VPN 삽질 정보 백업.

VPN 삽질 노트 2

일단 AD가 깔려 있어야 AD를 깔았다.

cmd - dcpromo.exe
 하면 된다.

 초 간단.
 지울 때도 같다.

 안 깔려 있는 상태에서는 /forceremoval 옵션을 줘도 설치를 한다.
 dcpromo.exe는 AD  ON/OFF 명령어라고 보면 되겠다.

 생성/삭제 시 administrator 암호를 물어 본다.

 즉, AD를 깔면 AD쯕으로 user 정보가 넘어간다.

 그래서 AD 설치 후에는 compmgmt.msc에서 더 이상 유저 정보를 볼 수 없는 것이다.

사실 AD를 안 깔아도 VPN은 잘 동작할 것 같다.
AD는 거의 기본 서비스 이기 때문에  서버 테스팅은 거의 AD에서
이루저지지 않았을까하고 생각해 본다. 그래서 설치하는 것이다.

설치 후에는 윈도우키 + Break로 고급 설정에 들어가서 컴퓨터 이름을 바꾸어 준다.
꼭 바꿀 필요는 없는데 FQDN(Full Qulified Domain Name)을 클라우드에서 받은
이름으로 해 줬더니 뭔가 덕지덕지 더 붙어서 이상한 이름으로 ㅡㅡ;
클라우드에서 받은 걸로 나오도록 해주려면 도메인 네임을
cloudapp.net으로 바꿔주면 된다.

알아서 잘 확인하고.

Activie Directory Certification Service를 깔아준다. 인터넷에 있는 걸로
난 Stand alone으로 안 깔고 Enterprise로 깔았다. 왜? 공부 하려고.
까는 도중 IIS도 깐다.
일단 http://localhost를 IE에서 쳐서 인터넷 접속 확인하고.
cloud에서 80 tcp 포트 열어서 외부 에서도 확인한다.

IIS는 잘 동작 하구먼~

시작 - 실행 ... 간단히 윈도우키 + R을 누르고
mmc를 치면
관리 콘솔이 나온다.

이 친구는 입맛대로 설정을 골라서 만들 수 있는 부페의 접시 같은 녀석이다.
Ctrl+M을 눌러서
인증서를 담아 준다.

그럼 컹. root 인증서가 벌써 있다. 보면 ㅡㅡ;

그렇다. localhost/certsrv 들어가서 따로 만들어 줄 필요가 없는 것이다.

Intended purpose가 all로 되어있다. 웹 인증서니 서버 인증서니... 다 필요 음땅.

요거 하나면 된다.

라고 일단 생각해 본다.

키가 붙은건 개인키 같고 키 모냥이 없는건 공개키 같다.

사용자를 추가 해 준다.

서버 admin tool에 보면 Active directory용 유저 관리가 있다.

생성 후 Dial-in properties에 들어가서 network access allow로 바꿔준다.

그 전에 SSL 테스트를 해 보려고 TCP 443 포트를 클라우드에 열어 준다.

그리고 다른 컴퓨터에서 HTTPS를 붙여서 웹으로 접속해 본다.

접속이 안된다. 인증서 문제인가?

뭐 일단 접어 두고

포트
점검

•For PPTP:
◦IP Protocol=TCP, TCP Port number=1723   <- by="" control="" nbsp="" p="" path="" pptp="" used="">◦IP Protocol=GRE (value 47)   <- by="" data="" p="" path="" pptp="" used="">•For L2TP:
◦IP Protocol Type=UDP, UDP Port Number=500    <- by="" control="" ec="" ikev1="" nbsp="" p="" path="" used="">◦IP Protocol Type=UDP, UDP Port Number=4500   <- by="" control="" ec="" ikev1="" nbsp="" p="" path="" used="">◦IP Protocol Type=ESP (value 50)   <- by="" data="" ipsec="" p="" path="" used="">•For SSTP:
◦IP Protocol=TCP, TCP Port number=443   <- and="" by="" control="" data="" nbsp="" p="" path="" sstp="" used="">•For IKEv2:
◦IP Protocol Type=UDP, UDP Port Number=500    <- by="" control="" ec="" ikev2="" nbsp="" p="" path="" used="">◦IP Protocol Type=UDP, UDP Port Number=4500   <- by="" control="" ec="" ikev2="" nbsp="" p="" path="" used="">◦IP Protocol Type=ESP (value 50)   <- by="" data="" ipsec="" p="" path="" used="">

•For PPTP:
◦IP Protocol=TCP, TCP Port number=1723  <- by="" control="" nbsp="" p="" path="" pptp="" used="">◦IP Protocol=GRE (value 47)  <- by="" data="" p="" path="" pptp="" used="">•For L2TP:
◦IP Protocol Type=UDP, UDP Port Number=500   <- by="" control="" ec="" ikev1="" nbsp="" p="" path="" used="">◦IP Protocol Type=UDP, UDP Port Number=4500 <- by="" control="" ec="" ikev1="" nbsp="" p="" path="" used="">◦IP Protocol Type=UDP, UDP Port Number=1701  <- by="" control="" data="" l2tp="" nbsp="" p="" path="" used="">◦IP Protocol Type=50  <- by="" data="" p="" path="" used="">•For SSTP:
◦IP Protocol=TCP, TCP Port number=443   <- and="" by="" control="" data="" nbsp="" p="" path="" sstp="" used="">•For IKEv2:
◦IP Protocol Type=UDP, UDP Port Number=500   <- by="" control="" ec="" ikev2="" nbsp="" p="" path="" used="">◦IP Protocol Type=UDP, UDP Port Number=4500 <- by="" control="" ec="" ikev2="" nbsp="" p="" path="" used="">◦IP Protocol Type=UDP, UDP Port Number=1701  <- by="" control="" data="" l2tp="" nbsp="" p="" path="" used="">◦IP Protocol Type=50 <- by="" data="" p="" path="" used="">
remote route 서비스가 든 role을 추가하고 서비스는 켜지 않고 연결해 보면
(IKEv2로)
ERROR 809 가 나온다. 방화벽이나 VPN, NAT에 막혔다고

일단 방화벽은 advanced mode에서 다 끄고 서비스 켜고 해본다.
(NAT는 테스트 해 보니 켜지 않으면 따로 매핑을 하지 않는다)

그러면 이제 13819 잘못된 인증서 오류로 바뀐다.

로컬에 신뢰된 ... 뭐시기에 있는 애들을 다 지워도

잘못된 인증서 종류로 나온다.

서버에서 인증서가 오긴 하는게 그게 잘 못 된 것 같다.

http://social.technet.microsoft.com/wiki/contents/articles/12039.active-directory-certificate-services-ad-cs-error-in-order-to-complete-certificate-enrollment-the-web-site-for-the-ca-must-be-configured-to-use-https-authentication.aspx

Enterprise 인증서는 포기하고... 일전에는 SSL까지 되더니...

중간에 role을 지우고 다시 설치하는 과정에서 뭔가가 꼬이는 것 같다.

다시 certsrv 웹에서 실행해도 https 아니면 안된다고 하는 경우는

익스플로러 보안 설정에서

Active X 관련 설정 중 diabled 된 애들을 Enable로 바꿔주면 된다.