eBook Mengenal Windows Server 2008 R2 - VPN Reconnect

Mengenal Windows Server 2008 R2 - VPN Reconnect 1

Bobby I Zulkarnain Microsoft MVP – Directory Services

Mengenal Windows Server 2008 R2

VPN Reconnect

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



Daftar Isi BAB 1. PENDAHULUAN ............................................................................. 3

BAB 2. SKENARIO LAB VPN RECONNECT ........................................................ 4

2.1. Skenario untuk VPN Reconnect ................................................................... 4 Skenario Jaringan ................................................................................................ 4 Konfigurasi DC01 ................................................................................................. 5

2.2. Seting Remote Access Permission dan Shared Folder ........................................ 5 Membuat user account dan memberikan remote access permission .................................... 5 Membuat sebuah shared folder dan file ...................................................................... 7

2.3. Konfigurasi Server VPN ............................................................................. 9 Konfigurasi VPN01 ............................................................................................... 9

BAB 3. INSTALASI ACTIVE DIRECTORY CERTIFICATE SERVICES DAN WEB SERVER ... 10

3.1. Instalasi Certificate Services .................................................................... 10 Instalasi Server Authentication certificate ................................................................. 18

3.2. Instalasi Network and Policy Access Server Role ........................................... 40

BAB 4. KONFIGURASI ROUTING AND REMOTE ACCESS ..................................... 43

4.1. Konfigurasi Server VPN ........................................................................... 43 4.2. Mengkonfigurasi Network Policy Server (NPS) ............................................... 50 4.3. Konfigurasi Komputer Client .................................................................... 53

Konfigurasi CLIENT01 ........................................................................................... 53 Instalasi Sistem Operasi ....................................................................................... 54 Konfigurasi Alamat TCP/IP .................................................................................... 54 Konfigurasi File Hosts .......................................................................................... 54

4.4. Seting Windows Firewall di Server VPN ....................................................... 55 Mengkonfigurasi VPN client dengan root certificate ...................................................... 57

4.5. Seting VPN Reconnect ............................................................................ 63 Membuat dan Mengkonfigurasi Remote Connection dengan VPN Reconnect pada Client01 ........ 63

4.6. Simulasi Uji Koneksi .............................................................................. 70 Simulasi uji kehandalan koneksi saat terjadi perubahan koneksi internet ............................ 70

BAB 5. PENUTUP .................................................................................. 72

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



Bab 1. Pendahuluan

VPN Reconnect merupakan fitur baru dari Routing dan Remote Access Services (RRAS) pada Windows Server 2008 R2 dan Windows 7 yang mampu menyediakan pengguna konektivitas VPN yang handal dan konsisten, yang akan kembali secara otomatis membentuk koneksi VPN kembali ketika pengguna kehilangan koneksi internet mereka dan mendapatkan koneksi internet yang berbeda dari yang sebelumnya. Buku sederhana ini memberikan penjelasan langkah-langkah dalam mengkonfigurasi VPN Reconnect dalam tes laboratorium dengan tiga komputer dan kemudian terus-menerus menunjukkan konektivitas melalui perubahan dalam koneksi jaringan yang digunakan untuk mengakses Internet. VPN Reconnect terkait dengan dukungan dalam Routing dan Remote Access Services (RRAS) untuk protokol tunneling yang baru, yaitu IPSec Mode with Internet Key Exchange version 2 (IKEv2), sebagaimana yang dijelaskan dalam RFC 4306. Dengan fungsi yang disediakan oleh IKEv2 Mobility and Multihoming protokol (MOBIKE), yang juga dijelaskan dalam RFC 4555, protokol tunneling ini menawarkan keuntungan dalam skenario di mana client berpindah dari satu alamat network ke alamat network lain (sebagai contoh dari WirelessLAN ke WirelessWAN). Khususnya untuk mobile phone dan perangkat mobile lain, metode tunneling ini memungkinkan tunnel VPN tetap dapat berfungsi saat client berpindah dari satu access point atau lokasi ke tempat lain.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



Bab 2. Skenario Lab VPN Reconnect

2.1. Skenario untuk VPN Reconnect Skenario Jaringan Skenario dari jaringan VPN Reconnect dapat dilihat pada gambar berikut ini. Domain yang digunakan adalah wirecat.com. Terdapat satu buah domain controller sekaligus server DNS menggunakan Windows Server 2008 R2, satu server VPN menggunakan Windows Server 2008 R2 dan dilengkapi 2 kartu jaringan yang masing-masing diberi nama private dan public, kemudian satu komputer client yang menggunakan Windows 7. Konektivitas antara server VPN dengan komputer client merepresentasikan jaringan internet.

Lab jaringan untuk latihan VPN Reconnect memerlukan 3 komputer, yang masing-masing menjalankan service berikut ini:

DC01: Komputer Windows Server 2008 R2 yang berfungsi sebagai domain controller, server Domain Name System (DNS), dan file server pada private (intranet) network. Catatan : sebagai alternatif, DC01 dapat juga menggunakan Windows Server 2008 atau Windows Server 2003

VPN01: Komputer Windows Server 2008 R2, dengan dilengkapi dua kartu jaringan. VPN01 dikonfigurasi dengan server role Network Policy and Access Services (NPAS) dan Active Directory Certificate Services (AD CS). Role service RRAS diinstal untuk

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



memungkinkan VPN01 berfungsi sebagai server VPN. Sebagai tambahan, VPN01 dikonfigurasi dengan Network Policy Services (NPS) untuk mengkonfigurasi dan mengaktifkan remote access policies yang diperlukan untuk koneksi VPN.

Client01: Komputer Windows 7 yang berfungsi sebagai VPN client pada jaringan public (Internet).

Diagram berikut menunjukkan konfigurasi dari lab VPN lengkap dengan pengalamatan IP.

Konfigurasi DC01 DC01 adalah komputer yang di dalam skenario kita gunakan menjadi domain controller dan sekaligus server DNS. Instalasi domain controller tidak dibahas secara khusus pada buku ini. Password Domain Administrator Account yang digunakan adalah P@ssw0rd.

2.2. Seting Remote Access Permission dan Shared Folder Membuat user account dan memberikan remote access permission Pada tahapan ini, kita membuat sebuah user account dan kemudian mengkonfigurasi account tersebut agar memiliki remote access permission.

Tahapan membuat dan memberikan permission ke user account di Active Directory :

1. Logon ke DC01 sebagai Wirecat\Administrator dengan password: P@ssw0rd 2. Klik Start>Administrative Tools, dan kemudian klik Active Directory Users and

Computers. 3. Buka wirecat.com, klik-kanan Users, klik New, dan kemudian klik User.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



4. Pada Full name, ketikkan user01, dan pada User logon name, ketikkan user01. Klik Next.

5. Pada Password, ketikkan Pass@word (atau password lainnya yang memenuhi persyaratan kompleksitas), dan di dalam Confirm password, ketikkan Pass@word lagi.

6. Bersihkan tanda cek pada pilihan User must change password at next logon, dan kemudian pilih User cannot change password dan Password never expires.

7. Klik Next, dan kemudian klik Finish.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



Tahapan pemberian remote access permission ke user01:

1. Klik Users. Pada bagian detail, klik-ganda user01. 2. Pada tab Dial-in, di bawah Network Access Permission, klik Allow access, dan

kemudian klik OK.

3. Tutup Active Directory Users and Computers.

Membuat sebuah shared folder dan file DC01 adalah file server yang harus dapat diakses oleh remote user setelah metode autentikasi dan aksesnya dikonfigurasi.

Tahapan membuat shared folder dan file :

1. Pada DC01, Klik Start,dan kemudian My Computer. 2. Klik-ganda Local Disk (C:). 3. Pada toolbar, klik New folder, dan kemudian ketikkan Supply Chain. 4. Klik-kanan folder Supply Chain, klik Share with, dan klik Specific people. 5. Pada kotak dialog File Sharing, ketikkan Everyone, dan kemudian klik Add. 6. Pada daftar, klik entri untuk Everyone, dan kemudian klik Read/Write.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



7. Klik Share, dan kemudian Done untuk melengkapi prosesnya. Folder tersebut sekarang sudah dapat diakses melalui \\DC01\Supply Chain.

8. Klik ganda folder Supply Chain, dan kemudian klik-kanan pada ruang kosong. Pilih New, dan kemudian klik Text Document.

9. Beri nama dokumen tersebut VPNTest (ekstensi untuk .txt ditambahkan secara otomatis).

10. Buka VPNTest dan ketikkan di dalamnya beberapa teks.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



11. Simpan dan tutup VPNTest.

2.3. Konfigurasi Server VPN Konfigurasi VPN01 VPN01 adalah komputer yang menggunakan sistem operasi Windows Server 2008 R2 yang menyediakan role serta service sebagai berikut:

Active Directory Certificate Services, sebagai certification authority (CA) yang menerbitkan certificate untuk komputer ke server VPN yang diperlukan untuk keperluan remote connection dengan menggunakan VPN Reconnect.

Certification Authority Web Enrollment, sebuah service yang mengaktifkan penerbitan certificate melalui Web browser.

Web Server (IIS), yang diinstal sebagai service role yang diperlukan untuk Certification Authority Web Enrollment.

Network Policy and Access Services, yang menyediakan dukungan untuk koneksi VPN melalui NPS dan RRAS.

Konfigurasi VPN01 meliputi tahapan berikut ini:

1. Instal sistem operasi. 2. Konfigurasi TCP/IP untuk jaringan Internet dan jaringan intranet. 3. Beri nama komputer dan gabungkan ke domain wirecat.com 4. Instal role untuk Active Directory Certificate Services dan Web Server (IIS)

server. 5. Membuat dan menginstal Server Authentication certificate. 6. Instal server role NPAS 7. Konfigurasi VP0N1 untuk menjadi server VPN. 8. Konfigurasi server NPS untuk diberikan akses untuk autentikasi EAP-MSCHAPv2.

Penjelasan lebih detail pada bab selanjutnya.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



Bab 3. Instalasi Active Directory Certificate Services dan Web Server

Untuk mendukung koneksi VPN yang mengaktifkan IKEv2, pertama kita menginstal Active Directory Sertificate Services dan Web Server (IIS) server role untuk mengaktifkan Web enrollment dari sertifikat komputer.

3.1. Instalasi Certificate Services Tahapan instalasi certificate services :

1. Lakukan logon ke VPN01 sebagai wirecat\Administrator dengan password P@ssw0rd. 2. Pada window Initial Configuration Tasks, pada bagian 3, Customize This

Server(lihat pada gambar berikut ini), klik Add roles.

Catatan: Jika window Initial Configuration Tasks tidak muncul, ketikkan oobe pada menu Run dan Enter.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



3. Pada kotak dialog Add Roles Wizard, pada halaman Before You Begin, klik Next. 4. Pada halaman Select Server Roles, pilih Active Directory Certificate Services dan

kemudian klik Next.

5. Pada halaman Introduction to Active Directory Certificate Services, klik Next.

6. Pada halaman Select Role Services, pilih baik Certification Authority dan juga Certification Authority Web Enrollment.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



7. Pada kotak dialog Add role services and features required for Certification Authority Web Enrollment? klik Add Required Role Services.

8. Kemudian klik Next.

9. Pada Specify Setup Type, pilih Enterprise dan kemudian klik Next.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



10. Pada halaman Specify CA Type, pilih Root CA dan kemudian klik Next.

11. Pada halaman Setup Private Key, pilih Create a new private key, dan kemudian klik Next.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



12. Pada halaman Configure Cryptography for CA, klik Next (gunakan seting default saja).

13. Pada halaman Configure CA Name, klik Next untuk menerima nama defaultnya. Klik Next.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



14. Pada halaman Set Validity Period, klik Next untuk lanjut

15. Pada halaman Configure Certificate Database, kita gunakan saja lokasi defaultnya, klik Next.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



16. Pada halaman Web Server (IIS) klik Next.

17. Pada halaman Select Role Services, kita gunakan pilihan yang defaultnya, klik Next.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



18. Pada kotak dialog Confirm Installation Selections, klik Install. Instalasi berlangsung beberapa menit.

19. Pada kotak dialog Installation Results, klik Close.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



Instalasi Server Authentication certificate Tahapan selanjutnya adalah membuat dan Menginstal Server Authentication certificate. Server Authentication certificate digunakan oleh CLIENT01 untuk mengautentikasi VPN01. Sertifikat harus memiliki “Server Authentication” dan “IP security IKE intermediate” dengan penerapan extended key usage (EKU).

Tahapan untuk membuat sebuah certificate template dengan EKU yang dibutuhkan :

1. Pada VPN01, klik Start>Administrative Tools, dan kemudian klik Certification Authority.

2. Kemudian buka wirecat-VPN01-CA. 3. Klik-kanan Certificate Templates, dan kemudian klik Manage. Window dari

Certificate Templates Console muncul.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



4. Klik-kanan template IPsec dari daftar, dan kemudian klik Duplicate Template.

5. Pada kotak dialog Duplicate Template, pilih Windows Server 2003 Enterprise, dan kemudian klik OK.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



6. Pada tab General, ubahlah nama untuk Template display name menjadi VPN Reconnect.

7. Periksa Validity period. Nilai default adalah 2 tahun. Kita dapat mengubah nilainya sesuai dengan kebutuhan organisasi atau perusahaan.

8. Pada tab Request Handling, pilih Allow private key to be exported. 9. Pada tab Subject Name, pilih Supply in the request. Jika terdapat pesan warning

muncul, klik OK. 10. Pada tab Extensions, pilih Application Policies, dan kemudian klik Edit.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



11. Policy IP security IKE intermediate telah tepilih secara default. Jika terdapat yang lainnya, kita hilangkan kecuali policy ini saja.

12. Klik Add, pilih Server Authentication, dan kemudian klik OK.

13. Klik OK untuk kembali ke tab Extensions. 14. Pilih Key Usage, dan kemudian klik Edit.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



15. Pada bagian Signature, pastikan pilihan Digital signature diberi tanda cek. Jika telah dipilih, klik Cancel, jika belum dipilih, beri tanda cek dan kemudian klik OK.

16. Klik OK untuk menyimpan template. 17. Tutup window Certificate Templates Console.

Template untuk sertifikat (Certificate template) sudah dibuat. Template ini harus diterbitkan sebelum dapat digunakan untuk melakukan permohonan sertifikat.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



Tahapan menerbitkan certificate template :

1. Pada window Certification Authority, klik-kanan Certificate Templates, klik New, dan kemudian klik Certificate Template to Issue.

2. Pada kotak dialog Enable Certificate Templates, pilih VPN Reconnect, dan kemudian klik OK.

Template ini sekarang sudah siap dipakai untuk melakukan permohonan sertifikat. Sebelum menggunakannya, kita harus mengkonfigurasi seting keamanan untuk Internet Explorer agar siap digunakan untuk halaman web certificate publishing.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



Tahapan mengkonfigurasi Internet Explorer untuk mengizinkan certificate publishing :

1. Pada VPN01, klik Start, klik-kanan Internet Explorer, dan kemudian klik Run as administrator.

2. Klik Tools, dan kemudian klik Internet Options.

3. Pada tab Security, pada bagian Select a zone to view or change security settings, klik Local intranet.

4. Ubah security level untuk Local intranet dari Medium-low ke Low, dan kemudian klik OK.

Internet Explorer telah siap digunakan untuk melakukan permintaan sertifikat dan menginstal sertifikat pada komputer.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



Tahapan permohonan sertifikat dengan menggunakan Internet Explorer :

1. Pada VPN01, pada address bar dari Internet Explorer, ketikkan http://localhost/certsrv, dan kemudian tekan Enter.

2. Pada bagian Select a Task, klik Request a Certificate.

3. Pada bagian Request a Certificate, klik Advanced Certificate Request.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



4. Pada bagian Advanced Certificate Request, klik Create and submit a request to this CA.

5. Pada kotak dialog konfirmasi pertama, klik Yes untuk mengizinkan ActiveX control.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



6. Pada kotak dialog konfirmasi kedua, klik Yes untuk mengizinkan certificate operation.

7. Pada daftar Certificate Template, pilih VPN Reconnect.

8. Pada bagian Identifying Information, pada bagian nama Name, ketikkan vpn01.wirecat.com.

Catatan: Nama yang kita berikan di atas adalah nama subjek dan harus sama dengan nama dari alamat internet yang digunakan dalam seting koneksi IKEv2 yang nanti akan dikonfigurasi pada bagian selanjutnya.

9. Pada bagian Key Options, pilih Mark keys as exportable, dan kemudian klik Submit.

10. Klik Yes pada tiap kotak dialog konfirmasi.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



Server authentication certificate dibuat pada user personal store, jadi kita harus pindahkan lokasinya ke machine store.

Tahapan memindahkan sertifikat ke machine store :

1. Pada VPN01, klik Start, ketikkan MMC, dan kemudian tekan Enter 2. Pada Console1, klik File, dan kemudian klik Add/Remove Snap-in. 3. Pada bagian Available snap-ins, klik Certificates, dan kemudian klik Add. 4. Klik Finish untuk langsung menerima seting default dari My user account.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



5. Klik Add dua kali, klik Computer account, dan kemudian klik Next.

6. Pada bagian kotak dialog Select Computer, klik Finish untuk langsung menggunakan seting default Local computer.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



7. Klik OK untuk menutup kotak dialog Add or Remove Snap-ins. 8. Kemudian buka Certificates - Current User, buka Personal, dan kemudian and klik

Certificates. 9. Pada bagian detail, klik-kanan sertifikat vpn01.wirecat.com, klik All Tasks, dan

kemudian klik Export.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



10. Pada halaman Welcome to the Certificate Export Wizard, klik Next.

11. Pada halaman Export Private Key, klik Yes, export the private key, dan kemudian klik Next.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



12. Pada halaman Export File Format, klik Next untuk menerima langsung seting dari format file.

13. Pada halaman Password, ketikkan Pass@word di kedua kotak teks Password dan Confirm Password dan kemudian klik Next.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



14. Pada halaman File to Export, klik Browse.

15. Pada bagian Favorites, klik Desktop

16. Pada kotak teks File name, ketikkan vpn01cert, dan kemudian klik Save untuk menyimpan sertifikat tersebut ke desktop.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



17. Kembali pada halaman File to Export, klik Next.

18. Pada halaman Completing the Certificate Export Wizard, klik Finish untuk menutup wizard, dan kemudian klik OK pada kotak dialog konfirmasi.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



19. Pada bagian panel konsol, buka Certificates (Local Computer), dan kemudian buka Personal.

20. Klik-kanan Certificates, pilih All Tasks, dan kemudian klik Import.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



21. Pada halaman Welcome to the Certificate Import Wizard, klik Next.

22. Pada halaman File to Import, klik Browse.

23. Pada bagian Favorites, klik Desktop.

24. Pada pilihan dari tipe file, pilih Personal Information Exchange (*.pfx, *.p12).

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



25. Pada daftar file yang ada, klik-ganda vpn01cert (lihat pada gambar berikut).

26. Kembali ke halaman File to Import, klik Next.

27. Pada halaman isian Password, ketikkan Pass@word, dan kemudian klik Next.

28. Pada halaman Certificate Store, klik Next untuk menerima seting default dari lokasi penyimpanan Personal.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



29. Klik Finish untuk menutup Import Export Wizard, dan kemudian klik OK di dalam kotak dialog konfirmasi.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



Tahapan membuat trusted root certificate :

1. Pada VPN01, pada address bar di Internet Explorer, ketikkan http://localhost/certsrv, dan kemudian tekan Enter.

2. Pada bagian Select a task, klik Download a CA certificate, certificate chain, or CRL.

3. Klik Yes untuk mengizinkan ActiveX control, dan Yes untuk mengizinkan certificate operation.

4. Klik Download CA certificate. for

wss

-id.or

g and

mug

i.or.id

commun

ities



5. Klik Save, pilih Desktop, ketikkan nama RootCACert, klik Save, dan kemudian klik Close. Nantinya kita akan memindahkan sertifikat ini ke komputer Client01.

3.2. Instalasi Network and Policy Access Server Role Pada tahapan ini, kita mengkonfigurasi Server VPN01 dengan Routing and Remote Access agar berfungsi sebagai server VPN.

Tahapan menginstal NPS dan RRAS service roles :

1. Pada VPN01, pada window Initial Configuration Tasks, di bagian bawah Customize This Server, klik Add roles. Catatan: Jika window Configuration Tasks ternyata tidak muncul di layar, kita dapat membukanya dengan cara klik Start, kemudian ketikkan oobe pada kotak teks dan kemudian klik OK.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



2. Pada halaman Before You Begin, klik Next.

3. Pada halaman Select Server Roles, klik Network Policy and Access Services, klik Next.

4. Pada halaman Network Policy and Access Services, klik Next.

5. Pada halaman Select Role Services, pilih baik Network Policy Server maupun Routing and Remote Access Services, dan kemudian klik Next.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



6. Pada halaman Confirm Installation Selections, klik Install.

7. Pada halaman Installation Results, klik Close.

Sekarang service-service tersebut telah terinstal, kita dapat mengkonfigurasinya kemudian pada tahapan selanjutnya.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



Bab 4. Konfigurasi Routing and Remote Access

Kita lanjutkan dengan mengkonfigurasi VPN01 untuk menjadi server VPN yang menyediakan remote access untuk Internet-based VPN client.

4.1. Konfigurasi Server VPN Tahapan mengkonfigurasi VPN01 untuk menjadi Server VPN :

1. Pada VPN01, klik Start> Administrative Tools, dan kemudian klik Routing and Remote Access.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



2. Kemudian klik-kanan VPN01 (local), dan kemudian klik Configure and Enable Routing and Remote Access.

3. Pada halaman Welcome to the Routing and Remote Access Server Setup Wizard,

klik Next.

4. Pada halaman Configuration, klik Next untuk langsung menerima seting default dari Remote access (dial-up or VPN).

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



5. Pada halaman Remote Access, pilih VPN, dan kemudian klik Next.

6. Pada halaman VPN Connection, pada bagian Network interfaces, pilih Public. Ini adalah interface yang akan menghubungkan VPN01 ke Internet.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



7. Bersihkan tanda cek pada pilihan Enable security on the selected interface by setting up static packet filters, dan kemudian klik Next. Catatan: Untuk lingkungan produksi, kita harus membiarkan tanda pilihan ini dalam kondisi dicentang. Tapi untuk tujuan konektivitas testing lab berikut ini, kita tidak aktifkan.

8. Pada halaman IP Address Assignment, pilih From a specified range of addresses, dan kemudian klik Next.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



9. Pada halaman Address Range Assignment, klik New.

10. Pada kotak dialog New IPv4 Address Range, pada bagian Start IP address ketikkan 192.168.1.200, dan pada bagian End IP address ketikkan 192.168.1.210, klik OK untuk menambahkan range tersebut, dan kemudian klik Next.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



11. Pada halaman Managing Multiple Remote Access Servers, klik Next untuk langsung menggunakan seting default yang tidak menggunakan RADIUS server. Pada skenario ini, RRAS menggunakan Windows Authentication.

12. Pada halaman Completing the Routing and Remote Access Server Setup Wizard, klik Finish.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



13. Pada kotak peringatan seperti gambar berikut ini, klik OK.

14. Pada kotak peringatan tentang perlunya mengkonfigurasi DHCP Relay Agent, klik OK.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



4.2. Mengkonfigurasi Network Policy Server (NPS) Tahapan selanjutnya adalah mengkonfigurasi Network Policy Server (NPS) untuk dapat memberikan akses EAP-MSCHAPv2 authentication. Konfigurasi VPN01 dengan menggunakan Network Policy Services (NPS) untuk mengaktifkan dan mengkonfigurasi remote access policies yang diperlukan untuk koneksi VPN berbasis IKEv2. Catatan: Untuk instalasi NPS pada dasarnya kita dapat lakukan pada server DC01 atau server lainnya. NPS yang diinstal pada Windows Server 2008 juga dapat digunakan. Untuk lebih mudahnya dalam lab ini, kita instal pada server VPN01. IKEv2 mendukung baik machine certificate dan juga EAP based authentication. NPS diperlukan ketika menggunakan EAP-based authentication, dan tidak diperlukan saat kita menggunakan machine certificate based authentication.

Tahapan mengkonfigurasi NPS server :

1. Klik Start> Administrative Tools, dan kemudian klik Routing and Remote Access. 2. Pada VPN01, di bagian bawah dari percabangan Routing and Remote Access buka

VPN01 (local). 3. Klik-kanan Remote Access Logging & Policies, dan kemudian pilih Launch NPS.

4. Pada window Network Policy Server, dibagian Network Access Policies, klik link Network Access Policies.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



5. Klik-ganda Connections to Microsoft Routing and Remote Access server.

6. Pada tab Overview, pada bagian Access Permission, pilih Grant access. Grant access if the connection request matches this policy.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



7. Pada tab Constraints, pada daftar Contstraints, pilih Authentication Methods.

8. Jika Microsoft: Secured password (EAP-MSCHAPv2) tidak ada di dalam daftar EAP Types, maka lakukan langkah berikut:

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



a. Klik Add. b. Pada kotak dialog Add EAP pilih Microsoft: Secured Password (EAP-MSCHAP

v2), dan kemudian klik OK.

9. Pilih Microsoft: Smart Card or other certificate dan klik Remove untuk menghilangkan tipe EAP ini.

10. Klik OK untuk menyimpan perubahan yang kita lakukan dari awal. 11. Tutup window Network Policy Server.

4.3. Konfigurasi Komputer Client Konfigurasi CLIENT01 Client01 adalah komputer yang menggunakan Windows 7 RTM yang berfungsi sebagai remote access VPN client untuk domain wirecat.com. Konfigurasi Client01 meliputi langkah-langkah berikut:

Instal sistem operasi Konfigurasi pengalamatan TCP/IP Konfigurasi VPN Client dengan root certificate

Catatan: Saat mengkonfigurasi client, trusted root certificate tidak diperlukan ketika menggunakan EAP based authentication. Akan tetapi trusted root certificate diperlukan ketika computer-certificate-based authentication digunakan.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



Instalasi Sistem Operasi Client01 harus menggunakan Microsoft Windows 7.

Tahapan menginstal Windows 7

1. Pada komputer Client01, nyalakan dan diboot dengan DVD Windows 7. Ikuti instruksi yang muncul pada layar monitor.

2. Ketika diminta untuk tipe instalasi, pilih Custom Installation.

3. Ketika diminta untuk menentukan user name, ketikkan user01.

4. Ketika diminta untuk computer name, ketikkan Client01.

5. Ketika diminta untuk menentukan computer location, pilih Home.

Konfigurasi Alamat TCP/IP Kita konfigurasi properti dari TCP/IP sehingga Client01 memiliki alamat IP statik 131.107.1.3 untuk konektivitas public (Internet).

Tahapan mengkonfigurasi properti dari TCP/IP :

1. Pada Client01, klik Start, dan kemudian klik Control Panel. 2. Pada Network and Internet, klik View network status and tasks 3. Pada Network and Sharing Center, klik Change adapter settings. 4. Pada Network Connections, klik-kanan Local Area Connection, dan kemudian klik

Properties. 5. Pada kotak dialog Local Area Connection Properties, pilih Internet Protocol

Version 4 (TCP/IPv4), dan kemudian klik Properties. 6. Pada kotak dialog Intenet Protocol Version 4 (TCP/IPv4) Properties, klik Use the

following IP address. Pada IP address ketikkan 131.107.1.3, dan di dalam Subnet mask ketikkan 255.255.255.0 untuk subnet mask.

7. Klik OK, dan kemudian klik Close.

Konfigurasi File Hosts Kemudian kita lanjutkan dengan mengkonfigurasi file hosts untuk memiliki record untuk VPN01. Kita lakukan ini untuk mensimulasikan skenario dunia nyata (real-world scenario) dimana nama dari server VPN dapat dikenali di internet (resolvable host name).

Tahapan mengkonfigurasi file hosts :

1. Pada Client01, klik Start, lalu klik All Programs, klik Accessories, klik-kanan Command Prompt, dan kemudian klik Run as administrator.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



2. Pada kotak dialog User Account Control, klik Continue. 3. Pada window Administrator: Command Prompt, ketikkan notepad

%windir%\system32\drivers\etc\hosts dan kemudian tekan Enter. 4. Tambahkan teks berikut pada baris baru pada bagian akhir dari dokumen:

131.107.1.1 vpn01.wirecat.com

5. Simpan dan tutup file host.

4.4. Seting Windows Firewall di Server VPN Selanjutnya kita menggunakan Windows Firewall with Advanced Security untuk memastikan firewall rules tertentu diaktifkan.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



Tahapan untuk menseting firewall rules yang tepat di Windows Firewall with Advanced Security :

1. Pada VPN01, klik Start, ketikkan wf.msc dan kemudian tekan Enter.

2. Kemudian klik Inbound Rules (lihat pada gambar di atas). 3. Pada bagian detail, klik-ganda File and Printer Sharing (Echo Request - ICMPv4-In)

untuk profile Private dan untuk profile Public.

4. Pada kotak dialog File and Printer (Echo Request – ICMPv4-In) Properties, pada tab General pilih Enabled, pada bagian Action, pilih Allow the connection, dan kemudian klik OK.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



5. Tutup window Windows Firewall with Advanced Security. Kemudian pada tahapan selanjutnya kita juga harus memerksa konektivitas dari vpn01.wirecat.com ke Client01. Kita periksa apakah kita sukses atau tidak dalam melakukan ping dari clien01 ke vpn01.wirecat.com.

Tahapan menggunakan perintah ping untuk memeriksa konektivitas ke vpn01.wirecat.com :

1. Pada Client01, pada window Administrator: Command Promp, ketikkan ping vpn01.wirecat.com, dan kemudian tekan Enter.

2. Lihat hasilnya apakah sukses atau tidak (harus sukses dilakukan). 3. Tutup window Command Prompt.

Mengkonfigurasi VPN client dengan root certificate Pada bagian ini kita akan menginstal sertifikat root CA yang menerbitkan server authentication certificate. Hal ini diperlukan untuk komputer client untuk melakukan trust terhadap server authentication certificate dan melengkapi koneksi VPN.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



Tahapan menginstal sertifikat root pada client :

1. Pada Client01, klik Start, ketikkan mmc, dan kemudian tekan Enter. 2. Pada window Console1, klik File, dan kemudian klik Add/Remove snap-in. 3. Pada bagian Available snap-ins, pilih Certificates, dan kemudian klik Add. 4. Pada kotak dialog Certificates snap-in, pilih Computer account, dan kemudian klik

Next.

5. Pada kotak dialog Select Computer, klik Finish untuk langsung menggunakan pilihan default Local computer.

6. Klik OK untuk menutup kotak dialog Add/Remove snap-ins.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



7. Kemudian buka Certificates (Local Computer), buka Trusted Root Certification Authorities, klik-kanan Certificates, klik All Tasks, dan kemudian klik Import.

8. Pada halaman Certificate Import Wizard – Welcome to the Certificate Import Wizard, klik Next.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



9. Pada bagian File to Import, klik Browse.

10. Pada kotak teks File name, ketikkan \\vpn01.wirecat.com\c$\users\administrator.wirecat\desktop, dan kemudian tekan Enter.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



Catatan: Kita dapat dengan sukses melakukan ini karena VPN01 memiliki default share (contohnya C$) yang aktif, serta firewall yang tidak memblok file sharing pada kartu jaringan eksternal. Pada lingkungan produksi, kita perlu menyediakan root certificate ke komputer client dengan menggunakan metode sekuriti lain yang dapat dipakai.

11. Saat diminta untuk credentials, ketikkan wirecat\administrator dan Pass@word. 12. Kemudian pilih RootCACert dari daftar file, dan kemudian klik Open.

13. Path untuk sertifikat telah lengkap, kita klik Next.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



14. Pada halaman Certificate Store, klik Next untuk menggunakan lokasi default dalam menempatkan sertifikat pada Trusted Root Certification Authorities store.

15. Pada halaman Completing the Certificate Import Wizard, klik Finish, dan kemudian pada kotak konfirmasi sukses, klik OK.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



4.5. Seting VPN Reconnect Membuat dan Mengkonfigurasi Remote Connection dengan VPN Reconnect pada Client01 Pada Client01, kita menggunakan Network and Sharing Center untuk membuat koneksi ke vpn01.wirecat.com dan menyimpan koneksi tersebut. Kita kemudian mengkonfigurasi properti dari koneksi tadi untuk dapat menggunakan VPN Reconnect.

Tahapan membuat koneksi VPN Reconnect ke vpn01.wirecat.com :

1. Pada Client01, klik Start, dan kemudian klik Control Panel. 2. Pada bagian Network and Internet, klik View network status and tasks.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



3. Pada bagian Networking and Sharing Center, klik Set up a new connection or network

4. Klik Connect to a workplace, dan kemudian klik Next.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



5. Klik Use my Internet connection (VPN).

6. Klik I'll set up an Internet connection later.

7. Pada alamat Internet, ketikkan vpn01.wirecat.com. Pada Destination name, ketikkan VPN Reconnect Connection dan kemudian klik Next.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



8. Pada kotak dialog Type your user name and password, ketikkan informasi berikut: Pada User name, ketikkan user01. Pada Password, ketikkan Pass@word. Klik Remember this password. Pada Domain, ketikkan wirecat.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



9. Klik Create, dan kemudian klik Close.

Tahapan mengkonfigurasi dan menguji koneksi VPN Reconnect :

1. Pada Client01, pada Network and Sharing Center, klik Change adapter settings.

2. Klik-ganda VPN Reconnect Connection, dan kemudian klik Properties.

3. Pada tab Security, pada daftar Type of VPN, pilih IKEv2, dan kemudian klik OK.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



4. Pada kotak dialog Connect VPN Reconnect Connection, klik Connect.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



5. Jika kotak dialog Set Network Location muncul, pilih Work.

Jika seting konfigurasi yang dilakukan sejak awal benar, Client01 pastilah sukses melakukan koneksi ke VPN01 dengan menggunakan VPN Reconnect connection. Untuk memeriksa koneksi ini, kita dapat mengakses corporate file server dari Client01 dengan menggunakan VPN Reconnect connection yang sebelumnya telah kita setup.

Tahapan untuk menguji remote connection dengan mengakses sebuah remote file share :

1. Klik Start, kemudian klik All Programs, klik Accessories, dan kemudian klik Run. 2. Klik Start, ketikkan \\dc01.wirecat.com\supply chain, dan kemudian tekan Enter.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



3. Klik-ganda VPNTest untuk membukanya, tambahkan beberapa teks dan kemudian simpan file tersebut.

4. Tutup Notepad. 5. Pada window Network Connections, klik-kanan VPN Reconnect Connection, dan

kemudian klik Disconnect.

4.6. Simulasi Uji Koneksi Simulasi uji kehandalan koneksi saat terjadi perubahan koneksi internet Pada bagian sebelumnya, kita telah menguji koneksi yang remote dengan menggunakan seting VPN Reconnect. Sekarang kita dapat mensimulasikan perubahan pergantian interface dari wired ke wireless untuk koneksi yang remote dengan VPN Reconnect. Berikut langkah-langkah pada Client01 yang dilakukan untuk mensimulasikan pergantian penggunaan interface:

1. Bentuklah koneksi remote dengan VPN Reconnect antara komputer client dengan server VPN.

2. Lakukan pemutusan koneksi komputer client dari local internet interface (Ethernet – Wired LAN). Perhatikan di sini bahwa VPN Reconnect connection tetap ada dan tidak secara otomatis terputus.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



3. Kemudian coba lakukan koneksi dengan menggunakan Wireless LAN. VPN Reconnect connection akan secara otomatis mendeteksi interface baru dan langsung menggunakannya, memulihkan kembali koneksi VPN dan konektivitas aplikasi.

Penting: Pada langkah di atas, diasumsikan bahwa wireless access point untuk Internet tersedia pada sisi client untuk Client01 untuk dapat melakukan koneksi ke internet

4. Pastikan perpindahan konektivitas (connection switch) sukses dilakukan.

Tahapan untuk membentuk koneksi remote dengan VPN Reconnect antara client dan server VPN :

1. Pada Client01, klik ikon network pada notification area pada bar Start. 2. Klik VPN Reconnect Connection, dan kemudian klik Connect. 3. Pada kotak dialog connection, klik Connect. 4. Periksa kembali bahwa koneksi sukses dilakukan. Klik ikon network pada

notification area dari bar Start sekali lagi. VPN Reconnect Connection menampilkan status Connected.

Tahapan untuk memutus koneksi client dari local internet interface :

1. Pada Client01, cabut kabel Ethernet dari kartu jaringan. 2. Klik ikon network pada notification area dari bar Start sekali lagi. Status dari VPN

Reconnect Connection telah berubah menjadi Dormant: Server Unavailable.

Tahapan untuk membentuk Internet interface melalui wireless atau koneksi internet lain :

1. Pada Network and Sharing Center, klik Connect to a network. 2. Pilih wireless atau koneksi internet lain dari daftar koneksi yang tersedia dan

kemudian klik Connect. 3. Buka Network and Sharing Center dan pada View your active networks,

perhatikan Identifying… untuk internet interface kita yang baru. 4. Tunggu beberapa detik hingga konektivitas internet dipulihkan. VPN Reconnect

connection secara otomatis memulihkan konektivitas aplikasi setelah pemulihan berlangsung pada konektivitas internet.

5. Klik pada ikon network di notification area dari bar Start sekali lagi. Status dari perubahan koneksi ke Dormant: waiting to reconnect, dan kemudian perubahan ke Connected.

6. Klik Start, ketikkan cmd dan kemudian tekan Enter. 7. Pada window Command Prompt, ketikkan ping dc01.wirecat.com. 8. Periksa kembali apakah kita sukses melakukan ping DC01.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s



Bab 5. Penutup

Tidak semua hal dibahas secara terperinci dalam buku ini, karena memang sasarannya adalah pemaparan secara hand-on; instruksi langkah-langkah konfigurasi dari Remote Access dengan menggunakan VPN Reconnect. Tetapi mudah-mudahan tetap dapat bermanfaat bagi rekan-rekan yang ingin mengetahui fitur dan cara konfigurasi Remote Access dengan menggunakan VPN Reconnect, yaitu VPN yang berbasis protokol tunneling yang baru, yaitu IPSec Mode with Internet Key Exchange version 2 (IKEv2) pada Windows Server 2008 R2. Untuk informasi lebih lanjut tentang RRAS dan VPN server, dapat mengunjungi Routing dan Remote Access Server (http://go.microsoft.com/fwlink/?linkid=149606) di Windows Server Technical Library. Terimakasih dan mohon maaf atas segala kekurangannya.

for w

ss-id

.org a

nd m

ugi.o

r.id co

mmunitie

s

Documents

eBook Mengenal Windows Server 2008 R2 - VPN Reconnect