Always On VPN – Microsoft
“Always On VPN” is de opvolger van Microsoft’s “DirectAccess VPN”. DirectAccess bestaat nog steeds maar wordt niet actief verder ontwikkeld. DirectAccess is ook een stuk gecompliceerder dan Microsoft’s nieuwe “Always On VPN” technologie. DirectAccess zal voorlopig nog vele jaren ondersteund worden maar als je nu een VPN technologie wilt implementeren waarmee cliënts overal toegang hebben tot uw data en het netwerk voldoet aan de juiste eisen om Always On VPN te implementeren dan is Always On VPN “the way to go”. In deze post gaan we bekijken wat Always On VPN is en wat er voor nodig is om het te implementeren.
Allereerst is het goed om te weten dat Microsoft’s Always On VPN technologie alleen wordt ondersteund op Windows 10. Windows 7 en oudere client-side OS systemen worden niet ondersteund. Always On kan geconfigureerd worden met Windows Server 2012 maar word pas volledig ondersteund v.a. Windows Server 2016. Vervolgens is het goed om te realiseren dat Always On VPN niet meer beheerd kan worden middels AD en Group Policies. Het beheer van Always On geschied via SCCM (Microsoft System Center Configuration Manager), Azure Intune of Powershell.
Laten we allereerst eens een aantal voordelen opsommen van de Always On VPN technologie:
- Ondersteuning voor non-enterprise Windows 10 systemen (Home en Professional)
- Betere controle voor toegang op gedeeltes het netwerk (granular network access) i.p.v. het gehele netwerk
- Ondersteuning voor IPv4 en IPv6
- Netwerk onafhankelijk. Zo woar Microsoft RRAS (Routing and Remote Access Service) ondersteund maar ook andere merken zoals Cisco, Fortinet, Juniper en Palo Alto
- Toegang op basis van device health en alle moderne MFA technieken zoals Windows Hello for Business and Azure MFA
- Betere performance (door gebruik IKEv2 protocol)
- Geen NLS (Network Location Server) server meer nodig om te bepalen of een cliënt inside of outside de organisatie is
- Traffic filtering mogelijk voor betere controle en security
- Cliënts zijn niet meer verplicht om “domain-joined” te zijn
- Always On VPN is “Application Triggered”. Dit betekend dat Always On VPN door een applicatie op de achtergrond geactiveerd kan worden
- Geïntegreerd metWindows Information Protection (WIP)
Zoals je ziet biedt Always On VPN ons veel meer moderne features dan de klassieke DirectAccess oplossing. Maar hoe ga je te werk als je Always On VPN wilt integreren in het bedrijf. Wat heb je nodig? Allereerst is het goed om te weten hoe het netwerk eruit gaat zien.
Deze afbeelding laat duidelijk zien dat de Windows 10 VPN-cliënt middels openbare DNS-servers een query uitvoert voor het verkrijgen van het IP-adres van de VPN-gateway. De VPN-client verzend een verbindingsverzoek naar deze VPN-gateway. De VPN-gateway is geconfigureerd als een Remote Authentication Dial-In User Service (RADIUS) Client. En dus verzend de VPN-gateway het verbindingsverzoek naar de NPS-server van de organisatie zodat de verbindingsaanvraag verwerkt kan worden. De NPS-server verwerkt het verbindingsverzoek voert eveneens de autorisatie en authenticatie uit en bepaalt of het verbindingsverzoek moet worden toegestaan of geweigerd. Als de verbinding wordt toegestaan verzend de NPS-server een Access-Accept en bij weigering een Access-Deny response terug naar de VPN-gateway. Tenslotte wordt de verbinding op basis van de gekregen respons gestart of beëindigd door de VPN gateway.
De onderdelen die in deze opzet belangrijk zijn om de verbinding mogelijk te maken zijn o.a.
- DNS Servers
- Firewalls
- Remote Access Gateway VPN Server
- Network Policy Server (NPS)
- Active Directory Certificate Services
- Active Directory Domain Services
- Windows 10 VPN Cliënts
DNS Servers
In deze opzet hebben we te maken met zowel interne als externe DNS servers. Beide DNS servers moeten voorzien zijn van de juiste zone’s. Standaard gaat Microsoft ervan uit dat je interne zone (corp.jarnobaselier.nl) een gedelegeerd subdomein is van je externe zone (jarnobaselier.nl). Echter is een “Split-Brain DNS” opzet waarbij zowel intern als extern dezelfde naamgeving gebruikt wordt ook prima mogelijk.
Firewalls
Tussen de grote boze buitenwereld en het interne bedrijfsnetwerk bevinden zich meestal een of meerdere firewalls. Het is zaak dat deze firewalls geconfigureerd worden om het juiste verkeer door te laten. In deze opzet is dat VPN en RADIUS verkeer.
RADIUS:
UDP: 1812, 1813, 1645 & 1646
ALWAYS ON VPN:
UDP: 500 & 4500
Remote Access Gateway VPN Server
De RAS VPN Gateway server moet worden geconfigureerd voor IKEv2 VPN verbindingen en LAN routeringen. Deze 2 onderdelen vormen slechts een kleine subset van alle mogelijkheden die Windows 2016 Server RAS ons biedt.
IKEv2 is een VPN Tunnel protocol gebaseerd op IPSec welke ontwikkeld is door Microsoft en Cisco. IKEv2 ondersteund verschillende soorten apparaten en platforms. Het grote voordeel van IKEv2 is dat het automatisch opnieuw verbinding maakt, zonder tussenkomst van de gebruiker als de verbinding is weggevallen waardoor IKEv2 ideaal is voor mobiele gebruikers. IKEv2 is zeer veilig en ondersteund verschillende ciphers zoals 3DES, AES en AES256.
Network Policy Server (NPS)
De Network Policy Server maakt het mogelijk om een organisatie breed netwerktoegangsbeleid te maken en afdwingen voor verificatie en autorisatie van verbindingsaanvragen.
In het geval van Always On VPN zullen we de NPS server als RADIUS server configureren zodat de NPS server centrale verificatie, autorisatie en accounting voor externe toegang mogelijk maakt. Op de NPS Server kan eveneens RADIUS Accounting geconfigureerd worden zodat de NPS server NPS Accounting Logs kan verwerken en bewaren.
Active Directory Certificate Services
Om de VPN configuratie succesvol te kunnen voltooien is deze afhankelijk van een AD-Based PKI Infrastructuur zodat de juiste certificaten kunnen worden uitgegeven en worden gecontroleerd. Middels de AD CA Infrastructuur wordt het mogelijk om een user, apparaat of service te koppelen aan een openbare sleutel. De volgende onderdelen dienen geconfigureerd te worden:
- User Authentication certificate template
- VPN Server Authentication certificate template
- NPS Server Authentication certificate template
Doordat je de certificaat sjablonen aanmaakt wordt het beheer en het uitgeven van certificaten vereenvoudigd. De sjablonen maken het mogelijk om gemakkelijk certificaten te genereren met een vooraf gesteld doel.
Active Directory Domain Services
Uiteraard gebruiken we Active Directory voor de implementatie. Active Directory huisvest diverse objecten (zoals computer accounts en gebruikers accounts) die we later nodig hebben voor PEAP (Protected Extensible Authentication Protocol) authenticatie. Ook worden Group Policies gebruikt om configuraties te definiëren. Door gebruik te maken van groepen en GPO’s is het beheer van Always On VPN simpel en snel. Toegang toekennen of intrekken is eveneens zeer eenvouding.
Windows 10 VPN Cliënts
Windows 10 komt native met een eigen VPN cliënt. Hier hoeft dus geen additionele software voor te worden aangeschaft. Aangeraden wordt om minimaal Windows 10 Anniversary Update (version 1607) te draaien zodat de VPN cliënt afdoende werkt.
Always On VPN Deployment
Het uitrollen van Always On VPN vergt nogal wat voorbereiding en kan middels verschillende scenario’s worden uitgevoerd. Microsoft adviseert uiteraard “The Microsoft Way” met Microsoft servers en oplossingen. Omdat de Always On VPN uit 2 gedeeltes bestaat, namelijk de Windows 10 VPN cliënt en de VPN server zijn er meerdere scenario’s mogelijk. Zo kan de backend, de VPN server ook gerealiseerd worden met alternatieve diensten zoals Palo Alto, Juniper of Cisco.
Het volgende schema van de Microsoft website geeft hier een beknopt overzicht van de Microsoft preffered method. De VPN cliënt kan geconfigureerd worden via MDM tooling zoals InTune of de ProfileXML VPNv2 CSP Node (vergelijkbaar met GPO).
Om stap-voor-stap een Always-On VPN service te installeren is voor 1 post teveel content. Ik ben van plan om een aantal posts (later dit jaar) te weiden aan specifieke onderdelen van de Always On VPN Configuratie. Denk hierbij aan bijvoorbeeld configuratie van de VPN server, de RAS server, de NPS server en de VPN Client via InTune.
Meer weten? Follow me…. And please… like or share my posts will ya! Thank you!