Разное

Vpn server windows 2019 server: Как настроить VPN на Windows Server и перестать ходить на работу?

Содержание

Как настроить VPN на Windows Server и перестать ходить на работу?

Zip File, мои юные любители сисадминства. Нынче мы затронем такую балдёжную тему, как настройка VPN. Эта аббревиатура означает виртуальную частную сеть. С её помощью можно осуществлять подключение к рабочей сети вашего предприятия через безопасный канал. Такая схема позволяет использовать все внутренние ресурсы ЛВС, такие как общие папки, принтеры, почту и т.д. находясь за тысячи километров от офиса.

Для работы нам понадобится Windows Server, который имеет белый IP и выход за NAT. Т.к. данный урок я снимаю преимущественно для слушателей закрытой академии Kurets.Ru, весь процесс поднятия VPN будет продемонстрирован на версии сервера 2016 года. Данный релиз является наиболее актуальным и распространённым на сегодняшний день.

Однако тот же алгоритм действий вполне применим, как более новой версии 2019 года, так и к устаревшим 2012 и 2008 года соответственно.

В качестве клиента будет использоваться стандартная рабочая станция с Windows 10. Такие дела. Что ж, ребятки, меньше слов, больше дела. Не будем сёдня долго запрягать. Погнали настраивать.

Шаг 1. Первым делом заходим на сервер в корпоративной сети и в оснастке «Диспетчер серверов» кликаем по пункту «Добавить роли и компоненты».

Шаг 2. Далее.

Шаг 3. Оставляем параметр «Установка ролей и компонентов».

Шаг 4. В данном окне выбираем сервер, на котором собираемся поднимать службу VPN. У нас выбор не велик. Жмём «Далее».

Шаг 5. Отмечаем пункт «Удалённый доступ». Next.

Шаг 6. В компонентах ничего не меняем.

Шаг 7. Знакомимся с информацией о том, что такое в принципе VPN и зачем нужен удаленный доступ.

Шаг 8. Отмечаем галочкой параметр «DirectAccess и VPN» и добавляем необходимые компоненты.

Шаг 9. Далее.

Шаг 10. Далее.

Шаг 11. Всё. Можно приступить к установке. Кликаем по соответствующей кнопке и идём заваривать чай.

Шаг 12. По завершению установки закрываем данную оснастку.

Шаг 13. В диспетчере серверов раскрываем «Средства» и ищем пункт «Маршрутизация и удаленный доступ».

Шаг 14. Видим слева наш сервер, отмеченный красной меткой. Данный цвет кружка свидетельствует о том, что сервер VPN не настроен и соответственно не функционирует. Исправим это недоразумение. Кликаем правой кнопкой. «Настроить и включить маршрутизацию и удаленный доступ».

Шаг 15. Выбираем пункт «Особая конфигурация».

Шаг 16.

Отмечаем «Доступ к виртуальной частной сети (VPN)».

Шаг 17. И после нажатия на «Готово» в последнем окне кликаем по кнопке «Запустить службу».

Шаг 18. Сервер взлетел. Остались нюансы. Вызываем контекстное меню. «Свойства».

Шаг 19. У меня на учебном сервере не настроен DHCP, поэтому на вкладке IPv4 укажем статический пул адресов. Из этого диапазона будут получать настройки наши рабочие станции, которые мы далее будем подключать извне.

class=»eliadunit»>

Шаг 20. Отлично. Диапазон задали. Теперь затронем вопрос безопасности. Переходим на соответствующую вкладку и отмечаем параметр «Разрешить пользовательские политики IPsec для L2TP». Вводим секретный ключ, который будет использоваться для подключения к нашей корпоративной сети из интернета. Жмём «Применить» и в появившемся окне соглашаемся с предупреждением о важности перезапуска службы маршрутизации.

Шаг 21. Перезапускать мы её будем прямо сейчас. В диспетчере привычным движением раскрываем «Средства» — «Службы».

Шаг 22. Ищем в длинном списке «Маршрутизация и удаленный доступ» и вызвав контекстное меню, перезапускаем эту историю.

Шаг 23. Осталось подумать, каким пользователям будет предоставлен доступ к нашей частной сети. У меня данная тачка не в домене. Т.к. подразумевается, что она выполняет исключительно роль общей шары. Поэтому будем мудрить с локальными пользюками. Открываем в пуске «Управление компьютером» и на соответствующей вкладке отмечаем нужного пользователя. Я заранее создал одного Юзверя.

Шаг 24. Заходим в свойства данной учётки и на вкладке «Входящие звонки» разрешаем «Права доступа к сети». Применяем наши изменения.

Шаг 25. И переходим к настройке клиентского компьютера. У меня это комп на Windows 10. Отмечу, что он не находится в одной сети с сервером, но при этом имеет выход в Интернет. Открываем «Центр управления сетями и общим доступом» и далее «Создание и настройка нового подключения или сети».

Шаг 26. В открывшемся окне помощника выбираем пункт «Подключение к рабочему месту».

Шаг 27. «Использовать моё подключение к интернету».

Шаг 28. Вводим белый ip-адрес нашего сервера, который выведен за NAT. И при желании изменяем название подключения. Я оставлю по умолчанию. Ждём «Создать».

Шаг 29. Хорошо. Далее заходим в «Свойства» созданного подключения.

Шаг 30. И на вкладочке «Сеть» раскрываем «Свойства» компонента IPv4. Жмём «Дополнительно» и снимаем галочку с пункта «Использовать основной шлюз в удаленной сети». Это очень важный момент. Если этого не сделать, то сразу после подключения к корпоративной сети, ваше локальное подключение к Интернету на компьютере пропадёт, ибо по умолчанию VPN использует шлюз удалёнки. Так что будьте предельно внимательны и не пропускайте данный шаг при настройке внешних рабочих станций.

Шаг 31. Сохраняем изменения и переходим на вкладочку «Безопасность». Тут нам необходимо изменить тип протокола на «L2TP» и в дополнительных параметрах задать «Ключ для проверки подлинности», который мы ранее указывали на сервере.

Шаг 32. Всё, братцы. Теперь смело можно подключаться. Кликаем по значку сети на панели задач и выбираем наше подключение.

Шаг 33. Вводим данные от учетной записи пользователя. Помним, что в данном примере мы разрешали доступ к нашей сети извне только одному Юзверю.

Шаг 34. И дожидаемся статуса «Подключено». С этого момента мы находимся в корпоративной сети, а следовательно можем пользоваться её ресурсами.

Шаг 35. Давайте попробуем проверить функционал общих папок. Открываем проводник и в адресной строке вводим ip сервера.

Шаг 36. Через некоторое время видим расшареную папку «Общий обмен». Это свидетельствует о том, что наше VPN-подключение к серверу сконфигурировано корректно.

Более подробно о том, как создавать общие папки, настраивать квоты и в целом производить полную настройку виндового сервера, что называется, под ключ. Вы можете узнать в нашем полноценном обучающем курсе по администрированию Windows Server 2016.

>>>КЛИКНИТЕ, ЧТОБЫ УЗНАТЬ ПОДРОБНОСТИ<<<

Друзья, сегодня мы научились создавать защищённое VPN-соединение. С его помощью вы сможете не только наладить свою собственную работу на удалёнке и выполнять большую часть задач прямо из дома, но также при возникновении соответствующей потребности объединить сети нескольких филиалов в единый канал.

Если урок оказался полезным, то не забудьте поставить лайк этому видео и оформить подписку с колокольчиком. Таким образом вы первыми будете получать информацию о новых выпусках. В заключении, традиционно, хочу пожелать вам удачи, успеха и самое главное отличного настроения. Берегите себя и свои сервера. До новых встреч.

class=»eliadunit»>
Полезные материалы:

Настройка сервера удаленного доступа для постоянно подключенного VPN-профиля

Служба RRAS разработана так же, как маршрутизатор и сервер удаленного доступа, поскольку она поддерживает широкий набор функций. Для целей этого развертывания требуется только небольшое подмножество этих функций: поддержка VPN-подключений IKEv2 и маршрутизация по локальной сети.

IKEv2 — это туннельный протокол VPN, описанный в статье запрос принудительного запроса задачи по инженерам Интернета для комментариев 7296. Основное преимущество IKEv2 заключается в том, что оно допускает прерывания в базовом сетевом подключении. Например, если подключение временно потеряно или пользователь переместит клиентский компьютер из одной сети в другую, IKEv2 автоматически восстанавливает VPN-подключение при переустановке сетевого подключения — без вмешательства пользователя.

Настройте сервер RRAS для поддержки подключений IKEv2 при отключении неиспользуемых протоколов, что снижает объем безопасности сервера. Кроме того, настройте сервер для назначения адресов VPN-клиентам из статического пула адресов. Вы можете феасибли назначать адреса из пула или DHCP-сервера. Однако использование DHCP-сервера повышает сложность проектирования и предоставляет минимальные преимущества.

В этой процедуре вы устанавливаете роль удаленного доступа как VPN-сервер шлюза RAS одного клиента. Дополнительные сведения см. в разделе Удаленный доступ.

Для установки роли удаленного доступа с помощью диспетчер сервера можно использовать следующую процедуру.

Откроется диалоговое окно Мастер добавления ролей и компонентов .

В этом разделе вы можете настроить VPN удаленного доступа, разрешающее подключения по протоколу IKEv2 VPN, запретить подключения от других протокола VPN и назначить пул статических IP-адресов для выдачи IP-адресов для подключения разрешенных VPN-клиентов.

  • На VPN-сервере в диспетчер сервера выберите флаг уведомлений .

  • В меню задачи выберите команду открыть мастер начало работы .

    Откроется мастер настройки удаленного доступа.

    Примечание

    Мастер настройки удаленного доступа может открыться позади диспетчер сервера. Если вы считаете, что мастер занимает слишком много времени, переместите или уменьшите диспетчер сервера, чтобы узнать, находится ли мастер за ним. В противном случае дождитесь инициализации мастера.

  • Выберите вариант развернуть только VPN.

    Откроется консоль управления Microsoft (MMC) Маршрутизация и удаленный доступ.

  • Щелкните правой кнопкой мыши VPN-сервер, а затем выберите настроить и включить маршрутизацию и удаленный доступ

    .

    Откроется мастер установки сервера маршрутизации и удаленного доступа.

  • В окне приветствия мастера установки сервера маршрутизации и удаленного доступа нажмите кнопку Далее.

  • В окне Конфигурация выберите Настраиваемая конфигурация, а затем нажмите кнопку Далее.

  • В окне Настраиваемая конфигурация выберите VPN-доступ, а затем нажмите кнопку Далее.

    Откроется окно Завершение работы мастера установки сервера маршрутизации и удаленного доступа.

  • Нажмите кнопку Готово , чтобы закрыть мастер, а затем кнопку ОК , чтобы закрыть диалоговое окно Маршрутизация и удаленный доступ.

  • Выберите запустить службу , чтобы запустить удаленный доступ.

  • В консоли управления для удаленного доступа щелкните правой кнопкой мыши VPN-сервер и выберите пункт Свойства.

  • В окне Свойства перейдите на вкладку Безопасность и выполните следующие действия.

    a. Выберите поставщик проверки подлинности и выберите Проверка подлинности RADIUS.

    b. Нажмите кнопку Настроить.

    Откроется диалоговое окно Проверка подлинности RADIUS.

    c. Выберите Добавить.

    Откроется диалоговое окно Добавление сервера RADIUS.

    d. В поле имя сервера введите полное доменное имя (FQDN) сервера политики сети в вашей организации или корпоративной сети.

    Например, если NetBIOS-имя сервера NPS — NPS1, а имя домена — corp.contoso.com, введите NPS1.Corp.contoso.com.

    д) В окне общий секрет выберите изменить.

    Откроется диалоговое окно изменение секрета.

    е) В поле новый секрет введите текстовую строку.

    ж. В поле Подтверждение нового секрета введите ту же текстовую строку, а затем нажмите кнопку ОК.

    Важно!

    Сохраните эту текстовую строку. При настройке сервера политики сети в организации или корпоративной сети этот VPN-сервер будет добавлен в качестве RADIUS-клиента. Во время этой конфигурации вы будете использовать тот же общий секрет, чтобы серверы NPS и VPN могли обмениваться данными.

  • В окне Добавление сервера RADIUS проверьте параметры по умолчанию для.

  • При необходимости измените значения в соответствии с требованиями для вашей среды и нажмите кнопку ОК.

    NAS — это устройство, предоставляющее некоторый уровень доступа к более крупной сети. NAS, использующий инфраструктуру RADIUS, также является клиентом RADIUS, который отправляет запросы на подключение и сообщения учета на сервер RADIUS для проверки подлинности, авторизации и учета.

  • Проверьте настройку регистратора.

    Если требуется… То…
    Действие удаленного доступа, зарегистрированное на сервере удаленного доступа убедитесь, что выбрана учет Windows .
    Сервер политики сети для выполнения служб учета VPN Измените поставщик учетной отчетности на RADIUS-учет , а затем настройте NPS в качестве поставщика учетных данных.
  • Перейдите на вкладку IPv4 и выполните следующие действия.

    a. Выберите статический пул адресов.

    b. Выберите Добавить , чтобы настроить пул IP-адресов.

    Пул статических адресов должен содержать адреса из внутренней сети периметра. Эти адреса находятся на внутреннем сетевом подключении на VPN-сервере, а не в корпоративной сети.

    c. В поле начальный IP-адрес введите начальный IP-адрес в диапазоне, который вы хотите назначить VPN-клиентам.

    d. В поле конечный IP-адрес введите конечный IP-адрес в диапазоне, который вы хотите назначить VPN-клиентам или в поле число адресов введите номер адреса, который необходимо сделать доступным. Если вы используете DHCP для этой подсети, убедитесь, что на DHCP-серверах настроено соответствующее исключение адресов.

    д) Используемых Если вы используете DHCP, выберите адаптер и в списке результатов выберите адаптер Ethernet, подключенный к внутренней сети периметра.

  • Используемых При настройке условного доступа для VPN-подключения из раскрывающегося списка Сертификат в разделе привязка SSL-сертификата выберите аутентификацию сервера VPN.

  • Используемых Если вы настраиваете условный доступ для VPN-подключения, в консоли управления «NPS» разверните узел политики политики \ сети и выполните следующие действия.

    a. Правой кнопкой мыши щелкните подключения к сетевой политике сервера маршрутизации и удаленного доступа Майкрософт и выберите свойства.

    b. Выберите доступ с предоставлением доступа. Предоставить доступ, если запрос на подключение соответствует этому параметру политики.

    c. В разделе Тип сервера сетевого доступа выберите сервер удаленного доступа (VPN-подключение) в раскрывающемся списке.

  • В консоли MMC «Маршрутизация и удаленный доступ» щелкните правой кнопкой мыши элемент порты и выберите пункт свойства.

    Откроется диалоговое окно Свойства портов.

  • Выберите Минипорт WAN (SSTP) и щелкните Configure (настроить). Откроется диалоговое окно Настройка мини-порта устройства WAN (SSTP).

    a. Снимите флажки подключения удаленного доступа (только входящие) и подключения с маршрутизацией вызовов по требованию (входящие и исходящие) .

    b. Щелкните ОК.

  • Выберите Минипорт WAN (L2TP) и щелкните Configure (настроить). Откроется диалоговое окно Настройка мини-порта устройства WAN (L2TP).

    a. В поле Максимальное число портов введите количество портов в соответствии с максимальным количеством одновременных VPN-подключений, которые требуется поддерживать.

    b. Щелкните ОК.

  • Выберите Минипорт WAN (PPTP) и щелкните Configure (настроить). Откроется диалоговое окно Настройка мини-порта устройства WAN (PPTP).

    a. В поле Максимальное число портов введите количество портов в соответствии с максимальным количеством одновременных VPN-подключений, которые требуется поддерживать.

    b. Щелкните ОК.

  • Выберите Минипорт WAN (IKEv2) и щелкните Configure (настроить). Откроется диалоговое окно Настройка мини-порта устройства WAN (IKEv2).

    a. В поле Максимальное число портов введите количество портов в соответствии с максимальным количеством одновременных VPN-подключений, которые требуется поддерживать.

    b. Щелкните ОК.

  • При появлении запроса выберите Да , чтобы подтвердить перезапуск сервера, и нажмите кнопку Закрыть , чтобы перезапустить сервер.

  • Шаг 4. установка и настройка сервера политики сети (nps). на этом шаге вы устанавливаете сервер политики сети (nps) с помощью Windows PowerShell или мастера диспетчер сервера добавление ролей и компонентов. Вы также настраиваете NPS для обработки всех операций проверки подлинности, авторизации и учета для запросов на подключение, получаемых от VPN-сервера.

    Установка VPN сервера на Windows Server 2016

    В этом кратком руководстве мы опишем процесс установки и настройке VPN-сервера на базе Windows Server. Все действия, описанные в этой статье, были выполнены на Windows Server 2016, но эта инструкция подходит для любой современной серверной операционной системы Windows, начиная с Windows Server 2008 R2 и заканчивая Windows Server 2016.

    Итак, давайте начнем. Прежде всего нам нужно настроить роль удаленного доступа (Remote Access). Для этого в оснастке Server Manager запустите мастер добавления ролей и выберите роль Remote Access.

    Затем, в списке служб роли выберите опцию «DirectAccess and VPN (RAS)«.

    В дополнение к роли удаленного доступа и средствам управления, также автоматически будут установлены веб-сервер IIS и внутренняя база данных Windows (WID). Полный список установленных функций можно просмотреть в окончательном окне мастера, появляющимся перед тем, как вы подтвердите установку.

    Установить роль Remote Access вместе со всеми необходимыми опциями можно всего одной командой PowerShell:

    Install-WindowsFeature -Name DirectAccess-VPN -IncludeAllSubFeature -IncludeManagementTools

    После установки роли вам необходимо включить и настроить службу с помощью оснастки «Маршрутизация и удаленный доступ» (Routing and Remote Access) — rrasmgmt.msc.

    В оснастке RRAS выберите имя сервера, щелкните правой кнопкой мыши и выберите «Настроить и включить маршрутизацию и удаленный доступ» (Configure and Enable Routing and Remote Access) в открывшемся меню.

    В мастере настройки выберите пункт Custom configuration.

    В списке служб выберите опцию VPN access.

    После этого система предложит вам запустить службу Маршрутизации и удаленного доступа.

    Служба VPN установлена и включена, теперь ее необходимо настроить. Снова откройте меню сервера и выберите пункт «Свойства».

    Перейдите на вкладку IPv4. Если у вас нет DHCP-серверов в сети, вам необходимо указать диапазон IP-адресов, которые будут получать клиенты при подключении к VPN-серверу.

    Кроме того, на вкладке Security вы можете настроить параметры безопасности — выбрать тип проверки подлинности, установить предварительный общий ключ для L2TP или выбрать сертификат для SSTP.

    И еще пара нужных моментов, которые следует иметь в виду при настройке VPN-сервера.

    Во-первых, вам нужно указать пользователей, которых будет разрешено подключаться к этому VPN-серверу. Для автономного сервера настройка выполняется локально, в оснастке «Управление компьютером». Чтобы запустить оснастку, вам нужно выполнить команду compmgmt.msc, затем перейдите в раздел «Локальные пользователи и группы». Затем вам нужно выбрать пользователя, открыть его свойства, а на вкладке «Dial-In» отметьте пункт «Разрешить доступ» (Allow access). Если компьютер является членом домена Active Directory, те же настройки можно сделать из оснастки ADUC.

    Во-вторых, проверьте, открыты ли все необходимые порты на брандмауэре Windows и межсетевом экране, осуществляющим NAT-трансляцию. Теоретически, когда вы устанавливаете роль RRAS, соответствующие правила автоматически включаются, но на всякий случай проверьте их самостоятельно. Список разрешенных правил для входящего трафика:

    • Routing and Remote Access (GRE-In) — протокол 47 (GRE)
    • Routing and Remote Access (L2TP-In) – TCP/1701, UDP/500, UDP/4500 и протокол 50 (ESP)
    • Routing and Remote Access (PPTP-In) — TCP/1723
    • Secure Socket Tunneling protocol (SSTP-in) – TCP/443

    Если ваш VPN-сервер находится за NAT, для корректной установки VPN-соединения по протоколу L2TP/ipsec, на стороне клиента необходимо в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent создать ключ с именем AssumeUDPEncapsulationContextOnSendRule и значением 2.

    На этом все. Теперь, когда у вас имеется настроенный VPN-сервер, вы можете подключиться к нему с помощью VPN-клиента.

    Настройка VPN сервера на базе Windows Server 2012 R2

    В этой статье мы покажем, как установить и настроить простейший VPN сервер на базе Windows Server 2012 R2, который можно эксплуатировать в небольшой организации или в случае использования отдельно-стоящего сервера (т.н. hosted-сценариях).

    Примечание. Данный мануал не рекомендуется использовать в качестве справочника для организации VPN сервера в крупной корпоративной сети. В качестве enterprise-решения предпочтительнее развернуть Direct Access и использовать его для удаленного доступа (который, кстати говоря, настроить теперь намного проще, чем в Windows 2008 R2).

    В первую очередь необходимо установить роль “Remote Access”. Сделать это можно через консоль Server Manager или PowerShell (немого ниже).

    В роли Remote Access нас интересует служба “DirectAccess and VPN (RAS)” . Установим ее (установка службы тривиальна, на последующих шагах все настройки можно оставить по-умолчанию. Будут установлены веб сервер IIS, компоненты внутренней базы Windows — WID).

    После окончания работы мастера нажмите ссылку “Open the Getting Started Wizard“, в результате чего запустится мастера настройки RAS-сервера.

    Службу RAS с помощью Powershell можно установить командой:

    Install-WindowsFeatures RemoteAccess -IncludeManagementTools

    Так как нам не требуется разворачивать службу DirectAccess, укажем, что нам нужно установить только сервер VPN (пункт “Deploy VPN only“).

    После чего откроется знакомая MMC консоль Routing and Remote Access. В консоли щелкните правой кнопкой по имени сервера и выберите пункт “Configure and Enable Routing and Remote Access“.

    Запустится мастер настройки RAS-сервера. В окне мастера выберем пункт “Custom configuration“, а затем отметим опцию “VPN Access”.

    После окончания работы мастера система предложит запустить службу Routing and Remote Access. Сделайте это.

    В том случае, если между вашим VPN сервером и внешней сетью, откуда будут подключаться клиенты (обычно это Интернет), есть файервол, необходимо открыть следующие порты и перенаправить трафик на эти порты к вашему VPN серверу на базе Windows Server 2012 R2:

    • Для PPTP: TCP — 1723 и Protocol 47 GRE (также называется PPTP Pass-through)
    • Для  SSTP: TCP 443
    • Для  L2TP over IPSEC: TCP 1701 и UDP 500

    После установки сервера, необходимо в свойствах пользователя разрешить VPN доступ. Если сервер включен в домен Active Directory, сделать это нужно в свойствах пользователя в консоли ADUC, если же сервер локальный – в свойствах пользователя в консоли Computer Management (Network Access Permission – Allow access).

    Если вы не используете сторонний DHCP сервер, который раздает vpn-клиентам IP адреса, необходимо в свойствах VPN сервера на вкладке IPv4 включить “Static address pool” и указать диапазон раздаваемых адресов.

    Примечание. Раздаваемые сервером IP адреса в целях корректной маршрутизации не должны пересекаться с ip адресацией на стороне VPN клиента.

    Осталось настроить VPN клиент и протестировать (как настроить vpn-клиент в Windows 8).

    Совет. VPN сервер также можно организовать и на базе клиентской ОС. Подробно это описано в статьях:

    Настройка OpenVPN-сервера на Windows 2008/2012

    Это пошаговое руководство о том, как настроить OpenVPN-сервер в операционных системах Windows Server 2008/2012 и подключить клиентов к созданной виртуальной частной сети.

    OpenVPN — открытая реализация технологии VPN — Virtual Private Network, которая предназначена для создания виртуальных частных сетей между группой территориально удаленных узлов поверх открытого канала передачи данных (интернет). OpenVPN подходит для таких задач, как безопасное удаленное сетевое подключение к серверу без открытия интернет-доступа к нему, как будто вы подключаетесь к хосту в своей локальной сети. Безопасность соединения достигается шифрованием OpenSSL.

    Содержание:

    Как это работает?

    По окончанию настройки OpenVPN сервер сможет принимать внешние защищенные SSL сетевые подключения к созданному при запуске VPN-сервиса виртуальному сетевому адаптеру (tun/tap), не затрагивая правила обработки трафика других интерфейсов (внешний интернет-адаптер и др.) Имеется возможность настроить общий доступ клиентов OpenVPN к конкретному сетевому адаптеру из присутствующих на сервере. Во второй части инструкции рассмотрено такое туннелирование интернет-трафика пользователей. При этом способе переадресации обрабатывающий VPN-подключения хост будет выполнять и функцию прокси-сервера (Proxy) — унифицировать правила сетевой активности пользователей и осуществлять маршрутизацию клиентского интернет-трафика от своего имени.

    Установка OpenVPN на сервер

    Скачайте и установите актуальную версию OpenVPN, соответствующую вашей операционной системе. Запустите установщик, убедитесь что на третьем шаге мастера установки выбраны все компоненты для установки.

    Обратите внимание, что в этой инструкции дальнейшие команды приведены из расчета, что OpenVPN установлен в директорию по-умолчанию «C:\Program Files\OpenVPN».

    Разрешаем добавление виртуального сетевого адаптера TAP в ответ на соответствующий запрос и дожидаемся завершения установки (может занять несколько минут).

    Генерация ключей (PKI) центра сертификации, сервера, клиента; алгоритм Диффи-Хеллмана

    Для управления парами «ключ/сертификат» всех узлов создаваемой частной сети используется утилита easy-rsa, работающая через командную строку по аналогии с консолью Linux. Для работы с ней откройте запустите командую строку (Сочетание клавиш Win+R, затем наберите cmd и нажмите Enter)

    Файлы конфигурации

    Скачайте наши файлы конфигурации и скрипты и замените их в каталоге C:\Program Files\OpenVPN\easy-rsa.

    Если пути по умолчанию не совпадают, откорректируйте их во всех файлах.

    В файле конфигурации openssl-1.0.0.conf обязательно задайте значения переменным, соответствующие вашим данным: countryName_default
    stateOrProvinceName_default
    localityName_default
    0.organizationName_default
    emailAddress_default

    Примечание: если значение переменной содержит пробел, то заключите ее в кавычки.

    Генерация ключей Центра Сертификации и Сервера

    1. Переименуйте файл index.txt.start в index.txt, serial.start в serial с помощью следующих команд: cd \
      cd "C:\Program Files\OpenVPN\easy-rsa"
      ren index.txt.start index.txt
      ren serial.start serial

      Перейдем к созданию ключа/сертификата центра сертификации. Запустите скрипт: .\build-ca.bat

      В ответ на появляющиеся запросы вы можете просто нажимать Enter. Единственное исключение — поле KEY_CN (Common Name) — обязательно укажите уникальное имя и такое же имя вставьте в поле name.

    2. Аналогичным образом генерируем сертификат сервера. Здесь значение полей Common Name и Name — SERVER: .\build-key-server.bat server

       

      Примечание: аргумент server — имя будущего файла.

      Для всех генерируемых ключей теперь будет задаваться вопрос о том, подписать ли создаваемый сертификат (Sign the certificate) от имени центра сертификации. Отвечаем y (yes).

    Генерация клиентских ключей и сертификатов

    Для каждого клиента VPN необходимо сгенерировать отдельный SSL-сертификат.

    В конфигурации OpenVPN присутствует опция, включив которую вы можете использовать один сертификат для нескольких клиентов (см. файл server.ovpn -> опция «dublicate-cn»), но это не рекомендуется с точки зрения безопасности. Сертификаты можно генерировать и в дальнейшем, по мере подключения новых клиентов. Поэтому сейчас создадим только один для клиента client1:

    Выполните следующие команды для генерации клиентских ключей: cd \
    cd "C:\Program Files\OpenVPN\easy-rsa"
    .\build-key.bat client1

    Примечание: аргумент client1 — имя будущего файла.

    В поле Common Name указываем имя клиента (в нашем случае client1).

    Параметры Diffie Hellman

    Для завершения настройки шифрования, необходимо запустить скрипт генерации параметров Диффи-Хеллмана: .\build-dh.bat

    Отображение информации о создании параметров выглядит так:

    Перенос созданных ключей/сертификатов

    Сгенерированные сертификаты находятся в директории C:\Program Files\OpenVPN\easy-rsa\keys. Скопируйте перечисленные ниже файлы в каталог C:\Program Files\OpenVPN\config:

    • ca.crt
    • dh3048.pem/dh2048.pem
    • server.crt
    • server.key

    Конфигурация сервера OpenVPN

    В дереве найдите каталог HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters. В правой части окна найдите переменную IPEnableRouter, двойным щелчком мыши перейдите в окно редактирования значения и измените его на 1, тем самым разрешив адресацию на VPS.

    1. Перейдем к настройке непосредственно VPN-сервера, используйте наш файл конфигурации с именем server.ovpn и поместите его в директорию C:\Program Files\OpenVPN\config.

      Откройте файл, находим пути до ключей (см. ниже). Проверяем в нем пути до скопированных ранее сертификатов ca.crt, dh2024.pem/dh3048.pem, server.key, server.crt и при необходимости меняем: port 1194
      proto udp
      dev tun
      server 10.8.0.0 255.255.255.0
      ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
      cert "C:\\Program Files\\OpenVPN\\config\\server.crt"
      key "C:\\Program Files\\OpenVPN\\config\\server.key"
      dh "C:\\Program Files\\OpenVPN\\config\\dh3048.pem"
      push "redirect-gateway def1"
      push "dhcp-option DNS 8.8.8.8"
      keepalive 10 120
      comp-lzo
      persist-key
      persist-tun
      verb 3

      Сохраняем файл.

    2. Теперь необходимо разрешить пересылку трафика между адаптерами. Выполните следующие шаги: Панель управления -> Сеть и интернет -> Центр управления сетями и общим доступом -> Изменение параметров адаптера. Выберете адаптер который смотрит во внешнюю сеть Интернет (TAP-адаптер отвечает за VPN соединение). В нашем примере это Ethernet 2.

      С помощью двойного щелчка мыши откройте Свойства адаптера и перейдите во вкладку Доступ, отметьте галочкой все пункты. Сохраните изменения.

    3. Далее нужно включить IP-адресацию.

      С помощью поиска Windows найдите приложение REGEDIT.exe.

    Автозапуск OpenVPN

    Сразу настроим службу OpenVPN на автозапуск при старте системы. Открываем «Службы»(Services) Windows. Находим в списке OpenVPN -> ПКМ -> Свойства (Properties) -> Запуск: Автоматически

    На этом базовая настройка сервера виртуальной частной сети завершена. Найдите файл C:\Program Files\OpenVPN\config\server.ovpn -> кликните правой кнопкой мыши -> «Start OpenVPN on this config» для запуска сервера виртуальной частной сети и подготовленного нами файла настроек.

    Конфигурация клиента OpenVPN

    Клиентские приложения OpenVPN доступны для всех популярных ОС: Windows / Linux / iOS / Android. Для MacOS используется клиент Tunnelblick. Все эти приложения работают с одними и теми же файлами конфигурации. Возможны лишь некоторые различия нескольких опций. Узнать о них вы можете, изучив документацию к своему клиенту OpenVPN. В этом руководстве мы рассмотрим подключение Windows-клиента с использованием того же дистрибутива программы, который мы устанавливали на сервер. При использовании приложений для других операционных систем логика настройки аналогична.

    1. Устанавливаем актуальную версию OpenVPN на клиентский компьютер.
    2. Копируем в директорию C:\Program Files\OpenVPN\config созданные ранее на сервере файлы клиентских сертификатов (2 сертификата с расширением .crt и ключ с расширением .key) и используем наш файл конфигурации клиента client.ovpn. Последний файл после копирования на устройство пользователя удаляем с сервера или переносим из папки config во избежание путаницы в будущем.
    3. Откройте файл client.ovpn. Найдите строку remote my-server-1 1194 и укажите в ней ip-адрес или доменное имя vpn-сервера:
      remote <ip-address> 1194</ip-address>

      Например: remote 111.222.88.99 1194

    4. Находим пути до сертификатов. Указываем в нем пути до скопированных ранее сертификатов ca.crt, client1.key, client1.crt как в примере ниже:
      # See the server config file for more
      # description. It's best to use
      # a separate .crt/.key file pair
      # for each client. A single ca
      # file can be used for all clients.
      ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
      cert "C:\\Program Files\\OpenVPN\\config\\client1.crt"
      key "C:\\Program Files\\OpenVPN\\config\\client1.key"
      # This file should be kept secret
    5. Сохраните файл. Настройка клиентской части завершена.

    Проверка правил Брандмауэра Windows

    Внимание! Для корректной работы сервиса OpenVPN требуется, чтобы на севере были открыты соответствующие порты (по-умолчанию UDP 1194). Проверьте соответствующее правило в вашем Firewall’е: Брандмауэре Windows или стороннем антивирусном ПО.

    Проверка OpenVPN-соединения

    Запустите OpenVPN сервер, для этого перейдите в директорию C:\Program Files\OpenVPN\config и выберите файл конфигурации сервера (у нас server.ovpn -> ПКМ -> «Start OpenVPN on this config file»).

    Запустите клиент, для этого перейдите в директорию C:\Program Files\OpenVPN\config и выберите файл конфигурации клиента (у нас client.ovpn -> ПКМ -> «Start OpenVPN on this config file»).

    На экране отобразится окно статуса подключения. Через несколько секунд оно будет свернуто в трей. Зеленый индикатор ярлыка OpenVPN в области уведомлений говорит об успешном подключении.

    Проверим доступность с клиентского устройства сервера OpenVPN по его внутреннему адресу частной сети:

    1. Нажимаем клавиши Win+R и появившемся окне вводим cmd для открытия командной строки.
    2. Выполняем команду ping до адреса нашего сервера в виртуальной частной сети (10.8.0.1): ping 10.8.0.1
    3. В случае корректной настройки VPN начнется обмен пакетами с сервером

       

    4. С помощью утилиты tracert проверим по какому маршруту идут пакеты от клиента. В консоли введите следующую команду: tracert ya.ru
      Из результата работы утилиты мы видим, что сначала пакеты отправляются на сервер VPN, а уже потом во внешнюю сеть.

    Теперь вы имеете готовую к работе виртуальную частную сеть, позволяющую осуществлять безопасные сетевые подключения между ее клиентами и сервером, используя открытые и территориально удаленные точки подключения к сети интернет.

     

    P. S. Другие инструкции:


    Ознакомиться с другими инструкциями вы можете на нашем сайте. А чтобы попробовать услугу — кликните на кнопку ниже.

    Спасибо за Вашу оценку! К сожалению, проголосовать не получилось. Попробуйте позже

    Подключение к VPN-серверу L2TP/IPSec из Windows – Keenetic

    NOTE: Важно! Если вы планируете настроить Keenetic в качестве VPN-сервера, начать необходимо с проверки того, что он имеет публичный «белый» IP-адрес, а при использовании доменного имени KeenDNS, что оно настроено в режиме «Прямой доступ», для которого также требуется публичный IP-адрес. При несоблюдении любого из этих условий подключение к такому серверу из Интернета будет невозможно. Исключение из этого правила описано ниже в разделе Примечание.

    Встроенный VPN-сервер L2TP/IPSec можно настроить по инструкции «VPN-сервер L2TP/IPsec».

    Рассмотрим пример создания VPN-подключения L2TP/IPSec на компьютере с ОС Windows 10.

    Нажмите правой кнопкой мыши на значок «Пуск», выберите раздел «Сетевые подключения» и на появившемся экране VPN.

    Выберите пункт «Добавить VPN-подключение».

    В настройках подключения в качестве поставщика услуг VPN выберите «Windows (встроенные)». Задайте имя подключения, например «Домашняя сеть». Введите доменное имя или IP-адрес Keenetic, в нашем примере myhomerouter.keenetic.link. Выберите тип VPN — «L2TP/IPSec с предварительным ключом». Введите общий ключ для IPSec, который вы придумали и записали во время настройки VPN-сервера Keenetic, потом имя пользователя (которому разрешено подключение по VPN) и его пароль. Нажмите кнопку «Сохранить».

    Для установления соединения нажмите кнопку «Подключиться».

    Соединение установлено.

    NOTE: Важно! В операционной системе Windows существует проблема, когда невозможно установить одновременно более одного соединения к внешнему VPN-серверу L2TP/IPSec с компьютеров под управлением Windows, использующих один выход в Интернет (один внешний IP-адрес). Подробную информацию вы найдете в инструкции «Установка нескольких одновременных L2TP/IPSec-подключений».

    Примечание

    Возможность подключиться из Интернет к имеющему частный «серый» IP-адрес VPN-серверу появится лишь в том случае, когда на вышестоящем маршрутизаторе с «белым» IP настроен проброс портов на «серый» адрес Keenetic’а. Для L2TP/IPSec требуется проброс UDP 500 и UDP 4500. Другой вариант — проброс всех портов и протоколов, который на некоторых маршрутизаторах имеет название DMZ.

    Типовым примером подобного маршрутизатора является CDCEthernet-модем. Он может получать от провайдера «белый» адрес и выдавать Keenetic’у «серый». Настройка проброса портов зависит от модема. Существуют те, что пробрасывают все порты без дополнительной настройки. В других эта настройка производится в их собственном веб-интерфейсе. А есть и такие, где она вообще не предусмотрена.

    Другой пример такого маршрутизатора это оптический GPON-роутер или терминал от Ростелеком или МГТС, установленный на входе в квартиру. В таких устройствах проброс настраивается в их веб-интерфейсе.

    Если проброс настроен правильно, можно пробовать установить VPN-соединение с внешним «белым» IP-адресом такого маршрутизатора. Он пробросит его на «серый» адрес Keenetic’а.

    Правда в случае L2TP/IPSec есть исключение и из этого правила. Такое подключение легко установится со смартфона или планшета, но не установится с Windows-клиента. 

    Это известное ограничение Windows. В журнале Keenetic в таком случае попытка соединения заканчивается ошибками:

    ipsec11[IKE] received retransmit of request with ID 0, retransmitting response 
    ipsec16[IKE] received retransmit of request with ID 0, retransmitting response 
    ipsec15[IKE] received retransmit of request with ID 0, retransmitting response 
    ipsec15[JOB] deleting half open IKE_SA with 193.0.174.212 after timeout 

    Да, L2TP/IPSec из Windows можно установить только если сам Keenetic имеет «белый» адрес. Проброс не поможет. Существуют однако другие, не столь привередливые виды VPN: PPTP, SSTP или OpenVPN. Их можно использовать для подключения Windows к серверу за NAT-ом после проброса. Для PPTP нужно пробросить TCP порт 1723 и GRE-протокол, для SSTP — TCP 443, а для OpenVPN UDP порт 1194 по умолчанию. Впрочем в последнем случае как протокол так и порт могут быть изменены по вашему желанию в конфигурации OpenVPN.

     

     

    VPN-сервер SSTP – Keenetic

    В интернет-центре Keenetic можно настроить сервер SSTP. Он позволяет организовать удаленное подключение клиентов к локальной сети интернет-центра.

    NOTE: Важно! Основным преимуществом туннеля SSTP (Secure Socket Tunnel Protocol) является его способность работать через облако, т.е. он позволяет установить подключение между клиентом и сервером, даже при наличии частных «серых» IP-адресов с обеих сторон. Все остальные VPN-сервера требуют наличия публичного «белого» IP-адреса.
    Передача данных в SSTP-туннеле происходит при помощи https-трафика.
    Так как сервер SSTP работает через облачные серверы Keenetic Cloud, его скорость зависит от числа пользующихся облаком пользователей и их активности.

    Для подключения к SSTP-серверу не требуется установка дополнительных программ в ОС Windows актуальных версий, а в Android потребуется установка дополнительного приложения для подключения к SSTP-серверу интернет-центра. В качестве клиента SSTP может выступать сам Keenetic. Дополнительную информацию вы найдете в статье «Настройка SSTP-клиента».

    Для настройки сервера обязательно нужно установить компонент системы «SSTP VPN-сервер». Сделать это можно на странице «Общие настройки» в разделе «Обновления и компоненты», нажав на «Изменить набор компонентов».

    После этого перейдите на страницу «Приложения». Здесь вы увидите раздел «VPN-сервер SSTP».

    Для работы сервера нужно зарегистрировать интернет-центр в облачной службе KeenDNS, получив имя из домена keenetic.link, keenetic.pro или keenetic.name, поддерживающих работу с сертификатом безопасности SSL. Иначе, подключающийся к серверу клиент не сможет установить доверенное https-соединение. Информацию о том как зарегистрировать имя KeenDNS вы найдете в статье «Сервис доменных имен KeenDNS».
    Помимо этого, нужно разрешить доступ из Интернета по протоколу HTTPS. Сделать это можно на странице «Пользователи и доступ». В разделе «Удаленный доступ» включите доступ к веб-конфигуратору по протоколам «HTTP и HTTPS» или «Только HTTPS».

    Теперь перейдем к настройке сервера SSTP.

    На странице «Приложения» нажмите по ссылке «VPN-сервер SSTP». 

    Выполните настройку сервера.

    Параметр «Множественный вход» управляет возможностью устанавливать к серверу несколько одновременных подключений, используя при этом одни и те же учетные данные. Это не является рекомендованным сценарием в связи с понижением уровня безопасности и неудобствами при мониторинге. Однако, при первоначальной настройке, или для случаев, когда требуется разрешить установку туннеля с нескольких устройств одного пользователя, опцию можно оставить включенной.

    NOTE: Важно! При выключенной опции «Множественный вход», появляется возможность назначить постоянный IP-адрес для SSTP-клиента. Сделать это можно на странице настройки VPN-сервера в разделе «Пользователи».

    По умолчанию в конфигурации сервера включена опция «NAT для клиентов». Эта настройка служит для доступа клиентов VPN-сервера в Интернет. В клиенте, встроенном в ОС Windows, такая функция включена по умолчанию и при установке туннеля запросы в Интернет будут отправляться через него. В случае режима доступа «Через облако» (настройка сервиса KeenDNS), рекомендуем не использовать настройку «NAT для клиентов», поскольку пропускная способность туннеля при облачном подключении может быть ниже, чем пропускная способность подключения к Интернету сервера, либо клиента.

    NOTE: Важно! Если отключить функцию «NAT для клиентов» на сервере, но не перенастроить политику маршрутизации по умолчанию в Windows-клиенте, то после установки туннеля на компьютере может не работать доступ в Интернет. Дополнительная информация представлена в статье «Изменение политики маршрутизации VPN-подключения в Windows, при выключенной опции «NAT для клиентов» на сервере».

    В настройках сервера в поле «Доступ к сети» также можно указать отличный от Домашней сети сегмент, если это необходимо. Через туннель в таком случае будет доступна сеть указанного сегмента.

    Общее количество возможных одновременных подключений задается настройкой размера пула IP-адресов. Как и начальный IP-адрес, эту настройку не рекомендуется менять без необходимости.

    NOTE: Важно! Если «Начальный IP-адрес» попадает в диапазон сети указанного в поле «Доступ к сети» сегмента, включается функция ARP-Proxy, что позволит обращаться к такому VPN-клиенту из указанного локального сегмента. Например, если в поле «Доступ к сети» выбрана домашняя сеть 192.168.1.0 с маской 255.255.255.0 и настройками DHCP-сервера: «Начальный адрес пула»: 192.168.1.33, «Размер пула адресов»: 120, вы можете задать «Начальный IP-адрес» VPN-сервера 192.168.1.154, который попадает в диапазон 192.168.1.1-192.168.1.254, и иметь доступ из домашней сети к VPN-клиентам наравне с доступом к локальным устройствам.

    В разделе «Пользователи» выберите пользователей, которым хотите разрешить доступ к SSTP-серверу и в локальную сеть. Здесь же вы можете добавить нового пользователя, указав имя и пароль.

    После настройки сервера переведите переключатель в состояние Включено.

    Нажав на ссылку «Статистика подключений» вы можете посмотреть статус подключения и дополнительную информацию об активных сессиях.

     

    Если вы хотите организовать доступ клиентов не только к локальной сети VPN-сервера, но и в обратную сторону, т.е. из сети VPN-сервера в удаленную сеть VPN-клиента, чтобы обеспечить обмен данными между двумя сторонами VPN-туннеля, обратитесь к инструкции «Маршрутизация сетей через VPN».

    TIP: Примечание

    Для подключения к серверу в качестве клиента можно использовать:

    интернет-центр Keenetic — «Клиент SSTP»;

    компьютер под управлением ОС Windows — «Подключение по протоколу SSTP из Windows 10» и «Подключение по протоколу SSTP из Windows 7»;

    мобильное устройство с ОС Android — «Подключение по протоколу SSTP из Android».

     

    Настройте Windows Server 2019 для работы в качестве VPN: пошаговое руководство

    VPN — один из самых популярных инструментов, позволяющих пользователям работать удаленно. Несмотря на то, что существует множество сторонних VPN, вы также можете настроить Windows Server для работы в качестве VPN. В этой статье я покажу вам, как настроить Windows Server 2019 для работы в качестве VPN-сервера.

    Прежде чем я начну

    Прежде чем я начну, я должен быстро упомянуть две вещи. Во-первых, процедура, которую я собираюсь вам показать, — не единственный способ настроить Windows Server VPN.Я намерен максимально упростить этот процесс для тех, кто никогда не делал этого раньше.

    Второе, что вам нужно знать перед началом работы, это то, что VPN-сервер должен быть оснащен двумя сетевыми интерфейсами. Один из этих интерфейсов будет обрабатывать входящий трафик и должен быть подключен к Интернету. Другой интерфейс будет подключен к вашей внутренней сети.

    Процесс настройки VPN для Windows Server 2019

    Первым шагом в этом процессе является использование диспетчера сервера (или PowerShell) для установки роли удаленного доступа, как показано ниже.Вам не нужно беспокоиться об установке каких-либо дополнительных ролей функций, но когда вы попадете на экран служб ролей, вам нужно будет выбрать службу DirectAccess и VPN (RAS) и службу маршрутизации, а также поддерживающие функции, которые доступны. рекомендуется Windows.

    Выберите роль удаленного доступа

    Выберите службу DirectAccess и VPN (RAS) вместе со службой маршрутизации

    Когда процесс установки ролей и компонентов завершится, закройте мастер.Затем щелкните значок «Уведомления» в диспетчере серверов. Когда вы это сделаете, вы увидите сообщение о том, что требуется настройка после развертывания. Щелкните ссылку «Открыть мастер начала работы».

    Откройте мастер начала работы

    На этом этапе вы увидите экран с вопросом, как вы хотите настроить сервер. Чтобы упростить задачу, выберите вариант «Развернуть только VPN». Когда вы это сделаете, Windows откроет консоль маршрутизации и удаленного доступа.На этом этапе вам нужно будет щелкнуть правой кнопкой мыши список вашего сервера в дереве консоли, а затем выбрать в контекстном меню параметр «Настроить и включить маршрутизацию и удаленный доступ», как показано ниже.

    Щелкните правой кнопкой мыши свой сервер и выберите параметр для настройки и включения маршрутизации и удаленного доступа

    Windows запустит мастер настройки сервера маршрутизации и удаленного доступа. Нажмите «Далее», чтобы пропустить экран приветствия мастера, и вы попадете на экран с вопросом, какую службу вы хотите настроить.Соответствующий выбор будет зависеть от вашего варианта использования. Однако, если ваша цель — включить базовые возможности VPN, вам следует выбрать вариант доступа к виртуальной частной сети (VPN) и NAT.

    Выберите доступ к виртуальной частной сети (VPN) и опцию NAT

    На следующем экране предлагается выбрать, какой интерфейс подключается к Интернету. Это интерфейс, через который клиенты будут подключаться к серверу VPN.

    Выберите внешний интерфейс вашего VPN-сервера

    Теперь выберите, хотите ли вы автоматически предоставлять клиентам IP-адреса (с DHCP-сервера или из выделенного пула адресов).Сделайте свой выбор и нажмите Далее.

    Нажмите Далее, и вас спросят, хотите ли вы использовать сервер Radius для аутентификации запросов удаленного доступа. Выберите «Нет», чтобы разрешить VPN-серверу самостоятельно аутентифицировать запросы аутентификации. Нажмите Далее, а затем Готово. Когда вы это сделаете, вы можете увидеть сообщение о том, что вам нужно вручную открыть необходимые порты брандмауэра. Обязательно сделайте это при необходимости.

    Тестирование VPN

    Прежде чем вы сможете протестировать свой VPN-сервер, вам необходимо предоставить одному или нескольким пользователям разрешение на удаленный доступ к серверу.Как только вы это сделаете, вы сможете подключиться к VPN-серверу из клиента Windows 10. Чтобы установить VPN-соединение, откройте панель управления Windows, затем нажмите «Сеть и Интернет», а затем «Центр управления сетями и общим доступом». Когда откроется Центр управления сетями и общим доступом, щелкните ссылку «Установить новое соединение» или «Сеть». На следующем экране выберите вариант подключения к рабочему месту.

    Щелкните по Настроить новое соединение или сеть

    Выберите вариант подключения к рабочему месту

    На следующем экране вас спросят, хотите ли вы использовать подключение к Интернету или предпочитаете напрямую подключаться к серверу VPN.Выберите вариант Интернета.

    На этом этапе вы должны попасть на экран, который запрашивает интернет-адрес вашего VPN-сервера. Вы можете заполнить это поле, используя имя DNS или адрес IPv4 или IPv6. Вам также потребуется указать имя для создаваемого соединения. Нажмите кнопку «Создать», чтобы создать VPN-соединение.

    Введите IP-адрес вашего VPN-сервера

    Теперь вернитесь к экрану «Сеть и Интернет» в Панели управления. Щелкните ссылку «Сеть и Интернет», а затем — «Центр управления сетями и общим доступом».Нажмите «Изменить настройки адаптера», и вы должны увидеть значок, представляющий ваше VPN-соединение. Щелкните этот значок правой кнопкой мыши и выберите в контекстном меню параметр «Подключить / отключить». При появлении запроса щелкните соединение во всплывающем окне и введите свои учетные данные для аутентификации. Клиент должен иметь возможность подключиться к созданной вами VPN.

    Клиент Windows подключен к VPN

    Не забывайте о безопасности

    Как видите, настроить Windows Server 2019 для работы в качестве VPN относительно просто.Тем не менее, важно помнить, что в отношении безопасности есть гораздо больше, чем вы можете сделать. В этой статье я хотел максимально упростить процесс настройки для тех, кто никогда раньше не настраивал службы маршрутизации и удаленного доступа Windows Server.

    Просмотры сообщений: 15,638


    сообщить об этом объявлении

    Home »Учебники» Настройка Windows Server 2019 для работы в качестве VPN: пошаговое руководство

    Как установить VPN на Windows Server 2019

    Этот пост в блоге представляет собой пошаговое руководство по установке и настройке VPN на Windows Server 2019.В сообщении блога показано, как легко настроить VPN-сервер для небольшой среды, филиала или для сценария с размещенным сервером. Этот сервер VPN (виртуальная частная сеть) позволяет подключаться с удаленных клиентов или брандмауэров к серверу Windows.

    Я уже делал аналогичный пост для других версий Windows

    Чтобы установить доступ VPN к Windows Server 2019, просто следуйте этому пошаговому руководству:

    Установить роль удаленного доступа

    Сначала установите « Remote Access » с помощью диспетчера сервера или PowerShell.

    Откройте диспетчер серверов и выберите Добавить роли и компоненты

    Выберите роль удаленного доступа и нажмите «Далее» в мастере.

    На шаге Role Services выберите DirectAccess и VPN (RAS)

    На последнем шаге выберите установить , чтобы установить роль удаленного доступа.

    Это может потребовать перезагрузки сервера.

    Установка и настройка VPN на Windows Server 2019

    После успешной установки теперь вы можете запустить мастер для установки и настройки VPN-сервера в Windows Server 2019.

    После того, как компоненты будут установлены, что может занять некоторое время, вы увидите ссылку для мастера начала работы. Щелкните « Откройте мастер начала работы ».

    Откроется новый мастер, который поможет вам настроить сервер. На первом экране выберите « Развернуть только VPN ».

    Откроется консоль управления маршрутизацией и удаленным доступом

    Щелкните правой кнопкой мыши имя сервера и выберите « Настроить и включить маршрутизацию и удаленный доступ ».

    В новом мастере выберите « Custom configuration ».

    Выберите « Доступ VPN ».

    После того, как вы нажали кнопку «Готово», вы можете теперь запустить службу маршрутизации и удаленного доступа .

    Настройка пользователей доступа к VPN и сети

    Если у вас есть брандмауэр между Интернетом и вашим Windows Server, вы должны открыть следующий порт брандмауэра и перенаправить их на ваш Windows Server:

    Для PPTP: 1723 TCP и протокол 47 GRE (также известный как PPTP Pass-through)
    Для L2TP через IPSEC: 1701 TCP и 500 UDP
    Для SSTP: 443 TCP

    После установки У пользователей должен быть включен для удаленного доступа для подключения к вашему VPN-серверу.На автономном сервере это можно сделать в MMC управления компьютером, в среде домена это можно сделать в пользовательских свойствах пользователя Active Directory.

    Если в вашей среде нет DHCP-сервера, необходимо добавить пул статических IP-адресов. Это часто требуется, если у вас есть один сервер, размещенный у поставщика услуг. В свойствах вашего VPN-сервера вы можете щелкнуть вкладку IPv4 и включить и настроить « Пул статических адресов ».

    Теперь вам нужно добавить IP-адрес из той же подсети, что и ваш статический пул адресов, к сетевому интерфейсу вашего сервера, чтобы пользователи могли получить доступ к серверу.

    Я надеюсь, что это поможет вам настроить VPN-сервер в небольшой среде, лаборатории или размещенном сервере. Дополнительную информацию о Windows Server можно найти в документации Microsoft.

    Теги: DirectAccess, Установить VPN-сервер на Windows Server, Microsoft, Удаленный доступ, Виртуальная частная сеть, VPN, VPN-сервер, Windows Server, Windows Server 2019, Windows Server 2019 VPN, Windows VPN Последнее изменение: 7 июля 2019 г.

    Об авторе / Томас Маурер

    Томас работает старшим консультантом по облачным технологиям в Microsoft.Он взаимодействует с сообществом и клиентами по всему миру, чтобы делиться своими знаниями и собирать отзывы для улучшения облачной платформы Azure. До того, как присоединиться к группе инженеров Azure, Томас был ведущим архитектором и Microsoft MVP, помогая создавать, внедрять и продвигать облачные технологии Microsoft. Если вы хотите узнать больше о Томасе, посетите его блог: www.thomasmaurer.ch и Twitter: www.twitter.com/thomasmaurer

    Похожие сообщения

    27 июля 2021 г. • PowerShell

    Поскольку многие люди начинают хранить свои скрипты и файлы в репозиториях GitHub, у меня часто возникает вопрос, как мне скачать…

    Читать дальше →

    20 июля 2021 г. • Microsoft Azure

    Если вы партнер Microsoft и работаете с клиентами в гибридных облаках и мультиоблачных средах, вам обязательно нужно иметь …

    Читать дальше →

    13 июля 2021 г. • Microsoft, Microsoft Azure

    Сегодня Эрин Чаппл (корпоративный вице-президент Microsoft, Azure Core) только что объявила о новой программе Inside Azure для ИТ, которая предоставляет …

    Читать дальше →

    6 июля 2021 г. • Microsoft, PowerShell, Windows

    В этом сообщении блога я хочу быстро рассказать, как можно начать работу с новым диспетчером пакетов Windows и WinGet CLI.В Microsoft …

    Читать дальше →

    Как настроить VPN-сервер на Windows Server 2019 • Pureinfotech

    В Windows Server 2019 виртуальная частная сеть (VPN) представляет собой удобный метод, позволяющий пользователям получать доступ к ресурсам с помощью зашифрованного соединения из удаленного места и через Интернет.

    Как правило, организации используют VPN для расширения своей частной сети, чтобы сотрудники могли работать из дома или в другом удаленном месте для доступа к файлам, приложениям, веб-сайтам интрасети, принтерам и другим ресурсам через общедоступную сеть, как если бы они были напрямую подключены к сети компании. .

    Способ настройки VPN-сервера практически не изменился за многие годы, а это означает, что те же инструкции по настройке виртуальной частной сети на Windows Server 2019 применимы к более старым версиям, включая Windows Server 2016, 2012 R2 и более старые версии. . Если у вас есть устройство с Windows 10, вы можете использовать функцию «Входящее соединение», чтобы настроить VPN-сервер для удаленного подключения к вашей домашней сети для доступа к файлам и периферийным устройствам вашего компьютера и даже к другим компьютерам в сети.

    В этом руководстве вы узнаете, как настроить VPN-сервер на Windows Server 2019.

    Как добавить функцию роли VPN в Windows Server

    Чтобы добавить роль маршрутизации и удаленного доступа для настройки VPN-сервера на Windows Server 2019, выполните следующие действия:

    1. Открыть Старт .

    2. Найдите Server Manager и щелкните верхний результат, чтобы открыть утилиту.

    3. Нажмите кнопку меню Управление в правом верхнем углу и выберите опцию Добавить роли и компоненты .

      Вариант добавления ролей в Windows Server

    4. Нажмите кнопку Далее .

    5. Выберите вариант Установка на основе ролей или функций .

      Вариант установки на основе ролей или функций

    6. Нажмите кнопку Далее .

    7. Выберите вариант Выберите сервер из пула серверов .

    8. Выберите имя сервера.

      Выбрать опцию целевого сервера

    9. Нажмите кнопку Далее .

    10. Отметьте опцию Удаленный доступ .

      Опция роли сервера удаленного доступа

    11. Нажмите кнопку Далее .

    12. Нажмите кнопку Далее еще раз.

    13. Нажмите кнопку Далее еще раз.

    14. Отметьте опцию DirectAccess и VPN (RAS) .

      Опция DirectAcess и VPN RAS

    15. Нажмите кнопку Добавить функции .

    16. Нажмите кнопку Далее .

    17. Нажмите кнопку Далее еще раз.

    18. Нажмите кнопку Далее еще раз.

    19. Нажмите кнопку Установить .

      Windows Server 2019 вариант установки VPN-сервера

    20. Нажмите кнопку Закрыть .

    После выполнения этих шагов на устройстве будет установлен модуль сервера VPN, и вы сможете приступить к настройке функции удаленного доступа.

    Как настроить VPN-сервер на Windows Server

    Чтобы настроить VPN-сервер на Windows Server 2019, выполните следующие действия:

    1. Открыть Старт .

    2. Найдите Server Manager и щелкните верхний результат, чтобы открыть утилиту.

    3. Нажмите кнопку меню Manage в правом верхнем углу и выберите опцию Routing and Remote Access .

      Вариант маршрутизации и удаленного доступа Windows Server 2019

    4. Щелкните правой кнопкой мыши имя сервера и выберите Настроить и включить маршрутизацию и удаленный доступ .

      Настройка и включение маршрутизации и удаленного доступа

    5. Выберите опцию Пользовательская конфигурация .

      Вариант нестандартной конфигурации

    6. Нажмите кнопку Далее .

    7. Отметьте опцию доступа к VPN .

      Вариант доступа VPN для Windows Server 2019

    8. Нажмите кнопку Далее .

    9. Нажмите кнопку Готово .

    10. Нажмите кнопку Запустить службу .

    11. Щелкните правой кнопкой мыши имя сервера и выберите параметр Свойства .

      Параметр свойств VPN для Windows Server 2019

    12. Щелкните вкладку IPv4 .

    13. В разделе «Назначение IPv4-адреса» отметьте опцию Пул статических адресов (рекомендуется).

      Параметр пула статических адресов VPN-сервера

      Краткое примечание: Если у вас настроен DHCP-сервер, вы можете использовать параметр Dynamic Host Configuration Protocol (DHCP) для обработки адресов распространения.Однако, если вы хотите контролировать доступ к сети или у вас нет DHCP-сервера, то вариант статического пула — ваш лучший вариант. При использовании этой опции убедитесь, что назначили диапазон IP-адресов, который не будет назначаться другим устройствам в локальной сети.

    14. Нажмите кнопку Добавить .

    15. Укажите начальный IP-адрес.

    16. Укажите конечный IP-адрес.

      Настройка диапазона адресов VPN

    17. Нажмите кнопку ОК .

    18. Нажмите кнопку Применить .

    19. Нажмите кнопку ОК .

    20. Щелкните правой кнопкой мыши «Ведение журнала и политики удаленного доступа» и выберите параметр « Launch NPS ».

      Windows Server 2019 запускает NPS

    21. Выберите параметр Сетевые политики на левой панели.

      Сетевые политики

    22. Дважды щелкните политику Подключения к серверу маршрутизации и удаленного доступа Microsoft .

    23. В разделе «Разрешение доступа» выберите Предоставить доступ. Предоставьте доступ, если запрос на подключение соответствует этому параметру политики .

      Подключение к политике VPN

    24. Нажмите кнопку Применить .

    25. Нажмите кнопку ОК .

    26. Дважды щелкните политику Подключения к другим серверам доступа .

    27. В разделе «Разрешение доступа» выберите Предоставить доступ.Предоставьте доступ, если запрос на подключение соответствует этому параметру политики .

      Подключение к другой политике сервера

    28. Нажмите кнопку Применить .

    29. Нажмите кнопку ОК .

    30. Закройте консоль сервера политики сети .

    После выполнения этих шагов VPN-сервер будет создан в Windows Server 2019, но вам все равно нужно будет настроить пользователей, которым разрешено подключение, и вам необходимо настроить брандмауэр для разрешения подключений.

    Windows Server 2019, 2016, 2012 R2 и более ранние версии включают дополнительные параметры для настройки более безопасного и продвинутого VPN-сервера. В этом руководстве мы рассматриваем только быстрый и безопасный способ начать работу с функцией удаленного доступа.

    Как разрешить VPN-подключения через брандмауэр на Windows Server

    При настройке функции маршрутизации и удаленного доступа на Windows Server должны автоматически открываться необходимые порты брандмауэра Windows, вы хотите убедиться, что брандмауэр настроен правильно.

    Чтобы разрешить VPN-подключения через брандмауэр в Windows Server 2019, выполните следующие действия:

    1. Открыть Запустить в Windows Server 2019.

    2. Найдите Разрешите приложение через брандмауэр Windows и щелкните верхний результат, чтобы открыть интерфейс.

    3. Нажмите кнопку Изменить настройки .

    4. Прокрутите вниз и убедитесь, что Маршрутизация и удаленный доступ разрешен на Private и Public .

    5. нажмите кнопку ОК .

    После выполнения этих шагов VPN-сервер Windows Server должен иметь возможность получать подключения удаленно с других компьютеров.

    Как разрешить пользователям доступ через VPN на Windows Server

    Чтобы разрешить пользователям доступ через виртуальную частную сеть, выполните следующие действия:

    1. Открыть Старт .

    2. Найдите Server Manager и щелкните верхний результат, чтобы открыть утилиту.

    3. Выберите опцию Пользователи и компьютеры Active Directory .

      Краткое примечание: Если на вашем сервере не настроена Active Directory, выберите опцию Управление компьютером , разверните ветку Локальные пользователи и группы на левой панели.

    4. Щелкните Пользователи на левой панели.

    5. Дважды щелкните пользователя, которому необходимо разрешить удаленный доступ.

    6. Щелкните вкладку Dial-in .

    7. В разделе «Разрешение доступа к сети» выберите опцию Разрешить доступ .

      Windows Server 2019 разрешает пользователям доступ к VPN

    8. Нажмите кнопку Применить .

    9. Нажмите кнопку ОК .

    После того, как вы выполните эти шаги, вам может потребоваться повторить шаги, чтобы позволить другим пользователям получить доступ к сети с помощью VPN-соединения.

    В этих инструкциях показаны шаги, позволяющие разрешить удаленный доступ каждому пользователю индивидуально.Если вам нужно настроить доступ для большого количества пользователей, вы также можете создать группу, чтобы упростить настройку доступа к VPN для пользователей.

    Как настроить переадресацию портов на маршрутизаторе для включения доступа к VPN

    Чтобы иметь возможность подключаться к VPN-серверу через общедоступную сеть (например, Интернет), вам потребуется перенаправить порт 1723 и (протокол туннелирования точка-точка (PPTP)), чтобы разрешить VPN-подключения.

    Вот инструкции, которые помогут вам настроить переадресацию портов на маршрутизаторе.Вы также можете посетить веб-сайт производителя вашего маршрутизатора, чтобы получить дополнительную помощь по настройке перенаправления портов.

    Помимо перенаправления необходимого порта, вам также необходимо знать общедоступный IP-адрес, назначенный вам вашим интернет-провайдером (ISP). Эта информация понадобится вам для удаленной связи с вашим VPN-сервером.

    Чтобы узнать, есть ли у вас текущий общедоступный IP-адрес, откройте веб-браузер и, используя любую поисковую систему, выполните поиск по запросу «What’s my IP», и ваша информация появится в первом результате.

    Если в сети используется динамический общедоступный IP-адрес, который может измениться в любое время, вам необходимо настроить DDNS (динамическую систему доменных имен) на вашем маршрутизаторе, чтобы избежать необходимости настраивать настройку VPN каждый раз при изменении вашего общедоступного IP-адреса .

    Вот инструкции, которые помогут вам настроить DDNS на вашем маршрутизаторе. Вы также можете посетить веб-сайт производителя вашего маршрутизатора, чтобы получить дополнительную помощь по настройке DDNS.

    Как настроить VPN-соединение в Windows 10

    После настройки VPN-сервера на Windows Server 2019 вам необходимо настроить устройства, которые будут получать удаленный доступ к вашей локальной сети.Вы можете настроить любое устройство, включая настольный компьютер, ноутбук, планшет и даже телефон (например, Android и iPhone). Вот инструкции по настройке VPN-соединения в Windows 10.

    После добавления VPN-подключения на ваш компьютер вам необходимо настроить параметры, выполнив следующие действия:

    1. Откройте панель управления .

    2. Щелкните Сеть и Интернет .

    3. Щелкните Центр управления сетями и общим доступом .

    4. Щелкните ссылку Изменить параметры адаптера на левой панели.

    5. Щелкните правой кнопкой мыши адаптер VPN и выберите параметр Свойства .

    6. На вкладке Общие убедитесь, что вы используете правильный домен, созданный при настройке DDNS, или, по крайней мере, используете правильный общедоступный IP-адрес.

    7. Щелкните вкладку Безопасность .

    8. В разделе «Тип VPN» выберите Протокол туннелирования точка-точка (PPTP) .

    9. В разделе «Шифрование данных» выберите параметр « Максимальная стойкость» (отключение при отказе сервера) .

    10. Нажмите кнопку ОК .

    11. Щелкните вкладку Networking .

    12. Снимите флажок Internet Protocol Version 6 (TCP / IPv6) option.

    13. Отметьте опцию Internet Protocol Version 4 (TCP / IPv4) .

    14. Выберите опцию Internet Protocol Version 4 (TCP / IPv4) .

    15. Нажмите кнопку «Свойства » .

    16. Нажмите кнопку Advanced .

    17. Очистите опцию Использовать шлюз по умолчанию в удаленной сети .

      Важно: Мы отключаем эту опцию, чтобы ваш веб-трафик не проходил через удаленное соединение, что может замедлить ваше интернет-соединение.Однако, если вы хотите получить доступ к Интернету через VPN-соединение, не меняйте этот последний параметр.

    18. Нажмите кнопку ОК .

    19. Нажмите кнопку ОК еще раз.

    20. Нажмите кнопку ОК еще раз.

    21. Открыть Настройки .

    22. Щелкните Сеть и Интернет .

    23. Щелкните VPN .

    24. Выберите вариант VPN-подключение и нажмите кнопку Подключить .

      Удаленное подключение Windows 10 с помощью VPN

    После выполнения этих шагов устройство должно иметь возможность подключаться к серверу VPN из удаленного места.

    Мое руководство по настройке Windows Server 2019 для VPN (без каких-либо гарантий, что он будет работать) — Часы работы вне офиса

    К сожалению, я помню, как настраивал свою первую службу удаленного доступа (RAS) на Windows NT Server 4.0. Это был очень простой процесс: сначала вы добавили службу удаленного доступа в сетевых настройках в качестве новой службы, указав, сколько портов вам нужно и каких типов (коммутируемое соединение, PPTP), затем вы отметили флажком каждую учетную запись. что вы хотели разрешить доступ. Вариантов было очень мало, и настроить можно было довольно быстро.

    Как изменились времена. Хотя обычно вы ожидаете, что со временем подобные вещи станут проще, это определенно не так. Конечно, есть много дополнительных функций и возможностей, но результатом является процесс из семи шагов, где (необязательный) 7-й шаг состоит из 5 подэтапов.Таким образом, это может быть 12-шаговый процесс, который побудит вас выполнить другой 12-шаговый процесс.

    Технически этот процесс предназначен специально для настройки устройства для Always On VPN, но если вы выполните все шаги в основном в соответствии с документацией (с некоторыми настройками), вы можете получить сервер, который поддерживает различные типы VPN-подключений, аутентификации, и т. д. (Тот же сервер также может поддерживать DirectAccess, но на данный момент это не входит в мой список, поэтому я пропущу это.)

    В моем случае я установлю один новый сервер под управлением Windows Server 2019 (полностью пропатчен).Он будет присоединен к моему существующему домену Active Directory в качестве рядового сервера (не DC). Он имеет два сетевых подключения: «внутреннее» со статическим IP-адресом и «Интернет» с назначенным DHCP-адресом, позволяющим получить доступ ко всему в Интернете. (В документах упоминается в нескольких местах, что нужно делать что-то при входе на контроллер домена, что довольно глупо. Вместо этого я установил функцию RSAT на сервере и сделал все это, войдя в систему как учетная запись администратора домена с достаточными привилегиями. для всех шагов.)

    Прежде чем мы начнем, я отмечу одну вещь: хотя я проделал это четыре раза по отдельности, это никогда не проходило гладко. Фактически, за каждой попыткой следовали часы или дни устранения неполадок. И этот случай не исключение. Итак, документация ниже описывает именно то, что я сделал, но в конце ничего не сработало. Будьте внимательны, лектор.

    Если вы не являетесь лицом, выдающим сертификат, найдите его. Если вы не любитель нетворкинга, найдите его.Если у вас нет достаточных прав AD (например, прав администратора домена), найдите кого-нибудь, у кого они есть.

    Шаг 1

    Документация по настройке всего этого приличная, но ее много. Прочтите все один раз перед тем, как начать. Затем прочтите шаг №1 еще раз, так как это всего лишь подготовка, и начните с шага 2, сразу после этого вы попадете прямо в сорняки управления сертификатами. Надеюсь, у вас есть работающая инфраструктура служб сертификации Active Directory. Если нет, отвлекитесь и вернитесь позже.

    Шаг 2

    При желании вы можете выбрать «Настроить автоматическую регистрацию сертификатов в групповой политике». Лично я управляю (или совместно управляю) своими устройствами с помощью Intune, поэтому я проигнорировал этот раздел, потому что я буду развертывать сертификаты устройств (при необходимости) с помощью Intune и NDES / SCEP. Поэтому меня также не волнуют компьютеры, не присоединенные к домену, потому что ими тоже можно управлять с помощью Intune.

    Это приводит нас к «Создание групп пользователей VPN, серверов VPN и серверов NPS».«Я пропустил их раньше, потому что можно использовать существующие группы (например,« Пользователи домена ») и конкретный сервер вместо группы, но, поскольку я пропустил все другие разделы, я мог бы также следовать этому (он готовит вас к возможному будущему, когда у вас будет несколько серверов и желание выборочно разрешить доступ) создание трех групп:

    • Пользователи VPN, в которые я помещу своих тестовых пользователей.
    • Серверы VPN, которые будут содержать один сервер, мой сервер RRAS.
    • Серверы политики сети, в которых будет тот же самый сервер.(Вы читаете всю документацию, верно? Итак, вы знаете, что служба NPS — это сервер RADIUS, который используется для аутентификации пользователей / устройств, подключающихся к RRAS. Он может находиться на том же сервере, что и RRAS, и поскольку меня это не волнует масштабирование или отказоустойчивость, это хорошо.)

    Теперь вернемся к пропуску материала. Следующий раздел «Создание шаблона аутентификации пользователя» необходим, в частности, если вы выполняете автоматическую регистрацию сертификатов на основе GPO. Я использую Intune, поэтому у меня уже есть аналогичный шаблон, необходимый для SCEP, поэтому я его пропущу.

    Но следующие два шага, «Создание шаблона аутентификации сервера VPN» и «Создание шаблона аутентификации сервера NPS», являются существенными. Убедитесь, что вы следуете этим шагам. (Я не понимаю, почему серверам VPN и NPS нужны два отдельных сертификата, но бывают случаи, когда вы все равно что-то делаете.)

    Опять же, я пропущу часть сертификата пользователя (Intune может сделать это позже) и перейду к «Зарегистрируйте и подтвердите сертификаты сервера». Это один из тех моментов, когда вы можете потратить часы на устранение неполадок, если не сделаете это должным образом: когда вы регистрируете сертификат сервера VPN, он должен использовать * внешнее * имя, которое будет использоваться для установления VPN-соединения.Он может (и, вероятно, должен) перечислить любые другие имена, которые он может использовать, но это внешнее имя действительно имеет значение. Так что решайте, что это будет. В моем случае я решил использовать «vpn.contosomn.com», который я определил во внешнем домене «contosomn.com», указывая на IP-адрес «интернет-сети» (который назначен DHCP, поэтому если этот DHCP-адрес когда-либо изменится, вам нужно будет обновить DNS).

    Кроме того, если вы не перезагружали свой сервер с тех пор, как добавили его в группы VPN и NPS, указанные выше, вы можете сделать это сейчас — регистрация сертификата не удастся, если вы этого не сделали, потому что токен учетной записи компьютера сервера не но в противном случае содержать эти группы.

    Наконец, завершен шаг №2. Пришло время настроить RRAS.

    Шаг 3

    Наконец, некоторая «установка», а не просто «настройка». И все это делается для RRAS с помощью одной команды PowerShell (или, если хотите, с помощью диспетчера серверов):

    Но затем мы вернулись к настройке с помощью «Настроить удаленный доступ как VPN-сервер». И поскольку он запускается из диспетчера серверов, вам все равно придется запускать его. В документации предлагается «Развернуть только VPN», и это то, что я сказал ранее, и собирался сделать, но если вам нужен комбинированный сервер DirectAccess и VPN, вы можете пойти по другому пути.Вы сами по себе.

    После того, как вы выберете «Развернуть только VPN», вы окажетесь в RRAS MMC, где вам нужно запустить мастер настройки, щелкнув правой кнопкой мыши имя VPN-сервера:

    Затем вам необходимо настроить RRAS для использования RADIUS, также известного как NPS:

    Я не совсем уверен, что нужно указывать имя и секрет сервера, поскольку RRAS будет жаловаться на это, когда NPS работает на том же сервере. Но кроме регистрации события это ни к чему не повредит, поэтому следование инструкциям безопасно.(Запомните общий секрет, он понадобится вам позже.)

    Конфигурация IPv4 наиболее проста при использовании внутреннего DHCP — просто выберите свой внутренний сетевой адаптер в нижней части диалогового окна:

    Шаг № 16, в котором говорится о необязательной настройке сертификата, должен выбрать сертификат «vpn.contosocm.com», зарегистрированный ранее. Это избавит от некоторых проблем позже.

    Остальные шаги достаточно просты (даже если вы не понимаете, о чем они спрашивают).К счастью, значения «максимального числа портов» легко изменить позже. Я выбрал 10 портов для L2TP, PPTP и IKEv2, что дает мне много возможностей для игры:

    Шаг 4

    На NPS. Опять же, вы можете использовать PowerShell для его установки:

    И затем вы можете настроить его с помощью инструмента администрирования NPS. Мне не нужно было регистрировать его в Active Directory, поскольку этот параметр был выделен серым цветом (возможно, это улучшение в Windows Server 2019?). Возможно, вы захотите настроить учет (для устранения неполадок) — проще всего вести журнал в файл.

    Добавьте сервер RRAS в качестве клиента RADIUS в NPS. Поскольку они оба находятся на одном сервере, он просто указывает сервер на себя. И вот здесь-то и появляется общий секрет, так что, надеюсь, вы вспомнили, что настроили ранее.

    Следующим шагом является настройка NPS для использования RADIUS для VPN-подключений. Еще один мастер для запуска:

    Следуйте инструкциям, как описано. Затем пропустите «Автоматическую регистрацию сертификата сервера NPS». (Он был зарегистрирован вручную ранее, он будет автоматически зарегистрирован при следующей перезагрузке.)

    Шаг 5

    В моем случае на этом шаге ничего делать не нужно. Я уже создал запись «vpn.contosomn.com» ранее, и у меня нет брандмауэров, о которых нужно беспокоиться, у моего сервера есть доступ ко всему в Интернете и интрасети.

    Шаг 6

    Абсурдный шаг. Кто хочет проделать всю эту работу, чтобы просто создать профиль VPN на клиенте? Это можно сделать позже через Intune.

    Шаг 7

    Этот шаг касается условного доступа.Учитывая «усталость волшебника» от всех предыдущих шагов, я пока оставлю это в покое. При необходимости это можно будет сделать позже.

    Наконец

    Теперь вопрос в том, действительно ли это будет работать. И ответ — нет, как я уже отмечал. Я вручную присоединил Windows 10 к Active Directory (находясь в корпоративной сети) и зарегистрировал сертификат пользователя и устройства (ничего особенного, просто используя стандартные пользовательские и компьютерные шаблоны). Я вручную создаю VPN-соединение через Настройки (PowerShell тоже работает), а затем попытался подключиться.И это соединение не удалось. Для устранения неполадок с VPN все пути в конечном итоге ведут на сайт Ричарда Хикса https://directaccess.richardhicks.com/. Предметы, с которыми я ожидал столкнуться, потому что сталкивался с ними в прошлом:

    Мои проблемы были более странными: я мог сказать, что сервер NPS получал запросы аутентификации, но всегда отклонял их. Я ничего не изменил. Я мог изменить ошибку (например, отключить мою сетевую политику), но он так и не смог успешно аутентифицировать клиента.Но я, безусловно, многому научился из этого процесса:

    • Найдите в журнале событий безопасности события NPS на сервере NPS. Они могут потеряться в шуме, но если вы отфильтруете журнал событий по источнику событий «Аудит безопасности Microsoft Windows». (да, в конце стоит точка), а затем укажите категорию задач «Сервер сетевой политики», вы можете увидеть наиболее интересные.
    • Найдите в журнале событий приложений события, связанные с VPN (RasClient). Они очень полезны в случаях, когда соединение не установлено, поскольку вы можете увидеть фактический код ошибки (например,г. 812 или 691).
    • Найдите в журнале системных событий события, связанные с RRAS. Они могут содержать некоторую полезную информацию, но не вводите их в заблуждение — даже если там написано «Конкретно», это не дает вам конкретной причины ошибки (отсюда и фрагмент текста «не может быть»).
    • Вы можете вручную инициировать VPN-соединение из командной строки с помощью RASDIAL.EXE. Возможно, это было с первых дней Windows NT 4.0, но оно все еще работает сегодня, просто укажите имя VPN-соединения в качестве параметра, например.г. RASDIAL.EXE «CONTOSO» (без умных кавычек — использовать обычные кавычки).
    • Вы можете включить ведение журнала событий CAPI2, чтобы получить более подробную информацию о сертификатах, но, как правило, проблема не в сертификатах — если Windows 10 не нравится сертификат, он спросит вас, хотите ли вы подключиться в любом случае (по крайней мере, когда вы выполняете ручной тест подключения из настроек).

    Так как же мне это исправить? Сначала я установил NPS на контроллер домена и настроил его, как описано выше. Я использовал NTRadPing, очень старый инструмент, чтобы опробовать его.Предполагая, что вы открываете некоторые действительно плохо защищенные протоколы (например, PAP, CHAP), вы можете использовать их, чтобы убедиться, что ваши правила выглядят нормально. И они это сделали.

    Затем я попытался заставить RRAS на исходном сервере общаться с NPS на контроллере домена. И даже после его перенастройки для указания на этот новый сервер запросы на новый сервер не отправлялись, а события на сервере RRAS по-прежнему указывали на локальный компьютер для NPS. Поэтому я полностью удалил RRAS из диспетчера серверов и переустановил его, а затем настроил так, чтобы он указывал на NPS на контроллере домена.И это сработало немедленно: мой клиент Windows 10 мог аутентифицироваться и подключаться, используя любой протокол, который я включил. PPTP, L2TP и IKEv2 работали нормально. Сертификаты пользователей, сертификаты устройств (с соответствующей настройкой NPS для разрешения аутентификации компьютеров домена) и комбинации имени пользователя и пароля работали. Точно так, как я и ожидал в первый раз, я прошел через этот процесс.

    Далее я сделаю то же самое, используя Azure VPN, просто в ущерб RRAS и NPS, потому что я подозреваю, что настройка эквивалента в облаке займет всего час или два.А пока, если вы хотите настроить RRAS и NPS, мне жаль.

    Нравится:

    Нравится Загрузка …

    Связанные

    Как установить VPN на Windows Server 2019 (3 ​​простых шага)

    автор: Александр Огнянович

    Эксперт по поиску и устранению неисправностей

    Главная страсть Александра — технологии. Имея солидный письменный фон, он полон решимости довести до совершенства рядового пользователя.Зорким глазом он всегда замечает следующую большую вещь, окружающую … Читать дальше
    • Windows Server 2019 поддерживает VPN-подключения. Но вам придется столкнуться с некоторыми проблемами, чтобы настроить его и разрешить доступ к VPN всем вовлеченным пользователям.
    • Откройте для себя три простых шага для настройки VPN на Windows Server 2019. Вам не нужно устанавливать какие-либо программные инструменты, поскольку вы можете использовать встроенные настройки сервера.
    • Нужна новая ОС? Скачайте Windows Server 2019 прямо сейчас!
    • Присоединяйтесь к нашему Центру устранения неполадок VPN, чтобы получить дополнительные руководства.
    Чтобы исправить различные проблемы с ПК, мы рекомендуем DriverFix:
    Это программное обеспечение будет поддерживать ваши драйверы в рабочем состоянии, тем самым защищая вас от распространенных компьютерных ошибок и сбоев оборудования. Проверьте все свои драйверы сейчас за 3 простых шага:
    1. Загрузите DriverFix (проверенный файл загрузки).
    2. Нажмите Начать сканирование , чтобы найти все проблемные драйверы.
    3. Нажмите Обновить драйверы , чтобы получить новые версии и избежать сбоев в работе системы.
    • DriverFix загрузили 0 читателей в этом месяце.

    Использование VPN на сервере Windows имеет множество преимуществ.

    Он позволяет пользователям в небольшой среде получать доступ к удаленным клиентам или брандмауэрам Windows Server.

    Если вы здесь, чтобы узнать, как установить VPN на Windows Server 2019, вот все, что вам нужно знать.

    Как настроить VPN на Windows Server 2019?

    1. Открыть Сервер Менеджер
    2. Перейдите в «Управление»> «Мастер добавления ролей и компонентов»
    3. Установите флажок Удаленный доступ и нажмите Далее
    4. В Role Services установите флажок DirectAccess и VPN (RAS) и нажмите Далее
    5. Нажмите Установить
    6. После завершения настройки вам может потребоваться перезагрузить сервер

    Альтернативным решением является установка и настройка удаленного доступа с помощью PowerShell.

    1. Щелкните значок Откройте мастер начала работы
    2. Выберите Развернуть только VPN
    3. В консоли управления маршрутизацией и удаленным доступом щелкните правой кнопкой мыши имя сервера
    4. Выберите Настроить и включить маршрутизацию и удаленный доступ из контекстного меню
    5. Выберите Пользовательская конфигурация и нажмите Далее
    6. Выберите VPN-доступ
    7. Запустите службу VPN

    На этом этапе вы не должны сталкиваться с какими-либо проблемами, если используете специальный мастер.

    Наконец, остается только настроить пользователя VPN и доступ к сети . Вы должны открыть и перенаправить порты с брандмауэра на Windows Server.

    В зависимости от используемого протокола вы должны открыть следующие порты:

    • Для PPTP : 1723 TCP и протокол 47 GRE (также известный как сквозной PPTP)
    • Для L2TP через IPSEC : 1701 TCP и 500 UDP
    • Для SSTP : 443 TCP

    Если у вас нет DHCP-сервера, вы можете настроить пул статических IPv4-адресов.Это можно сделать, выполнив следующие действия:

    1. Во-первых, убедитесь, что у всех пользователей включен удаленный доступ
    2. Откройте панель свойств вашего VPN-сервера
    3. Щелкните вкладку IPv4 и включите Пул статических адресов
    4. Щелкните Добавить и добавьте тот же статический IP-адрес из той же подсети сервера

    В заключение, вы можете установить VPN на свой Windows Server 2019 в три простых шага: настроить удаленный менеджер с помощью Server Manager или PowerShell, установить VPN и управлять разрешениями доступа к VPN.

    Если у вас возникли какие-либо технические трудности, сообщите нам об этом, оставив комментарий в разделе ниже.

    Была ли эта страница полезной? 1

    Спасибо!

    Недостаточно подробностей Сложно понять Другой Связаться с экспертом

    Есть 1 комментарии

    Настройка сервера удаленного доступа для Always On VPN

    • 8 минут на чтение

    В этой статье

    Применимо к: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10

    RRAS разработан как маршрутизатор и как сервер удаленного доступа, поскольку поддерживает широкий спектр функций.Для целей этого развертывания вам потребуется лишь небольшая часть этих функций: поддержка подключений IKEv2 VPN и маршрутизации LAN.

    IKEv2 — это протокол туннелирования VPN, описанный в запросе комментариев 7296 Internet Engineering Task Force. Основным преимуществом IKEv2 является то, что он допускает прерывания в основном сетевом соединении. Например, если соединение временно потеряно или если пользователь перемещает клиентский компьютер из одной сети в другую, IKEv2 автоматически восстанавливает VPN-соединение при восстановлении сетевого соединения — и все это без вмешательства пользователя.

    Настройте сервер RRAS для поддержки подключений IKEv2 при отключении неиспользуемых протоколов, что снижает уровень безопасности сервера. Кроме того, настройте сервер для назначения адресов VPN-клиентам из пула статических адресов. Вы можете назначить адреса либо из пула, либо с DHCP-сервера; однако использование DHCP-сервера усложняет конструкцию и дает минимальные преимущества.

    Важно

    Важно:

    • Установите два сетевых адаптера Ethernet на физический сервер.Если вы устанавливаете VPN-сервер на виртуальную машину, вы должны создать два внешних виртуальных коммутатора, по одному для каждого физического сетевого адаптера; а затем создайте два виртуальных сетевых адаптера для виртуальной машины, каждый из которых будет подключен к одному виртуальному коммутатору.

    • Установите сервер в сети периметра между пограничным и внутренним брандмауэрами, с одним сетевым адаптером, подключенным к внешней сети периметра, и одним сетевым адаптером, подключенным к внутренней сети периметра.

    Предупреждение

    Перед тем, как начать, обязательно включите IPv6 на VPN-сервере. В противном случае соединение не может быть установлено и отображается сообщение об ошибке.

    Установка удаленного доступа в качестве VPN-сервера шлюза RAS

    В этой процедуре вы устанавливаете роль удаленного доступа как VPN-сервер шлюза RAS с одним клиентом. Для получения дополнительной информации см. Удаленный доступ.

    Установите роль удаленного доступа с помощью Windows PowerShell

    1. Откройте Windows PowerShell от имени администратора .

    2. Введите и запустите следующий командлет:

        Install-WindowsFeature DirectAccess-VPN -IncludeManagementTools
        

      После завершения установки в Windows PowerShell появится следующее сообщение.

        | Успех | Необходим перезапуск | Код выхода | Результат функции |
      | --------- | ---------------- | ----------- | ---------- ---------------------------------- |
      | Правда | Нет | Успех | {Комплект администрирования диспетчера подключений RAS |
        

    Установите роль удаленного доступа с помощью диспетчера сервера

    Для установки роли удаленного доступа с помощью диспетчера сервера можно использовать следующую процедуру.

    1. На сервере VPN в диспетчере сервера выберите Управление и выберите Добавить роли и компоненты .

      Откроется мастер добавления ролей и компонентов.

    2. На странице «Прежде чем начать» выберите Далее .

    3. На странице Выбор типа установки выберите Установка на основе ролей или функций и выберите Далее .

    4. На странице Выбор целевого сервера выберите Выбрать сервер из пула серверов .

    5. В разделе «Пул серверов» выберите локальный компьютер и выберите Далее .

    6. На странице Выбор ролей сервера в Роли выберите Удаленный доступ , затем Далее .

    7. На странице выбора функций выберите Далее .

    8. На странице удаленного доступа выберите Далее .

    9. На странице Выбор службы ролей в Службы ролей выберите DirectAccess и VPN (RAS) .

    Откроется диалоговое окно Мастер добавления ролей и компонентов .

    1. В диалоговом окне «Добавить роли и компоненты» выберите Добавить компоненты , затем выберите Далее .

    2. На странице роли веб-сервера (IIS) выберите Далее .

    3. На странице Выбор служб ролей выберите Далее .

    4. На странице Подтверждение выбора установки просмотрите выбранные варианты, затем выберите Установить .

    5. Когда установка будет завершена, выберите Закрыть .

    Настройка удаленного доступа в качестве сервера VPN

    В этом разделе вы можете настроить VPN для удаленного доступа, чтобы разрешить подключения IKEv2 VPN, запретить подключения из других протоколов VPN и назначить пул статических IP-адресов для выдачи IP-адресов для подключения авторизованных клиентов VPN.

    1. На VPN-сервере в диспетчере сервера установите флажок Уведомления .

    2. В меню задач выберите Открыть мастер начала работы

      Откроется мастер настройки удаленного доступа.

      Примечание

      Мастер настройки удаленного доступа может открываться за диспетчером сервера. Если вы считаете, что мастер открывается слишком долго, переместите или сверните Диспетчер серверов, чтобы узнать, стоит ли за ним мастер. Если нет, дождитесь инициализации мастера.

    3. Выберите Развернуть только VPN .

      Откроется консоль управления Microsoft (MMC) маршрутизации и удаленного доступа.

    4. Щелкните правой кнопкой мыши VPN-сервер, затем выберите Настроить и включить маршрутизацию и удаленный доступ .

      Откроется мастер настройки сервера маршрутизации и удаленного доступа.

    5. В окне приветствия мастера настройки сервера маршрутизации и удаленного доступа выберите Далее .

    6. В конфигурации выберите Пользовательская конфигурация , а затем выберите Далее .

    7. В пользовательской конфигурации выберите Доступ к VPN , а затем выберите Далее .

      Откроется мастер завершения настройки сервера маршрутизации и удаленного доступа.

    8. Выберите Завершить , чтобы закрыть мастер, затем выберите OK , чтобы закрыть диалоговое окно «Маршрутизация и удаленный доступ».

    9. Выберите Запустить службу , чтобы запустить удаленный доступ.

    10. В MMC удаленного доступа щелкните правой кнопкой мыши VPN-сервер, затем выберите Свойства .

    11. В свойствах выберите вкладку Security и выполните:

      а. Выберите Поставщик проверки подлинности и выберите Проверка подлинности RADIUS .

      г. Выберите Настроить .

      Откроется диалоговое окно «Проверка подлинности RADIUS».

      г. Выберите Добавить .

      Откроется диалоговое окно «Добавить сервер RADIUS».

      г. В поле Server name введите полное доменное имя (FQDN) NPS-сервера в вашей организации / корпоративной сети.

      Например, если NetBIOS-имя вашего NPS-сервера — NPS1, а ваше доменное имя — corp.contoso.com, введите NPS1.corp.contoso.com .

      e. В Общий секрет выберите Изменить .

      Откроется диалоговое окно «Изменить секрет».

      ф. В Новый секрет введите текстовую строку.

      г. В Подтвердите новый секрет , введите ту же текстовую строку, затем выберите OK .

      Важно

      Сохраните эту текстовую строку.Когда вы настраиваете NPS-сервер в своей организации / корпоративной сети, вы добавляете этот VPN-сервер в качестве клиента RADIUS. Во время этой настройки вы будете использовать тот же общий секрет, чтобы серверы политики сети и VPN могли обмениваться данными.

    12. В Добавьте сервер RADIUS , проверьте настройки по умолчанию для:

      • Тайм-аут

      • Начальный балл

      • Порт

    13. При необходимости измените значения в соответствии с требованиями вашей среды и выберите OK .

      NAS — это устройство, обеспечивающее некоторый уровень доступа к более крупной сети. NAS, использующий инфраструктуру RADIUS, также является клиентом RADIUS, отправляя запросы на соединение и сообщения учета на сервер RADIUS для аутентификации, авторизации и учета.

    14. Проверьте настройку поставщика бухгалтерского учета :

      Если вам нужен … Тогда…
      Активность удаленного доступа, зарегистрированная на сервере удаленного доступа Убедитесь, что выбран Учет Windows .
      НПС для оказания бухгалтерских услуг для VPN Измените поставщика учета на RADIUS Accounting , а затем настройте NPS в качестве поставщика учета.
    15. Выберите вкладку IPv4 и выполните:

      а. Выберите Пул статических адресов .

      г. Выберите Добавить , чтобы настроить пул IP-адресов.

      Пул статических адресов должен содержать адреса из внутренней сети периметра.Эти адреса находятся во внутреннем сетевом соединении на сервере VPN, а не в корпоративной сети.

      г. В Начальный IP-адрес введите начальный IP-адрес в диапазоне, который вы хотите назначить VPN-клиентам.

      г. В поле Конечный IP-адрес введите конечный IP-адрес из диапазона, который вы хотите назначить VPN-клиентам, или в поле Количество адресов введите номер адреса, который вы хотите сделать доступным. Если вы используете DHCP для этой подсети, убедитесь, что вы настроили соответствующее исключение адресов на своих DHCP-серверах.

      e. (Необязательно) Если вы используете DHCP, выберите Адаптер и в списке результатов выберите адаптер Ethernet, подключенный к вашей внутренней сети периметра.

    16. (Необязательно) Если вы настраиваете условный доступ для подключения к VPN , в раскрывающемся списке Сертификат в разделе Привязка сертификата SSL выберите аутентификацию сервера VPN.

    17. (необязательно) Если вы настраиваете условный доступ для подключения VPN , в NPS MMC разверните Политики \ Сетевые политики и выполните:

      а.Справа — сетевая политика Connections to Microsoft Routing and Remote Access Server и выберите Properties .

      г. Выберите доступ Grant. Предоставьте доступ, если запрос на подключение соответствует этому параметру политики .

      г. В разделе Тип сервера доступа к сети выберите Сервер удаленного доступа (VPN-Dial up) из раскрывающегося списка.

    18. В MMC маршрутизации и удаленного доступа щелкните правой кнопкой мыши Порты , и выберите Свойства .

      Откроется диалоговое окно «Свойства портов».

    19. Выберите Минипорт WAN (SSTP) и выберите Настроить . Откроется диалоговое окно «Настройка устройства — минипорт WAN (SSTP)».

      а. Снимите флажки Соединения удаленного доступа (только входящие) и Соединения маршрутизации по требованию (входящие и исходящие) .

      г. Выберите ОК .

    20. Выберите Минипорт WAN (L2TP) и выберите Настроить .Откроется диалоговое окно «Настройка устройства — минипорт WAN (L2TP)».

      а. В поле Максимальное количество портов введите количество портов, соответствующее максимальному количеству одновременных VPN-подключений, которые вы хотите поддерживать.

      г. Выберите ОК .

    21. Выберите Минипорт WAN (PPTP) и выберите Настроить . Откроется диалоговое окно «Настройка устройства — минипорт WAN (PPTP)».

      а. В поле Максимальное количество портов введите количество портов, соответствующее максимальному количеству одновременных VPN-подключений, которые вы хотите поддерживать.

      г. Выберите ОК .

    22. Выберите Минипорт WAN (IKEv2) и выберите Настроить . Откроется диалоговое окно «Настройка устройства — минипорт WAN (IKEv2)».

      а. В поле Максимальное количество портов введите количество портов, соответствующее максимальному количеству одновременных VPN-подключений, которые вы хотите поддерживать.

      г. Выберите ОК .

    23. При появлении запроса выберите Да , чтобы подтвердить перезапуск сервера, и выберите Закрыть , чтобы перезапустить сервер.

    Следующий шаг

    Шаг 4. Установите и настройте сервер политики сети (NPS). На этом шаге вы устанавливаете сервер политики сети (NPS) с помощью Windows PowerShell или мастера добавления ролей и компонентов диспетчера сервера. Вы также настраиваете NPS для обработки всех функций проверки подлинности, авторизации и учета для запросов на подключение, которые он получает от VPN-сервера.

    Как установить VPN-сервер на Windows Server 2019 — Хостинг приложений с превосходным временем безотказной работы и быстрой поддержкой

    Windows Server 2019 имеет встроенную роль сервера VPN, которую можно бесплатно добавить в ОС сервера.Приведенный ниже метод настроит PPTP VPN с использованием проверки подлинности Windows, поэтому он основан на паролях, а надежные / сложные пароли по-прежнему очень важны. Существуют и другие протоколы, такие как L2TP / IPSec, проверка подлинности сертификата и т. Д., Которые могут привести к более надежной настройке безопасности в зависимости от ваших потребностей и среды. Ближе к концу этого документа мы покажем вам, как включить L2TP с предварительным ключом и отключить PPTP, если вы хотите это сделать. В этом посте будет подробно описано, как настроить роль VPN на сервере Windows, как настроить клиент подключения VPN на локальном ПК с Windows, как отключить RDP и другие протоколы от использования общедоступного профиля в брандмауэре Windows и, наконец, как расширить настройка VPN на LT2P.Дополнительная плата за установку роли VPN / RRAS на Windows Server не взимается.

    ШАГИ ПО УСТАНОВКЕ РОЛИ VPN-СЕРВЕРА НА WINDOWS SERVER 2019

    1. Войдите в Windows Server 2019, используя учетную запись администратора или учетную запись с правами администратора.
    2. Откройте диспетчер серверов, панель мониторинга, мастер «Добавить роли и компоненты», затем выберите «установка на основе ролей или функций», затем выберите свой сервер, затем, затем на экране выбора ролей сервера выберите «Удаленный доступ» , на экране выбора функций можно использовать значения по умолчанию и нажать «Далее».В разделе «Службы ролей удаленного доступа» выберите только «DirectAccess и VPN (RAS)» (выберите, чтобы добавить функции, которые выбираются автоматически) и оставьте другие параметры маршрутизации и прокси-сервера веб-приложения снятыми, затем оставьте значения по умолчанию в разделе «Службы ролей веб-сервера», затем нажмите «Установить» (установка занимает несколько минут, но обычно не требует перезагрузки).
    3. В верхней панели Диспетчера серверов вы увидите желтый треугольник. Нажмите на него, чтобы выбрать «Открыть мастер начала работы», или нажмите «Удаленный доступ» в левом окне и нажмите «Еще» в правом окнах, чтобы получить «Откройте мастер начала работы».
    4. Выберите «Развернуть только VPN» (открытие может занять до 1 минуты) (примечание: при развертывании DirectAccess этот параметр требует, чтобы сервер был подключен к домену, а не в режиме рабочей группы)
    5. Щелкните правой кнопкой мыши имя сервера и выберите «Настроить и включить маршрутизацию и удаленный доступ».
    6. Выберите « Пользовательская конфигурация »
    7. Выберите только «Доступ к VPN», затем «Готово», «Запустить службу». Брандмауэр Windows должен автоматически открывать необходимые порты (или вы можете увидеть сообщение ниже, предлагающее вручную открыть правила брандмауэра).И нажмите OK под сообщением, напоминающим вам открыть / включить правила брандмауэра.
    8. Вернитесь в раздел «Маршрутизация и удаленный доступ», выбрав «Диспетчер серверов», «Инструменты» (раскрывающийся список в правом верхнем углу диспетчера серверов) и выберите «Маршрутизация и удаленный доступ». Затем щелкните правой кнопкой мыши имя сервера и выберите свойства. Затем перейдите на вкладку IPv4, чтобы добавить пул статических IP-адресов на вкладке IPv4 — см. Снимки экрана ниже:
    9. Затем откройте «Центр управления сетями и общим доступом» и нажмите «Изменить настройки адаптера». Щелкните правой кнопкой мыши адаптер Ethernet, выделите строку «Протокол Интернета версии 4 TCP / IPv4», нажмите «Свойства», «Дополнительно» и добавьте вторичный IP-адрес, который является частным IP-адресом в той же подсети, что и пул выше — в этом примере используется 192.168.0.20 (это будет IP-адрес, который вы можете использовать для RDP к серверу после того, как будет установлено VPN-соединение).
    10. Затем настройте параметры для каждого пользователя , которого вы хотите подключить к серверу через VPN, выбрав «Управление компьютером», «Локальные пользователи и группы», «Пользователи», щелкните правой кнопкой мыши отдельного пользователя и введите «Свойства». Перейдите на вкладку «Dial-In» и измените раздел «Разрешение доступа к сети» на «Разрешить доступ» (вместо «контролировать доступ через сетевую политику NPS». Это необходимо сделать для каждого пользователя, которому вы хотите разрешить доступ VPN к серверу. .
    11. Откройте правила брандмауэра Windows для PPTP (PPTP требует как PPTP-In, так и GRE-In) и других протоколов VPN, если вы можете их использовать (L2TP или SSTP):
    12. Обычно рекомендуется перезагрузить сервер даже на этом этапе. если не запрашивает перезагрузку.

    НАСТРОЙКА VPN-ПОДКЛЮЧЕНИЕ НА ЛОКАЛЬНОМ ПК (для подключения локального ПК к внешнему серверу через VPN)

    1. На локальном ПК перейдите в Панель управления, Сеть и Интернет, Центр управления сетями и общим доступом и «Настройка нового подключения или сети», а затем «Подключиться к рабочему месту / настроить VPN» или «Добавить подключение VPN».Выберите «Использовать мое подключение к Интернету».
    2. Введите IP-адрес сервера, к которому вы будете подключаться — это общедоступный IP-адрес (не частный IP-адрес, который вы установили выше 192.168.x.x)
    3. Введите имя описания для подключения, затем создайте.
    4. Затем перейдите к VPN-подключению, щелкнув значок «Пуск» и набрав «VPN», или перейдите в раздел уведомлений и щелкните «VPN».
    5. Щелкните на VPN-подключении, которое вы только что настроили, и нажмите «Подключиться». Введите имя пользователя и пароль на следующем экране и нажмите «Подключиться».
    6. Вы можете настроить параметры (параметры безопасности и другие), вернувшись к подключению и введя свойства (перейдите к изменению настроек адаптера, найдите подключение, щелкните правой кнопкой мыши, чтобы открыть свойства, в которых вы можете при необходимости измените настройки в соответствии с настройками VPN на сервере.). Также вы можете изменить настройки VPN на сервере.

    ПРОВЕРЬТЕ ЭТО И ВЫКЛЮЧИТЕ ОКНО «ИСПОЛЬЗОВАТЬ ШЛЮЗ ПО УМОЛЧАНИЮ В УДАЛЕННОЙ СЕТИ», В противном случае весь ваш трафик, включая веб-браузер, будет проходить через удаленный сервер, что снижает производительность вашей работы. ПРИМЕЧАНИЕ. Если вы больше не можете получить доступ к Интернету на своем локальном компьютере после подключения VPN, вы можете изменить это, перейдя на вкладку сети в свойствах VPN-подключения, выделите строку TCP / IPv4, нажмите «Свойства», нажмите «Дополнительно», и снимите флажок «использовать шлюз по умолчанию в удаленной сети».(возможно, вам придется отключиться и снова подключиться, прежде чем это изменение вступит в силу)

    НАСТРОЙКА ПРАВИЛ БРАНДВОЛЛА ДЛЯ ОТКЛЮЧЕНИЯ ДОСТУПА RDP (ПОРТ 3389) В ОБЩЕСТВЕННОМ ПРОФИЛЕ

    Примечание. В брандмауэр Windows можно внести множество изменений, и это всего лишь один пример / метод. Вы должны правильно протестировать любые внесенные изменения.

    1. Прежде чем изменять эти правила, убедитесь, что вы вошли в систему через RDP через VPN на частный IP-адрес (192.168.0.20 в этом примере).
    2. Сначала убедитесь, что для интерфейса удаленного доступа на сервере установлено значение частный профиль брандмауэра в «центре сети и совместного использования» на сервере. Если это не так (и, скорее всего, он настроен как общедоступный, поэтому вам придется его изменить), измените его следующим образом: gpedit.msc -> Конфигурация компьютера -> Параметры Windows -> Параметры безопасности -> Политики диспетчера списка сетей и назначьте «Интерфейс RAS (Dial In)» профилю частной сети. (альтернативный метод — запуск, secpol, политики диспетчера сетевых списков, щелкните правой кнопкой мыши интерфейс RAS, вкладку сетевого расположения, измените его на частный)
    • Затем откройте брандмауэр Windows в режиме повышенной безопасности и измените 4 x Inbound Rules,
      • “ Службы удаленного рабочего стола — режим пользователя (входящий TCP) »
      • « Службы удаленного рабочего стола — режим пользователя (входящий UDP) »
      • « Удаленный рабочий стол — режим пользователя (входящий TCP) »
      • « Удаленный рабочий стол — режим пользователя (UDP-In) »

    и отключите его для общедоступного профиля.Вы также можете / должны изменить другие правила, влияющие на общедоступный профиль, чтобы ограничить доступ только к частному профилю.

    • Теперь пора подключиться и протестировать свои изменения.
    • Сначала подключитесь к серверу через VPN, затем вы можете RDP к серверу, используя частный IP (192.168.0.20 в примере выше), когда VPN активен. У вас не должно быть возможности использовать RDP для общедоступного IP-адреса. После развертывания следует протестировать все сценарии.

    Поздравляем! Теперь ваш PPTP VPN настроен и работает!

    ДОПОЛНИТЕЛЬНЫЕ ДЕЙСТВИЯ ДЛЯ НАСТРОЙКИ / НАСТРОЙКИ L2TP:

    Приведенные выше шаги создадут VPN-соединение «протокол туннелирования точка-точка» (PPTP) и откроют брандмауэр Windows Server для PPTP, L2TP и SSTP (или вы вручную включили эти правила), хотя L2TP и SSTP требуют дополнительной настройки для работай.Вы можете повысить безопасность, реализовав L2TP или SSTP. Одним из примеров является протокол L2TP с «предварительным общим ключом», когда вы вводите предварительный общий ключ в свойствах RRAS на вкладке безопасности (на сервере), а затем также вводите предварительный общий ключ в VPN-соединении клиентского ПК. При подключении клиент Windows VPN на ПК покажет, подключен ли он как PPTP или L2TP. В параметрах безопасности клиента VPN для ПК вы можете выбрать, какой протокол использовать, если на сервере настроено несколько протоколов PPTP. Если вы используете L2TP вместо PPTP, вы можете отключить PPTP на сервере Windows, а также отключить правило брандмауэра PPTP (см. Ниже).

    Как включить L2TP / IPsec VPN и отключить протокол PPTP

    Настройте L2TP с предварительным ключом:

    1. Сначала убедитесь, что правила для входящего трафика брандмауэра Windows на сервере разрешают L2TP (если ранее вы включили только правила брандмауэра для входящего трафика для PPTP и GRE, вам также следует включить L2TP сейчас). Откройте консоль управления RAAS, щелкните правой кнопкой мыши имя сервера и перейдите в свойства. Перейдите на вкладку «Безопасность» и установите флажок «Разрешить настраиваемую политику IPsec для подключения L2TP / IKEv2» и создайте / введите сложный пароль в поле «Предварительный ключ».

    Добавить комментарий

    Ваш адрес email не будет опубликован.