Разное

Windows server 2020 r2 vpn настройка: Настройка VPN сервера на базе Windows Server 2012 R2

Содержание

Настройка VPN сервера на базе Windows Server 2012 R2

В этой статье мы покажем, как установить и настроить простейший VPN сервер на базе Windows Server 2012 R2, который можно эксплуатировать в небольшой организации или в случае использования отдельно-стоящего сервера (т.н. hosted-сценариях).

Примечание. Данный мануал не рекомендуется использовать в качестве справочника для организации VPN сервера в крупной корпоративной сети. В качестве enterprise-решения предпочтительнее развернуть Direct Access и использовать его для удаленного доступа (который, кстати говоря, настроить теперь намного проще, чем в Windows 2008 R2).

В первую очередь необходимо установить роль “Remote Access”. Сделать это можно через консоль Server Manager или PowerShell (немого ниже).

В роли Remote Access нас интересует служба “DirectAccess and VPN (RAS)” . Установим ее (установка службы тривиальна, на последующих шагах все настройки можно оставить по-умолчанию. Будут установлены веб сервер IIS, компоненты внутренней базы Windows — WID).

После окончания работы мастера нажмите ссылку “Open the Getting Started Wizard“, в результате чего запустится мастера настройки RAS-сервера.

Службу RAS с помощью Powershell можно установить командой:

Install-WindowsFeatures RemoteAccess -IncludeManagementTools

Так как нам не требуется разворачивать службу DirectAccess, укажем, что нам нужно установить только сервер VPN (пункт “Deploy VPN only“).

После чего откроется знакомая MMC консоль Routing and Remote Access. В консоли щелкните правой кнопкой по имени сервера и выберите пункт “Configure and Enable Routing and Remote Access“.

Запустится мастер настройки RAS-сервера. В окне мастера выберем пункт “Custom configuration“, а затем отметим опцию “VPN Access”.

После окончания работы мастера система предложит запустить службу Routing and Remote Access. Сделайте это.

В том случае, если между вашим VPN сервером и внешней сетью, откуда будут подключаться клиенты (обычно это Интернет), есть файервол, необходимо открыть следующие порты и перенаправить трафик на эти порты к вашему VPN серверу на базе Windows Server 2012 R2:

  • Для PPTP: TCP — 1723 и Protocol 47 GRE (также называется PPTP Pass-through)
  • Для  SSTP: TCP 443
  • Для  L2TP over IPSEC: TCP 1701 и UDP 500

После установки сервера, необходимо в свойствах пользователя разрешить VPN доступ. Если сервер включен в домен Active Directory, сделать это нужно в свойствах пользователя в консоли ADUC, если же сервер локальный – в свойствах пользователя в консоли Computer Management (Network Access Permission – Allow access).

Если вы не используете сторонний DHCP сервер, который раздает vpn-клиентам IP адреса, необходимо в свойствах VPN сервера на вкладке IPv4 включить “Static address pool” и указать диапазон раздаваемых адресов.

Примечание. Раздаваемые сервером IP адреса в целях корректной маршрутизации не должны пересекаться с ip адресацией на стороне VPN клиента.

Осталось настроить VPN клиент и протестировать (как настроить vpn-клиент в Windows 8).

Совет. VPN сервер также можно организовать и на базе клиентской ОС. Подробно это описано в статьях:

Как настроить VPN на Windows Server и перестать ходить на работу?

Zip File, мои юные любители сисадминства. Нынче мы затронем такую балдёжную тему, как настройка VPN. Эта аббревиатура означает виртуальную частную сеть. С её помощью можно осуществлять подключение к рабочей сети вашего предприятия через безопасный канал. Такая схема позволяет использовать все внутренние ресурсы ЛВС, такие как общие папки, принтеры, почту и т.д. находясь за тысячи километров от офиса.

Для работы нам понадобится Windows Server, который имеет белый IP и выход за NAT. Т.к. данный урок я снимаю преимущественно для слушателей закрытой академии Kurets.Ru, весь процесс поднятия VPN будет продемонстрирован на версии сервера 2016 года. Данный релиз является наиболее актуальным и распространённым на сегодняшний день.

Однако тот же алгоритм действий вполне применим, как более новой версии 2019 года, так и к устаревшим 2012 и 2008 года соответственно. В качестве клиента будет использоваться стандартная рабочая станция с Windows 10. Такие дела. Что ж, ребятки, меньше слов, больше дела. Не будем сёдня долго запрягать. Погнали настраивать.

Шаг 1. Первым делом заходим на сервер в корпоративной сети и в оснастке «Диспетчер серверов» кликаем по пункту «Добавить роли и компоненты».

Шаг 2. Далее.

Шаг 3. Оставляем параметр «Установка ролей и компонентов».

Шаг 4. В данном окне выбираем сервер, на котором собираемся поднимать службу VPN. У нас выбор не велик. Жмём «Далее».

Шаг 5. Отмечаем пункт «Удалённый доступ». Next.

Шаг 6. В компонентах ничего не меняем.

Шаг 7. Знакомимся с информацией о том, что такое в принципе VPN и зачем нужен удаленный доступ.

Шаг 8. Отмечаем галочкой параметр «DirectAccess и VPN» и добавляем необходимые компоненты.

Шаг 9. Далее.

Шаг 10. Далее.

Шаг 11. Всё. Можно приступить к установке. Кликаем по соответствующей кнопке и идём заваривать чай.

Шаг 12. По завершению установки закрываем данную оснастку.

Шаг 13. В диспетчере серверов раскрываем «Средства» и ищем пункт «Маршрутизация и удаленный доступ».

Шаг 14. Видим слева наш сервер, отмеченный красной меткой. Данный цвет кружка свидетельствует о том, что сервер VPN не настроен и соответственно не функционирует. Исправим это недоразумение. Кликаем правой кнопкой. «Настроить и включить маршрутизацию и удаленный доступ».

Шаг 15. Выбираем пункт «Особая конфигурация».

Шаг 16. Отмечаем «Доступ к виртуальной частной сети (VPN)».

Шаг 17. И после нажатия на «Готово» в последнем окне кликаем по кнопке «Запустить службу».

Шаг 18. Сервер взлетел. Остались нюансы. Вызываем контекстное меню. «Свойства».

Шаг 19. У меня на учебном сервере не настроен DHCP, поэтому на вкладке IPv4 укажем статический пул адресов. Из этого диапазона будут получать настройки наши рабочие станции, которые мы далее будем подключать извне.

class=»eliadunit»>

Шаг 20. Отлично. Диапазон задали. Теперь затронем вопрос безопасности. Переходим на соответствующую вкладку и отмечаем параметр «Разрешить пользовательские политики IPsec для L2TP». Вводим секретный ключ, который будет использоваться для подключения к нашей корпоративной сети из интернета. Жмём «Применить» и в появившемся окне соглашаемся с предупреждением о важности перезапуска службы маршрутизации.

Шаг 21. Перезапускать мы её будем прямо сейчас. В диспетчере привычным движением раскрываем «Средства» — «Службы».

Шаг 22. Ищем в длинном списке «Маршрутизация и удаленный доступ» и вызвав контекстное меню, перезапускаем эту историю.

Шаг 23. Осталось подумать, каким пользователям будет предоставлен доступ к нашей частной сети. У меня данная тачка не в домене. Т.к. подразумевается, что она выполняет исключительно роль общей шары. Поэтому будем мудрить с локальными пользюками. Открываем в пуске «Управление компьютером» и на соответствующей вкладке отмечаем нужного пользователя. Я заранее создал одного Юзверя.

Шаг 24. Заходим в свойства данной учётки и на вкладке «Входящие звонки» разрешаем «Права доступа к сети». Применяем наши изменения.

Шаг 25. И переходим к настройке клиентского компьютера. У меня это комп на Windows 10. Отмечу, что он не находится в одной сети с сервером, но при этом имеет выход в Интернет. Открываем «Центр управления сетями и общим доступом» и далее «Создание и настройка нового подключения или сети».

Шаг 26. В открывшемся окне помощника выбираем пункт «Подключение к рабочему месту».

Шаг 27. «Использовать моё подключение к интернету».

Шаг 28. Вводим белый ip-адрес нашего сервера, который выведен за NAT. И при желании изменяем название подключения. Я оставлю по умолчанию. Ждём «Создать».

Шаг 29. Хорошо. Далее заходим в «Свойства» созданного подключения.

Шаг 30. И на вкладочке «Сеть» раскрываем «Свойства» компонента IPv4. Жмём «Дополнительно» и снимаем галочку с пункта «Использовать основной шлюз в удаленной сети». Это очень важный момент. Если этого не сделать, то сразу после подключения к корпоративной сети, ваше локальное подключение к Интернету на компьютере пропадёт, ибо по умолчанию VPN использует шлюз удалёнки. Так что будьте предельно внимательны и не пропускайте данный шаг при настройке внешних рабочих станций.

Шаг 31. Сохраняем изменения и переходим на вкладочку «Безопасность». Тут нам необходимо изменить тип протокола на «L2TP» и в дополнительных параметрах задать «Ключ для проверки подлинности», который мы ранее указывали на сервере.

Шаг 32. Всё, братцы. Теперь смело можно подключаться. Кликаем по значку сети на панели задач и выбираем наше подключение.

Шаг 33. Вводим данные от учетной записи пользователя. Помним, что в данном примере мы разрешали доступ к нашей сети извне только одному Юзверю.

Шаг 34. И дожидаемся статуса «Подключено». С этого момента мы находимся в корпоративной сети, а следовательно можем пользоваться её ресурсами.

Шаг 35. Давайте попробуем проверить функционал общих папок. Открываем проводник и в адресной строке вводим ip сервера.

Шаг 36. Через некоторое время видим расшареную папку «Общий обмен». Это свидетельствует о том, что наше VPN-подключение к серверу сконфигурировано корректно.

Более подробно о том, как создавать общие папки, настраивать квоты и в целом производить полную настройку виндового сервера, что называется, под ключ. Вы можете узнать в нашем полноценном обучающем курсе по администрированию Windows Server 2016.

>>>КЛИКНИТЕ, ЧТОБЫ УЗНАТЬ ПОДРОБНОСТИ<<<

Друзья, сегодня мы научились создавать защищённое VPN-соединение. С его помощью вы сможете не только наладить свою собственную работу на удалёнке и выполнять большую часть задач прямо из дома, но также при возникновении соответствующей потребности объединить сети нескольких филиалов в единый канал.

Если урок оказался полезным, то не забудьте поставить лайк этому видео и оформить подписку с колокольчиком. Таким образом вы первыми будете получать информацию о новых выпусках. В заключении, традиционно, хочу пожелать вам удачи, успеха и самое главное отличного настроения. Берегите себя и свои сервера. До новых встреч.

class=»eliadunit»>

Полезные материалы:

Установка VPN сервера на Windows Server 2016


В этом кратком руководстве мы опишем процесс установки и настройке VPN-сервера на базе Windows Server. Все действия, описанные в этой статье, были выполнены на Windows Server 2016, но эта инструкция подходит для любой современной серверной операционной системы Windows, начиная с Windows Server 2008 R2 и заканчивая Windows Server 2016.

Итак, давайте начнем. Прежде всего нам нужно настроить роль удаленного доступа (Remote Access). Для этого в оснастке Server Manager запустите мастер добавления ролей и выберите роль Remote Access.

Затем, в списке служб роли выберите опцию «DirectAccess and VPN (RAS)«.

В дополнение к роли удаленного доступа и средствам управления, также автоматически будут установлены веб-сервер IIS и внутренняя база данных Windows (WID). Полный список установленных функций можно просмотреть в окончательном окне мастера, появляющимся перед тем, как вы подтвердите установку.

Установить роль Remote Access вместе со всеми необходимыми опциями можно всего одной командой PowerShell:

Install-WindowsFeature -Name DirectAccess-VPN -IncludeAllSubFeature -IncludeManagementTools

После установки роли вам необходимо включить и настроить службу с помощью оснастки «Маршрутизация и удаленный доступ» (Routing and Remote Access) — rrasmgmt.msc.

В оснастке RRAS выберите имя сервера, щелкните правой кнопкой мыши и выберите «Настроить и включить маршрутизацию и удаленный доступ» (Configure and Enable Routing and Remote Access) в открывшемся меню.

В мастере настройки выберите пункт Custom configuration.

В списке служб выберите опцию VPN access.

После этого система предложит вам запустить службу Маршрутизации и удаленного доступа.

Служба VPN установлена и включена, теперь ее необходимо настроить. Снова откройте меню сервера и выберите пункт «Свойства».

Перейдите на вкладку IPv4. Если у вас нет DHCP-серверов в сети, вам необходимо указать диапазон IP-адресов, которые будут получать клиенты при подключении к VPN-серверу.

Кроме того, на вкладке Security вы можете настроить параметры безопасности — выбрать тип проверки подлинности, установить предварительный общий ключ для L2TP или выбрать сертификат для SSTP.

И еще пара нужных моментов, которые следует иметь в виду при настройке VPN-сервера.

Во-первых, вам нужно указать пользователей, которых будет разрешено подключаться к этому VPN-серверу. Для автономного сервера настройка выполняется локально, в оснастке «Управление компьютером». Чтобы запустить оснастку, вам нужно выполнить команду compmgmt.msc, затем перейдите в раздел «Локальные пользователи и группы». Затем вам нужно выбрать пользователя, открыть его свойства, а на вкладке «Dial-In» отметьте пункт «Разрешить доступ» (Allow access). Если компьютер является членом домена Active Directory, те же настройки можно сделать из оснастки ADUC.

Во-вторых, проверьте, открыты ли все необходимые порты на брандмауэре Windows и межсетевом экране, осуществляющим NAT-трансляцию. Теоретически, когда вы устанавливаете роль RRAS, соответствующие правила автоматически включаются, но на всякий случай проверьте их самостоятельно. Список разрешенных правил для входящего трафика:

  • Routing and Remote Access (GRE-In) — протокол 47 (GRE)
  • Routing and Remote Access (L2TP-In) – TCP/1701, UDP/500, UDP/4500 и протокол 50 (ESP)
  • Routing and Remote Access (PPTP-In) — TCP/1723
  • Secure Socket Tunneling protocol (SSTP-in) – TCP/443

Если ваш VPN-сервер находится за NAT, для корректной установки VPN-соединения по протоколу L2TP/ipsec, на стороне клиента необходимо в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent создать ключ с именем AssumeUDPEncapsulationContextOnSendRule и значением 2.

На этом все. Теперь, когда у вас имеется настроенный VPN-сервер, вы можете подключиться к нему с помощью VPN-клиента.

Установка и настройка VPN-сервера в Windows Server 2003 — Windows Server



  • Чтение занимает 19 мин

В этой статье

В этой пошаговой статье описывается установка виртуальной частной сети (VPN) и создание нового VPN-подключения на серверах, работающих Windows Server 2003.

В статье 314076Windows xp версии Microsoft.

Применяется к:   Windows Server 2003
Исходный номер КБ:   323441

Сводка

С помощью виртуальной частной сети можно подключить сетевые компоненты через другую сеть, например Интернет. Компьютер на Windows Server 2003 можно сделать сервером удаленного доступа, чтобы другие пользователи могли подключиться к нему с помощью VPN, а затем войти в сеть и получить доступ к общим ресурсам. Vpn-пользователи делают это путем «туннелинга» через Интернет или через другую общественную сеть таким образом, что обеспечивает ту же безопасность и функции, что и частная сеть. Данные отправляются через общедоступные сети с помощью инфраструктуры маршрутировки, но пользователю кажется, что данные отправляются по выделенной частной ссылке.

Обзор VPN

Виртуальная частная сеть — это средство подключения к частной сети (например, к сети офисов) с помощью общедоступных сетей (например, Интернета). VPN сочетает достоинства подключения к диалоговому серверу с легкостью и гибкостью подключения к Интернету. С помощью подключения к Интернету вы можете путешествовать по всему миру и в большинстве мест подключаться к вашему офису с помощью локального звонка на ближайший номер телефона с доступом к Интернету. Если у вас есть высокоскоростное подключение к Интернету (например, кабель или DSL) на компьютере и в офисе, вы можете общаться с вашим офисом на полной скорости Интернета, что намного быстрее, чем любое подключение к сети, использующее аналоговый модем. Эта технология позволяет предприятию подключаться к филиалам или другим компаниям через общению, сохраняя при этом безопасные коммуникации. Vpn-подключение через Интернет логически работает в качестве выделенной широкой сети области (WAN) ссылку.

Виртуальные частные сети используют ссылки с проверкой подлинности, чтобы убедиться, что к вашей сети могут подключаться только уполномоченные пользователи. Чтобы убедиться, что данные безопасны по мере перемещения по общедоступным сетям, vpn-соединение использует протокол туннелинга point-to-point (PPTP) или Протокол туннелинга уровня 2 (L2TP) для шифрования данных.

Компоненты VPN

VPN на серверах Windows Server 2003 состоит из VPN-сервера, VPN-клиента, VPN-подключения (это часть подключения, в котором шифруются данные) и туннеля (ту часть подключения, в которой инкапсулированы данные). Туннельный процесс завершен с помощью одного из протоколов тоннелей, включенных с серверами, работающими Windows Server 2003, оба из которых установлены с помощью маршрутных маршрутов и удаленного доступа. Во время установки Windows Server 2003 автоматически устанавливается служба маршрутного и удаленного доступа. Однако по умолчанию отключена служба маршрутного и удаленного доступа.

Два протокола туннеля, включенные в Windows, являются:

  • Протокол туннелинга точки к точке (PPTP) : обеспечивает шифрование данных с помощью шифрования microsoft Point-to-Point.
  • Протокол туннелирования уровня 2 (L2TP): обеспечивает шифрование данных, проверку подлинности и целостность с помощью IPSec.

Подключение к Интернету должно использовать выделенную строку, например T1, Fractional T1 или Frame Relay. Адаптер WAN должен быть настроен с помощью IP-адреса и подсети, назначенной для домена или предоставленной поставщиком интернет-служб (ISP). Адаптер WAN также должен быть настроен как шлюз маршрутизатора isP по умолчанию.

Примечание

Чтобы включить VPN, необходимо войти в систему с помощью учетной записи, которая имеет административные права.

Установка и включить VPN-сервер

Чтобы установить и включить VPN-сервер, выполните следующие действия:

  1. Нажмите кнопку Пуск, указать административные средства, а затем нажмите маршрутику и удаленный доступ.

  2. Щелкните значок сервера, который совпадает с именем локального сервера в левой области консоли. Если в нижнем левом углу значок имеет красный круг, служба маршрутивки и удаленного доступа не включена. Если значок имеет зеленую стрелку, указываную в левом нижнем углу, включена служба маршрутивки и удаленного доступа. Если служба маршрутивки и удаленного доступа была ранее включёна, может потребоваться перенастроить сервер. Чтобы перенастроить сервер:

    1. Щелкните правой кнопкой мыши объект сервера и нажмите кнопку Отключить маршрутику и удаленный доступ. Щелкните Да, чтобы продолжить, когда вам будет предложено информационное сообщение.
    2. Щелкните правой кнопкой мыши значок сервера и нажмите кнопку Настройка и включить маршрутику и удаленный доступ, чтобы запустить мастер настройки сервера маршрутов и удаленного доступа. Для продолжения нажмите кнопку Далее.
    3. Щелкните удаленный доступ (диалоговое окно или VPN), чтобы включить удаленные компьютеры, чтобы набрать номер или подключиться к этой сети через Интернет. Для продолжения нажмите кнопку Далее.
  3. Выберите VPN или dial-up в зависимости от роли, которую вы собираетесь назначить этому серверу.

  4. В окне VPN-подключения щелкните сетевой интерфейс, подключенный к Интернету, а затем нажмите кнопку Далее.

  5. В окне Назначение IP-адресов нажмите кнопку Автоматически, если сервер DHCP будет использоваться для назначения адресов удаленным клиентам, или выберите из указанного диапазона адресов, если удаленным клиентам должен быть предоставлен только адрес из заданного пула. В большинстве случаев параметр DHCP проще администрирования. Однако, если DHCP не доступен, необходимо указать диапазон статических адресов. Для продолжения нажмите кнопку Далее.

  6. Если вы нажмете на указанный диапазон адресов, откроется диалоговое окно «Назначение диапазона адресов». Нажмите кнопку Создать. Введите первый IP-адрес в диапазоне адресов, которые необходимо использовать в поле «Начните IP». Введите последний IP-адрес в диапазоне в поле Конечный IP-адрес. Windows вычисляет количество адресов автоматически. Щелкните ОК, чтобы вернуться в окно назначения диапазона адресов. Для продолжения нажмите кнопку Далее.

  7. Примите параметр «Нет», используйте маршрутику и удаленный доступ для проверки подлинности запросов на подключение, а затем нажмите кнопку Далее, чтобы продолжить. Щелкните Кнопку Готово, чтобы включить службу маршрутинга и удаленного доступа и настроить сервер в качестве сервера удаленного доступа.

Настройка VPN-сервера

Чтобы продолжить настройку VPN-сервера по мере необходимости, выполните следующие действия.

Настройка сервера удаленного доступа в качестве маршрутизатора

Чтобы сервер удаленного доступа правильно переадтранслировать трафик внутри сети, необходимо настроить его как маршрутизатор с помощью статических маршрутов или протоколов маршрутизации, чтобы все расположения внутрисети были доступны с сервера удаленного доступа.

Настройка сервера в качестве маршрутизатора:

  1. Нажмите кнопку Пуск, указать административные средства, а затем нажмите маршрутику и удаленный доступ.
  2. Щелкните правой кнопкой мыши имя сервера и нажмите кнопку Свойства.
  3. Щелкните вкладку General, а затем выберите маршрутизатор в статье Включить этот компьютер в качестве.
  4. Щелкните маршрутику локальной сети и набора требований, а затем нажмите кнопку ОК, чтобы закрыть диалоговое окно Свойства.

Изменение количества одновременных подключений

Количество подключений модема зависит от количества модемов, установленных на сервере. Например, если на сервере установлен только один модем, можно одновременно иметь только одно подключение модема.

Количество VPN-подключений к диалогу зависит от количества одновременных пользователей, которых вы хотите разрешить. По умолчанию при запуске процедуры, описанной в этой статье, разрешается 128 подключений. Чтобы изменить количество одновременных подключений, выполните следующие действия:

  1. Нажмите кнопку Пуск, указать административные средства, а затем нажмите маршрутику и удаленный доступ.
  2. Дважды щелкните серверный объект, нажмите правой кнопкой мыши Порты и нажмите кнопку Свойства.
  3. В диалоговом окне Ports Properties нажмите кнопку WAN Miniport (PPTP) > Настройка.
  4. В поле Maximum ports введите количество VPN-подключений, которые необходимо разрешить.
  5. Нажмите кнопку ОК ОК, а затем > закроем маршрутику и удаленное присоединение.

Управление адресами и серверами имен

Vpn-сервер должен иметь IP-адреса, доступные для назначения их виртуальному интерфейсу VPN-сервера и VPN-клиентам на этапе переговоров по протоколу IP-адресов (IPCP) процесса подключения. IP-адрес, присвоенный VPN-клиенту, назначен виртуальному интерфейсу VPN-клиента.

Для Windows серверов VPN на основе Сервера 2003 IP-адреса, присвоенные VPN-клиентам, получаются через DHCP по умолчанию. Вы также можете настроить статический пул IP-адресов. Vpn-сервер также должен быть настроен с помощью серверов разрешения имен, как правило, DNS и wins server addresses, чтобы назначить vpn-клиенту во время переговоров по IPCP.

Управление доступом

Настройте свойства dial-in в учетных записях пользователей и политиках удаленного доступа для управления доступом для подключения к сети и VPN.

Примечание

По умолчанию пользователям отказано в доступе к сети с диалогом.

Доступ к учетной записи пользователя

Чтобы предоставить доступ к учетной записи пользователя, если вы управляете удаленным доступом на основе пользователя, выполните следующие действия:

  1. В меню Пуск выберите пункт Администрирование и затем пункт Active Directory — пользователи и компьютеры.
  2. Щелкните правой кнопкой мыши учетную запись пользователя и нажмите кнопку Свойства.
  3. Щелкните вкладку Dial-in.
  4. Нажмите Кнопку Разрешить доступ, чтобы предоставить пользователю разрешение на вход. Нажмите кнопку ОК.

Доступ к членству в группе

Если вы управляете удаленным доступом на групповой основе, выполните следующие действия:

  1. Создайте группу с участниками, которым разрешено создавать VPN-подключения.
  2. Нажмите кнопку Пуск, указать административные средства, а затем нажмите маршрутику и удаленный доступ.
  3. В дереве консоли развяжь маршрутику и удаленный доступ, развяжи имя сервера и нажмите кнопку Политики удаленного доступа.
  4. Щелкните правой кнопкой мыши в любом месте правой области, указать кнопку New и нажмите кнопку Политика удаленного доступа.
  5. Нажмите кнопку Далее, введите имя политики, а затем нажмите кнопку Далее.
  6. Щелкните VPN для метода доступа к виртуальному частному доступу или нажмите кнопку Dial-up для доступа к диалоговом номеру, а затем нажмите кнопку Далее.
  7. Нажмите кнопку Добавить, введите имя группы, созданной на шаге 1, а затем нажмите кнопку Далее.
  8. Выполните инструкции на экране, чтобы завершить мастер.

Если VPN-сервер уже разрешает службы удаленного доступа к сети, не удаляйте политику по умолчанию. Вместо этого переместим ее так, чтобы она была последней политикой, которую необходимо оценить.

Настройка VPN-подключения с клиентского компьютера

Чтобы настроить подключение к VPN, выполните следующие действия. Чтобы настроить клиента для виртуального доступа к частной сети, выполните следующие действия на клиентской рабочей станции:

Примечание

Чтобы следовать этим шагам, необходимо войти в систему как член группы Администраторов.

Так как существует несколько версий microsoft Windows, на вашем компьютере могут быть другие действия. Если они есть, см. документацию по продуктам для выполнения этих действий.

  1. На клиентской компьютере подтвердим, что подключение к Интернету правильно настроено.

  2. Нажмите > кнопку Start Control Panel Network > Connections. Нажмите кнопку Создать новое подключение в рамках сетевых задач, а затем нажмите кнопку Далее.

  3. Щелкните Подключение в сеть на моем рабочем месте, чтобы создать подключение к диалогу. Для продолжения нажмите кнопку Далее.

  4. Щелкните подключение виртуальной частной сети, а затем нажмите кнопку Далее.

  5. Введите описательное имя для этого подключения в диалоговом окне имя компании, а затем нажмите кнопку Далее.

  6. Нажмите кнопку Не набирайте начальное подключение, если компьютер постоянно подключен к Интернету. Если компьютер подключается к Интернету через поставщика интернет-служб (ISP), нажмите кнопку Автоматически наберите это начальное подключение, а затем нажмите имя подключения к провайдеру. Нажмите кнопку Далее.

  7. Введите IP-адрес или имя сервера VPN (например, VPNServer.SampleDomain.com).

  8. Нажмите кнопку Любое использование, если вы хотите разрешить любому пользователю, который входит на работу, иметь доступ к этому подключению. Щелкните Кнопку Мое использование, только если вы хотите, чтобы это подключение было доступно только для зарегистрированного в настоящее время пользователя. Нажмите кнопку Далее.

  9. Нажмите кнопку Готово, чтобы сохранить подключение.

  10. Нажмите > кнопку Start Control Panel Network > Connections.

  11. Дважды щелкните новое подключение.

  12. Щелкните Свойства, чтобы продолжить настройку параметров подключения. Чтобы продолжить настройку параметров подключения, выполните следующие действия:

    • Если вы подключены к домену, щелкните вкладку Параметры, а затем нажмите кнопку включить Windows логона домена, чтобы указать, следует ли запрашивать сведения о логотипе Windows Server 2003 перед попыткой подключения.
    • Если вы хотите, чтобы подключение было перенаправлено, если линия отброшена, щелкните вкладку Параметры, а затем выберите Redial, если строка отброшена.

Чтобы использовать подключение, выполните следующие действия:

  1. Нажмите кнопку Начните, Подключение на кнопку , а затем нажмите новое подключение.

  2. Если у вас в настоящее время нет подключения к Интернету, Windows предлагает подключиться к Интернету.

  3. Когда подключение к Интернету выполнено, VPN-сервер подсказывает вам имя пользователя и пароль. Введите имя пользователя и пароль, а затем нажмите кнопку Подключение. Сетевые ресурсы должны быть доступны вам таким же образом, как и при непосредственном подключении к сети.

    Примечание

    Чтобы отключиться от VPN, щелкните правой кнопкой мыши значок подключения и нажмите кнопку Отключить.

Устранение неполадок

Устранение неполадок VPN удаленного доступа

Не удалось установить VPN-подключение удаленного доступа
  • Причина. Имя клиентского компьютера такое же, как имя другого компьютера в сети.

    Решение. Убедитесь, что имена всех компьютеров в сети и подключенных к сети компьютеров используют уникальные имена компьютеров.

  • Причина. Служба маршрутного и удаленного доступа не запущена на VPN-сервере.

    Решение. Проверьте состояние службы маршрутиза и удаленного доступа на VPN-сервере.

    Дополнительные сведения о том, как отслеживать службу маршрутного и удаленного доступа, а также как запустить и остановить службу маршрутов и удаленного доступа, см. в Windows Server 2003. Нажмите кнопку Пуск для доступа к центру Windows Server 2003.

  • Причина. Удаленный доступ не включен на VPN-сервере.

    Решение. Включи удаленный доступ на VPN-сервере.

    Дополнительные сведения о том, как включить сервер удаленного доступа, см. в Windows Server 2003. Нажмите кнопку Пуск для доступа к центру Windows Server 2003.

  • Причина: порты PPTP или L2TP не включены для входящие запросы на удаленный доступ.

    Решение. Включаем порты PPTP или L2TP или оба для запросов на входящий удаленный доступ.

    Дополнительные сведения о настройке портов для удаленного доступа см. в Windows Server 2003. Нажмите кнопку Пуск для доступа к центру Windows Server 2003.

  • Причина. Для удаленного доступа на VPN-сервере не включались lan-протоколы, используемые vpn-клиентами.

    Решение. Включи протоколы LAN, используемые VPN-клиентами для удаленного доступа на VPN-сервере.

    Дополнительные сведения о просмотре свойств сервера удаленного доступа см. в Windows Server 2003. Нажмите кнопку Пуск для доступа к центру Windows Server 2003.

  • Причина. Все порты PPTP или L2TP на VPN-сервере уже используются подключенными к настоящему моменту клиентами удаленного доступа или маршрутизаторами с набором требований.

    Решение. Убедитесь, что все порты PPTP или L2TP на VPN-сервере уже используются. Для этого щелкните Порты в маршрутике и удаленном доступе. Если разрешенное количество разрешенных портов PPTP или L2TP недостаточно высоко, измените количество портов PPTP или L2TP, чтобы разрешить более одновременное подключение.

    Дополнительные сведения о добавлении портов PPTP или L2TP см. в Windows Server 2003. Нажмите кнопку Пуск для доступа к центру Windows Server 2003.

  • Причина: VPN-сервер не поддерживает протокол туннеля vpn-клиента.

    По умолчанию Windows Сервер 2003 для VPN-клиентов удаленного доступа используют параметр автоматического типа сервера, что означает, что они сначала пытаются установить VPN-подключение на основе IPSec на основе IPSec, а затем пытаются установить VPN-подключение на основе PPTP. Если клиенты VPN используют параметр типа протокола туннельного туннелинга point-to-Point (PPTP) или типа протокола тоннеля layer-2 (L2TP), убедитесь, что выбранный протокол туннеля поддерживается VPN-сервером.

    По умолчанию компьютер с Windows Server 2003 и службой маршрутного и удаленного доступа — это сервер PPTP и L2TP с пятью портами L2TP и пятью портами PPTP. Чтобы создать сервер только для PPTP, установите количество портов L2TP до нуля. Чтобы создать сервер только для L2TP, установите количество портов PPTP до нуля.

    Решение. Убедитесь, что настроено соответствующее количество портов PPTP или L2TP.

    Дополнительные сведения о добавлении портов PPTP или L2TP см. в Windows Server 2003. Нажмите кнопку Пуск для доступа к центру Windows Server 2003.

  • Причина: VPN-клиент и VPN-сервер в сочетании с политикой удаленного доступа не настроены на использование хотя бы одного общего метода проверки подлинности.

    Решение. Настройте VPN-клиент и VPN-сервер в сочетании с политикой удаленного доступа, чтобы использовать по крайней мере один распространенный метод проверки подлинности.

    Дополнительные сведения о настройке проверки подлинности см. в Windows Server 2003. Нажмите кнопку Пуск для доступа к центру Windows Server 2003.

  • Причина: VPN-клиент и VPN-сервер в сочетании с политикой удаленного доступа не настроены на использование хотя бы одного общего метода шифрования.

    Решение. Настройте VPN-клиент и VPN-сервер в сочетании с политикой удаленного доступа, чтобы использовать по крайней мере один распространенный метод шифрования.

    Дополнительные сведения о настройке шифрования см. в Windows Server 2003. Нажмите кнопку Пуск для доступа к центру Windows Server 2003.

  • Причина. Подключение VPN не имеет соответствующих разрешений с помощью свойств учетной записи пользователя и политик удаленного доступа.

    Решение. Убедитесь, что подключение VPN имеет соответствующие разрешения с помощью свойств учетной записи пользователя и политик удаленного доступа. Чтобы установить подключение, необходимо установить параметры попытки подключения:

    • Соответствуют всем условиям по крайней мере одной политики удаленного доступа.
    • Получить разрешение на удаленный доступ через учетную запись пользователя (установлено разрешить доступ) или через учетную запись пользователя (установлено для управления доступом с помощью политики удаленного доступа) и разрешение удаленного доступа в соответствие с политикой удаленного доступа (установлено для предоставления разрешения удаленного доступа).
    • Совпадают со всеми настройками профиля.
    • Совпадают со всеми настройками свойств учетной записи пользователя.

    Дополнительные сведения о внедрении политик удаленного доступа и о том, как принять попытку подключения, см. в Windows Server 2003. Нажмите кнопку Пуск для доступа к центру Windows Server 2003.

  • Причина. Параметры профиля политики удаленного доступа находятся в конфликте со свойствами VPN-сервера.

    Свойства профиля политики удаленного доступа и свойства VPN-сервера содержат параметры:

    • Multilink.
    • Протокол распределения пропускной способности (BAP).
    • Протоколы проверки подлинности.

    Если параметры профиля совпадающих политик удаленного доступа находятся в конфликте с настройками VPN-сервера, попытка подключения отклоняется. Например, если в профиле политики удаленного доступа указывается, что необходимо использовать протокол проверки подлинности extensible Authentication Protocol — Transport Level Security (EAP-TLS) и не включен EAP на VPN-сервере, попытка подключения отклоняется.

    Решение. Убедитесь, что параметры профиля политики удаленного доступа не конфликтуют со свойствами VPN-сервера.

    Дополнительные сведения о протоколах multilink, BAP и проверки подлинности см. в Windows Server 2003. Нажмите кнопку Пуск для доступа к центру Windows Server 2003.

  • Причина. Маршрутизатор ответа не может проверить учетные данные вызываемого маршрутизатора (имя пользователя, пароль и доменное имя).

    Решение. Убедитесь, что учетные данные VPN-клиента (имя пользователя, пароль и доменное имя) являются правильными и могут быть проверены vpn-сервером.

  • Причина. В пуле статических IP-адресов недостаточно адресов.

    Решение. Если VPN-сервер настроен с пулом статических IP-адресов, убедитесь, что в пуле достаточно адресов. Если все адреса в статическом пуле были выделены подключенным VPN-клиентам, VPN-сервер не может выделить IP-адрес, и попытка подключения отклоняется. Если все адреса в статическом пуле выделены, измените пул.

    Дополнительные сведения о TCP/IP и удаленном доступе, а также о создании статического пула IP-адресов см. в Windows Server 2003. Нажмите кнопку Пуск для доступа к центру Windows Server 2003.

  • Причина. Клиент VPN настроен на запрос собственного номера узла IPX, а VPN-сервер не настроен, чтобы разрешить клиентам IPX запрашивать собственный номер узла IPX.

    Решение. Настройте VPN-сервер, чтобы разрешить клиентам IPX запрашивать собственный номер узла IPX.

    Дополнительные сведения о IPX и удаленном доступе см. в Windows Server 2003. Нажмите кнопку Пуск для доступа к центру Windows Server 2003.

  • Причина: VPN-сервер настроен с диапазоном ipX сетевых номеров, которые используются в других местах в сети IPX.

    Решение. Настройте VPN-сервер с помощью диапазона ipX-номеров, уникальных для вашей IPX-сети.

    Дополнительные сведения о IPX и удаленном доступе см. в Windows Server 2003. Нажмите кнопку Пуск для доступа к центру Windows Server 2003.

  • Причина. Поставщик проверки подлинности VPN-сервера неправильно настроен.

    Решение. Проверка конфигурации поставщика проверки подлинности. Можно настроить VPN-сервер для использования Windows Server 2003 или удаленной службы пользователей с удаленной проверкой подлинности (RADIUS) для проверки подлинности учетных данных клиента VPN.

    Дополнительные сведения о поставщиках проверки подлинности и учете см. в Windows Server 2003, а также о том, как использовать проверку подлинности RADIUS. Нажмите кнопку Пуск для доступа к центру Windows Server 2003.

  • Причина: VPN-сервер не может получить доступ к Active Directory.

    Решение. Для VPN-сервера, который является сервером-участником в смешанном режиме или на родном домене Windows Server 2003, настроенном для проверки подлинности Windows Server 2003, убедитесь, что:

    • Существует группа безопасности RAS и IAS Servers. Если нет, создайте группу и установите тип группы в Security, а область групповой — локальному домену.

    • Группа безопасности RAS и IAS Servers имеет разрешение на чтение объекта Проверки доступа к RAS и IAS Servers.

    • Учетная запись компьютера на компьютере VPN-сервера является членом группы безопасности RAS и IAS Servers. Вы можете использовать netsh ras show registeredserver команду для просмотра текущей регистрации. Вы можете использовать команду netsh ras add registeredserver для регистрации сервера в указанном домене.

      Если вы добавите (или удалите) компьютер VPN-сервера в группу безопасности RAS и IAS Servers, это изменение не вступает в силу немедленно (из-за способа, Windows Сервер 2003 кэшетов данных Active Directory). Чтобы немедленно действовать в результате этого изменения, перезапустите компьютер VPN-сервера.

    • VPN-сервер является членом домена.

    Дополнительные сведения о добавлении группы, проверке разрешений для группы безопасности RAS и IAS, а также о командах удаленного доступа см. в центре поддержки и поддержки netsh Windows Server 2003. Нажмите кнопку Пуск для доступа к центру Windows Server 2003.

  • Причина: Windows NT vpn-сервер на основе 4.0 не может проверить запросы на подключение.

    Решение. Если vpn-клиенты набираются на VPN-сервер с Windows NT 4.0, который входит в домен смешанного режима Windows Server 2003, убедитесь, что группа Everyone добавлена в группу предварительного Windows 2000 совместимого доступа со следующей командой:

    "net localgroup "Pre-Windows 2000 Compatible Access""
    

    Если нет, введите следующую команду в командной подсказке на компьютере контроллера домена, а затем перезапустите компьютер контроллера домена:

    net localgroup "Pre-Windows 2000 Compatible Access" everyone /add
    

    Дополнительные сведения о Windows NT сервере удаленного доступа 4.0 в домене Windows Server 2003 см. в Windows Server 2003. Нажмите кнопку Пуск для доступа к центру Windows Server 2003.

  • Причина: VPN-сервер не может взаимодействовать с настроенным сервером RADIUS.

    Решение. Если вы можете достичь сервера RADIUS только с помощью интернет-интерфейса, сделайте одно из следующих способов:

    • Добавьте фильтр ввода и фильтр вывода в интерфейс Интернета для порта UDP 1812 (на основе RFC 2138, «Служба пользователей с удаленным подключением к проверке подлинности (RADIUS)»). -или-
    • Добавьте фильтр ввода и фильтр вывода в интерфейс Интернета для порта UDP 1645 (для старых серверов RADIUS), для проверки подлинности RADIUS и порта UDP 1813 (на основе RFC 2139, «RADIUS Accounting»). -или-
    • -or-Add an input filter and an output filter to the Internet interface for UDP port 1646 (for older RADIUS servers) for RADIUS accounting.

    Дополнительные сведения о добавлении фильтра пакетов см. в Windows Server 2003. Нажмите кнопку Пуск для доступа к центру Windows Server 2003.

  • Причина. Не может подключиться к VPN-серверу через Интернет с помощью Ping.exe утилиты.

    Решение. Из-за фильтрации пакетов PPTP и L2TP через IPSec, настроенных на интерфейсе ИНТЕРНЕТА VPN-сервера, отфильтровываемые пакеты протокола сообщений управления Интернетом (ICMP), используемые командой тсинга. Чтобы включить VPN-сервер для ответа на пакеты ICMP (ping), добавьте фильтр ввода и фильтр вывода, разрешающий трафик для ip-протокола 1 (трафик ICMP).

    Дополнительные сведения о добавлении фильтра пакетов см. в Windows Server 2003. Нажмите кнопку Пуск для доступа к центру Windows Server 2003.

Не может отправлять и получать данные

  • Причина. Соответствующий интерфейс набора требований не был добавлен в маршрутный протокол.

    Решение. Добавьте соответствующий интерфейс набора требований в маршрутный протокол.

    Дополнительные сведения о добавлении интерфейса маршрутов см. в Windows Server 2003. Нажмите кнопку Пуск для доступа к центру Windows Server 2003.

  • Причина. Нет маршрутов с обеих сторон VPN-подключения маршрутизатора к маршрутизатору, которые поддерживают двуна пути обмена трафиком.

    Решение. В отличие от VPN-подключения удаленного доступа VPN-подключение маршрутизатора к маршрутизатору не создает автоматически маршрут по умолчанию. Создайте маршруты с обеих сторон VPN-подключения маршрутизатора к маршрутизатору, чтобы трафик можно было маршрутить с другой стороны VPN-подключения маршрутизатора к маршрутизатору и с другой стороны.

    Вы можете вручную добавлять статические маршруты в таблицу маршрутов или добавлять статические маршруты через протоколы маршрутов. Для сохраняющихся VPN-подключений можно включить open Shortest Path First (OSPF) или Routing Information Protocol (RIP) через VPN-подключение. Для vpn-подключений по запросу можно автоматически обновлять маршруты с помощью автоматического обновления RIP. Дополнительные сведения о добавлении протокола маршрутиза ip, добавлении статического маршрута и выполнении автостатических обновлений см. в Windows Server 2003 online Help. Нажмите кнопку Пуск для доступа к центру Windows Server 2003.

  • Причина. Инициированный с двух способов маршрутизатор ответа в качестве подключения к удаленному доступу интерпретирует VPN-подключение маршрутизатора к маршрутизатору.

    Решение. Если имя пользователя в учетных данных вызываемого маршрутизатора отображается в клиенты dial-in в маршрутике и удаленном доступе, маршрутизатор ответа может интерпретировать маршрутизатор вызова как клиент удаленного доступа. Убедитесь, что имя пользователя в учетных данных вызываемого маршрутизатора совпадает с именем интерфейса с запросом на маршрутизаторе ответа. Если входящий вызыватель является маршрутизатором, порт, на который был получен вызов, показывает состояние Active, а соответствующий интерфейс набора требований находится в подключении.

    Дополнительные сведения о том, как проверить состояние порта в маршрутизаторе ответа и как проверить состояние интерфейса с запросом, см. в Windows Server 2003 online Help. Нажмите кнопку Пуск для доступа к центру Windows Server 2003.

  • Причина: Фильтры пакетов на интерфейсах вызываемого маршрутизатора и маршрутизатора ответов препятствуют потоку трафика.

    Решение. Убедитесь, что в интерфейсах вызываемого маршрутизатора и маршрутизатора ответа нет фильтров пакетов, препятствующих отправке или приему трафика. Вы можете настроить каждый интерфейс набора требований с помощью фильтров ввода и вывода IPX и IPX, чтобы контролировать точный характер трафика TCP/IP и IPX, разрешенного в интерфейсе с запросом и вне него.

    Дополнительные сведения об управлении фильтрами пакетов см. в Windows Server 2003 online Help. Нажмите кнопку Пуск для доступа к центру Windows Server 2003.

  • Причина. Фильтры пакетов в профиле политики удаленного доступа препятствуют потоку IP-трафика.

    Решение. Убедитесь, что в свойствах профилей политик удаленного доступа на VPN-сервере (или сервере RADIUS, если используется служба проверки подлинности в Интернете) нет настроенных фильтров пакетов TCP/IP, которые препятствуют отправке или приему трафика TCP/IP. Политики удаленного доступа можно использовать для настройки фильтров входных данных TCP/IP и выходных пакетов, которые контролируют точный характер трафика TCP/IP, разрешенного для подключения к VPN. Убедитесь, что фильтры пакетов TCP/IP профиля не препятствуют потоку трафика.

    Дополнительные сведения о настройке параметров IP см. в Windows Server 2003 online Help. Нажмите кнопку Пуск для доступа к центру Windows Server 2003.

Настройка сервера удаленного доступа для постоянно подключенного VPN-профиля

Служба RRAS разработана так же, как маршрутизатор и сервер удаленного доступа, поскольку она поддерживает широкий набор функций. Для целей этого развертывания требуется только небольшое подмножество этих функций: поддержка VPN-подключений IKEv2 и маршрутизация по локальной сети.

IKEv2 — это туннельный протокол VPN, описанный в статье запрос принудительного запроса задачи по инженерам Интернета для комментариев 7296. Основное преимущество IKEv2 заключается в том, что оно допускает прерывания в базовом сетевом подключении. Например, если подключение временно потеряно или пользователь переместит клиентский компьютер из одной сети в другую, IKEv2 автоматически восстанавливает VPN-подключение при переустановке сетевого подключения — без вмешательства пользователя.

Настройте сервер RRAS для поддержки подключений IKEv2 при отключении неиспользуемых протоколов, что снижает объем безопасности сервера. Кроме того, настройте сервер для назначения адресов VPN-клиентам из статического пула адресов. Вы можете феасибли назначать адреса из пула или DHCP-сервера. Однако использование DHCP-сервера повышает сложность проектирования и предоставляет минимальные преимущества.

В этой процедуре вы устанавливаете роль удаленного доступа как VPN-сервер шлюза RAS одного клиента. Дополнительные сведения см. в разделе Удаленный доступ.

Для установки роли удаленного доступа с помощью диспетчер сервера можно использовать следующую процедуру.

Откроется диалоговое окно Мастер добавления ролей и компонентов .

В этом разделе вы можете настроить VPN удаленного доступа, разрешающее подключения по протоколу IKEv2 VPN, запретить подключения от других протокола VPN и назначить пул статических IP-адресов для выдачи IP-адресов для подключения разрешенных VPN-клиентов.

  • На VPN-сервере в диспетчер сервера выберите флаг уведомлений .

  • В меню задачи выберите команду открыть мастер начало работы .

    Откроется мастер настройки удаленного доступа.

    Примечание

    Мастер настройки удаленного доступа может открыться позади диспетчер сервера. Если вы считаете, что мастер занимает слишком много времени, переместите или уменьшите диспетчер сервера, чтобы узнать, находится ли мастер за ним. В противном случае дождитесь инициализации мастера.

  • Выберите вариант развернуть только VPN.

    Откроется консоль управления Microsoft (MMC) Маршрутизация и удаленный доступ.

  • Щелкните правой кнопкой мыши VPN-сервер, а затем выберите настроить и включить маршрутизацию и удаленный доступ.

    Откроется мастер установки сервера маршрутизации и удаленного доступа.

  • В окне приветствия мастера установки сервера маршрутизации и удаленного доступа нажмите кнопку Далее.

  • В окне Конфигурациявыберите Настраиваемая конфигурация, а затем нажмите кнопку Далее.

  • В окне Настраиваемая конфигурациявыберите VPN-доступ, а затем нажмите кнопку Далее.

    Откроется окно Завершение работы мастера установки сервера маршрутизации и удаленного доступа.

  • Нажмите кнопку Готово , чтобы закрыть мастер, а затем кнопку ОК , чтобы закрыть диалоговое окно Маршрутизация и удаленный доступ.

  • Выберите запустить службу , чтобы запустить удаленный доступ.

  • В консоли управления для удаленного доступа щелкните правой кнопкой мыши VPN-сервер и выберите пункт Свойства.

  • В окне Свойства перейдите на вкладку Безопасность и выполните следующие действия.

    а. Выберите поставщик проверки подлинности и выберите Проверка подлинности RADIUS.

    b. Нажмите кнопку Настроить.

    Откроется диалоговое окно Проверка подлинности RADIUS.

    c. Выберите Добавить.

    Откроется диалоговое окно Добавление сервера RADIUS.

    d. В поле имя серверавведите полное доменное имя (FQDN) сервера политики сети в вашей организации или корпоративной сети.

    Например, если NetBIOS-имя сервера NPS — NPS1, а имя домена — corp.contoso.com, введите NPS1.Corp.contoso.com.

    д) В окне общий секретвыберите изменить.

    Откроется диалоговое окно изменение секрета.

    е) В поле новый секретвведите текстовую строку.

    ж. В поле Подтверждение нового секретавведите ту же текстовую строку, а затем нажмите кнопку ОК.

    Важно!

    Сохраните эту текстовую строку. При настройке сервера политики сети в организации или корпоративной сети этот VPN-сервер будет добавлен в качестве RADIUS-клиента. Во время этой конфигурации вы будете использовать тот же общий секрет, чтобы серверы NPS и VPN могли обмениваться данными.

  • В окне Добавление сервера RADIUSпроверьте параметры по умолчанию для.

  • При необходимости измените значения в соответствии с требованиями для вашей среды и нажмите кнопку ОК.

    NAS — это устройство, предоставляющее некоторый уровень доступа к более крупной сети. NAS, использующий инфраструктуру RADIUS, также является клиентом RADIUS, который отправляет запросы на подключение и сообщения учета на сервер RADIUS для проверки подлинности, авторизации и учета.

  • Проверьте настройку регистратора.

    Если требуется…То…
    Действие удаленного доступа, зарегистрированное на сервере удаленного доступаУбедитесь, что выбраны учетные данные Windows .
    Сервер политики сети для выполнения служб учета VPNИзмените поставщик учетной отчетности на RADIUS-учет , а затем настройте NPS в качестве поставщика учетных данных.
  • Перейдите на вкладку IPv4 и выполните следующие действия.

    а. Выберите статический пул адресов.

    b. Выберите Добавить , чтобы настроить пул IP-адресов.

    Пул статических адресов должен содержать адреса из внутренней сети периметра. Эти адреса находятся на внутреннем сетевом подключении на VPN-сервере, а не в корпоративной сети.

    c. В поле начальный IP-адресвведите начальный IP-адрес в диапазоне, который вы хотите назначить VPN-клиентам.

    d. В поле конечный IP-адресвведите конечный IP-адрес в диапазоне, который вы хотите назначить VPN-клиентам или в поле число адресоввведите номер адреса, который необходимо сделать доступным. Если вы используете DHCP для этой подсети, убедитесь, что на DHCP-серверах настроено соответствующее исключение адресов.

    д) Используемых Если вы используете DHCP, выберите адаптери в списке результатов выберите адаптер Ethernet, подключенный к внутренней сети периметра.

  • Используемых При настройке условного доступа для VPN-подключенияиз раскрывающегося списка Сертификат в разделе привязка SSL-сертификатавыберите аутентификацию сервера VPN.

  • Используемых Если вы настраиваете условный доступ для VPN-подключения, в консоли управления «NPS» разверните узел политики политики \ сети и выполните следующие действия.

    а. Правой кнопкой мыши щелкните подключения к сетевой политике сервера маршрутизации и удаленного доступа Майкрософт и выберите свойства.

    b. Выберите доступ с предоставлением доступа. Предоставить доступ, если запрос на подключение соответствует этому параметру политики.

    c. В разделе Тип сервера сетевого доступа выберите сервер удаленного доступа (VPN-подключение) в раскрывающемся списке.

  • В консоли MMC «Маршрутизация и удаленный доступ» щелкните правой кнопкой мыши элемент порты и выберите пункт свойства.

    Откроется диалоговое окно Свойства портов.

  • Выберите Минипорт WAN (SSTP) и щелкните Configure (настроить). Откроется диалоговое окно Настройка мини-порта устройства WAN (SSTP).

    а. Снимите флажки подключения удаленного доступа (только входящие) и подключения с маршрутизацией вызовов по требованию (входящие и исходящие) .

    b. Щелкните ОК.

  • Выберите Минипорт WAN (L2TP) и щелкните Configure (настроить). Откроется диалоговое окно Настройка мини-порта устройства WAN (L2TP).

    а. В поле Максимальное число портоввведите количество портов в соответствии с максимальным количеством одновременных VPN-подключений, которые требуется поддерживать.

    b. Щелкните ОК.

  • Выберите Минипорт WAN (PPTP) и щелкните Configure (настроить). Откроется диалоговое окно Настройка мини-порта устройства WAN (PPTP).

    а. В поле Максимальное число портоввведите количество портов в соответствии с максимальным количеством одновременных VPN-подключений, которые требуется поддерживать.

    b. Щелкните ОК.

  • Выберите Минипорт WAN (IKEv2) и щелкните Configure (настроить). Откроется диалоговое окно Настройка мини-порта устройства WAN (IKEv2).

    а. В поле Максимальное число портоввведите количество портов в соответствии с максимальным количеством одновременных VPN-подключений, которые требуется поддерживать.

    b. Щелкните ОК.

  • При появлении запроса выберите Да , чтобы подтвердить перезапуск сервера, и нажмите кнопку Закрыть , чтобы перезапустить сервер.

  • Шаг 4. Установка и настройка сервера политики сети (NPS). на этом шаге вы устанавливаете сервер политики сети (NPS) с помощью Windows PowerShell или мастера добавления ролей и компонентов Диспетчер сервера. Вы также настраиваете NPS для обработки всех операций проверки подлинности, авторизации и учета для запросов на подключение, получаемых от VPN-сервера.

    Настраиваем VPN сервер — L2TP. Платформа Windows server 2008 / 2008R2

    Протокол L2TP является более предпочтительным для построения VPN-сетей, нежели PPTP, в основном это касается безопасности и более высокой доступности, благодаря тому, что для для каналов данных и управления используется одна UDP-сессия. Сегодня мы рассмотрим настройку L2TP VPN-сервера на платформе Windows server 2008 r2.

    PPTP

    Протокол туннелирования точка-точка (Point-to-Point Tunneling Protocol) – это протокол, изобретенный Microsoft для организации VPN через сети коммутируемого доступа. PPTP является стандартным протоколом для построения VPN уже на протяжении многих лет. Это только VPN-протокол и он опирается на различные методы аутентификации для обеспечения безопасности (наиболее часто используется MS-CHAP v.2). Доступен как стандартный протокол почти во всех операционных системах и устройствах, поддерживающих VPN, что позволяет использовать его без необходимости установки дополнительного программного обеспечения.

    Плюсы:

    • клиент PPTP встроен почти во все операционные системы
    • очень прост в настройке
    • работает быстро

    Минусы:

    • небезопасен (уязвимый протокол аутентификации MS-CHAP v.2 все еще много где используется)
    L2TP и L2TP/IPsec

    Протокол туннелирования 2 уровня (Layer 2 Tunnel Protocol) – это протокол VPN, который сам по себе не обеспечивает шифрование и конфиденциальность трафика, проходящего через него. По этой причине, как правило, используется протокол шифрования IPsec для обеспечения безопасности и конфиденциальности.

    Плюсы:

    • очень безопасен
    • легко настраивается
    • доступен в современных операционных системах

    Минусы:

    • работает медленнее, чем OpenVPN
    • может потребоваться дополнительная настройка роутера

    И так вернемся к настройкам, для развертывания VPN L2TP-сервера мы будем использовать Windows Server 2008 R2, однако все сказанное, с небольшими поправками, будет справедливо и для иных версий Windows Server.

    Нам потребуется установленная роль Службы политики сети и доступа, которая должна содержать Службы маршрутизации и удаленного доступа как это сделать мы подробно описывали в предыдущей статье где мы поднимали PPTP VPN, поэтому описывать этот процесс еще раз не вижу смысла, далее мы будем считать что роль Службы политики сети и доступа у вас уже установлена и содержит Службы маршрутизации и удаленного доступа. Вообще развертывание VPN L2TP-сервера очень похоже на развертывание PPTP VPN, за исключением нескольких настроек о которых мы и поговорим подробно.

    Переходим в Диспетчеру сервера: РолиМаршрутизация и удалённый доступ, щелкаем по этой роли правой кнопкой мыши и выбираем Свойства, на вкладке Общие ставим галочку в полях IPv4-маршрутизатор, выбираем локальной сети и вызова по требованию, и IPv4-сервер удаленного доступа:

    Теперь нам необходимо ввести предварительный ключ. Переходим на вкладку Безопасность и в поле Разрешить особые IPSec-политики для L2TP-подключения поставьте галочку и введите Ваш ключ. (По поводу ключа. Вы можете ввести туда произвольную комбинацию букв и цифр главный принцип чем сложнее комбинация -тем безопаснее и еще запомните или запишите эту комбинацию она нам еще понадобиться) Во вкладке Поставщик службы проверки подлинности выберите Windows — проверка подлинности.

    Теперь нам необходимо настроить Безопасность подключений. Для этого перейдем на вкладку Безопасность и выберем Методы проверки подлинности, поставьте галочки на Протокол EAP и Шифрованная проверка (Microsoft, версия 2, MS-CHAP v2):

    Далее перейдем на вкладку IPv4, там укажем какой интерфейс будет принимать подключения VPN а так же настроим пул выдаваемых адресов клиентам L2TP VPN на вкладке IPv4 (Интерфейсом выставьте Разрешить RAS выбирать адаптер):

    Теперь перейдем на появившуюся вкладку Порты, нажмем правой кнопкой мыши и Свойства, выберем подключение L2TP и нажмем Настроить, в новом окне выставим Подключение удаленного доступа (только входящие) и Подключение по требованию (входящие и исходящие) и выставим максимальное количество портов, число портов должно соответствовать или превышать предполагаемое количество клиентов. Неиспользуемые протоколы лучше отключить, убрав в их свойствах обе галочки.

    В итоге у вас в списке портов должны остаться только нужные вам порты в указанном вами количестве.

    На этом настройка сервера закончена. Осталось только разрешить пользователям подключатся к серверу. Перейдите в Диспетчере сервера: КонфигурацияЛокальные пользователи и группыПользователиВыберите пользователя и нажмите правой кнопкой мыши — Свойства. На вкладке Входящие звонкиПрава доступа к сети выставьте Разрешить доступ. (Если Ваш сервер работает под управлением Active Directory, то настройки необходимо вводить в соответствующей оснастке)

    Настройка L2TP подключения на клиенте производится стандартными методами(О том, как подключиться к vpn-серверу из Windows 7 можно прочитать здесь.), на вкладке Безопасность выберите тип VPN как L2TP с IPsec и нажмите кнопку Дополнительные свойства, в открывшемся окне укажите использование предварительного ключа и введите сам ключ.

    Также не забудьте включить использование протокола расширенной проверки подлинности EAP.

    В остальном никаких отличий от создания PPTP подключения нет, пользователи могут подключаться к нашему серверу используя свои учетные данные.

    И не забудьте на Вашем маршрутизаторе перекинуть порты, а так же открыть из в Вашем Firewall:

    • IKE — UDP порт 500 (Прием\Отправка)
    • L2TP — UDP порт 1701 (Прием\Отправка)
    • IPSec ESP — UDP порт 50 (Прием\Отправка)
    • IPSec NAT-T — UDP порт 4500 (Прием\Отправка)

    VPN сервер (L2TP) на Windows Server 2008 R2

    В прошлой статье я рассказывал, как настроить простейший VPN PPTP сервер на Windows Server 2008 R2. Сейчас поговорим о настройке VPN L2TP сервере.

    L2TP —  Layer 2 Tunneling Protocol  —  туннельный протокол, использующийся для поддержки виртуальных частных сетей. Главное достоинство L2TP состоит в том, что этот протокол позволяет создавать туннель не только в сетях IP, но и в таких, как ATM, X.25 и Frame Relay.

    Установка и настройка:

    1. Проделываем те же действия что и с предыдущей статье до пункта 13.
    2. Открываем свойства нашего сервера и переходим на вкладку Общие, настройки должны соответствовать настройкам на Рис.1:

                               Рис.1.
        3.  Переходим на вкладку Безопасность. Проверка подлинности — «Windows -проверка подлинности». Ставим галку «Разрешить особые IPSec-политики для L2TP подключения» и вводим предварительный ключ, далее жмем кнопку «Методы проверки подлинности» (Рис.2):

                               Рис.2.
        4.  Методы проверки подлинности должны соответствовать настройкам на Рис.3:

        Рис.3.
        5.  Переходим на вкладку IPv4. Выбираем «Статический пул адресов» и нажимаем кнопку Добавить (Рис.4):

                               Рис.5.
        6.  Назначаем начальный и конечный IP-адрес и нажимаем Ok (Рис.6):

                                    Рис.6.
        7.  В консоли «Маршрутизация и удаленный доступ» выбираем «Порты». Жмем на них правой кнопкой мыши -> Свойства (Рис.7):

                                Рис.7.
        8.  В окне свойств портов выбираем «WAN miniport (L2TP)» и нажимаем кнопку Настроить (Рис.8):

                                         Рис.8.
        9.  Должный стоять галки: «Подключения удаленного доступа (только входящие)» и «Подключения по требованию (входящие и исходящие)» и устанавливаем максимальное число портов (по умолчанию 128) и нажимаем Ок (Рис.9):

                                    Рис.9.
        10.  Для разрешения доступа к VPN для пользователей делаем следующее: открываем свойства нужного пользователя и переходим на вкладку «Входящие звонки». В опциях «Права доступа к сети» выставляем параметр «Разрешить доступ» (Рис.10):

                    Рис.10.
    Не забываем открыть следующие порты на шлюзе:

    • L2TP — UDP порт 1701
    • IKE — UDP порт 500
    • IPSec ESP — UDP порт 50
    • IPSec NAT-T — UDP порт 4500 
    • SSTP: TCP 443

    Сервер настроен. Успехов!

    Метки: Метки L2TP VPN VPN сервер Windows Server

    Как установить VPN на Windows Server 2012 R2

    VPN (виртуальная частная сеть) — это технология, которая позволяет расширить локальную сеть до общедоступной сети, такой как Интернет. Используя VPN, компьютер, подключенный к Интернету, может отправлять и получать данные с компьютеров внутри сети, как если бы он был подключен напрямую.

    Очень мощный инструмент для современных компаний.

    VPN легко настроить на Windows Server 2012 R2 , просто выполните следующие действия, и все будет готово (на стороне сервера, мы поговорим о настройке клиента в будущем).

    1. Установите роль удаленного доступа

    Откройте Server Manager и щелкните Manage . Выберите Добавить роли и компоненты:

    Щелкните Далее , пока не дойдете до вкладки Роли :

    Теперь выберите Удаленный доступ и нажмите Далее:

    Вам не нужно ничего выбирать на вкладке Features , нажмите Next:

    Просто нажмите Далее:

    Выберите Прямой доступ и VPN (RAS):

    Появится диалоговое окно с недостающими зависимостями.Нажмите на Добавить функции:

    Установите роль удаленного доступа . Это займет несколько минут:

    2. Установите и настройте VPN

    Вернитесь на панель управления Server Manager и щелкните Remote Access . Выберите свой сервер и щелкните его правой кнопкой мыши, затем щелкните Управление удаленным доступом:

    Запустите мастер начала работы:

    Нажмите Разверните только VPN и будет установлено:

    Выберите свой сервер и щелкните его правой кнопкой мыши, выберите Настроить и включить маршрутизацию и удаленный доступ:

    Запустится новый мастер:

    Выберите Custom configuration и нажмите Next:

    Выберите только Доступ VPN:

    Завершите процедуру и запустите услугу:

    Обратите внимание, что маршрутизатор и брандмауэр должны быть правильно настроены для поддержки функций VPN.Об этом мы поговорим в другом посте.

    3. Разрешить пользователям удаленный доступ

    Вы можете включить пользователей для удаленного доступа из свойств Active Directory :

    Настроить VPN в Windows Server 2012 R2

    Случай для VPN на базе Windows

    Исторически VPN реализовывалась с использованием межсетевых экранов или выделенных устройств VPN. Так зачем использовать Windows Server для VPN? Вот некоторые вещи, которые следует учитывать.

    • Простота внедрения — Установить и настроить VPN-сервер с помощью Windows Server 2012 R2 очень просто. Следуя рекомендациям в этой статье, можно создать VPN-сервер всего за несколько минут.
    • Простота управления — Управление VPN-сервером под управлением Windows Server 2012 R2 ничем не отличается от любого другого сервера Windows. Управление системой Windows продумано и хорошо изучено, и сервер можно обслуживать с помощью существующих платформ, инструментов и процедур.
    • Рентабельность — Сервер VPN на базе Windows Server 2012 R2 стоит значительно меньше, чем развертывание выделенного и проприетарного оборудования VPN. Сервер может быть развернут в существующей виртуальной инфраструктуре и не требует лицензирования для каждого пользователя. Кроме того, в большинстве случаев добавить емкость так же просто, как развернуть дополнительные виртуальные машины.

    Предварительные условия для установки

    VPN-сервер должен быть настроен с двумя сетевыми интерфейсами; один внутренний и один внешний.Эта конфигурация обеспечивает лучшую безопасность, поскольку внешний сетевой интерфейс может иметь более строгий профиль брандмауэра, чем внутренний интерфейс. Сервер с двумя сетевыми интерфейсами требует особого внимания к конфигурации сети. Только внешний сетевой интерфейс настроен со шлюзом по умолчанию. Без шлюза по умолчанию на внутреннем сетевом интерфейсе статические маршруты должны быть настроены на сервере, чтобы обеспечить связь с любыми удаленными внутренними подсетями.Для получения дополнительной информации о настройке многосетевого сервера Windows щелкните здесь.

    Сервер не обязательно должен быть присоединен к домену, но рекомендуется упростить процесс аутентификации для клиентов VPN и обеспечить лучшее управление и безопасность для сервера.

    Подготовка сервера

    После того, как сервер подготовлен и присоединен к домену, установка роли VPN становится простой и понятной. Чтобы установить роль VPN, введите следующую команду в командном окне PowerShell с повышенными привилегиями.

    Install-WindowsFeature DirectAccess-VPN -IncludeManagementTools

    Установите роль VPN с помощью команды Install-WindowsFeature PowerShell.

    Настройка удаленного доступа

    Откройте консоль управления маршрутизацией и удаленным доступом. Щелкните правой кнопкой мыши VPN-сервер и выберите Настроить и включить маршрутизацию и удаленный доступ .

    Настройте и включите маршрутизацию и удаленный доступ.

    Щелкните Next , выберите опцию Remote access (dial-up или VPN) и щелкните Next .

    Выберите удаленный доступ (модем или VPN).

    Выберите VPN и нажмите Далее .

    Выберите VPN.

    Выберите сетевой интерфейс с выходом в Интернет. Кроме того, выберите вариант Включить безопасность на выбранном интерфейсе, настроив статические фильтры пакетов , и нажмите Далее .

    Выберите сетевой интерфейс с выходом в Интернет.

    Примечание:
    При настройке сервера полезно переименовать сетевые интерфейсы, используя интуитивно понятные имена, такие как «Внутренний» и «Внешний», как показано выше.

    IP-адреса могут быть назначены клиентам вручную или через DHCP. Для удобства управления рекомендуется использовать DHCP. Выберите вариант автоматического назначения IP-адресов и нажмите Далее .

    Выберите автоматическое назначение IP-адресов для удаленных клиентов.

    Примечание:
    Если VPN-сервер должен быть развернут в кластере с балансировкой нагрузки, IP-адреса должны быть назначены клиентам вручную.

    VPN-сервер может сам аутентифицировать пользователей или пересылать запросы аутентификации на внутренний RADIUS-сервер.В рамках данной статьи будет настроена собственная проверка подлинности Windows с использованием RRAS. Выберите Нет, используйте Маршрутизацию и удаленный доступ для аутентификации запросов на соединение и нажмите Далее .

    Используйте маршрутизацию и удаленный доступ для аутентификации запросов на соединение.

    Просмотрите конфигурацию и нажмите Готово .

    Мастер настройки RRAS укажет, что агент ретрансляции DHCP должен быть настроен для клиентов удаленного доступа.Щелкните OK , чтобы продолжить.

    «Для поддержки ретрансляции сообщений DHCP от клиентов удаленного доступа необходимо настроить свойства агента ретрансляции DHCP с использованием IP-адреса вашего DHCP-сервера».

    Напоминание о конфигурации агента ретрансляции DHCP.

    Настроить агент DHCP-ретрансляции

    Чтобы внутренний DHCP-сервер мог назначать IP-адреса для клиентов удаленного доступа, разверните IPv4, затем щелкните правой кнопкой мыши DHCP Relay Agent и выберите Properties .

    Настройте агент ретрансляции DHCP.

    Введите IP-адрес DHCP-сервера и нажмите Добавить . Повторите этот процесс для любых дополнительных DHCP-серверов и нажмите OK .

    Настройте агент ретрансляции DHCP.

    Конфигурация сервера политики сети (NPS)

    VPN-сервер настроен так, чтобы разрешать удаленный доступ только тем пользователям, чьи свойства удаленного доступа к учетной записи домена настроены на разрешение доступа по умолчанию. Лучшим и более эффективным способом предоставления удаленного доступа является использование группы безопасности Active Directory (AD).Чтобы настроить разрешения удаленного доступа для группы AD, щелкните правой кнопкой мыши Remote Access Logging и выберите Launch NPS .

    Запуск НПС.

    Щелкните правой кнопкой мыши Network Policies и выберите New . Введите описательное имя для политики, выберите Тип сервера доступа к сети , затем выберите Сервер удаленного доступа (VPN-Dial up) из раскрывающегося списка и щелкните Далее .

    Создайте новую сетевую политику.

    Щелкните Добавить , выберите Группы Windows и щелкните Добавить .

    Выберите группы Windows.

    Щелкните Добавить группы , укажите имя группы безопасности AD, в которую входят пользователи, которые должны быть авторизованы для удаленного доступа к VPN, затем щелкните ОК и Далее .

    Укажите группу безопасности AD для удаленного доступа.

    Выберите Доступ разрешен и щелкните Далее .

    Укажите разрешение доступа.

    Снимите флажок , чтобы использовать Microsoft Encrypted Authentication (MS-CHAP) . Щелкните Добавить и выберите Microsoft: безопасный пароль (EAP-MSCHAP v2) . Нажмите OK и Next три раза, а затем нажмите Finish .

    Настройте методы аутентификации.

    Тестирование подключения клиентов

    Сервер VPN теперь настроен на прием входящих клиентских подключений удаленного доступа, но только в ограниченном режиме.Только протокол PPTP VPN будет работать без дополнительной настройки. К сожалению, PPTP страдает некоторыми серьезными уязвимостями безопасности в своей конфигурации по умолчанию, и его не следует использовать в соответствии с настройками в производственной среде. Тем не менее, это быстро и эффективно, чтобы проверить сетевой коммуникационный путь и что аутентификация работает с его использованием.

    Чтобы проверить возможность подключения клиента на клиенте Windows 10, щелкните значок сети в области системных уведомлений, щелкните Параметры сети , щелкните VPN , а затем щелкните Добавить подключение VPN .Выберите Windows (встроенный) для VPN-провайдера , укажите описательное имя для подключения, введите имя или IP-адрес VPN-сервера, а затем нажмите Сохранить .

    Добавьте VPN-соединение.

    Щелкните тестовое VPN-соединение, а затем щелкните Connect .

    Установите соединение VPN.

    Введите учетные данные домена при появлении запроса и нажмите ОК . Если все работает правильно, соединение должно быть установлено успешно.

    VPN-соединение успешно.

    Сводка

    Внедрение клиентского решения VPN для безопасного удаленного доступа с использованием Windows Server 2012 R2 имеет много преимуществ по сравнению с выделенными и проприетарными устройствами безопасности. Серверы VPN на базе Windows просты в управлении, экономичны и предлагают большую гибкость развертывания. Однако на этом этапе требуется дополнительная настройка для надлежащей защиты входящих соединений, о которой мы поговорим в моей следующей статье.

    Просмотры сообщений:
    112 192


    сообщить об этом объявлении

    Как установить VPN с помощью RRAS (удаленный и маршрутизирующий доступ) | Блог о хостинге Windows VPS

    Вы, должно быть, слышали о VPN .VPN — это виртуальная частная сеть , которая обеспечивает безопасность и конфиденциальность ваших частных и общедоступных сетей. Он создает безопасное соединение в общедоступной сети. Вы можете подключить несколько систем к VPN-серверу и использовать пропускную способность VPN для подключения к общедоступной сети.

    Существуют различные протоколы VPN для защищенной связи, а именно. IPSec, SSL и TLS, PPTP и L2TP. Из них PPTP (протокол туннелирования точка-точка) является широко используемым протоколом. Это один из самых простых в настройке и обслуживании протоколов по сравнению с другими протоколами.

    VPN — это наиболее эффективный и недорогой способ построения защищенной частной сети. Хотя это самый недорогой вариант, для его успешной реализации требуется немало технических знаний.

    На рынке есть различные платные программы для VPN. Но если вы используете сервер Windows, вы можете использовать RRAS для настройки своего собственного VPN-сервера без каких-либо дополнительных затрат. В этой статье вы узнаете, как установить VPN с помощью удаленного и маршрутизирующего доступа и подключиться к нему из локальной системы ( с рабочим доступом в Интернет ).(Действия выполняются в ОС Windows Server 2012 R2)

    1. Войдите на свой сервер через удаленный рабочий стол, на котором вы хотите установить VPN.
    2. Откройте Server Manager и щелкните Добавить роли и компоненты.
    3. Следуйте инструкциям мастера установки. Выберите « Установка на основе ролей или функций » Тип установки.
    4. В поле выбора сервера отметьте « Выберите сервер из пула серверов ». Вы увидите свой сервер с именем компьютера в пуле серверов.
    5. Выберите роль « Remote Access » в разделе «Роли сервера» и нажмите «Далее».
    6. Не вносите никаких изменений в «Функции» и нажмите «Далее».
      В службах ролей выберите службы DirectAccess и VPN , Routing и нажмите кнопку Далее.
    7. Просмотрите страницу установки и нажмите «Установить», когда будете готовы.
      После завершения установки нажмите « Откройте мастер начала работы ».
    8. Вы увидите мастер « Configure Remote Access ».Щелкните Deploy VPN only .
    9. Вы увидите MMC маршрутизации и удаленного доступа. Щелкните правой кнопкой мыши имя своего сервера и выберите « Configure and Enable Routing and Remote Access ».
    10. Теперь следуйте инструкциям мастера установки. Нажмите Далее в мастере приветствия.
    11. В мастере настройки выберите «Доступ к виртуальной частной сети (VPN) и NAT » и нажмите «Далее».
    12. В VPN-подключении выберите сетевой интерфейс , имеющий общедоступный IP-адрес с правильным подключением к Интернету , и нажмите «Далее».
    13. В разделе «Назначение IP-адреса» выберите « Из указанного диапазона адресов » и нажмите «Далее».
    14. В разделе «Назначение диапазона адресов» нажмите «Новый» и добавьте локальный IP-адрес диапазон (здесь убедитесь, что начальный IP-адрес совпадает с основным IP-адресом вашей внутренней сети). Это будет использоваться для выделения IP-адреса удаленным клиентам, которые подключаются к этому серверу VPN. После добавления диапазона IP-адресов нажмите «Далее», чтобы продолжить.
    15. В разделе «Управление множественным сервером удаленного доступа» выберите « Нет, использовать маршрутизацию и удаленный доступ для аутентификации запросов на соединение » и нажмите «Далее».
    16. При завершении работы мастера щелкните Готово. Вам будет предложено сообщение для агента ретрансляции DHCP, просто нажмите ОК для этого сообщения.

    Теперь вам нужно разрешить порт RDP в службах NAT и порты . Для этого выполните указанные ниже шаги.

    1. В разделе «Маршрутизация и удаленный доступ» разверните сервер → IPV4 → NAT .
    2. Щелкните правой кнопкой мыши Внешнюю сеть, перейдите в свойства → Службы и порты .
    3. Нажмите «Добавить», введите описание этой службы, введите RDP-порт и IP-адрес VPS и нажмите «ОК».

    ПРИМЕЧАНИЕ 1 : Если эта служба не добавлена, вы не сможете получить доступ к своему серверу через RDP.

    ПРИМЕЧАНИЕ 2 : Если на вашем сервере установлен брандмауэр, вам необходимо разрешить порт TCP 1723 для PPTP.

    Теперь давайте настроим пользователя, который будет использоваться для установления соединения VPN с клиентского / удаленного компьютера.

    1. Перейдите в Инструменты администрирования → Управление компьютером → Локальные пользователи и группы → Пользователи.
    2. Щелкните правой кнопкой мыши пользователя (которого вы хотите настроить для подключения к VPN) и выберите свойства.
    3. Перейдите на вкладку Dial-in, выберите « Allow access » в опции «Network Access Permission» и нажмите «Apply».

    Ваш VPN-сервер готов для клиентских / удаленных подключений.

    Теперь давайте посмотрим, как настроить клиентский компьютер для подключения к VPN-серверу.

    1. Откройте центр управления сетями и общим доступом вашей локальной системы. Щелкните « Set up a new Connection or Network ».
    2. Щелкните Подключиться к рабочему месту .
    3. Щелкните Использовать мое подключение к Интернету ( VPN )
    4. Введите IP-адрес VPN-сервера (основной / статический IP-адрес внешней сети с подключением к Интернету) и нажмите «Далее».
    5. Введите данные для входа на VPN-сервер и нажмите «Подключиться».
    6. И ваша локальная машина подключена к серверу VPN.Если вы проверите свой IP-адрес с помощью любого онлайн-инструмента, вы увидите, что ваш IP-адрес получен от VPN-сервера, а не от местного интернет-провайдера.

    Это все. Теперь ваша клиентская машина будет иметь доступ в Интернет через VPN. Однако, если вы обнаружите какие-либо трудности, не стесняйтесь задать свой вопрос здесь, в этом блоге.

    (Посещали 101476 раз, посещали сегодня 1 раз)

    Как установить VPN на Windows Server с помощью RRAS

    Войдите на свой сервер через удаленный рабочий стол, на котором вы хотите установить VPN.

    Откройте Server Manager и щелкните Добавить роли и компоненты.

    Следуйте инструкциям мастера установки. Выберите « Установка на основе ролей или функций » Тип установки.

    В поле выбора сервера отметьте « Выберите сервер из пула серверов ». Вы увидите свой сервер с именем компьютера в пуле серверов.

    Выберите роль « Remote Access » в разделе «Роли сервера» и нажмите «Далее».

    Нет необходимости выбирать что-либо в разделе «Функции» и нажимать «Далее».
    В Role services выберите DirectAccess и VPN , Routing services

    Появится всплывающее окно для добавления функций для выбранных служб ролей сервера. Нажмите кнопку «Добавить функции» и нажмите «Далее».

    Нажимайте «Далее», пока не увидите страницу «Просмотр установки», а затем нажмите «Установить», когда будете готовы.

    После завершения установки нажмите « Откройте мастер начала работы ».

    Обычно мастер « Configure Remote Access » открывается автоматически через некоторое время. Если он не открывается, мы можем открыть его через раздел «Диспетчер серверов» >> Нажмите «Удаленный доступ» >> Щелкните правой кнопкой мыши имя сервера >> Выберите «Управление удаленным доступом» >> Нажмите «Запустить мастер настройки удаленного доступа»

    Теперь появится мастер « Настроить удаленный доступ ». Щелкните Deploy VPN only .

    Теперь мы увидим MMC маршрутизации и удаленного доступа.Щелкните правой кнопкой мыши имя своего сервера и выберите « Configure and Enable Routing and Remote Access ».

    Теперь следуйте инструкциям мастера установки. Нажмите Далее в мастере приветствия.

    В мастере настройки выберите «Доступ к виртуальной частной сети (VPN) и NAT » и нажмите «Далее».

    Теперь мы получим ошибку, как показано ниже.

    «На этом аппарате обнаружено менее двух сетевых интерфейсов.Для стандартной конфигурации VPN-сервера необходимо установить как минимум два сетевых интерфейса. Вместо этого используйте пользовательский путь конфигурации ».

    Итак, я понял, что мы можем продолжить текущий выбор «Доступ к VPN и вариант NAT», только если у нас есть два сетевых интерфейса на сервере VPS. Чтобы получить два сетевых интерфейса, я добавил сетевой адаптер обратной петли в Windows server 2012. Ниже приведены шаги.

    Щелкните значок кнопки «Пуск» в Windows >> Щелкните правой кнопкой мыши значок «Мой компьютер» >> Щелкните «Свойства».

    Щелкните «Диспетчер устройств» >> Выберите имя сервера >> Щелкните правой кнопкой мыши и выберите «Добавить устаревшее оборудование».

    Нажмите Далее в Мастере добавления оборудования

    Выберите «Установить оборудование, которое я вручную выбрал из списка» и нажмите «Далее».

    Выберите «Сетевые адаптеры» и нажмите «Далее»

    Выберите «Microsoft» >> «Microsoft KM-TEST Loopback Adapter» и нажмите «Далее».

    Нажимайте Далее, пока не закончите установку.

    Теперь в диспетчере устройств, если мы развернем раздел «Сетевые адаптеры», мы увидим, что новый адаптер Microsoft KM-TEST Loopback появляется вместе с вашим сетевым адаптером по умолчанию.

    Мы также можем увидеть недавно добавленный сетевой адаптер, открыв «Центр управления сетями и общим доступом» >> Нажмите «Изменить настройки адаптера».

    Теперь отмените текущий Мастер настройки и включения маршрутизации и удаленного доступа »

    из MMC маршрутизации и удаленного доступа.Снова щелкните правой кнопкой мыши имя вашего сервера и выберите « Configure and Enable Routing and Remote Access ».

    выберите «Доступ к виртуальной частной сети (VPN) и NAT » и нажмите «Далее».

    В VPN-подключении выберите сетевой интерфейс , имеющий общедоступный IP-адрес с правильным подключением к Интернету , и нажмите «Далее».

    В разделе «Назначение IP-адреса» выберите « Из указанного диапазона адресов » и нажмите «Далее».

    В разделе «Назначение диапазона адресов» нажмите «Новый» и добавьте локальный IP-адрес диапазон (здесь убедитесь, что начальный IP-адрес совпадает с первичным IP-адресом вашей внутренней сети). Это будет использоваться для выделения IP-адреса удаленным клиентам, которые подключаются к этому серверу VPN. После добавления диапазона IP-адресов нажмите «Далее», чтобы продолжить.

    В разделе «Управление множественным сервером удаленного доступа» выберите « Нет, использовать маршрутизацию и удаленный доступ для аутентификации запросов на соединение » и нажмите «Далее».

    По завершении работы мастера щелкните Готово. Вам будет предложено сообщение для агента ретрансляции DHCP, просто нажмите ОК для этого сообщения.

    Теперь установка VPN завершена, и нам нужно изменить правила для входящих подключений брандмауэра Windows, чтобы разрешить трафик VPN. Для этого нужно будет открыть следующие порты.

    • Для PPTP: 1723 TCP и протокол 47 GRE (также известный как PPTP Pass-through
    • Для L2TP через IPSEC: 1701 TCP и 500 UDP
    • Для SSTP: 443 TCP

    Нам также необходимо разрешить порт RDP по умолчанию «3389» в службах NAT и порты .Для этого выполните указанные ниже шаги.

    В той же MMC маршрутизации и удаленного доступа разверните сервер >> IPV4 >> NAT >> Щелкните правой кнопкой мыши внешнюю сеть, в которой настроен общедоступный IP-адрес >> перейдите к свойствам >> вкладка «Службы и порты» >> выберите «Удаленный рабочий стол»> > Укажите IP-адрес сервера в поле «Частный адрес». Нажмите кнопку ОК.

    Теперь измените настройку учетной записи пользователя на сервере, которая будет использоваться для установления соединения VPN с клиентского / удаленного компьютера.

    Перейдите в Инструменты администрирования >> Управление компьютером >> Локальные пользователи и группы >> Пользователи >> Щелкните правой кнопкой мыши пользователя (которого вы хотите настроить для VPN-подключения) и выберите Свойства >> Перейдите на вкладку Dial-in, выберите « Разрешить доступ » в опции «Разрешение доступа к сети» и нажмите «Применить».

    Теперь VPN-сервер готов для клиентских / удаленных подключений. и давайте посмотрим, как настроить клиентский компьютер для подключения к VPN-серверу.

    Настройка клиента.

    Откройте Центр управления сетями и общим доступом на локальном ПК / ноутбуке. Щелкните « Set up a new Connection or Network ». Обратите внимание, что скриншоты сделаны на ПК с Windows 7.

    Щелкните Подключиться к рабочему месту .

    Щелкните Использовать мое подключение к Интернету ( VPN )

    Введите IP-адрес VPN-сервера (основной / статический IP-адрес внешней сети, имеющий подключение к Интернету) и нажмите «Далее».

    Введите данные для входа на VPN-сервер, пользователя, которого мы создали на VPN-сервере или существующего с включенным VPN-доступом, и нажмите «Подключиться».

    Теперь вы можете видеть, что клиентский компьютер пытается подключиться к серверу VPN. Обычно соединения устанавливаются с использованием протокола PPTP. После успешного подключения вы увидите, что новый сетевой адаптер VPN создан в разделе «Сетевые адаптеры клиентского ПК».

    Если вы щелкните правой кнопкой мыши сетевой адаптер VPN и выберите «Свойства», вы увидите множество вкладок с различными настройками.Ниже приведены настройки моего сетевого адаптера VPN для клиентского ПК по умолчанию.

    Если у вас возникли проблемы с подключением к VPN со стороны клиента, см. Скриншоты ниже.

    Теперь давайте преобразуем нашу текущую установку VPN для поддержки SSTP SSL в Windows Server 2012 R2

    Что замечательно в протоколах Secure Socket Tunneling Protocol (SSTP) SSL VPN, так это то, что они позволяют подключать клиентские машины к IP-адресу сервера через VPN и превращать их в полноценную часть сети.И все это делается через порт 443, обычно используемый порт, который часто включается в брандмауэрах на стороне клиента.

    Нам нужен SSL-сертификат для VPN-подключения через SSTP. Мы можем либо приобрести сертификат SSL для доменного имени нашей компании, либо использовать самоподписанный сертификат.

    В нашем случае мы используем самоподписанный сертификат. Выполните следующие шаги для создания самоподписанного сертификата. Откройте диспетчер IIS, установленный во время установки роли RRAS. >> Щелкните имя сервера >> Дважды щелкните Сертификат сервера.

    Нажмите «Создать самоподписанный сертификат» >> Укажите понятное имя и нажмите «ОК». Теперь вы можете видеть, что сертификат создан для имени хоста VPN-сервера. В нашем случае имя хоста сервера — «СЕРВЕР».

    Теперь давайте убедимся, что этот сгенерированный самоподписанный сертификат доступен в хранилище сертификатов локального компьютера, в разделе «Доверенные корневые центры сертификации».

    Open run >> run certlm.msc >> В разделе доверенных корневых центров сертификации мы видим, что наш сертификат доступен.

    Теперь нам нужно экспортировать этот сертификат в «раздел доверенных корневых центров сертификации» нашего клиентского ПК / ноутбука. Для этого щелкните правой кнопкой мыши сертификат сервера >> Все задачи, щелкните Экспорт. >> Выберите «Да, экспортировать закрытый ключ» >> Выберите формат обмена личной информацией >> Укажите пароль безопасности для сертификата >> Нажмите «Обзор», укажите имя файла и выберите место для сохранения >> Завершите экспорт.

    Теперь загрузите этот сертификат .pfx с сервера на локальном клиентском компьютере, на котором вы пытаетесь подключиться к серверу VPN.

    Теперь на клиентском ПК откройте окна, запустите >> запустите «mmc» >> выберите «сертификат», нажмите «добавить» >> выберите «учетная запись компьютера» >> выберите локальный компьютер, нажмите кнопку «Готово» и нажмите «ОК».

    Теперь в текущей консоли MMC разверните доверенные корневые центры сертификации >> На правой панели действий >> Нажмите «Дополнительные действия» >> Все задачи >> Нажмите «Импорт» >> Выберите загрузку.pfx файл сертификата SSL с помощью опции просмотра >> Укажите тот же пароль, который мы использовали для сертификата SSL во время экспорта сертификата SSL >> Нажмите «Далее» и завершите импорт.

    Теперь RDP подключен к VPN-серверу >> Из диспетчера серверов >> Нажмите «Удаленный доступ» >> Щелкните правой кнопкой мыши имя сервера >> Выберите «Управление удаленным доступом» >> Нажмите «Открыть управление RRAS» >> Появится всплывающее окно MMC маршрутизации и удаленного доступа. >> Щелкните правой кнопкой мыши имя сервера, выберите свойства >> На вкладке «Безопасность» выберите наш самоподписанный сертификат >> Нажмите кнопку ОК и подтвердите перезапуск службы «Маршрутизация и удаленный доступ».

    На этом этапе VPN-сервер готов к VPN-подключению по протоколу SSTP.

    Теперь предположим, что мы не импортировали сертификат, который мы экспортировали с сервера VPN, в раздел доверенных корневых центров сертификации клиентского ПК. При попытке подключиться к VPN мы получим ошибку ниже.

    Ошибка: цепочка сертификатов обработана, но завершена корневым сертификатом, которому не доверяет поставщик доверия. 0x800b0109

    Ниже приведены изменения, которые необходимо внести в клиентский ПК, настройки сетевого адаптера VPN для подключения через SSTP.Щелкните правой кнопкой мыши существующий сетевой адаптер VPN и выберите свойства.

    В разделе General нам нужно заменить IP-адрес VPN-сервера на имя хоста VPN-сервера. В нашем случае имя хоста VPN-сервера —

    .

    «СЕРВЕР». Мы знаем, что имя хоста, например «СЕРВЕР», не является допустимым именем хоста и не разрешает IP-адрес сервера VPN. В таких случаях добавьте запись хоста в файл клиентского ПК C: \ Windows \ System32 \ Drivers \ etc \ hosts в IP-адрес сервера VPN.Таким образом, клиент попытается подключиться к самому фактическому серверу VPN.

    Предположим, что если мы не заменили IP-адрес VPN-сервера на имя хоста VPN-сервера, мы получим ошибку типа.

    Описание ошибки: 0x800B010F: CN-имя сертификата не соответствует переданному значению.

    Возможная причина: эта проблема может возникнуть, если имя хоста сервера, указанное в VPN-соединении, не совпадает с именем субъекта, указанным в сертификате SSL, который сервер отправляет на клиентский компьютер.

    Возможное решение: убедитесь, что адрес сервера SSTP VPN введен в имя хоста для ex sstp.earthvpn.com, а не IP-адрес.

    Это все. Теперь ваша клиентская машина будет иметь доступ в Интернет через VPN. Однако, если вы столкнетесь с какими-либо трудностями, напишите нам через нашу контактную форму.

    Теперь, если вы хотите сбросить настройки конфигурации VPN, используйте параметр «Отключить маршрутизацию и удаленный доступ», который доступен в MMC маршрутизации и удаленного доступа.

    Если у вас могут возникнуть проблемы с принтером и общим доступом к файлам, вы можете сделать следующее, чтобы решить эту проблему.

    Вы можете использовать gpedit.msc для изменения настроек.

    Конфигурация компьютера -> Параметры Windows -> Параметры безопасности -> Политики диспетчера списка сетей -> VPN-соединение

    Измените тип местоположения на Частное

    Наша настройка VPN позволяет клиентам иметь доступ в Интернет через сервер VPN во время соединения VPN.Во время VPN-подключения IP-адрес нашего интернет-провайдера будет отображаться как IP-адрес VPN-сервера, и его можно подтвердить, просто посетив URL-адрес, например http://whatismyip.org/

    Если вы хотите подтвердить имя субъекта сертификата SSL, просто дважды щелкните сертификат SSL в разделе доверенных корневых центров сертификации.

    Как установить VPN-сервер на Windows Server 2012 R2 — TheITBros

    В этой статье мы рассмотрим , как установить VPN-сервер на Windows Server 2012 R2 .Технология VPN (виртуальная частная сеть) используется для создания прямого соединения между компьютерами, находящимися в разных подсетях. Например, вы можете использовать VPN, когда необходимо создать небольшую компьютерную сеть компаний, сотрудники которых работают удаленно. Также это может быть полезно в ситуации, когда вы хотите поиграть в компьютерную игру со своим другом, который живет в другом городе.

    VPN использует транспортные интернет-протоколы TCP, UDP и имеет несколько типов реализаций — PPTP, L2TP, OpenVPN.В этой статье мы рассмотрим решение VPN для Microsoft Windows на основе PPTP. Этот протокол не является лучшим решением из-за его низкого уровня безопасности, но это самый простой и быстрый способ создать соединение, используя только встроенные функции вашей операционной системы, без установки внешних приложений.

    Следуйте этому пошаговому руководству.

    Важно!

    Перед тем, как начать установку VPN, убедитесь, что порт 1723 открыт для TCP PPTP в вашем брандмауэре.

    Сначала откройте Server Manager и щелкните Добавить роли и компоненты .

    Теперь выберите Ролевую или функциональную установку и нажмите Далее.

    Теперь выберите желаемый сервер, на котором вы хотите установить маршрутизацию и удаленный доступ.

    Из списков ролей выберите Remote Access и нажмите Next

    Нажмите Next , дополнительных функций на этом этапе не требуется.

    Просто нажмите Далее .

    На следующей вкладке нужно выбрать DirectAccess и VPN (RAS) .

    Щелкните Добавить функции во всплывающем окне.

    На странице подтверждения щелкните Установить , чтобы начать.

    После завершения процесса установки нажмите . Откройте мастер начала работы .

    На этой вкладке нажмите Развернуть только VPN .

    Щелкните правой кнопкой мыши на своем сервере и выберите Настроить и включить маршрутизацию и удаленный доступ .

    Нажмите Далее .

    В новом мастере выберите Удаленный доступ (коммутируемое соединение или VPN) .

    На следующей странице выберите VPN .

    Здесь выберите сетевой адаптер, который соединяет ваш сервер с Интернетом.

    Здесь вы можете выбрать способ раздачи IP-адресов — через DHCP или вручную. Выберите второй способ.

    На этой вкладке нажмите Новый .

    Во всплывающем окне укажите диапазон IP-адресов, нажмите OK , вернитесь на предыдущую вкладку и нажмите Next .

    На этой вкладке вы можете выбрать метод аутентификации. Выберите Routing and Remote Access .

    Нажмите Готово . На этом настройка завершена.

    Вот и все. Ваш сервер готов к подключению клиентов. Обратите внимание, что если ваша сеть достаточно большая, лучше использовать технологию DirectAccess.

    Мне нравятся технологии и разработка веб-сайтов.С 2012 года я веду несколько собственных веб-сайтов и делюсь полезным контентом о гаджетах, администрировании ПК и продвижении веб-сайтов.

    Последние сообщения Кирилла Кардашевского (посмотреть все)

    Установка и настройка сервера NPS

    • 7 минут на чтение

    В этой статье

    Применимо к: Windows Server 2019, Windows Server (полугодовой канал), Windows Server 2016, Windows Server 2012 R2, Windows 10

    На этом шаге вы установите сервер политики сети (NPS) для обработки запросов на подключение, отправляемых сервером VPN:

    • Выполните авторизацию, чтобы убедиться, что у пользователя есть разрешение на подключение.
    • Выполнение аутентификации для проверки личности пользователя.
    • Выполнение учета для регистрации аспектов запроса на подключение, которые вы выбрали при настройке учета RADIUS в NPS.

    Действия, описанные в этом разделе, позволяют выполнить следующие действия:

    1. На компьютере или виртуальной машине, на которой запланирован сервер NPS и установленной в вашей организации или корпоративной сети, вы можете установить NPS.

      Подсказка

      Если у вас уже есть один или несколько серверов NPS в вашей сети, вам не нужно выполнять установку сервера NPS — вместо этого вы можете использовать этот раздел для обновления конфигурации существующего сервера NPS.

    Примечание

    Невозможно установить службу сервера политики сети в Windows Server Core.

    1. На сервере NPS организации / корпорации можно настроить NPS для работы в качестве сервера RADIUS, который обрабатывает запросы на подключение, полученные от сервера VPN.

    Установить сервер политики сети

    В этой процедуре вы устанавливаете NPS с помощью Windows PowerShell или мастера добавления ролей и компонентов диспетчера сервера.NPS — это служба роли сервера сетевой политики и служб доступа.

    Подсказка

    По умолчанию сервер политики сети прослушивает трафик RADIUS на портах 1812, 1813, 1645 и 1646 на всех установленных сетевых адаптерах. Когда вы устанавливаете NPS и включаете брандмауэр Windows в режиме повышенной безопасности, исключения брандмауэра для этих портов создаются автоматически для трафика IPv4 и IPv6. Если ваши серверы доступа к сети настроены для отправки трафика RADIUS через порты, отличные от этих значений по умолчанию, удалите исключения, созданные в брандмауэре Windows в режиме повышенной безопасности во время установки NPS, и создайте исключения для портов, которые вы действительно используете для трафика RADIUS.

    Процедура для Windows PowerShell:

    Чтобы выполнить эту процедуру с помощью Windows PowerShell, запустите Windows PowerShell от имени администратора, введите следующий командлет:

      Install-WindowsFeature NPAS -IncludeManagementTools
      

    Процедура для менеджера сервера:

    1. В диспетчере серверов выберите Управление , затем выберите Добавить роли и компоненты .
      Откроется мастер добавления ролей и компонентов.

    2. В разделе «Перед началом работы» выберите Далее .

      Примечание

      Страница Перед началом работы мастера добавления ролей и компонентов не отображается, если вы ранее выбрали Пропустить эту страницу по умолчанию при запуске мастера добавления ролей и компонентов.

    3. В разделе «Выбор типа установки» убедитесь, что выбрана установка на основе ролей или функций , и выберите Далее .

    4. Убедитесь, что в поле «Выбор целевого сервера» выбрано значение Выбрать сервер из пула серверов .

    5. В Server Pool убедитесь, что выбран локальный компьютер, и выберите Next .

    6. В Select Server Roles в Roles выберите Network Policy and Access Services . Откроется диалоговое окно с вопросом, следует ли добавить функции, необходимые для сетевой политики и служб доступа.

    7. Выберите Добавить функции , затем выберите Далее

    8. В разделе «Выбор функций» выберите Далее , а в разделе «Сетевая политика и службы доступа» просмотрите предоставленную информацию, затем выберите Далее .

    9. В разделе «Выбор служб ролей» выберите Сервер сетевой политики .

    10. Для функций, необходимых для сервера политики сети, выберите Добавить функции , затем выберите Далее .

    11. В разделе «Подтвердить выбор установки» выберите При необходимости автоматически перезапустить целевой сервер .

    12. Выберите Да , чтобы подтвердить выбор, а затем выберите Установить .

      На странице «Ход установки» отображается состояние процесса установки. Когда процесс завершится, отобразится сообщение «Установка прошла успешно на имя компьютера », где имя компьютера — это имя компьютера, на котором вы установили сервер политики сети.

    13. Выбрать Закрыть .

    Настроить NPS

    После установки NPS вы настраиваете NPS для обработки всех функций проверки подлинности, авторизации и учета для запросов на подключение, которые он получает от VPN-сервера.

    Зарегистрируйте сервер NPS в Active Directory

    В этой процедуре вы регистрируете сервер в Active Directory, чтобы он имел разрешение на доступ к информации учетной записи пользователя при обработке запросов на соединение.

    Процедура:

    1. В диспетчере серверов выберите Tools , а затем выберите Network Policy Server . Откроется консоль NPS.

    2. В консоли NPS щелкните правой кнопкой мыши NPS (локальный) , затем выберите Зарегистрировать сервер в Active Directory .

      Откроется диалоговое окно «Сервер сетевой политики».

    3. В диалоговом окне «Сервер сетевой политики» дважды выберите ОК .

    Сведения об альтернативных методах регистрации NPS см. В разделе Регистрация сервера NPS в домене Active Directory.

    Настройка учета сервера сетевой политики

    В этой процедуре настройте учет сервера сетевой политики, используя один из следующих типов ведения журнала:

    • Регистрация событий .Используется в основном для аудита и устранения неполадок попыток подключения. Вы можете настроить ведение журнала событий NPS, получив свойства сервера NPS в консоли NPS.

    • Регистрация запросов аутентификации и учета пользователей в локальном файле . Используется в основном для анализа соединений и выставления счетов. Также используется в качестве инструмента исследования безопасности, поскольку предоставляет вам метод отслеживания активности злоумышленника после атаки. Вы можете настроить ведение журнала локальных файлов с помощью мастера настройки учета.

    • Регистрация запросов аутентификации и учета пользователей в базе данных Microsoft SQL Server, совместимой с XML . Используется, чтобы разрешить нескольким серверам, на которых работает NPS, иметь один источник данных. Также предоставляет преимущества использования реляционной базы данных. Вы можете настроить ведение журнала SQL Server с помощью мастера настройки учета.

    Для настройки учета сервера сетевой политики см. Настройка учета сервера сетевой политики.

    Добавить VPN-сервер в качестве клиента RADIUS

    В разделе «Настройка сервера удаленного доступа для Always On VPN» вы установили и настроили свой VPN-сервер.Во время настройки VPN-сервера вы добавили общий секрет RADIUS на VPN-сервере.

    В этой процедуре используется та же строка общего секретного текста, чтобы настроить сервер VPN в качестве клиента RADIUS в NPS. Используйте ту же текстовую строку, которую вы использовали на сервере VPN, иначе связь между сервером NPS и сервером VPN не удастся.

    Важно

    При добавлении в сеть нового сервера доступа к сети (VPN-сервер, точка беспроводного доступа, коммутатор аутентификации или сервер удаленного доступа) необходимо добавить сервер в качестве клиента RADIUS в NPS, чтобы NPS знал об этом и мог обмениваться данными с сервером доступа к сети.

    Процедура:

    1. На сервере NPS в консоли NPS дважды щелкните Клиенты и серверы RADIUS .

    2. Щелкните правой кнопкой мыши RADIUS Clients и выберите New . Откроется диалоговое окно «Новый клиент RADIUS».

    3. Убедитесь, что установлен флажок Включить этот клиент RADIUS .

    4. В поле Friendly name введите отображаемое имя для сервера VPN.

    5. В поле Address (IP или DNS) введите IP-адрес NAS или полное доменное имя.

      Если вы вводите полное доменное имя, выберите Проверить , если вы хотите убедиться, что имя правильное и соответствует действительному IP-адресу.

    6. В Общий секрет , do:

      1. Убедитесь, что выбрано Вручную .

      2. Введите строгую текстовую строку, которую вы также ввели на сервере VPN.

      3. Повторно введите общий секрет в Подтвердить общий секрет.

    7. Выбрать ОК . VPN-сервер отображается в списке клиентов RADIUS, настроенных на сервере NPS.

    Настроить NPS как RADIUS для VPN-подключений

    В этой процедуре вы настраиваете NPS как сервер RADIUS в сети вашей организации. На сервере политики сети необходимо определить политику, которая разрешает доступ к сети организации / корпорации через VPN-сервер только пользователям из определенной группы — и то только при использовании действительного сертификата пользователя в запросе проверки подлинности PEAP.

    Процедура:

    1. Убедитесь, что в консоли NPS в стандартной конфигурации выбран сервер RADIUS для удаленного доступа или VPN-подключений .

    2. Выберите Настроить VPN или коммутируемое соединение .

      Откроется мастер настройки VPN или удаленного доступа.

    3. Выберите Подключения к виртуальной частной сети (VPN) и выберите Далее .

    4. В поле «Укажите удаленный доступ или сервер VPN» в клиентах RADIUS выберите имя сервера VPN, добавленного на предыдущем шаге.Например, если NetBIOS-имя вашего VPN-сервера — RAS1, выберите RAS1 .

    5. Выбрать Далее .

    6. В разделе «Настройка методов проверки подлинности» выполните следующие действия:

      1. Снимите флажок Microsoft Encrypted Authentication версии 2 (MS-CHAPv2) .

      2. Установите флажок Extensible Authentication Protocol , чтобы установить его.

      3. В поле Тип (в зависимости от метода доступа и конфигурации сети) выберите Microsoft: Protected EAP (PEAP) , затем выберите Настроить .

        Откроется диалоговое окно «Редактировать свойства защищенного EAP».

      4. Выберите Удалить , чтобы удалить тип EAP с защищенным паролем (EAP-MSCHAP v2).

      5. Выбрать Добавить . Откроется диалоговое окно «Добавить EAP».

      6. Выберите Смарт-карту или другой сертификат , затем выберите OK .

      7. Выберите ОК , чтобы закрыть «Редактировать свойства защищенного EAP».

    7. Выбрать Далее .

    8. В поле «Указать группы пользователей» выполните следующие действия:

      1. Выбрать Добавить . Откроется диалоговое окно «Выбор пользователей, компьютеров, учетных записей служб или групп».

      2. Введите Пользователи VPN , затем выберите OK .

      3. Выбрать Далее .

    9. В поле «Указать IP-фильтры» выберите Далее .

    10. В «Укажите параметры шифрования» выберите Далее .Не вносите никаких изменений.

      Эти параметры применяются только к соединениям Microsoft Point-to-Point Encryption (MPPE), которые этот сценарий не поддерживает.

    11. В поле «Укажите имя области» выберите Далее .

    12. Выберите Завершить , чтобы закрыть мастер.

    Автоматическая регистрация сертификата сервера NPS

    В этой процедуре вы обновляете групповую политику на локальном сервере политики сети вручную. При обновлении групповой политики, если автоматическая подача сертификатов настроена и работает правильно, локальный компьютер автоматически регистрирует сертификат центром сертификации (ЦС).

    Примечание

    Групповая политика обновляется автоматически при перезапуске компьютера-члена домена или когда пользователь входит на компьютер-член домена. Также периодически обновляется групповая политика. По умолчанию это периодическое обновление происходит каждые 90 минут со случайным смещением до 30 минут.

    Членство в Administrators или эквивалент — это минимум, необходимый для выполнения этой процедуры.

    Процедура:

    1. На сервере политики сети откройте Windows PowerShell.

    2. В командной строке Windows PowerShell введите gpupdate и нажмите клавишу ВВОД.

    Следующие шаги

    Шаг 5. Настройте параметры DNS и брандмауэра для Always On VPN. На этом этапе настройте параметры DNS и брандмауэра для подключения к VPN.

    Как установить и настроить VPN-сервер в Windows Server 2003 — Windows Server

    • Читать 24 минуты

    В этой статье

    В этой статье с пошаговыми инструкциями описывается, как установить виртуальную частную сеть (VPN) и как создать новое VPN-соединение на серверах под управлением Windows Server 2003.

    Версия данной статьи для Microsoft Windows XP: 314076.

    Применимо к: Windows Server 2003
    Исходный номер базы знаний: 323441

    Сводка

    С помощью виртуальной частной сети вы можете подключать сетевые компоненты через другую сеть, например через Интернет. Вы можете сделать свой компьютер под управлением Windows Server 2003 сервером удаленного доступа, чтобы другие пользователи могли подключаться к нему с помощью VPN, а затем они могли войти в сеть и получить доступ к общим ресурсам.Виртуальные частные сети делают это путем «туннелирования» через Интернет или другую общедоступную сеть таким образом, чтобы обеспечить такую ​​же безопасность и функции, что и в частной сети. Данные отправляются через общедоступную сеть с использованием ее инфраструктуры маршрутизации, но пользователю кажется, что данные отправляются по выделенному частному каналу.

    Обзор VPN

    Виртуальная частная сеть — это средство подключения к частной сети (например, офисной сети) через общедоступную сеть (например, Интернет).VPN сочетает в себе достоинства удаленного доступа к серверу удаленного доступа с простотой и гибкостью подключения к Интернету. Используя подключение к Интернету, вы можете путешествовать по всему миру и, тем не менее, в большинстве мест подключиться к своему офису, позвонив по ближайшему номеру телефона для доступа в Интернет. Если у вас есть высокоскоростное подключение к Интернету (например, кабельное или DSL) на вашем компьютере и в офисе, вы можете общаться со своим офисом на полной скорости Интернета, что намного быстрее, чем любое коммутируемое соединение, использующее аналоговый модем. .Эта технология позволяет предприятию подключаться к своим филиалам или другим компаниям через общедоступную сеть, сохраняя при этом безопасную связь. Соединение VPN через Интернет логически работает как канал выделенной глобальной сети (WAN).

    Виртуальные частные сети используют аутентифицированные ссылки, чтобы гарантировать, что только авторизованные пользователи могут подключиться к вашей сети. Чтобы обеспечить безопасность данных при их передаче по общедоступной сети, соединение VPN использует протокол туннелирования точка-точка (PPTP) или протокол туннелирования второго уровня (L2TP) для шифрования данных.

    Компоненты VPN

    VPN на серверах под управлением Windows Server 2003 состоит из VPN-сервера, VPN-клиента, VPN-соединения (той части соединения, в которой зашифрованы данные) и туннеля (той части соединения, в которой данные инкапсулированы). Туннелирование выполняется через один из протоколов туннелирования, включенных в серверы под управлением Windows Server 2003, оба из которых устанавливаются вместе с маршрутизацией и удаленным доступом. Служба маршрутизации и удаленного доступа устанавливается автоматически во время установки Windows Server 2003.Однако по умолчанию служба маршрутизации и удаленного доступа отключена.

    В Windows включены два протокола туннелирования:

    • Протокол туннелирования точка-точка (PPTP) : Обеспечивает шифрование данных с помощью Microsoft Point-to-Point Encryption.
    • Layer Two Tunneling Protocol (L2TP) : Обеспечивает шифрование, аутентификацию и целостность данных с помощью IPSec.

    Для подключения к Интернету необходимо использовать выделенную линию, такую ​​как T1, Fractional T1 или Frame Relay.Адаптер WAN должен быть настроен с использованием IP-адреса и маски подсети, назначенных для вашего домена или предоставленных поставщиком услуг Интернета (ISP). Адаптер WAN также должен быть настроен как шлюз по умолчанию для маршрутизатора ISP.

    Примечание

    Чтобы включить VPN, вы должны войти в систему, используя учетную запись с правами администратора.

    Как установить и включить VPN-сервер

    Чтобы установить и включить VPN-сервер, выполните следующие действия:

    1. Щелкните Start , укажите на Administrative Tools , а затем щелкните Routing and Remote Access .

    2. Щелкните значок сервера, соответствующий имени локального сервера, на левой панели консоли. Если значок имеет красный кружок в нижнем левом углу, служба маршрутизации и удаленного доступа не включена. Если на значке есть зеленая стрелка, указывающая вверх в нижнем левом углу, служба маршрутизации и удаленного доступа включена. Если служба маршрутизации и удаленного доступа была ранее включена, вы можете перенастроить сервер. Для перенастройки сервера:

      1. Щелкните правой кнопкой мыши объект сервера и выберите Отключить маршрутизацию и удаленный доступ .Нажмите Да , чтобы продолжить, когда вам будет предложено информационное сообщение.
      2. Щелкните правой кнопкой мыши значок сервера, а затем щелкните Настроить и включить маршрутизацию и удаленный доступ , чтобы запустить мастер настройки сервера маршрутизации и удаленного доступа. Щелкните Next , чтобы продолжить.
      3. Щелкните Удаленный доступ (коммутируемый доступ или VPN) , чтобы включить удаленные компьютеры для набора номера или подключения к этой сети через Интернет. Щелкните Next , чтобы продолжить.
    3. Щелкните, чтобы выбрать VPN или Dial-up в зависимости от роли, которую вы собираетесь назначить этому серверу.

    4. В окне VPN Connection щелкните сетевой интерфейс, подключенный к Интернету, а затем щелкните Next .

    5. В окне Назначение IP-адреса щелкните Автоматически , если DHCP-сервер будет использоваться для назначения адресов удаленным клиентам, или щелкните Из указанного диапазона адресов , если удаленным клиентам нужно назначать адрес только из предопределенный пул. В большинстве случаев администрировать DHCP проще.Однако, если DHCP недоступен, необходимо указать диапазон статических адресов. Щелкните Next , чтобы продолжить.

    6. Если вы щелкнули Из указанного диапазона адресов , откроется диалоговое окно Address Range Assignment . Щелкните New . Введите первый IP-адрес из диапазона адресов, который вы хотите использовать, в поле Начальный IP-адрес . Введите последний IP-адрес из диапазона в поле Конечный IP-адрес . Windows автоматически рассчитывает количество адресов.Щелкните OK , чтобы вернуться в окно Address Range Assignment . Щелкните Next , чтобы продолжить.

    7. Примите настройку по умолчанию Нет, используйте «Маршрутизацию и удаленный доступ» для проверки подлинности запросов на подключение , а затем нажмите Далее , чтобы продолжить. Щелкните Finish , чтобы включить службу маршрутизации и удаленного доступа и настроить сервер как сервер удаленного доступа.

    Как настроить VPN-сервер

    Чтобы продолжить настройку VPN-сервера в соответствии с требованиями, выполните следующие действия.

    Как настроить сервер удаленного доступа как маршрутизатор

    Чтобы сервер удаленного доступа мог правильно пересылать трафик внутри вашей сети, вы должны настроить его как маршрутизатор со статическими маршрутами или протоколами маршрутизации, чтобы все местоположения в интрасети были доступны с сервера удаленного доступа.

    Для настройки сервера как маршрутизатора:

    1. Щелкните Start , укажите на Administrative Tools , а затем щелкните Routing and Remote Access .
    2. Щелкните правой кнопкой мыши имя сервера и выберите Свойства .
    3. Щелкните вкладку General , а затем щелкните, чтобы выбрать Router в разделе Включите этот компьютер как .
    4. Щелкните LAN и маршрутизация по требованию , а затем щелкните OK , чтобы закрыть диалоговое окно «Свойства».

    Как изменить количество одновременных подключений

    Количество модемных подключений по телефонной линии зависит от количества модемов, установленных на сервере.Например, если на сервере установлен только один модем, одновременно может быть только одно модемное соединение.

    Количество коммутируемых VPN-подключений зависит от количества одновременных пользователей, которым вы хотите разрешить. По умолчанию при выполнении процедуры, описанной в этой статье, вы разрешаете 128 подключений. Чтобы изменить количество одновременных подключений, выполните следующие действия:

    1. Щелкните Start , укажите на Administrative Tools , а затем щелкните Routing and Remote Access .
    2. Дважды щелкните объект сервера, щелкните правой кнопкой мыши Ports , а затем щелкните Properties .
    3. В диалоговом окне Ports Properties щелкните WAN Miniport (PPTP) > Configure .
    4. В поле Максимальное количество портов введите количество VPN-подключений, которые вы хотите разрешить.
    5. Щелкните OK > OK , а затем закройте Routing and Remote Acces s.

    Как управлять адресами и серверами имен

    VPN-сервер должен иметь доступные IP-адреса, чтобы назначить их виртуальному интерфейсу VPN-сервера и VPN-клиентам на этапе согласования протокола управления IP (IPCP) в процессе подключения.IP-адрес, назначенный VPN-клиенту, назначается виртуальному интерфейсу VPN-клиента.

    Для серверов VPN на базе Windows Server 2003 IP-адреса, назначенные клиентам VPN, по умолчанию получаются через DHCP. Вы также можете настроить пул статических IP-адресов. VPN-сервер также должен быть настроен с серверами разрешения имен, обычно DNS и адресами WINS-серверов, для назначения VPN-клиенту во время согласования IPCP.

    Как управлять доступом

    Настройте свойства удаленного доступа для учетных записей пользователей и политик удаленного доступа для управления доступом для удаленного доступа к сети и VPN-подключений.

    Примечание

    По умолчанию пользователям запрещен доступ к коммутируемым сетям.

    Доступ через учетную запись пользователя

    Чтобы предоставить телефонный доступ к учетной записи пользователя, если вы управляете удаленным доступом на индивидуальной основе, выполните следующие действия:

    1. Щелкните Start , укажите на Administrative Tools , а затем щелкните Active Directory Users and Computers .
    2. Щелкните правой кнопкой мыши учетную запись пользователя и выберите Свойства .
    3. Щелкните вкладку Dial-in .
    4. Щелкните Разрешить доступ , чтобы предоставить пользователю разрешение на набор номера. Щелкните ОК .

    Доступ по членству в группе

    Если вы управляете удаленным доступом на групповой основе, выполните следующие действия:

    1. Создайте группу с участниками, которым разрешено создавать VPN-подключения.
    2. Щелкните Start , укажите на Administrative Tools , а затем щелкните Routing and Remote Access .
    3. В дереве консоли разверните Routing and Remote Access , разверните имя сервера, а затем щелкните Remote Access Policies .
    4. Щелкните правой кнопкой мыши в любом месте правой панели, выберите New , а затем щелкните Remote Access Policy .
    5. Щелкните Next , введите имя политики и затем щелкните Next .
    6. Щелкните VPN для метода доступа виртуального частного доступа или щелкните Dial-up для удаленного доступа, а затем щелкните Next .
    7. Щелкните Добавить , введите имя группы, созданной на шаге 1, а затем щелкните Далее .
    8. Следуйте инструкциям на экране, чтобы завершить работу мастера.

    Если сервер VPN уже разрешает услуги удаленного доступа по коммутируемой сети, не удаляйте политику по умолчанию. Вместо этого переместите его так, чтобы это была последняя политика для оценки.

    Как настроить VPN-соединение с клиентского компьютера

    Чтобы настроить подключение к VPN, выполните следующие действия.Чтобы настроить клиента для доступа к виртуальной частной сети, выполните следующие действия на клиентской рабочей станции:

    Примечание

    Вы должны войти в систему как член группы администраторов, чтобы выполнить эти шаги.

    Поскольку существует несколько версий Microsoft Windows, следующие действия могут отличаться на вашем компьютере. Если это так, см. Документацию по продукту, чтобы выполнить эти шаги.

    1. На клиентском компьютере убедитесь, что подключение к Интернету настроено правильно.

    2. Щелкните Пуск > Панель управления > Сетевые подключения . Щелкните Create a new connection в разделе Network Tasks , а затем щелкните Next .

    3. Щелкните Подключиться к сети на моем рабочем месте , чтобы создать коммутируемое соединение. Щелкните Next , чтобы продолжить.

    4. Щелкните Подключение к виртуальной частной сети , а затем щелкните Далее .

    5. Введите описательное имя для этого соединения в диалоговом окне Название компании , а затем щелкните Далее .

    6. Щелкните Не набирайте номер при начальном соединении, если компьютер постоянно подключен к Интернету. Если компьютер подключается к Интернету через поставщика услуг Интернета (ISP), щелкните Автоматически набрать это начальное соединение , а затем щелкните имя подключения к поставщику услуг Интернета. Щелкните Далее .

    7. Введите IP-адрес или имя хоста компьютера сервера VPN (например, VPNServer.SampleDomain.com).

    8. Щелкните Anyone’s use , если вы хотите разрешить любому пользователю, который входит на рабочую станцию, иметь доступ к этому коммутируемому соединению. Щелкните My use only , если вы хотите, чтобы это соединение было доступно только для текущего пользователя, вошедшего в систему. Щелкните Далее .

    9. Щелкните Finish , чтобы сохранить соединение.

    10. Щелкните Пуск > Панель управления > Сетевые подключения .

    11. Дважды щелкните новое соединение.

    12. Щелкните «Свойства», чтобы продолжить настройку параметров подключения. Чтобы продолжить настройку параметров подключения, выполните следующие действия:

      • Если вы подключаетесь к домену, щелкните вкладку Параметры , а затем установите флажок Включить домен входа в Windows , чтобы указать, следует ли запрашивать информацию домена входа в Windows Server 2003 перед попыткой подключения.
      • Если вы хотите, чтобы соединение повторно набиралось в случае обрыва линии, щелкните вкладку «Параметры » , а затем установите флажок «Повторный набор при обрыве линии ».

    Чтобы использовать подключение, выполните следующие действия:

    1. Щелкните Start , укажите на Connect to , а затем щелкните новое соединение.

    2. Если у вас в настоящее время нет подключения к Интернету, Windows предлагает подключиться к Интернету.

    3. При подключении к Интернету сервер VPN запрашивает у вас имя пользователя и пароль. Введите свое имя пользователя и пароль, а затем щелкните Connect . Ваши сетевые ресурсы должны быть доступны вам так же, как при прямом подключении к сети.

      Примечание

      Чтобы отключиться от VPN, щелкните правой кнопкой мыши значок подключения, а затем щелкните Отключить .

    Устранение неполадок

    Устранение неполадок VPN с удаленным доступом

    Не удается установить VPN-соединение для удаленного доступа
    • Причина : Имя клиентского компьютера совпадает с именем другого компьютера в сети.

      Решение : Убедитесь, что имена всех компьютеров в сети и компьютеров, подключенных к сети, используют уникальные имена компьютеров.

    • Причина : Служба маршрутизации и удаленного доступа не запущена на сервере VPN.

      Решение : Проверьте состояние службы маршрутизации и удаленного доступа на сервере VPN.

      Для получения дополнительных сведений о том, как контролировать службу маршрутизации и удаленного доступа, а также о том, как запускать и останавливать службу маршрутизации и удаленного доступа, см. Центр справки и поддержки Windows Server 2003.Щелкните Пуск , чтобы получить доступ к центру справки и поддержки Windows Server 2003.

    • Причина : удаленный доступ не включен на сервере VPN.

      Решение : Включите удаленный доступ на VPN-сервере.

      Для получения дополнительных сведений о том, как включить сервер удаленного доступа, см. Центр справки и поддержки Windows Server 2003. Щелкните Пуск , чтобы получить доступ к центру справки и поддержки Windows Server 2003.

    • Причина : порты PPTP или L2TP не включены для входящих запросов удаленного доступа.

      Решение : Включите порты PPTP или L2TP, или и то, и другое, для входящих запросов удаленного доступа.

      Дополнительные сведения о настройке портов для удаленного доступа см. В центре справки и поддержки Windows Server 2003. Щелкните Пуск , чтобы получить доступ к центру справки и поддержки Windows Server 2003.

    • Причина : Протоколы LAN, используемые клиентами VPN, не включены для удаленного доступа на сервере VPN.

      Решение : Включите протоколы LAN, используемые клиентами VPN для удаленного доступа на сервере VPN.

      Для получения дополнительных сведений о просмотре свойств сервера удаленного доступа см. Центр справки и поддержки Windows Server 2003. Щелкните Пуск , чтобы получить доступ к центру справки и поддержки Windows Server 2003.

    • Причина : Все порты PPTP или L2TP на сервере VPN уже используются подключенными в данный момент клиентами удаленного доступа или маршрутизаторами с вызовом по запросу.

      Решение : Убедитесь, что все порты PPTP или L2TP на сервере VPN уже используются.Для этого щелкните Ports в Routing and Remote Access. Если количество разрешенных портов PPTP или L2TP недостаточно велико, измените количество портов PPTP или L2TP, чтобы разрешить большее количество одновременных подключений.

      Для получения дополнительных сведений о том, как добавить порты PPTP или L2TP, см. Центр справки и поддержки Windows Server 2003. Щелкните Пуск , чтобы получить доступ к центру справки и поддержки Windows Server 2003.

    • Причина : VPN-сервер не поддерживает протокол туннелирования VPN-клиента.

      По умолчанию VPN-клиенты удаленного доступа Windows Server 2003 используют опцию Автоматический тип сервера, что означает, что они сначала пытаются установить VPN-соединение на основе L2TP через IPSec, а затем они пытаются установить VPN-соединение на основе PPTP. Если клиенты VPN используют протокол туннелирования «точка-точка» (PPTP) или протокол туннелирования уровня 2 (L2TP), убедитесь, что выбранный протокол туннелирования поддерживается сервером VPN.

      По умолчанию компьютер под управлением Windows Server 2003 Server и службы маршрутизации и удаленного доступа является сервером PPTP и L2TP с пятью портами L2TP и пятью портами PPTP.Чтобы создать сервер только для PPTP, установите количество портов L2TP равным нулю. Чтобы создать сервер только для L2TP, установите количество портов PPTP равным нулю.

      Решение : Убедитесь, что настроено соответствующее количество портов PPTP или L2TP.

      Для получения дополнительных сведений о том, как добавить порты PPTP или L2TP, см. Центр справки и поддержки Windows Server 2003. Щелкните Пуск , чтобы получить доступ к центру справки и поддержки Windows Server 2003.

    • Причина : VPN-клиент и VPN-сервер в сочетании с политикой удаленного доступа не настроены для использования хотя бы одного общего метода аутентификации.

      Решение : Настройте VPN-клиент и VPN-сервер в сочетании с политикой удаленного доступа, чтобы использовать хотя бы один общий метод аутентификации.

      Для получения дополнительных сведений о настройке проверки подлинности см. Центр справки и поддержки Windows Server 2003. Щелкните Пуск , чтобы получить доступ к центру справки и поддержки Windows Server 2003.

    • Причина : VPN-клиент и VPN-сервер в сочетании с политикой удаленного доступа не настроены для использования хотя бы одного общего метода шифрования.

      Решение : Настройте VPN-клиент и VPN-сервер в сочетании с политикой удаленного доступа, чтобы использовать хотя бы один общий метод шифрования.

      Дополнительные сведения о настройке шифрования см. В центре справки и поддержки Windows Server 2003. Щелкните Пуск , чтобы получить доступ к центру справки и поддержки Windows Server 2003.

    • Причина : VPN-соединение не имеет соответствующих разрешений через свойства удаленного доступа учетной записи пользователя и политик удаленного доступа.

      Решение : Убедитесь, что VPN-соединение имеет соответствующие разрешения, используя свойства удаленного доступа учетной записи пользователя и политики удаленного доступа. Чтобы соединение было установлено, в настройках попытки соединения должны быть:

      • Соответствует всем условиям хотя бы одной политики удаленного доступа.
      • Получать разрешение на удаленный доступ через учетную запись пользователя (установлено значение Разрешить доступ ) или через учетную запись пользователя (установлено значение Управлять доступом через политику удаленного доступа ) и разрешение удаленного доступа соответствующей политики удаленного доступа (установлено значение Разрешить удаленный доступ ).
      • Соответствует всем настройкам профиля.
      • Сопоставьте все настройки свойств телефонного подключения учетной записи пользователя.

      Для получения дополнительных сведений о введении в политики удаленного доступа и о том, как принять попытку подключения, см. Центр справки и поддержки Windows Server 2003. Щелкните Пуск , чтобы получить доступ к центру справки и поддержки Windows Server 2003.

    • Причина : параметры профиля политики удаленного доступа конфликтуют со свойствами сервера VPN.

      Свойства профиля политики удаленного доступа и свойства VPN-сервера содержат параметры для:

      • Многосвязный.
      • Протокол распределения полосы пропускания (BAP).
      • Протоколы аутентификации.

      Если настройки профиля соответствующей политики удаленного доступа конфликтуют с настройками сервера VPN, попытка подключения отклоняется. Например, если соответствующий профиль политики удаленного доступа указывает, что должен использоваться протокол проверки подлинности Extensible Authentication Protocol — Transport Level Security (EAP-TLS), а EAP не включен на сервере VPN, попытка подключения отклоняется.

      Решение : Убедитесь, что параметры профиля политики удаленного доступа не конфликтуют со свойствами сервера VPN.

      Для получения дополнительных сведений о протоколах многоканальной связи, BAP и проверки подлинности см. Центр справки и поддержки Windows Server 2003. Щелкните Пуск , чтобы получить доступ к центру справки и поддержки Windows Server 2003.

    • Причина : отвечающий маршрутизатор не может проверить учетные данные вызывающего маршрутизатора (имя пользователя, пароль и имя домена).

      Решение : Убедитесь, что учетные данные клиента VPN (имя пользователя, пароль и имя домена) верны и могут быть проверены сервером VPN.

    • Причина : Недостаточно адресов в пуле статических IP-адресов.

      Решение : Если VPN-сервер настроен со статическим пулом IP-адресов, убедитесь, что в пуле достаточно адресов. Если все адреса в статическом пуле были выделены подключенным VPN-клиентам, VPN-сервер не может выделить IP-адрес, и попытка подключения отклоняется.Если все адреса в статическом пуле были выделены, измените пул.

      Для получения дополнительных сведений о TCP / IP и удаленном доступе, а также о том, как создать пул статических IP-адресов, см. Центр справки и поддержки Windows Server 2003. Щелкните Пуск , чтобы получить доступ к центру справки и поддержки Windows Server 2003.

    • Причина : VPN-клиент настроен на запрос собственного номера узла IPX, а VPN-сервер не настроен для разрешения клиентам IPX запрашивать собственный номер узла IPX.

      Решение : Настройте сервер VPN, чтобы разрешить клиентам IPX запрашивать собственный номер узла IPX.

      Для получения дополнительных сведений о IPX и удаленном доступе см. Центр справки и поддержки Windows Server 2003. Щелкните Пуск , чтобы получить доступ к центру справки и поддержки Windows Server 2003.

    • Причина : VPN-сервер настроен с диапазоном сетевых номеров IPX, которые используются где-то еще в вашей сети IPX.

      Решение : Настройте VPN-сервер с диапазоном сетевых номеров IPX, который уникален для вашей сети IPX.

      Для получения дополнительных сведений о IPX и удаленном доступе см. Центр справки и поддержки Windows Server 2003. Щелкните Пуск , чтобы получить доступ к центру справки и поддержки Windows Server 2003.

    • Причина : провайдер аутентификации VPN-сервера настроен неправильно.

      Решение : Проверьте конфигурацию поставщика аутентификации. Вы можете настроить VPN-сервер для использования либо Windows Server 2003, либо службы удаленной аутентификации пользователей с телефонным подключением (RADIUS) для аутентификации учетных данных VPN-клиента.

      Дополнительные сведения о поставщиках проверки подлинности и учета см. В центре справки и поддержки Windows Server 2003, а также о том, как использовать проверку подлинности RADIUS. Щелкните Пуск , чтобы получить доступ к центру справки и поддержки Windows Server 2003.

    • Причина : VPN-сервер не может получить доступ к Active Directory.

      Решение : для VPN-сервера, который является рядовым сервером в домене Windows Server 2003 в смешанном или основном режиме, который настроен для проверки подлинности Windows Server 2003, убедитесь, что:

      • Группа безопасности RAS и IAS Servers существует.Если нет, создайте группу и установите тип группы «Безопасность», а область действия группы — «Локальный домен».

      • Группа безопасности серверов RAS и IAS имеет разрешение на чтение для объекта Проверка доступа к серверам RAS и IAS .

      • Учетная запись компьютера сервера VPN является членом группы безопасности RAS и IAS Servers . Вы можете использовать команду netsh ras show registerserver для просмотра текущей регистрации.Вы можете использовать команду netsh ras add registrationserver , чтобы зарегистрировать сервер в указанном домене.

        Если вы добавите (или удалите) компьютер с VPN-сервером в группу безопасности «Серверы RAS и IAS», изменение вступит в силу не сразу (из-за способа, которым Windows Server 2003 кэширует информацию Active Directory). Чтобы немедленно применить это изменение, перезапустите компьютер с сервером VPN.

      • Сервер VPN является членом домена.

      Для получения дополнительных сведений о том, как добавить группу, как проверить разрешения для группы безопасности RAS и IAS, а также о командах netsh для удаленного доступа, см. Центр справки и поддержки Windows Server 2003.Щелкните Пуск , чтобы получить доступ к центру справки и поддержки Windows Server 2003.

    • Причина : VPN-сервер под управлением Windows NT 4.0 не может проверять запросы на подключение.

      Решение : Если клиенты VPN подключаются к серверу VPN под управлением Windows NT 4.0, который является членом смешанного режима Windows Server 2003, убедитесь, что группа «Все» добавлена ​​в группу доступа, совместимого с пред-Windows 2000, с помощью следующая команда:

        "net localgroup" Доступ, совместимый с пред-Windows 2000 ""
        

      Если нет, введите следующую команду в командной строке на компьютере с контроллером домена, а затем перезагрузите компьютер с контроллером домена:

        net localgroup "Pre-Windows 2000 Compatible Access" все / добавить
        

      Для получения дополнительной информации о Windows NT 4.0 в домене Windows Server 2003, см. Центр справки и поддержки Windows Server 2003. Щелкните Пуск , чтобы получить доступ к центру справки и поддержки Windows Server 2003.

    • Причина : VPN-сервер не может связаться с настроенным RADIUS-сервером.

      Решение : Если вы можете подключиться к серверу RADIUS только через Интернет-интерфейс, выполните одно из следующих действий:

      • Добавьте входной и выходной фильтр к Интернет-интерфейсу для UDP-порта 1812 (на основе RFC 2138, «Служба удаленной аутентификации пользователей с телефонным подключением (RADIUS)»).-или-
      • Добавьте входной и выходной фильтр к Интернет-интерфейсу для порта UDP 1645 (для старых серверов RADIUS), для аутентификации RADIUS и порта UDP 1813 (на основе RFC 2139, «Учет RADIUS»). -или-
      • -или- Добавьте входной и выходной фильтр к Интернет-интерфейсу для порта UDP 1646 (для старых серверов RADIUS) для учета RADIUS.

      Дополнительные сведения о том, как добавить фильтр пакетов, см. В центре справки и поддержки Windows Server 2003.Щелкните Пуск , чтобы получить доступ к центру справки и поддержки Windows Server 2003.

    • Причина : Не удается подключиться к серверу VPN через Интернет с помощью служебной программы Ping.exe.

      Решение : Из-за фильтрации пакетов PPTP и L2TP через IPSec, которая настроена на Интернет-интерфейсе сервера VPN, пакеты протокола управляющих сообщений Интернета (ICMP), используемые командой ping, отфильтровываются. Чтобы включить сервер VPN для ответа на пакеты ICMP (ping), добавьте входной и выходной фильтр, которые разрешают трафик для IP-протокола 1 (трафик ICMP).

      Дополнительные сведения о том, как добавить фильтр пакетов, см. В центре справки и поддержки Windows Server 2003. Щелкните Пуск , чтобы получить доступ к центру справки и поддержки Windows Server 2003.

    Невозможно отправлять и получать данные

    • Причина : Соответствующий интерфейс вызова по требованию не был добавлен к маршрутизируемому протоколу.

      Решение : Добавьте соответствующий интерфейс вызова по требованию к маршрутизируемому протоколу.

      Для получения дополнительных сведений о том, как добавить интерфейс маршрутизации, см. Центр справки и поддержки Windows Server 2003. Щелкните Пуск , чтобы получить доступ к центру справки и поддержки Windows Server 2003.

    • Причина : На обеих сторонах VPN-соединения маршрутизатор-маршрутизатор нет маршрутов, поддерживающих двусторонний обмен трафиком.

      Решение : В отличие от VPN-подключения удаленного доступа, VPN-соединение между маршрутизаторами не создает автоматически маршрут по умолчанию.Создайте маршруты на обеих сторонах VPN-соединения между маршрутизаторами, чтобы трафик мог быть направлен на другую сторону VPN-соединения между маршрутизаторами и с другой стороны.

      Вы можете вручную добавить статические маршруты в таблицу маршрутизации или можете добавить статические маршруты через протоколы маршрутизации. Для постоянных VPN-подключений вы можете включить Open Shortest Path First (OSPF) или протокол информации о маршрутизации (RIP) через VPN-подключение. Для VPN-подключений по требованию вы можете автоматически обновлять маршруты с помощью автостатического обновления RIP.Дополнительные сведения о том, как добавить протокол IP-маршрутизации, как добавить статический маршрут и как выполнять автоматические обновления, см. В интерактивной справке Windows Server 2003. Щелкните Пуск , чтобы получить доступ к центру справки и поддержки Windows Server 2003.

    • Причина : двусторонний инициированный, отвечающий маршрутизатор как соединение удаленного доступа интерпретирует соединение маршрутизатора к маршрутизатору VPN.

      Решение : Если имя пользователя в учетных данных вызывающего маршрутизатора отображается в поле « Dial-In Clients » в разделе «Маршрутизация и удаленный доступ», отвечающий маршрутизатор может интерпретировать вызывающий маршрутизатор как клиента удаленного доступа.Убедитесь, что имя пользователя в учетных данных вызывающего маршрутизатора совпадает с именем интерфейса вызова по требованию на отвечающем маршрутизаторе. Если входящий вызывающий абонент является маршрутизатором, порт, на котором был получен вызов, показывает состояние Активный , а соответствующий интерфейс вызова по требованию находится в состоянии Подключено .

      Дополнительные сведения о том, как проверить состояние порта на отвечающем маршрутизаторе и как проверить состояние интерфейса вызова по требованию, см. В интерактивной справке Windows Server 2003.Щелкните Пуск , чтобы получить доступ к центру справки и поддержки Windows Server 2003.

    • Причина : Фильтры пакетов на интерфейсах вызова по требованию вызывающего маршрутизатора и отвечающего маршрутизатора предотвращают поток трафика.

      Решение : Убедитесь, что на интерфейсах вызова по требованию вызывающего маршрутизатора и отвечающего маршрутизатора отсутствуют фильтры пакетов, которые предотвращают отправку или получение трафика. Вы можете настроить каждый интерфейс вызова по требованию с фильтрами ввода и вывода IP и IPX, чтобы контролировать точную природу трафика TCP / IP и IPX, который разрешается входить и исходить из интерфейса вызова по требованию.

      Дополнительные сведения об управлении фильтрами пакетов см. В интерактивной справке Windows Server 2003. Щелкните Пуск , чтобы получить доступ к центру справки и поддержки Windows Server 2003.

    • Причина : Фильтры пакетов в профиле политики удаленного доступа предотвращают поток IP-трафика.

      Решение : Убедитесь, что нет настроенных фильтров пакетов TCP / IP в свойствах профиля политик удаленного доступа на сервере VPN (или сервере RADIUS, если используется служба проверки подлинности в Интернете), которые препятствуют отправке или получению TCP. / IP-трафик.Вы можете использовать политики удаленного доступа для настройки фильтров входных и выходных пакетов TCP / IP, которые контролируют точный характер трафика TCP / IP, разрешенного для VPN-соединения.

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *