Как настроить VPN-сервер 2016 с настраиваемым IPsec для L2TP / IKEv2.

Виртуальная частная сеть (VPN) позволяет вам безопасно подключаться к вашей частной сети из Интернета и защищает вас от интернет-атак и перехвата данных.

Чтобы установить и настроить VPN (или роль «Удаленный доступ») на сервере 2016, это многошаговый процесс, поскольку для успешной работы VPN необходимо настроить несколько параметров на стороне VPN-сервера.

Как установить и настроить VPN-сервер 2016 с настраиваемой политикой IPsec для соединения L2TP / IKEv2.

В этом пошаговом руководстве мы рассмотрим настройку VPN Server 2016 с использованием протокола туннелирования второго уровня (L2TP / IPSEC) с настраиваемым ключом PreShared для обеспечения более безопасных VPN-подключений.

Шаг 1. Добавьте роль удаленного доступа (VPN-доступ) на Server 2016.
Шаг 2. Настройте и включите маршрутизацию и удаленный доступ на сервере 2016.
Шаг 3. Включите политику IPsec для соединений L2TP / IKEv2.
Шаг 4. Настройте сервер сетевой политики.
Шаг 5. Включите соединения L2TP / IPsec за NAT.
Шаг 6. Проверьте, есть ли «IKE» Службы «Агент политики IPsec» работают.
Шаг 7. Разрешите L2TP / IPSEC-соединения с PreShared Key на сервере и клиенте.
Шаг 8. Выберите, какие пользователи будут иметь доступ к VPN.
Шаг 9. Настройте брандмауэр для разрешения доступа VPN.
Шаг 10. Подключитесь к VPN Server 2016 с клиентского компьютера Windows.

Шаг 1. Как добавить роль удаленного доступа (VPN-доступ) на сервере 2016 года.

Первым шагом для настройки Windows Server 2016 в качестве VPN-сервера является добавление Удаленный доступ роль {прямой доступ VPN (RAS) сервисы} к вашему Серверу 2016. *

* Информация: для этого примера мы собираемся настроить VPN на компьютере под управлением Windows Server 2016 с именем «Srv1» и с IP-адресом «192.168.1.8».

1. Чтобы установить роль VPN в Windows Server 2016, откройте «Диспетчер серверов» и нажмите Добавить роли и особенности.

Настройка VPN Server 2016

2. На первом экране мастера добавления ролей и компонентов оставьте Ролевая или функциональная установка вариант и нажмите Следующий.

clip_image008

3. На следующем экране оставьте параметр по умолчанию «Выберите сервер из пула серверов«и нажмите Следующий.

образ

4. Затем выберите роль удаленного доступа и нажмите следующий.

установить VPN Server 2016

5. На экране «Функции» оставьте настройки по умолчанию и нажмите следующий.

образ

6. На информационном экране «Удаленный доступ» нажмите следующий.

clip_image016

7. В разделе «Удаленные службы» выберите Прямой доступ и VPN (RAS) Ролевые службы, а затем нажмите следующий.

clip_image020

8. Затем нажмите Добавить функции.

образ

9. щелчок следующий опять таки.

образ

10. Оставьте настройки по умолчанию и нажмите следующий (дважды) на экранах «Роль веб-сервера (IIS)» и «Службы роли».

образ

11. На экране «Подтверждение» выберите Перезагрузите сервер назначения автоматически (если требуется) и нажмите Установить.

clip_image022

12. На последнем экране убедитесь, что установка роли удаленного доступа прошла успешно и близко Мастер.

clip_image024

13. Затем (из диспетчера сервера) инструменты меню, нажмите на Управление удаленным доступом.
14.
Выбрать Прямой доступ и VPN слева, а затем нажмите Запустите Мастер начала работы.

образ

15. Затем нажмите Развернуть VPN только.

образ

16. Продолжать часть 2 ниже, чтобы настроить маршрутизацию и удаленный доступ.

Шаг 2. Как настроить и включить маршрутизацию и удаленный доступ на сервере 2016.

Следующим шагом является включение и настройка VPN-доступа на нашем Сервере 2016. Для этого:

1. Щелкните правой кнопкой мыши на имени сервера и выберите Настройте и включите маршрутизацию и удаленный доступ. *

образ

* Примечание: Вы также можете запустить настройки маршрутизации и удаленного доступа, используя следующий способ:

1. Откройте Диспетчер серверов и из инструменты меню, выберите Управление компьютером.
2. Разверните Услуги и приложения
3. Щелкните правой кнопкой мыши на Маршрутизация и удаленный доступ и выберите Настройте и включите маршрутизацию и удаленный доступ.

образ

2. щелчок следующий в «Мастер настройки сервера маршрутизации и удаленного доступа».

образ

3. выберите Пользовательская конфигурация и нажмите Следующий.

clip_image030

4. Выбрать VPN доступ только в этом случае и нажмите Следующий.

clip_image032

5. Наконец нажмите финиш.

clip_image034

6. При появлении запроса на запуск службы нажмите Начало.

образ

7. Теперь вы увидите зеленую стрелку рядом с именем вашего сервера (например, «Svr1» в этом примере).

Шаг 3. Как включить пользовательскую политику IPsec для соединений L2TP / IKEv2.

1. В Маршрутизация и удаленный доступ щелкните правой кнопкой мыши на имени вашего сервера и выберите Свойства.

образ

2. В Безопасность выберите вкладку Разрешить настраиваемую политику IPsec для соединения L2TP / IKEv2 и затем введите Предварительный ключ (для этого примера я набираю: «TestVPN @ 1234»).

clip_image038

3. Затем нажмите Методы аутентификации кнопку (выше) и убедитесь, что Microsoft зашифрованная аутентификация версии 2 (MS-CHAP v2) выбран, а затем нажмите ХОРОШО.

clip_image040

4. Теперь выберите IPv4 выберите вкладку Статический адресный пул и нажмите Добавлять.
5. Здесь введите диапазон IP-адресов, который будет назначен клиентам, подключенным к VPN, и нажмите хорошо (дважды), чтобы закрыть все окна.

например Для этого примера мы будем использовать диапазон IP-адресов: 192.168.1.200 — 192.168.1.202.

clip_image042

6. Когда появится всплывающее сообщение: «Чтобы включить настраиваемую политику IPsec для соединений L2TP / IKEv2, необходимо перезапустить маршрутизацию и удаленный доступ», нажмите хорошо.

образ

7. Наконец щелкните правой кнопкой мыши на своем сервере (например, «Svr1») и выберите Все задачи> Перезагрузить.

Шаг 4. Как настроить сервер сетевой политики.

1. Чтобы настроить сервер сетевой политики, щелкните правой кнопкой мыши Ведение журнала удаленного доступа и политики и выберите Запустить NPS

образ

2. На NPS (Местный) Выбрать Сетевые политики. Здесь вы увидите, что политики имеют красный ИКС.

clip_image046

3. Дважды щелкните по каждой политике и измените с Запретить доступ к Предоставление доступа и нажмите ХОРОШО.

clip_image048

Шаг 5. Как включить соединения L2TP / IPsec за NAT.

По умолчанию современные клиенты Windows (Windows 10, 8, 7 или Vista) и Windows Server 2016, 2012 Операционные системы 2008 не поддерживают соединения L2TP / IPsec, если компьютер Windows или сервер VPN расположены за NAT. Чтобы обойти эту проблему, вы должны изменить реестр следующим образом:

1. Одновременно нажмите Windows образ + р ключи, чтобы открыть окно запуска команды.
2. Тип смерзаться и нажмите Войти.

смерзаться

3. На левой панели перейдите к этой клавише:

  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Sevices \ PolicyAgent

4. Щелкните правой кнопкой мыши на PolicyAgent и выберите новый -> DWORD (32 бит) Значение.

образ

5. Для нового имени ключа введите: AssumeUDPEncapsulationContextOnSendRule и нажмите Войти.

* Примечание: значение должно вводиться всеми заглавными буквами и без пробелов.

6. Дважды щелкните этот новый ключ DWORD и введите данные значения: 2

образ

7. близко Редактор реестра. *

* Важный: Если у вас возникают проблемы при подключении к вашему VPN-серверу с клиентского компьютера Windows (Windows Vista, 7, 8, 10 и 2008 Server), вам необходимо добавить значение «AssumeUDPEncapsulationContextOnSendRule» в следующем разделе реестра, а затем перезагрузить машина:

  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ PolicyAgent

8. Перезагрузка VPN-сервер.

Шаг 6. Убедитесь, что IKE Службы агента политики IPsec работают.

После перезагрузки перейдите в панель управления службами и убедитесь, что следующие службы запущены и работают. Для этого:

1. Одновременно нажмите Windows образ + р ключи, чтобы открыть окно запуска команды.
2. В командной строке запуска введите: services.msc и нажмите Войти.

services.msc

3. Убедитесь, что запущены следующие службы: *

    1. Модули ключей IKE и AuthIP IPsec
    2. Агент политики IPsec

образ

* Заметки:
1. Если вышеперечисленные службы не запущены, дважды щелкните по каждой службе и установите Тип запуска в автоматическая. Затем нажмите хорошо а также перезапуск сервер.
2. Вы должны убедиться, что вышеуказанные службы также работают на клиентском компьютере Windows.

образ

Шаг 7. Разрешите L2TP / IPSEC-соединения с PreShared Key на сервере и клиенте.

Теперь мы должны разрешить L2TP-соединения с пользовательским предварительным ключом как на сервере 2016, так и на клиенте Windows. Для этого:

1. Одновременно нажмите Windows образ + р ключи, чтобы открыть окно запуска команды.
2. В командной строке запуска введите: ММС и нажмите Войти.

 

образ

3. От файл выберите Добавить / удалить оснастку.

образ

4. Выберите Управление политикой безопасности IP и нажмите на Добавлять.

образ

5. Оставлять Локальный компьютер на экране «Выберите компьютер или домен» и нажмите Финиш.

образ

6. щелчок хорошо еще раз, чтобы закрыть окно «Add Remove Snap ins».

7. Щелкните правой кнопкой мыши на Политики IP-безопасности на локальном компьютере и выберите Создать политику безопасности IP …

образ

8. щелчок следующий в «Мастере политики безопасности IP».

9. Теперь введите имя для новой политики (например, «Политика сервера») и нажмите следующий.

образ

10. На следующем экране мы выберем Активируйте правило ответа по умолчанию если у вас есть клиент Widows XP и следующий.

образ

11. Затем на Метод аутентификации правила ответа по умолчанию Выбрать Используйте эту строку для защиты обмена ключами и затем введите Предварительный ключ (например, «TestVPN @ 1234» в этом примере). Когда закончите, нажмите следующий.

образ

12. На следующем экране снимите флажок Флажок Изменить свойства и нажмите на Финиш.

образ

13. Затем щелкните правой кнопкой мыши на Политика сервера и нажмите на Присвоить.

образ

14. близко MMC без сохранения настройки консоли на Console1.

образ

15. Перезагрузка сервер. *

* Примечание. Не забудьте также внести изменения в клиентские компьютеры Windows.

Шаг 8. Как выбрать, какие пользователи будут иметь VPN-доступ.

Теперь пришло время указать, какие пользователи смогут подключаться к VPN-серверу (разрешения Dial-IN).

1. открыто Диспетчер серверов.
2. От инструменты меню, выберите Active Directory — пользователи и компьютеры. *

* Примечание. Если ваш сервер не принадлежит домену, перейдите по ссылке Управление компьютером -> Локальные пользователи и группы.

Передача роли мастера операций на сервер 2016.

3. Выбрать пользователей и дважды щелкните по пользователю, которому вы хотите разрешить доступ VPN.
4. Выберите Ввести номер вкладка и выберите Разрешить доступ. Затем нажмите хорошо.

clip_image002

Шаг 9. Как настроить брандмауэр для разрешения доступа VPN (переадресация портов).

Следующим шагом будет разрешение VPN-подключений в брандмауэре.

1. В верхней части нашего браузера введите IP-адрес вашего маршрутизатора: (например, «http://192.168.1.1» в этом примере) и войдите в веб-интерфейс маршрутизатора.

2. В настройках конфигурации маршрутизатора перенаправьте порт 1723 на IP-адрес компьютера, на котором вы создали новое входящее соединение, и который действует как VPN-сервер. (См. Руководство вашего маршрутизатора о том, как настроить переадресацию портов).

  • Например, если компьютер, на котором вы создали входящее (VPN) соединение, имеет IP-адрес 192.168.1.8, вам необходимо перенаправить порт 1723 на этот IP-адрес.

образ

— Если вы хотите обеспечить максимальную безопасность, вы можете использовать другой неиспользуемый внешний порт для VPN-подключений (диапазон портов: 1-65535). См. Эту статью, чтобы найти неиспользуемый порт: Список номеров портов TCP и UDP

  • Например, если вы укажете случайный (неиспользуемый) порт 34580 для входящих VPN-подключений, вы будете защищены от вредоносных программ, которые сканируют хорошо известные открытые сетевые порты, а затем подвергают риску вашу сеть.

образ

Вы сделали!

Дополнительные инструкции:

  • Чтобы иметь возможность подключаться к вашему VPN-серверу на расстоянии, вы должны знать общедоступный IP-адрес VPN-сервера. Чтобы найти общедоступный IP-адрес (с ПК с VPN-сервером), перейдите по этой ссылке: http://www.whatismyip.com/
  • Чтобы вы всегда могли подключиться к своему VPN-серверу, лучше иметь статический публичный IP-адрес. Чтобы получить статический публичный IP-адрес, вы должны связаться с вашим интернет-провайдером. Если вы не хотите платить за статический IP-адрес, вы можете настроить бесплатную службу динамического DNS (например, no-ip.) На стороне вашего маршрутизатора (VPN-сервер).
  • Для настройки нового VPN-соединения на вашем клиентском компьютере см. Следующие инструкции: Как настроить VPN-клиент.

Шаг 10. Как подключиться к VPN Server 2016 с клиентского компьютера Windows.

Теперь пришло время подключиться к нашему VPN Server 2006 с клиентского компьютера.

  • 1. Откройте Центр управления сетями и общим доступом.
    2. щелчок Создать новое соединение или сеть

    образ

    3. Выбрать Подключиться к рабочему месту и нажмите Следующий.

    образ

    4. Затем выберите Используйте мое интернет-соединение (VPN).

    образ

    5. На следующем экране введите Общедоступный IP-адрес сервера VPN и VPN-порт, который вы назначили на стороне маршрутизатора, а затем нажмите Создайте.

    например Если внешний IP-адрес: 108.200.135.144, и вы назначили порт 35000 для VPN, введите: 108.200.135.144:3500 в поле Интернет-адрес. В качестве имени получателя введите любое имя (например, «L2TP-VPN»).

    образ

    6. Введите имя пользователя и пароль для VPN-подключения и нажмите Connect.

    образ

    7. Если вы настроите VPN на клиентском компьютере с Windows 7, он попытается подключиться. Нажмите Пропускать а затем нажмите близко, потому что вам нужно указать некоторые дополнительные настройки для подключения VPN.

    8. В Центре управления сетями и общим доступом нажмите на Измените настройки адаптера слева.
    9.
    Щелкните правой кнопкой мыши новое VPN-соединение (например, «L2TP-VPN») и выберите свойства.
    10. Выберите Безопасность вкладка и выберите Уровень 2 (Туннельный протокол с IPsec (L2TP / IPsec) а затем нажмите на Расширенные настройки.

    clip_image078

    11. В разделе «Дополнительные настройки» введите предварительный ключ (например, «TestVPN @ 1234» в этом примере) и нажмите хорошо

    clip_image080

    12. Затем нажмите на Разрешить эти протоколы и выберите Microsoft CHAP версии 2 (MS-CHAP v2)

    clip_image082

    13. Затем выберите сетей Вкладка. Мы дважды щелкнем на Интернет-протокол версии 4 (TCP / IPv4) открыть свой свойства.
    14. Для Предпочитаемый DNS-сервер введите Локальный IP-адрес VPN-сервера (например, в этом примере «192.168.1.8»).

    clip_image084

    15. Затем нажмите кнопку «Дополнительно» и снимите флажок Использовать шлюз по умолчанию в удаленной сети потому что мы хотим отделить наш интернет-браузер на ПК от VPN-соединения.
    16. Наконец нажмите хорошо постоянно закрывать все окна.

    clip_image086

    17. Теперь дважды щелкните на новом VPN-соединении и нажмите Connect, подключиться к вашему рабочему месту.

    clip_image088

    Это оно! Дайте мне знать, если это руководство помогло вам, оставив свой комментарий о вашем опыте. Пожалуйста, любите и делитесь этим руководством, чтобы помочь другим.

Ссылка на основную публикацию