente ligados.

Solução: Certifique-se de que não estão a ser utilizadas todas as portas PPTP ou L2TP no servidor VPN clicando em Portas (Ports) em Encaminhamento e acesso remoto (Routing and Remote Access) Se for necessário, altere o número de portas PPTP ou L2TP para permitir mais ligações simultâneas. Consulte a ajuda online do Windows 2000 para obter mais informações sobre o seguinte tópico: adicionar portas PPTP ou L2TP.
Causa: O protocolo de utilização de túnel utilizado pelo router de chamada não é suportado pelo router de resposta.

Por predefinição, as interfaces de marcação a pedido do Windows 2000 utilizam a opção de tipo de servidor Automático (Automatic), o que significa que, em primeiro lugar, tentam estabelecer uma ligação VPN baseada em L2TP via IPSec e, em seguida, tentam estabelecer uma ligação VPN baseada em PPTP. Se os routers de chamada utilizarem a opção de tipo de servidor Point-to-Point Tunneling Protocol (PPTP) ou Layer-2 Tunneling Protocol (L2TP), certifique-se de que o protocolo de utilização de túnel seleccionado é suportado pelo router de resposta.

Por predefinição, um computador com o Windows 2000 Server e o serviço Encaminhamento e acesso remoto (Routing and Remote Access) é um router de marcação a pedido compatível com PPTP e L2TP com cinco portas L2TP e cinco portas PPTP. Para criar um router só com PPTP, defina o número de portas L2TP como zero. Para criar um router só com L2TP, defina o número de portas PPTP como zero.

Solução: Certifique-se de que está configurado o número correcto de portas PPTP ou L2TP nos routers de chamada e de resposta. Consulte a ajuda online do Windows 2000 para obter mais informações sobre o seguinte tópico: adicionar portas PPTP ou L2TP.
Causa: O router de chamada e o router de resposta, juntamente com uma política de acesso remoto, não estão configurados para utilizar, pelo menos, um método de autenticação comum.

Solução: Configure o router de chamada e o router de resposta, juntamente com uma política de acesso remoto, para utilizarem, pelo menos, um método de autenticação comum. Consulte a ajuda online do Windows 2000 para obter mais informações sobre o seguinte tópico: configurar a autenticação.
Causa: O router de chamada e o router de resposta, juntamente com uma política de acesso remoto, não estão configurados para utilizar, pelo menos, um método de encriptação comum.

Solução: Configure o router de chamada e o router de resposta, juntamente com uma política de acesso remoto, para utilizarem, pelo menos, um método de encriptação comum. Consulte a ajuda online do Windows 2000 para obter mais informações sobre o seguinte tópico: configurar a encriptação.
Causa: A ligação VPN não tem as permissões apropriadas através das propriedades de acesso telefónico das políticas de conta de utilizador e de acesso remoto.

Solução: Certifique-se de que a ligação VPN tem as permissões apropriadas através das propriedades de acesso telefónico das políticas de conta de utilizador e de acesso remoto. Para que a ligação seja estabelecida, as definições da tentativa de ligação terão de:
Cumprir todas as condições de, pelo menos, uma política de acesso remoto.
Obter permissão de acesso remoto através da conta de utilizador (definida para Permitir acesso ) ou através da conta de utilizador (definida para Controlar acesso através de 'Política de acesso remoto' ) e da permissão de acesso remoto da política de acesso remoto correspondente (definida para Conceder permissão de acesso remoto ).
Cumprir todas as definições do perfil.
Cumprir todas as definições das propriedades de acesso telefónico da conta de utilizador.
Consulte a ajuda online do Windows 2000 para obter mais informações sobre os seguintes tópicos: introdução às políticas de acesso remoto; aceitar uma tentativa de ligação.

Causa: As definições do perfil de política de acesso remoto estão em conflito com as propriedades do router de resposta. Tanto as propriedades do perfil de política de acesso remoto como as propriedades do router de resposta contêm definições para:
Multiligação
Protocolo de atribuição de largura de banda
Protocolos de autenticação
Se as definições do perfil da política de acesso remoto correspondente estiverem em conflito com as definições do router de resposta, a tentativa de ligação será rejeitada. Por exemplo, se o perfil da política de acesso remoto correspondente especificar que o protocolo de autenticação EAP-TLS tem de ser utilizado e o protocolo EAP não estiver activado no router de resposta, a tentativa de ligação será rejeitada.

Solução: Certifique-se de que as definições do perfil de política de acesso remoto não estão em conflito com as propriedades do router de acesso remoto. Consulte a ajuda online do Windows 2000 para obter mais informações sobre os seguintes tópicos: activar protocolos de autenticação; configurar a autenticação.

Causa: As credenciais do router de chamada (nome de utilizador, palavra-passe e nome de domínio) estão incorrectas, não podendo ser validadas pelo router de resposta.

Solução: Certifique-se de que as credenciais do router de chamada (nome de utilizador, palavra-passe e nome de domínio) estão correctas, podendo ser validadas pelo router de resposta.
Causa: Não existem endereços suficientes no conjunto de endereços IP estático.

Solução: Se o router de resposta for configurado com um conjunto de endereços IP estático, certifique-se de que existem endereços suficientes no conjunto. No caso de todos os endereços contidos no conjunto estático terem sido atribuídos a clientes de acesso remoto ou routers de marcação a pedido ligados, o router de resposta não conseguirá atribuir um endereço IP e a tentativa de ligação será rejeitada. Modifique o conjunto de endereços IP estático, se for necessário. Consulte a ajuda online do Windows 2000 para obter mais informações sobre os seguintes tópicos: TCP/IP e acesso remoto; criar um conjunto de endereços IP estático.
Causa: O router de resposta foi configurado com um intervalo de números de rede IPX que estão a ser utilizados noutro local da rede IPX.

Solução: Configure o router de resposta com um intervalo de números de rede IPX que seja exclusivo da rede IPX. Consulte a ajuda online do Windows 2000 para obter mais informações sobre o seguinte tópico: IPX e acesso remoto.
Causa: O fornecedor de autenticação do router de resposta não está configurado correctamente.

Solução: Verifique a configuração do fornecedor de autenticação. Pode configurar o router de resposta de modo a utilizar o Windows 2000 ou o RADIUS para autenticar as credenciais do cliente VPN. Consulte a ajuda online do Windows 2000 para obter mais informações sobre os seguintes tópicos: fornecedores de autenticação e de contas; utilizar a autenticação RADIUS.
Causa: O router de resposta não consegue aceder ao Active Directory.

Solução: Para um router de resposta que seja um servidor membro num domínio do Windows 2000 de modo misto ou nativo configurado para a autenticação do Windows 2000, certifique-se de que:
O grupo de segurança Servidores de IAS e RAS (RAS and IAS Servers) existe. Caso contrário, crie o grupo e defina o tipo de grupo para Segurança (Security) e o âmbito do grupo para Domínio local (Domain local).
O grupo de segurança Servidores de IAS e RAS (RAS and IAS Servers) tem a permissão Ler (Read) para o objeto Verificação de acesso de servidores de RAS e IAS (RAS and IAS Servers Access Check).
A conta de computador do router de resposta é um membro do grupo de segurança Servidores de IAS e RAS (RAS and IAS Servers). Pode utilizar o comando netsh ras show registeredserver para visualizar o registo actual. Pode utilizar o comando netsh ras add registeredserver para registar o servidor num domínio especificado.

Se adicionar ou remover o computador do router de resposta do grupo de segurança Servidores de IAS e RAS (RAS and IAS Servers), a alteração não entrará imediatamente em vigor (devido à forma como o Windows 2000 coloca as informações do Active Directory em cache). Para que a alteração seja imediatamente aplicada, terá de reiniciar o computador do router de resposta.
Para um domínio em modo nativo, o router de resposta foi associado ao domínio.
Consulte a ajuda online do Windows 2000 para obter mais informações sobre os seguintes tópicos: adicionar um grupo; verificar permissões do grupo de segurança RAS e IAS; comandos NetShell para acesso remoto.

Causa: Um router de resposta que utilize o Windows NT 4.0 com o serviço de encaminhamento e acesso remoto (RRAS, Routing and Remote Access Service) não pode validar pedidos de ligação.

Solução: Se os routers de chamada estiverem a efectuar a marcação para um router de resposta que utilize o Windows NT 4.0 com RRAS que faça parte de um domínio de modo misto do Windows 2000, certifique-se de que o grupo Todos (Everyone) foi adicionado ao grupo Acesso compatível com anterior ao Windows 2000 (Pre-Windows 2000 Compatible Access) com o comando Internet localgroup "Acesso compatível com anterior ao Windows 2000" . Caso contrário, escreva Internet localgroup "Acesso compatível com anterior ao Windows 2000" everyone /add numa linha de comandos no computador de um controlador de domínio e, em seguida, reinicie o computador do controlador de domínio. Consulte a ajuda online do Windows 2000 para obter mais informações sobre o seguinte tópico: servidor de acesso remoto com o Windows NT 4.0 num domínio do Windows 2000.
Causa: O router de resposta não consegue comunicar com o servidor RADIUS configurado.

Solução: Se só for possível contactar o servidor RADIUS através da interface da Internet, adicione um filtro de entrada e um filtro de saída à interface da Internet para a porta UDP 1812 (com base no RFC 2138, "Remote Authentication Dial-In User Service (RADIUS)") ou porta UDP 1645 (para servidores RADIUS mais antigos) com vista à autenticação de RADIUS e para a porta UDP 1813 (com base no RFC 2139, "RADIUS Accounting") ou porta UDP 1646 (para servidores RADIUS mais antigos) para as contas de RADIUS. Consulte a ajuda online do Windows 2000 para obter mais informações sobre o seguinte tópico: adicionar um filtro de pacotes.
Causa: Não é possível ligar ao router de resposta a partir da Internet usando o utilitário Ping.exe.

Solução: Devido à filtragem de pacotes PPTP e L2TP via IPSec configurada na interface da Internet do router de resposta, os pacotes ICMP (Internet Control Message Protocol) utilizados pelo comando Ping foram excluídos. Para permitir que o router de resposta responda a pacotes ICMP, terá de adicionar um filtro de entrada e um filtro de saída que permita o tráfego do protocolo IP 1 (tráfego ICMP). Consulte a ajuda online do Windows 2000 para obter mais informações sobre o seguinte tópico: adicionar um filtro de pacotes.
Não é possível enviar e receber dados

Causa: Não foi adicionada a interface de marcação a pedido correcta ao protocolo a ser encaminhado.

Solução: Adicione a interface de marcação a pedido correcta ao protocolo a ser encaminhado. Consulte a ajuda online do Windows 2000 para obter mais informações sobre o seguinte tópico: adicionar uma interface de encaminhamento.
Causa: Não existem rotas nas duas extremidades da ligação VPN entre routers que suportem a troca bidireccional de tráfego.

Solução: Ao contrário de uma ligação VPN de acesso remoto, uma ligação VPN entre routers não cria automaticamente uma rota predefinida. Necessita de criar rotas em ambas as extremidades da ligação VPN entre routers para que o tráfego possa ser encaminhado em ambos os sentidos da ligação VPN entre routers.

Pode adicionar rotas estáticas à tabela de encaminhamento manualmente ou através de protocolos de encaminhamento. Para as ligações VPN permanentes, poderá activar a funcionalidade OSPF (Open Shortest Path First) ou o protocolo RIP (Routing Information Protocol) na ligação VPN. Relativamente às ligações VPN a pedido, poderá actualizar automaticamente as rotas através de uma actualização de RIP auto-estática. Consulte a ajuda online do Windows 2000 para obter mais informações sobre os seguintes tópicos: adicionar um protocolo de encaminhamento IP; adicionar uma rota estática; efectuar actualizações auto-estáticas.
Causa: Uma ligação VPN de dois sentidos iniciada entre routers está a ser interpretada pelo router de resposta como uma ligação de acesso remoto.

Solução: Se o nome de utilizador presente nas credenciais do router de chamada for apresentado abaixo de Clientes por acesso telefónico (Dial-In Clients) em Encaminhamento e acesso remoto (Routing and Remote Access), o router de resposta poderá interpretar o router de chamada como um cliente de acesso remoto. Certifique-se de que o nome de utilizador presente nas credenciais do router de chamada corresponde ao nome de uma interface de marcação a pedido existente no router de resposta. Se o autor da chamada a receber for um router, a porta na qual a chamada foi recebida apresentará o estado Activo (Active) e a interface de marcação a pedido correspondente terá o estado Ligado (Connected). Consulte a ajuda online do Windows 2000 para obter mais informações sobre os seguintes tópicos: verificar o estado da porta no router de resposta; verificar o estado da interface de marcação a pedido.
Causa: Os filtros de pacotes presentes nas interfaces de marcação a pedido dos routers de chamada e de resposta estão a impedir o fluxo do tráfego.

Solução: Certifique-se de que não existem filtros de pacotes presentes nas interfaces de marcação a pedido dos routers de chamada e de resposta que impeçam o envio e recepção de tráfego. Pode configurar cada uma das interfaces de marcação a pedido com filtros de entrada e saída IP e IPX para controlar a origem exacta do tráfego de TCP/IP e IPX com permissão para entrar e sair da interface de marcação a pedido. Consulte a ajuda online do Windows 2000 para obter mais informações sobre o seguinte tópico: gerir filtros de pacotes.
Causa: Os filtros de pacotes existentes no perfil de política de acesso remoto estão a impedir o fluxo de tráfego IP.

Solução: Certifique-se de que não existem filtros de pacotes TCP/IP configurados nas propriedades de perfil das políticas de acesso remoto contidas no servidor VPN (ou no servidor RADIUS, no caso de o serviço de autenticação da Internet, IAS, estar a ser utilizado) que estejam a impedir o envio ou recepção do tráfego de TCP/IP. Pode utilizar políticas de acesso remoto para configurar filtros de pacotes de entrada e saída de TCP/IP que controlem a origem exacta do tráfego de TCP/IP permitido na ligação VPN. Certifique-se de que os filtros de pacotes de TCP/IP do perfil não estão a impedir o fluxo de tráfego necessário. Consulte a ajuda online do Windows 2000 para obter mais informações sobre o seguinte tópico: configurar opções de IP.
Regressar ao início

REFERÊNCIAS
Para obter informações adicionais sobre segurança nas redes privadas virtuais, clique no número de artigo existente abaixo para visualizar o artigo na base de dados de conhecimento da Microsoft (Microsoft Knowledge Base):

Q255784 Increasing Security on Windows 2000 VPN Server

Para obter informações adicionais sobre como criar uma ligação VPN com o Windows XP, clique no número de artigo existente abaixo para visualizar o artigo na base de dados de conhecimento da Microsoft (Microsoft Knowledge Base):

PT305550COMO: Configurar uma ligação VPN à rede da empresa no Windows XP Professional




FONTE: WWW.W2K.COM.BR

PUBLICIDADE  
 

#2 netobomelindo    

netobomelindo
  • Participante
  • 29 mensagens

Publicado 27 May 2008 - 03:24 PM

Olá caros colegas.

Sei que o tópico é antigo, mas espero que alguém consiga me ajudar.

Estou tentando criar uma VPN, mas minha diferença para o tópico postado é que, estou utilizando windows 2003 server. Até certo momento, tudo estava caminhando igual ao que o tópico dizia, mas recebi um erro.

Nesta parte:
[bold]Clique no nome do servidor na árvore e, em seguida, clique em Configurar e activar encaminhamento e acesso remoto (Configure and Enable Routing and Remote Access) no menu Acção (Action). Clique em Seguinte (Next). [bold/]

Recebo o seguinte erro:

[bold]Less than two networks interfaces were detected on this machine. For standard VPN server configration at least two network interfaces need to be instaled. Please use the configuration path instaled[bold/]

O que ele quer dizer com duas "é necessário duas interfaces de rede"? E ele diz para usar as configurações de "path instaled", alguém sabe o que é isso?

Ou se ninguém souber qual o motivo do erro, mas já tenha criado uma VPN com W2003, será que pode me ajudar?

Ah, não sei se isso ajuda, mas tenho um firewall na rede, um iptables.

Desde já meu muito obrrigado.


PUBLICIDADE  
 






Tópicos com palavra-chave: w2k server