Algumas vezes precisamos muito de determinados arquivos que estão dentro da rede da empresa e acabamos ficando na mão porque nossa empresa não dispõe de um SharePoint ou mesmo um aplicativo que rode totalmente na web. O acesso de fora utilizando o outlook e não o Webmail também é uma chateação pois exige configuração de acesso RPC via HTTPS, certificados válidos ou não válidos e por aí vai a brincadeira.
Se você não quer ficar batendo a cabeça e quer disponibilizar todos estes acessos à sua empresa faça o seguinte.
Abra o gerenciador do ISA, escolha a opção Virtual Private Networks (VPN) e clique na opção "Configure Address Assignment Method. Esta opção permite dizer de onde veem as conexões VPN , como serão autenticados e que endereço IP os clientes VPN irão receber.
Na aba "Access Networks", escolha a sua placa de rede externa, em "Address Assignment" escolha a opção DHCP se o seu ISA tiver uma "perna" para cada lado (Rede Interna e Rede Externa) ou, você pode escolher a opcão de endereços estáticos e fornecer um range de endereços TCP/IP a ser entregue aos seus clientes de VPN. Na aba "Authentication" escolha a opção que melhor lhe convier. Sinceramente, acredito que MS-ChapV2 já seja suficiente para a grande maioria dos casos mas cada empresa tem o seu nível de exigência quando se trata de segurança. Caso você queira utilizar um servidor RADIUS, escolha a próxima aba e entre com as informações necessárias.
Feitas estas primeiras configurações é necessário habilitar o acesso da VPN. Escolha a opção "Enable VPN Client Access" e marque a opção com o mesmo nome na aba "general". A partir deste momento você precisará dizer quem pode e quem não pode acessar sua VPN, afinal, quem estabelecer a VPN estará dentro da sua rede. Escolha a aba "groups" e adicione um grupo do seu domínio caso seu ISA esteja no domínio, ou, crie usuários e coloque-os em um grupo de fácil identificação. Eu sugiro criar usuários no ISA (caso esteja fora do domínio da empresa) e criar um grupo chamado VPN, adicione os usuarios neste grupo e permita que o grupo VPN tenha acesso de estabelecer VPN com seu ISA Server.
Chegou a hora de escolhermos os protocolos. Toda e qualquer VPN tem sua criptografia por padrão mas podemos optar por um ou outro protocolo. Na aba "protocols" podemos fazer esta escolhar. Por padrão o PPTP é o escolhido. Caso você queira algo bem mais elaborado, pode fazer uso do L2TP/IPSEC que utiliza certificados de autenticação.
A princípio já temos 50% da nossa VPN pronta, agora crie regras de acesso no seu ISA Server permitindo que clientes VPN façam isto ou aquilo.
Um exemplo bem simples, crie uma regra de acesso onde temos:
Action: Allow
Protocols: All Outbound Traffic
From: VPN Clients
To: Rede Interna
Users: All Users
Com esta regra você libera todo e qualquer tráfego de clientes VPN para sua rede interna. Cuidado, isto é somente um exemplo. Geralmente não se libera todos os protocolos para evitar surpresas desagradáveis. Verifique quais serão os serviços que você irá precisar e libere somente os protocolos e portas necessárias.
Pronto ? Ainda não. Ainda temos que criar a conexão VPN nos nossos clientes. Vou citar um exemplo de conexão em Windows 2000 (Não muda quase nada de um client para outro).
Vá nas conexões de rede e escolha criar uma nova conexão. O tal assistente irá guiar você durante este processo. Escolha a opção "Conectar-me a uma rede em meu local de trabalho", você vai notar que na explicação deste ítem existe a palavra VPN... . No tipo de conexão vamos escolhar a nossa famosa VPN, coloque o nome da empresa ou um nome da sua conexão, adicione o endereço IP ou uma entrada de DNS que chegue até seu ISA Server, altere a opção de acessível por fulano ou todos conforme seu gosto e finalize. Pronto ? ehehehe. Quase...
Abra sua nova conexão VPN e clique em propriedades. Na aba rede, clique em cima de "Internet Protocol" e escolha propriedades. Vamos precisar alterar, ou melhor, adicionar o seu servidor DNS interno para que no momento que você fechar sua VPN tenha realmente a sensação de estar conectado no seu ponto de rede da sua mesa. Adicione o endereço do seu servidor DNS, clique em avançado e também adicione os servidores Wins da sua rede. Agora sim, está tudo pronto. Faça um teste...
Acesse a internet via ADSL, Rede Wi-Fi do aeroporto, celular ou qualquer outro meio que esteja fora da sua rede corporativa, monte sua VPN e experimente abrir seu Outlook.... tente usar o famoso \\servidor\compartilhamento e veja o que acontece. É isso aí, você está virtualmente ligado a sua rede corporativa com a segurança de estar trafegando tudo através de uma rede criptografada. Faça bom proveito da sua nova conexão.
Um abraço.
Comentários
Muito util este artigo.
O Esquema apresentado tambem libera o acesso a gerenciador de banco de dados??( sql-server ).
Obrigado.
Jerry Ubiratan.