Microsoft Lync Server
Header

 

NAP (Network Access Protection) nos permite controlar el acceso completo o registringido a la red si cumplen las directivas de mantenimiento correspondientes, tanto en conexiones locales como de acceso remoto. Voy a tratar de explicar cómo podemos configurar NAP en una conexión VPN con SSTP, pero solo voy a comentar la configuración del NPS, puesto que la configuración del servidor RRAS con SSTP lo había publicado en su momento:
 

Este es el esquema que trataremos de configurar en este artículo

vpn_sstp_nap_esquema.jpg

Una vez que tenemos configurado el servidor VPN, empezamos con la configuración del NPS. Primero debemos configurar el servidor RRAS para que la autenticación de los clientes VPN sea mediante RADIUS:vpn_sstp_nap_3.jpg
ahora debemos configurar en el servidor NPS  el cliente Radius, en este caso sería el servidor RRASvpn_sstp_nap_4.jpg

escribimos un nombre descriptivo, el nombre o dirección IP del cliente radius y la clave compartida entre ambos
vpn_sstp_nap_5.jpg
también debemos seleccionar que el cliente Radius es compatible con NAPvpn_sstp_nap_6.jpg
Una vez que hemos configurado el cliente y servidor radius respectivamente, vamos a comenzar con la configuración de NAP. Seleccionamos el servidor de NPS (Local) y en la parte derecha pulsamos en Configurar NAP y continuamos con el asistente
vpn_sstp_nap_7.jpg
seleccionamos como método de conexión de red la opción Red privada virtual (VPN), escribimos un nombre para esta directiva y pulsamos en Siguientevpn_sstp_nap_8.jpg
agregamos el cliente radius (RRAS) que utilizarán esta directiva y pulsamos en Siguientevpn_sstp_nap_9.jpg
agregamos el grupo de usuarios que tendrán acceso mediante VPN (ACL NPS VPN Usuarios) y pulsamos en Siguientevpn_sstp_nap_10.jpg
ahora debemos seleccionar el certificado que utilizará el servidor para presentarle a los clientes VPN, sino es el que tiene seleccionado por defecto podemos elegir otro diferente. Además, seleccionaremos como se autenticarán los usuarios, en nuestro caso elegimos Tarjeta inteligente u otro certificado (EAP-TLS) y pulsamos en Siguientevpn_sstp_nap_11.jpg
ahora debemos seleccionar los servidores de actualizaciones (WSUS) que tengamos disponibles para los equipos que no superen las SHV y también la URL de Ayuda si disponemos de ella

vpn_sstp_nap_12.jpg
como no teníamos configurado el grupo de servidor de actualizaciones configurados, vamos a hacerlo sobre la marcha y pulsamos en Grupo Nuevo y añadimos nuestro servidor de actualizaciones

vpn_sstp_nap_13.jpg
una vez configurado el grupo de servidores de actualizaciones pulsamos en Siguiente
vpn_sstp_nap_14.jpg
ahora tenemos que indicarle que ocurrirá si el cliente cumple o no los requisitos de NAP, además habilitamos la corrección automática de equipos cliente. Y los clientes que no cumplan con NAP no se les permitirá acceso a la red de la empresa y pulsamos en Siguiente
vpn_sstp_nap_15.jpg
ahora nos muestra el resumen de lo que hemos ido configurando y pulsamos en finalizarvpn_sstp_nap_16.jpg
Si ahora revisamos las directivas de red veremos que tenemos tres creadas desde el asistente anterior:vpn_sstp_nap_17.jpg

Vamos a ver cada una de las directivas:

NAP VPN Compatible

vpn_sstp_nap_18.jpg
como vemos tenemos configurada la directiva de mantenimiento NAP VPN Compatiblevpn_sstp_nap_19.jpg
ahora veremos la directiva de mantenimiento para que veáis la configuración de la misma, para poder conectarse con esta directiva de mantenimiento debe cumplir todas las comprobaciones de SHV

vpn_sstp_nap_20.jpgvpn_sstp_nap_21.jpg

Debemos seleccionar el método de autenticación desde el botón Agregar y seleccionamos  Microsoft: Tarjeta inteligente u otro certificado y desmarcamos el resto de métodos que viene seleccionados por defecto (MS-CHAP-v2 y MS-CHAP)vpn_sstp_nap_22.jpg
vpn_sstp_nap_23.jpg
ahora revisamos las opciones de Cumplimiento NAP y por defecto está seleccionado Permitir acceso completo a la red y Habilitar corrección automática de equipo clientvpn_sstp_nap_24.jpg

NAP VPN No Compatible

vpn_sstp_nap_25.jpg

como vemos tenemos configurada la directiva de mantenimiento NAP VPN No Compatiblevpn_sstp_nap_26.jpg

vpn_sstp_nap_27.jpgvpn_sstp_nap_21.jpg
La configuración de autenticación es la misma en todas las directivas, por lo que vamos directamente a la Configuración NAP y ahora pulsamos en Configurarvpn_sstp_nap_28.jpg
vpn_sstp_nap_29.jpg

NAP VPN No Compatible con NAP

La configuración de esta directiva es igual que la NAP VPN No Compatible con la diferencia que en la configuración de compatibilidad con NAP se ha seleccionado que El equipo no es compatible con NAP. El resto de configuración es exactamente la misma que la directiva anterior.

vpn_sstp_nap_30.jpg

Ahora debemos configurar el cliente que se conectará al servidor VPN, pero antes de configurar la conexión VPN debemos tener configurado los siguientes servicios en los equipos que se conectarán a la VPN:

 

Iniciar el servicio Agente de Protección de acceso a redes y cambiarla el Tipo de Inicio a Automático

vpn_sstp_nap_31.jpg

Iniciar el servicio Centro de seguridad

vpn_sstp_nap_32.jpg
y por último debemos habilitar el Cliente de aplicación de cuarentena de EAP desde la Configuración del cliente NAP (Inicio – Ejecutar – napclcfg.msc)vpn_sstp_nap_33.jpg

Como la máquina la cual he configurado el cliente VPN no está en el dominio, tengo que instalar el certificado raíz de confianza y el certificado personal del usuario. Yo he configurado una CA interna en mi DC y solicitaré ambos certificados desde el servidor Web de la CA. Accedemos al servidor WEB y nos autenticamos con los datos del usuario con el que nos vamos a conectar a la VPN, para que el certificado que nos emita será para dicho usuario:vpn_sstp_nap_38.jpg

Primero vamos a instalar la CA, para ello debéis hacerlo de la siguiente forma

vpn_sstp_nap_39.jpg
vpn_sstp_nap_40.jpg

vpn_sstp_nap_41.jpg
vpn_sstp_nap_42.jpg
vpn_sstp_nap_43.jpg
vpn_sstp_nap_44.jpg
vpn_sstp_nap_45.jpg

Ahora vamos a solicitar en línea el certificado de usuario, para ello abrimos la misma URL pero elegimos otras opciones

vpn_sstp_nap_46.jpg
vpn_sstp_nap_47.jpg
vpn_sstp_nap_48.jpg
vpn_sstp_nap_49.jpg
vpn_sstp_nap_50.jpg

Una vez que ha finalizado la solicitud e instalación del certificado vamos a verificar que lo tenemos instalado, para ello abrimos Internet Explorer y vamos a Herramientas – Opciones de Internet – Contenido – Certificados
vpn_sstp_nap_51.jpg

Ahora si podemos proceder a configurar la conexión VPN, para ello vamos a la Centro de Redes y Recursos Compartidos y creamos una configuración de red con la siguiente configuración

vpn_sstp_nap_34.jpgvpn_sstp_nap_35.jpg
vpn_sstp_nap_36.jpgvpn_sstp_nap_37.jpg

Ahora debemos probar la conexión VPN para verificar que autentica y conecta  correctamente, pero como no tengo antivirus estoy restringido

vpn_sstp_nap_52.jpg

Desde la consola del RRAS también puedo ver la conexión del cliente VPN y su estadovpn_sstp_nap_60.jpg

Si ahora instalo el antivirus y pruebo a conectarme pero sigo sin poder conectarme y estoy "registringido" porque aún no he actualizado el antivirus

vpn_sstp_nap_53.jpg

si actualizo el antivirus y vuelvo a conectarme ahora sí cumplo todos los requisitos
vpn_sstp_nap_54.jpg

como hemos hecho antes podemos verificar los clientes conectados y su estado desde el RRASvpn_sstp_nap_61.jpg

por supuesto tengo acceso a los recursos internos de la empresa

vpn_sstp_nap_59.jpg

Si ahora que estoy conectado desactivo el antivirus el sistema me alertará de que estoy registringido restringido y me muestra cual es la razón

vpn_sstp_nap_55.jpg

Si pulsamos en Más información nos llevará a la web de soporte que hemos configurado anteriormente (yo he puesto la página por defecto del IIS pero vosotros deberíais poner una web de ayuda)

vpn_sstp_nap_56.jpg

Antes de conectaros  la VPN podéis comprobar el estado de vuestro equipo desde el Centro de Actividades (vpn_sstp_nap_58.jpg)

vpn_sstp_nap_57.jpg

Como veis podemos hacer muchas cosas y muy interesantes, además podemos hacer filtros IP, etc.. Es bastante sencillo y rápido de configurar, además es muy útil no solo para conexiones VPN sino también para DirectAccess, Redes Inalámbricas, DHCP, etc… casi todo lo que queráis implementar con NPS es posible implementarle NAP

Espero que os sea de utilidad!!!