Настройка vpn сервера на windows server 2020 r2: Attention Required! | Cloudflare
Установка и настройка сервера политики сети
-
- Чтение занимает 7 мин
В этой статье
Область применения: Windows Server 2019, Windows Server (половина ежегодного канала), Windows Server 2016, Windows Server 2012 R2, Windows 10Applies to: Windows Server 2019, Windows Server (Semi-Annual Channel), Windows Server 2016, Windows Server 2012 R2, Windows 10
На этом шаге вы установите сервер политики сети (NPS) для обработки запросов на подключение, отправленных VPN-сервером:In this step, you’ll install Network Policy Server (NPS) for processing of connection requests that are sent by the VPN server:
- Выполните авторизацию, чтобы убедиться, что у пользователя есть разрешение на подключение.Perform authorization to verify that the user has permission to connect.
- Выполнение проверки подлинности для проверки удостоверения пользователя.Performing authentication to verify the user’s identity.
- Выполнение учета для регистрации аспектов запроса на подключение, выбранного при настройке учета RADIUS в NPS.Performing accounting to log the aspects of the connection request that you chose when you configured RADIUS accounting in NPS.
Действия, описанные в этом разделе, позволяют выполнить следующие операции:The steps in this section allow you to complete the following items:
На компьютере или виртуальной машине, запланированной для сервера политики сети и установленной в организации или корпоративной сети, можно установить NPS.On the computer or VM that planned for the NPS server, and installed on your organization or corporate network, you can install NPS.
Совет
Если в сети уже имеется один или несколько серверов NPS, вам не нужно выполнять установку сервера NPS — вместо этого можно использовать этот раздел для обновления конфигурации существующего сервера NPS.If you already have one or more NPS servers on your network, you do not need to perform NPS Server installation — instead, you can use this topic to update the configuration of an existing NPS server.
Примечание
Вы не можете установить службу сервера политики сети в Windows Server Core.You can not install the Network Policy Server service on Windows Server Core.
- На корпоративном сервере политики Организации или организации сервер политики сети можно настроить на выполнение в качестве сервера RADIUS, который обрабатывает запросы на подключение, получаемые от VPN-сервера.On the organization/corporate NPS server, you can configure NPS to perform as a RADIUS server that processes the connection requests received from the VPN server.
Установка сервера политики сетиInstall Network Policy Server
В этой процедуре вы устанавливаете NPS с помощью Windows PowerShell или мастера диспетчер сервера добавить роли и компоненты.In this procedure, you install NPS by using either Windows PowerShell or the Server Manager Add Roles and Features Wizard. Сервер политики сети — это служба роли сервера службы политики сети и доступа.NPS is a role service of the Network Policy and Access Services server role.
Совет
По умолчанию сервер политики сети прослушивает RADIUS-трафик на портах 1812, 1813, 1645 и 1646 для всех установленных сетевых адаптеров.By default, NPS listens for RADIUS traffic on ports 1812, 1813, 1645, and 1646 on all installed network adapters. При установке NPS и включении брандмауэра Windows в повышенной безопасности исключения брандмауэра для этих портов создаются автоматически для трафика IPv4 и IPv6.When you install NPS, and you enable Windows Firewall with Advanced Security, firewall exceptions for these ports get created automatically for both IPv4 and IPv6 traffic. Если серверы сетевого доступа настроены на отправку трафика RADIUS через порты, отличные от этих значений по умолчанию, удалите исключения, созданные в брандмауэре Windows в процессе установки сервера политики сети, и создайте исключения для портов, используемых для трафика RADIUS.If your network access servers are configured to send RADIUS traffic over ports other than these defaults, remove the exceptions created in Windows Firewall with Advanced Security during NPS installation, and create exceptions for the ports that you do use for RADIUS traffic.
Процедура для Windows PowerShell:Procedure for Windows PowerShell:
Чтобы выполнить эту процедуру с помощью Windows PowerShell, запустите Windows PowerShell от имени администратора и введите следующий командлет:To perform this procedure by using Windows PowerShell, run Windows PowerShell as Administrator, enter the following cmdlet:
Install-WindowsFeature NPAS -IncludeManagementTools
Процедура для диспетчер сервера:Procedure for Server Manager:
В диспетчер сервера выберите Управление, а затем выберите Добавить роли и компоненты.In Server Manager, select Manage, then select Add Roles and Features.
Откроется мастер добавления ролей и компонентов.The Add Roles and Features Wizard opens.В окне перед началом нажмите кнопку Далее.In Before You Begin, select Next.
Примечание
Страница перед началом работы мастера добавления ролей и компонентов не отображается, если ранее был выбран параметр пропустить эту страницу по умолчанию при выполнении мастера добавления ролей и компонентов.The Before You Begin page of the Add Roles and Features Wizard is not displayed if you had previously selected Skip this page by default when the Add Roles and Features Wizard ran.
В списке выберите тип установки убедитесь, что установлен флажок установить на основе ролей или компонентов , и нажмите кнопку Далее.In Select Installation Type, ensure that Role-Based or feature-based installation is selected, and select Next.
Убедитесь, что на странице Выбор целевого сервера выбран параметр выбрать сервер из пула серверов .In Select destination server, ensure that Select a server from the server pool is selected.
В поле пул серверов убедитесь, что выбран локальный компьютер, и нажмите кнопку Далее.In Server Pool, ensure that the local computer is selected and select Next.
В окне Выбор ролей сервера в списке роливыберите пункт службы политики сети и доступа.In Select Server Roles, in Roles, select Network Policy and Access Services. Откроется диалоговое окно с запросом на добавление компонентов, необходимых для сетевой политики и служб доступа.A dialog box opens asking if it should add features required for Network Policy and Access Services.
Выберите Добавить компоненты, а затем нажмите кнопку Далее .Select Add Features, then select Next
В окне Выбор компонентов нажмите кнопку Далее, а затем в окне Службы политики сети и доступа просмотрите указанные сведения, а затем нажмите кнопку Далее.In Select features, select Next, and in Network Policy and Access Services, review the information provided, then select Next.
В окне Выбор служб ролей выберите сервер политики сети.In Select role services, select Network Policy Server.
Для компонентов, необходимых для сервера политики сети, выберите Добавить компоненты, а затем нажмите кнопку Далее.For features required for Network Policy Server, select Add Features, then select Next.
В поле Подтверждение установки установите флажок автоматически перезагружать сервер назначения при необходимости.In Confirm installation selections, select Restart the destination server automatically if required.
Выберите Да для подтверждения выбранного, а затем нажмите кнопку установить.Select Yes to confirm the selected, and then select Install.
На странице Ход выполнения установки отображается состояние в процессе установки.The Installation progress page displays the status during the installation process. По завершении процесса отображается сообщение «Установка выполнена в ComputerName«, где ComputerName — имя компьютера, на котором установлен сервер политики сети.When the process completes, the message «Installation succeeded on ComputerName» is displayed, where ComputerName is the name of the computer upon which you installed Network Policy Server.
Выберите Закрыть.Select Close.
Настройка NPSConfigure NPS
После установки NPS настройте NPS для выполнения всех операций проверки подлинности, авторизации и учета для запроса на подключение, полученного от VPN-сервера.After installing NPS, you configure NPS to handle all authentication, authorization, and accounting duties for connection request it receives from the VPN server.
Регистрация сервера NPS в Active DirectoryRegister the NPS Server in Active Directory
В этой процедуре сервер регистрируется в Active Directory, чтобы он получил разрешение на доступ к сведениям об учетных записях пользователей во время обработки запросов на подключение.In this procedure, you register the server in Active Directory so that it has permission to access user account information while processing connection requests.
PROCEDUREProcedure:
В диспетчере сервера щелкните Средства, а затем щелкните Сервер политики сети.In Server Manager, select Tools, and then select Network Policy Server. Откроется консоль NPS.The NPS console opens.
В консоли NPS щелкните правой кнопкой мыши элемент NPS (локальный) и выберите пункт зарегистрировать сервер в Active Directory.In the NPS console, right-click NPS (Local), then select Register server in Active Directory.
Откроется диалоговое окно Сервер политики сети.The Network Policy Server dialog box opens.
В диалоговом окне сервер политики сети дважды нажмите кнопку ОК .In the Network Policy Server dialog box, select OK twice.
Альтернативные методы регистрации NPS см. в разделе Регистрация сервера NPS в домен Active Directory.For alternate methods of registering NPS, see Register an NPS Server in an Active Directory Domain.
Настройка учета сервера политики сетиConfigure Network Policy Server Accounting
В этой процедуре необходимо настроить учет сервера политики сети с помощью одного из следующих типов ведения журнала:In this procedure, configure Network Policy Server Accounting using one of the following logging types:
Ведение журнала событий.Event logging. Используется в основном для аудита и устранения неполадок при попытках подключения.Used primarily for auditing and troubleshooting connection attempts. Ведение журнала событий NPS можно настроить, получая свойства NPS Server в консоли NPS.You can configure NPS event logging by obtaining the NPS server properties in the NPS console.
Регистрация запросов проверки подлинности пользователя и учетных данных в локальном файле.Logging user authentication and accounting requests to a local file. Используется в основном для анализа подключений и выставления счетов.Used primarily for connection analysis and billing purposes. Также используется в качестве средства для анализа безопасности, поскольку оно предоставляет метод отслеживания действий злоумышленника после атаки.Also used as a security investigation tool because it provides you with a method of tracking the activity of a malicious user after an attack. Ведение журнала локального файла можно настроить с помощью мастера настройки учета.You can configure local file logging using the Accounting Configuration wizard.
Регистрация запросов проверки подлинности и учетных записей пользователей в базе данных, совместимой с XML Microsoft SQL Server.Logging user authentication and accounting requests to a Microsoft SQL Server XML-compliant database. Используется, чтобы разрешить нескольким серверам службы NPS иметь один источник данных.Used to allow multiple servers running NPS to have one data source. Также предоставляет преимущества использования реляционной базы данных.Also provides the advantages of using a relational database. Вы можете настроить ведение журнала SQL Server с помощью мастера настройки учета.You can configure SQL Server logging by using the Accounting Configuration wizard.
Сведения о настройке учета сервера политики сети см. в разделе Настройка учета сервера политики сети.To configure Network Policy Server Accounting, see Configure Network Policy Server Accounting.
Добавление VPN-сервера в качестве RADIUS-клиентаAdd the VPN Server as a RADIUS Client
В разделе Настройка сервера удаленного доступа для Always on VPN вы установили и настроили VPN-сервер.In the Configure the Remote Access Server for Always On VPN section, you installed and configured your VPN server. Во время настройки VPN-сервера вы добавили общий секрет RADIUS на VPN-сервере.During VPN server configuration, you added a RADIUS shared secret on the VPN server.
В этой процедуре используется текстовая строка общего секрета для настройки VPN-сервера в качестве RADIUS-клиента в NPS.In this procedure, you use the same shared secret text string to configure the VPN server as a RADIUS client in NPS. Используйте ту же текстовую строку, которая использовалась на VPN-сервере, или происходит сбой связи между сервером NPS и VPN-сервером.Use the same text string that you used on the VPN server, or communication between the NPS server and VPN server fails.
Важно!
При добавлении нового сервера доступа к сети (VPN-сервера, точки беспроводного доступа, коммутатора с проверкой подлинности или сервера удаленного доступа) в сеть необходимо добавить сервер в качестве RADIUS-клиента на сервере политики сети, чтобы сервер политики сети знал об этом и мог взаимодействовать с сервером доступа к сети.When you add a new network access server (VPN server, wireless access point, authenticating switch, or dial-up server) to your network, you must add the server as a RADIUS client in NPS so that NPS is aware of and can communicate with the network access server.
PROCEDUREProcedure:
На сервере NPS в консоли NPS дважды щелкните RADIUS-клиенты и серверы.On the NPS server, in the NPS console, double-click RADIUS Clients and Servers.
Щелкните правой кнопкой мыши клиенты RADIUS и выберите создать.Right-click RADIUS Clients and select New. Откроется диалоговое окно Новый RADIUS-клиент.The New RADIUS Client dialog box opens.
Убедитесь, что флажок включить этот клиент RADIUS установлен.Verify that the Enable this RADIUS client check box is selected.
В поле понятное имявведите отображаемое имя VPN-сервера.In Friendly name, enter a display name for the VPN server.
В поле адрес (IP или DNS) введите IP-адрес NAS или полное доменное имя.In Address (IP or DNS), enter the NAS IP address or FQDN.
Если вы вводите полное доменное имя, выберите проверить , если вы хотите убедиться в правильности имени и сопоставляется с ДОПУСТИМЫМ IP-адресом.If you enter the FQDN, select Verify if you want to verify that the name is correct and maps to a valid IP address.
В общем секретевыполните следующие действия.In Shared secret, do:
Убедитесь, что выбрано вручную .Ensure that Manual is selected.
Введите строгую текстовую строку, которая также была введена на VPN-сервере.Enter the strong text string that you also entered on the VPN server.
Повторно введите общий секрет в поле Подтверждение общего секрета.Reenter the shared secret in Confirm shared secret.
Нажмите кнопку OK.Select OK. VPN-сервер появится в списке клиентов RADIUS, настроенных на NPS-сервере.The VPN Server appears in the list of RADIUS clients configured on the NPS server.
Настройка сервера политики сети в качестве RADIUS для VPN-подключенийConfigure NPS as a RADIUS for VPN Connections
В этой процедуре вы настраиваете сервер политики сети в качестве сервера RADIUS в сети Организации.In this procedure, you configure NPS as a RADIUS server on your organization network. На сервере политики сети необходимо определить политику, которая разрешает доступ к Организации или корпоративной сети только пользователям из определенной группы через VPN-сервер, а затем только при использовании действительного сертификата пользователя в запросе проверки подлинности PEAP.On the NPS, you must define a policy that allows only users in a specific group to access the Organization/Corporate network through the VPN Server — and then only when using a valid user certificate in a PEAP authentication request.
PROCEDUREProcedure:
В консоли NPS в стандартной конфигурации убедитесь, что выбран RADIUS-сервер для подключений удаленного доступа или VPN .In the NPS console, in Standard Configuration, ensure that RADIUS server for Dial-Up or VPN Connections is selected.
Выберите Настройка VPN или удаленный доступ.Select Configure VPN or Dial-Up.
Откроется мастер настройки VPN или коммутируемого подключения.The Configure VPN or Dial-Up wizard opens.
Выберите подключения виртуальной частной сети (VPN) и нажмите кнопку Далее.Select Virtual Private Network (VPN) Connections, and select Next.
В поле Укажите сервер удаленного доступа или VPN-клиенты выберите имя VPN-сервера, добавленного на предыдущем шаге.In Specify Dial-Up or VPN Server, in RADIUS clients, select the name of the VPN Server that you added in the previous step. Например, если NetBIOS-имя VPN-сервера — RAS1, выберите RAS1.For example, if your VPN server NetBIOS name is RAS1, select RAS1.
Выберите Далее.Select Next.
В разделе Настройка методов проверки подлинности выполните следующие действия.In Configure Authentication Methods, complete the following steps:
Снимите флажок Microsoft encrypted Authentication версии 2 (MS-CHAPv2) .Clear the Microsoft Encrypted Authentication version 2 (MS-CHAPv2) check box.
Установите флажок Протокол расширенной проверки подлинности , чтобы выбрать его.Select the Extensible Authentication Protocol check box to select it.
В поле Тип (на основе метода доступа и конфигурации сети) выберите Microsoft: Protected EAP (PEAP), а затем щелкните настроить.In Type (based on the method of access and network configuration), select Microsoft: Protected EAP (PEAP), then select Configure.
Откроется диалоговое окно Изменение свойств защищенного EAP.The Edit Protected EAP Properties dialog box opens.
Выберите Удалить , чтобы удалить тип EAP Secure Password (EAP-MSCHAP v2).Select Remove to remove the Secured Password (EAP-MSCHAP v2) EAP type.
Нажмите кнопку Добавить.Select Add. Откроется диалоговое окно Добавление EAP.The Add EAP dialog box opens.
Выберите смарт-карта или иной сертификат, а затем нажмите кнопку ОК.Select Smart Card or other certificate, then select OK.
Нажмите кнопку ОК , чтобы закрыть диалоговое окно Изменение свойств защищенного EAP.Select OK to close Edit Protected EAP Properties.
Выберите Далее.Select Next.
В разделе Указание групп пользователей выполните следующие действия.In Specify User Groups, complete the following steps:
Нажмите кнопку Добавить.Select Add. Откроется диалоговое окно Выбор пользователей, компьютеров, учетных записей служб или групп.The Select Users, Computers, Service Accounts, or Groups dialog box opens.
Введите VPN-пользователей, а затем нажмите кнопку ОК.Enter VPN Users, then select OK.
Выберите Далее.Select Next.
В окне укажите IP-фильтры нажмите кнопку Далее.In Specify IP Filters, select Next.
В окне укажите параметры шифрования нажмите кнопку Далее.In Specify Encryption Settings, select Next. Не вносите никаких изменений.Do not make any changes.
Эти параметры применяются только к подключениям шифрования «точка-точка» (MPPE), которые не поддерживаются этим сценарием.These settings apply only to Microsoft Point-to-Point Encryption (MPPE) connections, which this scenario doesn’t support.
В окне укажите имя области нажмите кнопку Далее.In Specify a Realm Name, select Next.
Нажмите кнопку Готово , чтобы закрыть мастер.Select Finish to close the wizard.
Автоматическая регистрация сертификата сервера политики сетиAutoenroll the NPS Server Certificate
В этой процедуре вы вручную обновляете групповая политика на локальном сервере NPS.In this procedure, you refresh Group Policy on the local NPS server manually. Когда групповая политика обновляется, если автоматическая регистрация сертификатов настроена и работает правильно, локальный компьютер автоматически регистрирует сертификат центром сертификации (ЦС).When Group Policy refreshes, if certificate autoenrollment is configured and functioning correctly, the local computer is auto-enrolled a certificate by the certification authority (CA).
Примечание
Групповая политика обновляется автоматически при перезагрузке компьютера, который является членом домена, или при входе пользователя в систему компьютера, который является членом домена.Group Policy refreshed automatically when you restart the domain member computer, or when a user logs on to a domain member computer. Кроме того, групповая политика периодически обновляет.Also, Group Policy periodically refreshes. По умолчанию это периодическое обновление происходит каждые 90 минут со случайным смещением в течение 30 минут.By default, this periodic refresh happens every 90 minutes with a randomized offset of up to 30 minutes.
Членство в группах « Администраторы» или «эквивалентное» является минимальным требованием для выполнения этой процедуры.Membership in Administrators, or equivalent, is the minimum required to complete this procedure.
PROCEDUREProcedure:
На сервере политики сети откройте Windows PowerShell.On the NPS, open Windows PowerShell.
В командной строке Windows PowerShell введите gpupdateи нажмите клавишу ВВОД.At the Windows PowerShell prompt, type gpupdate, and then press ENTER.
Дальнейшие действияNext steps
Шаг 5. Настройте параметры DNS и брандмауэра для Always On VPN. на этом шаге необходимо установить сервер политики сети (NPS) с помощью Windows PowerShell или мастера Диспетчер сервера добавить роли и компоненты.Step 5. Configure DNS and firewall settings for Always On VPN: In this step, you install Network Policy Server (NPS) by using either Windows PowerShell or the Server Manager Add Roles and Features Wizard. Вы также настраиваете NPS для обработки всех операций проверки подлинности, авторизации и учета для запросов на подключение, получаемых от VPN-сервера.You also configure NPS to handle all authentication, authorization, and accounting duties for connection requests that it receives from the VPN server.
Настройка сервера удаленного доступа для постоянно подключенного VPN-профиля
Служба RRAS разработана так же, как маршрутизатор и сервер удаленного доступа, поскольку она поддерживает широкий набор функций.RRAS is designed to perform well as both a router and a remote access server because it supports a wide array of features. Для целей этого развертывания требуется только небольшое подмножество этих функций: поддержка VPN-подключений IKEv2 и маршрутизация по локальной сети.For the purposes of this deployment, you require only a small subset of these features: support for IKEv2 VPN connections and LAN routing.
IKEv2 — это туннельный протокол VPN, описанный в статье запрос принудительного запроса задачи по инженерам Интернета для комментариев 7296.IKEv2 is a VPN tunneling protocol described in Internet Engineering Task Force Request for Comments 7296. Основное преимущество IKEv2 заключается в том, что оно допускает прерывания в базовом сетевом подключении.The primary advantage of IKEv2 is that it tolerates interruptions in the underlying network connection. Например, если подключение временно потеряно или пользователь переместит клиентский компьютер из одной сети в другую, IKEv2 автоматически восстанавливает VPN-подключение при переустановке сетевого подключения — без вмешательства пользователя.For example, if the connection is temporarily lost or if a user moves a client computer from one network to another, IKEv2 automatically restores the VPN connection when the network connection is reestablished—all without user intervention.
Настройте сервер RRAS для поддержки подключений IKEv2 при отключении неиспользуемых протоколов, что снижает объем безопасности сервера.Configure the RRAS server to support IKEv2 connections while disabling unused protocols, which reduces the server’s security footprint. Кроме того, настройте сервер для назначения адресов VPN-клиентам из статического пула адресов.Additionally, configure the server to assign addresses to VPN clients from a static address pool. Вы можете феасибли назначать адреса из пула или DHCP-сервера. Однако использование DHCP-сервера повышает сложность проектирования и предоставляет минимальные преимущества.You can feasibly assign addresses from either a pool or a DHCP server; however, using a DHCP server adds complexity to the design and delivers minimal benefits.
В этой процедуре вы устанавливаете роль удаленного доступа как VPN-сервер шлюза RAS одного клиента.In this procedure, you install the Remote Access role as a single tenant RAS Gateway VPN server. Дополнительные сведения см. в разделе Удаленный доступ.For more information, see Remote Access.
Для установки роли удаленного доступа с помощью диспетчер сервера можно использовать следующую процедуру.You can use the following procedure to install the Remote Access role using Server Manager.
Откроется диалоговое окно Мастер добавления ролей и компонентов .The Add Roles and Features Wizard dialog box opens.
В этом разделе вы можете настроить VPN удаленного доступа, разрешающее подключения по протоколу IKEv2 VPN, запретить подключения от других протокола VPN и назначить пул статических IP-адресов для выдачи IP-адресов для подключения разрешенных VPN-клиентов.In this section, you can configure Remote Access VPN to allow IKEv2 VPN connections, deny connections from other VPN protocols, and assign a static IP address pool for the issuance of IP addresses to connecting authorized VPN clients.
На VPN-сервере в диспетчер сервера выберите флаг уведомлений .On the VPN server, in Server Manager, select the Notifications flag.
В меню задачи выберите команду открыть мастер начало работы .In the Tasks menu, select Open the Getting Started Wizard
Откроется мастер настройки удаленного доступа.The Configure Remote Access wizard opens.
Примечание
Мастер настройки удаленного доступа может открыться позади диспетчер сервера.The Configure Remote Access wizard might open behind Server Manager. Если вы считаете, что мастер занимает слишком много времени, переместите или уменьшите диспетчер сервера, чтобы узнать, находится ли мастер за ним.If you think the wizard is taking too long to open, move or minimize Server Manager to find out whether the wizard is behind it. В противном случае дождитесь инициализации мастера.If not, wait for the wizard to initialize.
Выберите вариант развернуть только VPN.Select Deploy VPN only.
Откроется консоль управления Microsoft (MMC) Маршрутизация и удаленный доступ.The Routing and Remote Access Microsoft Management Console (MMC) opens.
Щелкните правой кнопкой мыши VPN-сервер, а затем выберите настроить и включить маршрутизацию и удаленный доступ.Right-click the VPN server, then select Configure and Enable Routing and Remote Access.
Откроется мастер установки сервера маршрутизации и удаленного доступа.The Routing and Remote Access Server Setup Wizard opens.
В окне приветствия мастера установки сервера маршрутизации и удаленного доступа нажмите кнопку Далее.In the Welcome to the Routing and Remote Access Server Setup Wizard, select Next.
В окне Конфигурациявыберите Настраиваемая конфигурация, а затем нажмите кнопку Далее.In Configuration, select Custom Configuration, and then select Next.
В окне Настраиваемая конфигурациявыберите VPN-доступ, а затем нажмите кнопку Далее.In Custom Configuration, select VPN access, and then select Next.
Откроется окно Завершение работы мастера установки сервера маршрутизации и удаленного доступа.The Completing the Routing and Remote Access Server Setup Wizard opens.
Нажмите кнопку Готово , чтобы закрыть мастер, а затем кнопку ОК , чтобы закрыть диалоговое окно Маршрутизация и удаленный доступ.Select Finish to close the wizard, then select OK to close the Routing and Remote Access dialog box.
Выберите запустить службу , чтобы запустить удаленный доступ.Select Start service to start Remote Access.
В консоли управления для удаленного доступа щелкните правой кнопкой мыши VPN-сервер и выберите пункт Свойства.In the Remote Access MMC, right-click the VPN server, then select Properties.
В окне Свойства перейдите на вкладку Безопасность и выполните следующие действия.In Properties, select the Security tab and do:
а.a. Выберите поставщик проверки подлинности и выберите Проверка подлинности RADIUS.Select Authentication provider and select RADIUS Authentication.
b.b. Нажмите кнопку Настроить.Select Configure.
Откроется диалоговое окно Проверка подлинности RADIUS.The RADIUS Authentication dialog box opens.
c.c. Выберите Добавить.Select Add.
Откроется диалоговое окно Добавление сервера RADIUS.The Add RADIUS Server dialog box opens.
d.d. В поле имя серверавведите полное доменное имя (FQDN) сервера политики сети в вашей организации или корпоративной сети.In Server name, enter the Fully Qualified Domain Name (FQDN) of the NPS server on your Organization/Corporate network.
Например, если NetBIOS-имя сервера NPS — NPS1, а имя домена — corp.contoso.com, введите NPS1.Corp.contoso.com.For example, if the NetBIOS name of your NPS server is NPS1 and your domain name is corp.contoso.com, enter NPS1.corp.contoso.com.
д)e. В окне общий секретвыберите изменить.In Shared secret, select Change.
Откроется диалоговое окно изменение секрета.The Change Secret dialog box opens.
е)f. В поле новый секретвведите текстовую строку.In New secret, enter a text string.
ж.g. В поле Подтверждение нового секретавведите ту же текстовую строку, а затем нажмите кнопку ОК.In Confirm new secret, enter the same text string, then select OK.
Важно!
Сохраните эту текстовую строку.Save this text string. При настройке сервера политики сети в организации или корпоративной сети этот VPN-сервер будет добавлен в качестве RADIUS-клиента.When you configure the NPS Server on your Organization/Corporate network, you will add this VPN Server as a RADIUS Client. Во время этой конфигурации вы будете использовать тот же общий секрет, чтобы серверы NPS и VPN могли обмениваться данными.During that configuration, you will use this same shared secret so that the NPS and VPN Servers can communicate.
В окне Добавление сервера RADIUSпроверьте параметры по умолчанию для.In Add RADIUS Server, review the default settings for:
При необходимости измените значения в соответствии с требованиями для вашей среды и нажмите кнопку ОК.If necessary, change the values to match the requirements for your environment and select OK.
NAS — это устройство, предоставляющее некоторый уровень доступа к более крупной сети.A NAS is a device that provides some level of access to a larger network. NAS, использующий инфраструктуру RADIUS, также является клиентом RADIUS, который отправляет запросы на подключение и сообщения учета на сервер RADIUS для проверки подлинности, авторизации и учета.A NAS using a RADIUS infrastructure is also a RADIUS client, sending connection requests and accounting messages to a RADIUS server for authentication, authorization, and accounting.
Проверьте настройку регистратора.Review the setting for Accounting provider:
Если требуется…If you want the… | То…Then… |
---|---|
Действие удаленного доступа, зарегистрированное на сервере удаленного доступаRemote Access activity logged on the Remote Access server | Убедитесь, что выбраны учетные данные Windows .Make sure that Windows Accounting is selected. |
Сервер политики сети для выполнения служб учета VPNNPS to perform accounting services for VPN | Измените поставщик учетной отчетности на RADIUS-учет , а затем настройте NPS в качестве поставщика учетных данных.Change Accounting provider to RADIUS Accounting and then configure the NPS as the accounting provider. |
Перейдите на вкладку IPv4 и выполните следующие действия.Select the IPv4 tab and do:
а.a. Выберите статический пул адресов.Select Static address pool.
b.b. Выберите Добавить , чтобы настроить пул IP-адресов.Select Add to configure an IP address pool.
Пул статических адресов должен содержать адреса из внутренней сети периметра.The static address pool should contain addresses from the internal perimeter network. Эти адреса находятся на внутреннем сетевом подключении на VPN-сервере, а не в корпоративной сети.These addresses are on the internal-facing network connection on the VPN server, not the corporate network.
c.c. В поле начальный IP-адресвведите начальный IP-адрес в диапазоне, который вы хотите назначить VPN-клиентам.In Start IP address, enter the starting IP address in the range you want to assign to VPN clients.
d.d. В поле конечный IP-адресвведите конечный IP-адрес в диапазоне, который вы хотите назначить VPN-клиентам или в поле число адресоввведите номер адреса, который необходимо сделать доступным.In End IP address, enter the ending IP address in the range you want to assign to VPN clients, or in Number of addresses, enter the number of the address you want to make available. Если вы используете DHCP для этой подсети, убедитесь, что на DHCP-серверах настроено соответствующее исключение адресов.If you’re using DHCP for this subnet, ensure that you configure a corresponding address exclusion on your DHCP servers.
д)e. Используемых Если вы используете DHCP, выберите адаптери в списке результатов выберите адаптер Ethernet, подключенный к внутренней сети периметра.(Optional) If you are using DHCP, select Adapter, and in the list of results, select the Ethernet adapter connected to your internal perimeter network.
Используемых При настройке условного доступа для VPN-подключенияиз раскрывающегося списка Сертификат в разделе привязка SSL-сертификатавыберите аутентификацию сервера VPN.(Optional) If you are configuring conditional access for VPN connectivity, from the Certificate drop-down list, under SSL Certificate Binding, select the VPN server authentication.
Используемых Если вы настраиваете условный доступ для VPN-подключения, в консоли управления «NPS» разверните узел политики политики \ сети и выполните следующие действия.(Optional) If you are configuring conditional access for VPN connectivity, in the NPS MMC, expand Policies\Network Policies and do:
а.a. Правой кнопкой мыши щелкните подключения к сетевой политике сервера маршрутизации и удаленного доступа Майкрософт и выберите свойства.Right-the Connections to Microsoft Routing and Remote Access Server network policy and select Properties.
b.b. Выберите доступ с предоставлением доступа. Предоставить доступ, если запрос на подключение соответствует этому параметру политики.Select the Grant access. Grant access if the connection request matches this policy option.
c.c. В разделе Тип сервера сетевого доступа выберите сервер удаленного доступа (VPN-подключение) в раскрывающемся списке.Under Type of network access server, select Remote Access Server (VPN-Dial up) from the drop-down.
В консоли MMC «Маршрутизация и удаленный доступ» щелкните правой кнопкой мыши элемент порты и выберите пункт свойства.In the Routing and Remote Access MMC, right-click Ports, and then select Properties.
Откроется диалоговое окно Свойства портов.The Ports Properties dialog box opens.
Выберите Минипорт WAN (SSTP) и щелкните Configure (настроить).Select WAN Miniport (SSTP) and select Configure. Откроется диалоговое окно Настройка мини-порта устройства WAN (SSTP).The Configure Device — WAN Miniport (SSTP) dialog box opens.
а.a. Снимите флажки подключения удаленного доступа (только входящие) и подключения с маршрутизацией вызовов по требованию (входящие и исходящие) .Clear the Remote access connections (inbound only) and Demand-dial routing connections (inbound and outbound) check boxes.
b.b. Щелкните ОК.Select OK.
Выберите Минипорт WAN (L2TP) и щелкните Configure (настроить).Select WAN Miniport (L2TP) and select Configure. Откроется диалоговое окно Настройка мини-порта устройства WAN (L2TP).The Configure Device — WAN Miniport (L2TP) dialog box opens.
а.a. В поле Максимальное число портоввведите количество портов в соответствии с максимальным количеством одновременных VPN-подключений, которые требуется поддерживать.In Maximum ports, enter the number of ports to match the maximum number of simultaneous VPN connections that you want to support.
b.b. Щелкните ОК.Select OK.
Выберите Минипорт WAN (PPTP) и щелкните Configure (настроить).Select WAN Miniport (PPTP) and select Configure. Откроется диалоговое окно Настройка мини-порта устройства WAN (PPTP).The Configure Device — WAN Miniport (PPTP) dialog box opens.
а.a. В поле Максимальное число портоввведите количество портов в соответствии с максимальным количеством одновременных VPN-подключений, которые требуется поддерживать.In Maximum ports, enter the number of ports to match the maximum number of simultaneous VPN connections that you want to support.
b.b. Щелкните ОК.Select OK.
Выберите Минипорт WAN (IKEv2) и щелкните Configure (настроить).Select WAN Miniport (IKEv2) and select Configure. Откроется диалоговое окно Настройка мини-порта устройства WAN (IKEv2).The Configure Device — WAN Miniport (IKEv2) dialog box opens.
а.a. В поле Максимальное число портоввведите количество портов в соответствии с максимальным количеством одновременных VPN-подключений, которые требуется поддерживать.In Maximum ports, enter the number of ports to match the maximum number of simultaneous VPN connections that you want to support.
b.b. Щелкните ОК.Select OK.
При появлении запроса выберите Да , чтобы подтвердить перезапуск сервера, и нажмите кнопку Закрыть , чтобы перезапустить сервер.If prompted, select Yes to confirm restarting the server and select Close to restart the server.
Шаг 4. Установка и настройка сервера политики сети (NPS). на этом шаге вы устанавливаете сервер политики сети (NPS) с помощью Windows PowerShell или мастера добавления ролей и компонентов Диспетчер сервера.Step 4. Install and configure the Network Policy Server (NPS): In this step, you install Network Policy Server (NPS) by using either Windows PowerShell or the Server Manager Add Roles and Features Wizard. Вы также настраиваете NPS для обработки всех операций проверки подлинности, авторизации и учета для запросов на подключение, получаемых от VPN-сервера.You also configure NPS to handle all authentication, authorization, and accounting duties for connection requests that it receives from the VPN server.
Настройка VPN сервера на Windows 7
В данной статье мы ознакомимся с тем, как можно организовать собственный VPN сервер на Windows 7 без использования стороннего софта
Напомню, что VPN (Virtual Private Network) этотехнология, используемая для доступа к защищенным сетям через общую сеть Internet. VPN позволяет обеспечить защиту информации и данных, передаваемой по общедоступной сети, путем их шифрования. Тем самым злоумышленник не сможет получить доступ к данным, передаваемым внутри VPN сессии, даже если он получить доступ к передаваемым по сети пакетам. Для расшифровки трафика ему необходимо иметь специальный ключ, либо пытаться расшифровать сессию при помощи грубого брутфорса. Кроме того, это дешевое решение для построения сети предприятия по каналам WAN, без необходимости аренды выделенного дорогостоящего канала связи.
Для чего может понадобиться организация VPN сервера на Windows 7? Наиболее распространенный вариант – необходимость организации удаленного доступа к компьютеру с Windows 7 дома или в малом офисе (SOHO) при нахождении, например, в командировке, в гостях, в общем, не на рабочем месте.
Стоит отметить, что VPN сервер на Windows 7 имеет ряд особенностей и ограничений:
- Вы должны четко понимать и принять все потенциальные риски, связанные с VPN подключением
- Одновременно возможно только одно подключение пользователя и организовать одновременный VPN доступ к компьютеру с Win 7 нескольким пользователям сразу, легально нельзя.
- VPN доступ можно предоставить только локальным учетным записям пользователей, и интеграция с Active Directory невозможна
- Для настройки VPN сервера на машине с Win 7 необходимо иметь права администратора
- Если вы подключаетесь к интернет через роутер, вам необходимо иметь к нему доступ, и нужно уметь настраивать правила для организации проброса портов (port forward) для разрешения входящих VPN подключений (собственно процедура настройки может существенно отличаться в зависимости от модели роутера)
Данная пошаговая инструкции поможет вам организовать собственный VPN сервер на Windows 7, не используя сторонние продукты и дорогостоящие корпоративные решения.
Откройте панель Network Connections (Сетевые подключения), набрав «network connection» в поисковой строке стартового меню, выберете пункт “View network connections”.
Затем зажмите кнопку Alt, щелкните по меню File и выберете пункт New Incoming Connection (Новое входящее подключение), в результате чего запустится мастер создания подключений к компьютеру.
В появившемся окне мастера укажите пользователя, которому будет разрешено подключаться к этому компьютеру с Windows 7 посредством VPN.
Затем укажите тип подключения пользователя (через Интернет или через модем), в данном случае выберите “Thought the Internet”.
Затем укажите типы сетевых протоколов, которые будут использоваться для обслуживания входящего VPN подключения. Должен быть выбран как минимум TCP/IPv4.
Нажмите кнопку Properties и укажите IP адрес, который будет присвоен подключающемуся компьютеру (доступный диапазон можно задать вручную, либо указать что ip адрес выдаст DHCP сервер).
После того, как вы нажмете кнопку Allow access , Windows 7 автоматически настроит VPN сервер и появится окно с именем компьютера, которое нужно будет использоваться для подключения.
Вот и все VPN север настроен, и в окне сетевых подключений появится новое подключение с именем Incoming connections.
Есть еще несколько нюансов при организации домашнего VPN сервера на Windows 7.
Настройка межсетевых экранов
Между Вашим компьютером с Windows 7 и сетью Интернет могут находится файерволы, и для того, чтобы они пропускали входящее VPN соединение, Вам придется осуществить их донастройку. Настройка различных устройств весьма специфична и не может быть описана в рамках одной статьи, но главное уяснить правило – необходимо открыть порт VPN PPTP с номером 1723 и настроить форвард (переадресацию) подключений на машину с Windows 7, на которой поднят VPN сервер.
Нужно не забыть проверить параметры встроенного брандмауэра Windows. Откройте панель управления Advanced Settings в Windows Firewall, перейдите в раздел Inbound Rules (Входящие правила) и проверьте что правило “Routing and Remote Access (PPTP-In)” включено. Данное правило разрешает принимать входящие подключения по порту 1723
Проброс портов
Ниже я выложил скриншот, показывающий организацию проброса (форвардинг) порта на моем роутере от NetGear. На рисунке видно, что все внешние подключения на порт 1723 перенаправляются на машину Windows 7 (адрес которой статический).
Настройка VPN подключения
Чтобы подключиться к VPN серверу с Windows 7, на подключающейся машине-клиенте необходимо настроить VPN подключение
Для этого для нового VPN соединения задайте следующие параметры:
- Щелкните правой кнопкой по VPN подключению и выберите Properties.
- На вкладке Security в поле Type of VPN (тип VPN) выберите опцию Point to Point Tunneling Protocol (PPTP) и в разделе Data encryption выберите Maximum strength encryption (disconnect if server declines).
- Нажмите OK , чтобы сохранить настройки
Настройка VPN сервера на Windows Server. Протокол L2TP, PPTP.
Доброго дня. Обратился не так давно ко мне человек. Человек этот не глупый, сам там что-то настраивать умеет, главное пользоваться умеет. Знает что такое RDP, умело им пользуется в своей работе. А работа у него что-то типа директора-смотрящего в небольшой сети магазинов. Присоединяйтесь к нашей группе в ВК! Времонте! Умная мастерская!
Ну вот собственно он и старается за всем углядеть. Непонятно уж как, но штатного у них сисадмина нет, а есть пару поднятых терминальных серверов с крутящейся на них 1С 8.2 УТ. Базы те конечно РИБ, но всеже т.к объем баз и оборот довольно большой, обмен происходит между магазинами в ночное время. Ну и собственно информацию в основной базе он получает с запозданием. Дабы смотреть за всем, ну уж коли есть необходимость, в режиме онлайн, он заходит на кучу серверов по RDP, помнит кучу паролей, путается и в итоге нервничает. Глянув на все это дело, и обратив внимание, что все точки у него подключены к интернету через одного провайдера, я решил просто пробросить VPN-тунель от подчиненных серверов к основному.И на нем уже подключить 1С базы. Дешево и сердито, как посчитал я. Можно конечно базы прям в инет открыть, но сами понимаете.. Или если бы конфигурация поддерживала управляемые формы, можно было бы вообще все вывести через браузер как тут. Но увы. Поэтому после небольшого экскурса притупим к настройке VPN-сервера.
На википедии есть статейка конечно же, что такое VPN, прям вот тут. Ее стоит прочитать, хотя бы раз. Но мы все же начнем.
УСТАНОВКА VPN сервера на windows server
Начать нам следует с установки роли сервера «Службы политики сети и доступа»
Настройка VPN сервера на windows server. Протокол L2TP, PPTP.
Ставим галочку напротив роли
Настройка VPN сервера на windows server. Протокол L2TP, PPTP.
Далее выбираем Службы Роли: Ставим галочки напротив группы Службы маршрутизации и удаленного доступа, и подгрупп Служба удаленного доступа и Маршрутизация.
Настройка VPN сервера на windows server. Протокол L2TP, PPTP.
Ну и собственно после Далее Далее.. остается эту роль только настроить.
Настройка VPN СЕРВЕРА НА WINDOWS SERVER
Также через диспетчер сервера открываем вновь созданную роль и переходим к ее настройке
Настройка VPN сервера на windows server. Протокол L2TP, PPTP.
В мастере настройки выбираем Особая конфигурация.
Настройка VPN сервера на windows server. Протокол L2TP, PPTP.
Далее выбираем службу Доступ к виртуальной сети (VPN)
Настройка VPN сервера на windows server. Протокол L2TP, PPTP.
В итоге это все. Нажав Готово и Запустить службу, закончили с настройкой. Если есть необходимость поместить всех клиентов vpn в выделенный пул сетевых адресов то переходим Диспетчер сервера -> Роли -> Службы политики сети и доступа -> ПКМ по Маршрутизация и удаленный доступ -> Свойства
Настройка VPN сервера на windows server. Протокол L2TP, PPTP.
Переходим на вкладку IPv4 и настраиваем необходимый нам пул адресов. Либо оставляем не тронутым, возлагая сие действо на DHCP-службу, которая уже есть в сети сервера.
Настройка VPN сервера на windows server. Протокол L2TP, PPTP.
Теперь необходимо создать, если не созданы, пользователей, и назначить им права на возможность подключения по VPN. Для этого переходим к списку пользователей Диспетчер сервера -> Конфигурация -> Локальные пользователи и группы -> Пользователи -> ПКМ по выбранному пользователю -> Свойства. На вкладке Входящие звонки в разделе Права доступа к сети выбираем Разрешить доступ. При необходимости можно в этой же вкладке назначить статический адрес этому пользователю.
На этом настройка VPN сервера на Windows server 2008r2 закончена.
Необходимо также, дабы открыть VPN сервер в интернет, пробросить порты на маршрутизаторе либо открыть их в фаерволе. Какие порты пробрасывать зависит от выбранного протокола. Самым распространенным является протокол PPTP для него необходимо пробросить порт 1723 (TCP) + разрешить протокол GRE. А также часто используемый мною протокол L2TP 1701 (TCP)+ 500 (UDP), с которым есть некие проблемы при первоначальной настройке.
Прочитать как можно пробросить порты находясь за маршрутизатором можно тут.
Прочитать как пробросить порты в штатном брандмауре windows server можно тут.
Почитать о настройке клиентского соединения по протоколу PPTP можно тут.
Почитать о настройке клиентского соединения по протоколу L2TP можно тут.
Присоединяйтесь к нашей группе в ВК! Времонте! Умная мастерская!
Поделиться ссылкой:
что это такое, где найти бесплатный, как создать и настроить на Windows
Безопасность и шифрование данных в сети очень важны. Сегодня об этом стоит заботиться не только крупным корпорациям, но и обычным пользователям. Использование VPN-сервера является одним из самых популярных способов обезопасить своё подключение к интернету.
Общая информация о VPN-серверах
Термин VPN расшифровывается как Virtual Private Network. Использование VPN-серверов означает использование виртуальной сети для доступа к внешним интернет-ресурсам. То есть ваше присутствие будет скрыто, а передаваемые данные зашифрованы. Подобное подключение может быть полезно в следующих случаях:
- для организации бизнеса — защита данных через VPN регулярно используется крупнейшими корпорациями. Кроме повышенной безопасности такого метода передачи данных, польза ещё и в удобстве — все компьютеры можно соединить в единую сеть, что упрощает их взаимодействия;
- для ограничения доступам к сайтам — можно настроить, к каким именно сайтам ваше VPN-соединение будет предоставлять доступ. Таким образом можно ограничить, например, посещение социальных сетей с рабочего места;
- для получения доступа к сайтам — если сайт недоступен в регионе, то можно получить к нему доступ при помощи VPN-подключения. Ваше местоположение будет скрыто. Правда, учитывайте, что скорость посещения сайтов будет снижена.
Таким образом, использование VPN-серверов является широко распространённым как в сфере бизнеса, так и для домашнего использования.
Платные и бесплатные VPN-сервисы
Существуют уже готовые решения для VPN-подключения. Вместо создания собственного подключения можно просто использовать специальные сервисы. Они маскируют присутствие в сети, выступая посредником между пользователем и внешним интернетом. Доступ к ним предоставляют самые разные компании. Все их можно разделить на два типа:
- бесплатные VPN-серверы — подключиться к такому серверу можно бесплатно, но при этом его функциональность будет ограничена. Зачастую снижается скорость подключения и уменьшается количество самих серверов. Кроме того, при подключении к бесплатному серверу безопасность соединения низка: скорее всего, организатор этого сервера будет продавать данные о посещённых вами сайтах. На такие данные большой спрос у рекламных кампаний;
- платные VPN-серверы — в платных серверах отсутствуют ограничения по скорости, вы можете сами выбрать регион, через который должно шифроваться подключение. При этом стоит внимательно изучить лицензионное соглашение при использовании такого сервера: чаще всего разработчики гарантируют полную конфиденциальность.
Если вы собираетесь использовать готовые VPN-серверы, стоит рассмотреть плюсы и минусы подобного метода. Основные преимущества таковы:
- широкий выбор — существует множество различных сервисов, которые готовы предоставить свои VPN-серверы. Все они предлагают разные возможности, скорость и доступные для выбора страны;
- доступность — вам не понадобится обладать никакими навыками для запуска своего сервера и его обслуживания. Достаточно нажать пару кнопок для подключения к публичному VPN-сервису.
Минусы тоже имеются:
- отсутствие полной анонимности — вне зависимости от того, используете вы платный или бесплатный VPN-сервис, не стоит ожидать полной анонимности от него. Организатор сервиса будет знать, какие сайты вы посещаете, и сможет продать эту информацию или предоставить её по требованию властей. Поэтому использовать такие сервисы можно лишь для домашних целей, а не корпоративных;
- низкая скорость при бесплатном варианте — даже платные подключения не всегда имеют хорошую стабильность подключения и скорость. В бесплатных же скорости хватит лишь для просмотра сайтов.
Инструкция по подключению к VPN-сервису
Подключиться к уже готовому VPN-серверу нетрудно. Обычно создатели сервисов делают всё, чтобы минимизировать действия со стороны пользователя. Разберёмся на примере подключения к сервису PureVPN:
- Найдите необходимое расширение в списке браузера. Для этого стоит использовать поиск в левой части экрана. Нажмите клавишу «Установить».
Выберите необходимое расширение и нажмите на кнопку «Установить»
- Подтвердите установку расширения.
Нажмите кнопку «Установить расширение» в уведомлении браузера
- Зарегистрируйтесь для работы расширения. Нажмите на кнопку SIGN UP FOR FREE для начала процедуры бесплатной регистрации.
Нажмите SIGN UP FOR FREE для начала регистрации
- Введите свою электронную почту, изучите пользовательское соглашение и заявление о политике конфиденциальности. Поставьте галочку, подтверждающую, что вы ознакомились с данной информацией, и нажмите кнопку SIGN UP FOR FREE.
Введите данные и продолжите регистрацию
- Откройте электронную почту, которую вы указали при регистрации. На неё должен прийти код подтверждения. Скопируйте его.
Вам на почту придёт код подтверждения регистрации
- Вставьте код подтверждения в соответствующее окно и нажмите SUBMIT.
Введите код и подтвердите ввод
- Останется лишь нажать CONNECT для установки VPN-соединения. При желании можно выбрать сервер нужной вам страны.
Нажмите клавишу CONNECT для подключения к сервису
Подключения к другим VPN-сервисам будет происходить аналогично, а иногда даже проще. Например, не каждый сервис потребует от вас предварительной регистрации для использования.
Создание собственного VPN-сервера
Альтернативой использования готовых VPN-серверов является создание собственного. Оно имеет ряд преимуществ:
- дешевизна — даже если придётся арендовать сервер, это обойдётся значительно дешевле, чем использование любого платного VPN. Сравнивать с бесплатными VPN не имеет смысла из-за их многочисленных недостатков;
- конфиденциальность — если вы сами создадите сервер, то не стоит волноваться, что кто-то использует данные против вас. Это значительно повышает уровень анонимности при использовании сети;
- более гибкие настройки — на своём сервере вы можете менять IP-адрес и прочие настройки самостоятельно без каких-либо ограничений.
К недостаткам можно отнести лишь сложность настройки такого сервера, т. к. для его создания понадобятся некоторые технические навыки. Однако в Windows 10 процедура запуска VPN-сервера была существенно упрощена по сравнению с предыдущими версиями операционной системы.
Создание VPN-сервера на базе Windows Server R2
Разберёмся, как создать собственный сервер. Перед началом вам понадобится установить Windows Server R2. Вы можете загрузить пробную версию с официального сайта Microsoft. Мы будем рассматривать лишь самый простой вариант создания сервера без сложных настроек:
- Запустите «Диспетчер серверов» по кнопке внизу экрана и нажмите на строку «Добавить роли и компоненты».
Выберите строку «Добавить роли и компоненты» в окне «Диспетчера серверов»
- Не меняйте заданные значения до раздела «Роли сервера». Там включите пункт «Удалённый доступ». Появится уведомление, где требуется нажать «Добавить компоненты» и «Далее».
Включите «Удалённый доступ» и нажмите «Далее»
- Убедитесь, что в разделе «Службы ролей» стоит галочка напротив пункта DirectAccess и VPN. Установите её, если она отсутствует.
Установите галочку на службу DirectAccess и VPN и нажмите «Далее»
- В разделе «Подтверждение» требуется установить галочку для автоматического перезапуска сервера. Подтвердите установку сервера кнопкой «Установить».
Установите галочку «Автоматический перезапуск конечного сервера, если требуется» и нажмите «Установить»
- Начнётся процесс установки. Дождитесь его окончания, а затем выберите пункт «Запуск мастера начальной настройки».
После завершения установки нажмите на строку «Запуск мастера начальной настройки»
- В открывшемся окне выберите строку «Развернуть только VPN». Это напрямую соответствует нашим целям, так что выбираем его.
В настройке удалённого доступа выберите пункт «Развернуть только VPN»
Можно считать, что мы создали сервер. Теперь стоит правильным образом настроить его перед запуском:
- В разделе «Действие» верхней строки выберите пункт «Добавить сервер».
Выберите пункт «Добавить сервер» в разделе «Действие»
- В контекстном меню локального сервера, который вы создали, выберите пункт «Настроить и включить маршрутизацию и удалённый доступ».
В контекстном меню сервера выберите пункт «Настроить и включить маршрутизацию и удалённый доступ»
- После запуска программы установки укажите «Особая конфигурация» и подтвердите ввод.
Выберите пункт «Особая конфигурация» и нажмите «Далее»
- В следующем окне выберите раздел «Доступ к виртуальной сети (VPN)». Галочка должна стоять только на нём.
Установите галочку рядом с пунктом «Доступ к виртуальной частной сети» и нажмите «Далее»
- Согласитесь с запуском службы.
Если у вас наблюдаются проблемы с настройками брандмауэра, требуется открыть 50, 500, 1701. Они используются при создании VPN-подключения и должны быть открыты для его стабильной работы.
Так мы создали VPN-подключение на собственном сервере. Но перед тем как переходить к его использованию, стоит задать IP-адреса, которые будут иметь защищённый доступ к этому компьютеру. Делается это следующим образом:
- Откройте контекстное меню вашего сервера, но в этот раз перейдите в его свойства.
Перейдите в свойства вашего сервера
- В разделе iPv4 выберите пункт «статический пул адресов» и нажмите на кнопку «Добавить».
Выберите статический пул адресов и нажмите «Добавить»
- Вбейте требуемые адреса для будущего подключения. Они должны соответствовать адресам компьютеров в вашей сети.
Укажите диапазон адресов и нажмите «ОК»
- Сохраните введённые данные.
Запуск VPN-сервера
Когда мы создали VPN-сервер, остаётся лишь запустить его:
- Перейдите в настройки системы и выберите раздел «Сеть и Интернет».
- В левой части экрана выберите вкладку VPN и нажмите на плюс.
В разделе VPN выберите «Добавление VPN-подключения»
- Заполните форму подключения:
- в первой строке оставьте значение по умолчанию;
- во второй строке установите имя вашего подключения. Оно может быть любым;
- укажите адрес вашего сервера. Лучше, если адрес будет статическим;
- введите тип VPN-подключения;
- укажите PPTP;
- подтвердите ввод данных и нажмите «Сохранить».
Введите параметры вашего подключения и нажмите «Сохранить»
Сервер практически готов к запуску, но перед этим требуется выполнить ещё несколько настроек, чтобы к нему могли подключиться другие пользователи:
- Через поиск откройте «Центр управления сетями и общим доступом». Перейдите в раздел «Изменение параметров адаптера», что находится в левой части экрана.
Перейдите в раздел «Изменение параметров адаптера» для дальнейших настроек
- В этом окне вы увидите все доступные подключения, в том числе и созданное вами. Нажмите правой кнопкой по нему и выберите раздел «Свойства».
Перейдите в свойства подключения через «Центр управления сетями и общим доступом»
- Во вкладке «Сеть» выберите компонент IPv4 и нажмите кнопку «Свойства».
Перейдите в свойства IPv4
- Не трогайте настройки IP, сразу нажмите кнопку «Дополнительно…».
Нажмите на кнопку «Дополнительно» для получения дополнительных настроек
- Уберите галочку напротив строки «Использовать основной шлюз в удалённой сети» и подтвердите изменения.
Снимите галочку с пункта «Использовать основной шлюз в удалённой сети» и нажмите «ОК»
- Теперь вы можете выполнить подключение к созданному VPN-серверу.
Выберите созданный вами VPN и нажмите «Подключиться»
Видео: процесс создания VPN-сервера
Подключение к VPN-серверу является доступным и действенным методом обезопасить своё подключение к сети. Используют его и для других целей. Теперь вы знаете, как запустить собственный VPN-сервер или подключиться к уже готовому.
Настройка VPN-сервера в Windows Server — IT Blog
На тесте приведу пример настройки VPN-сервера в Windows Server 2008 R2.
Первым делом установим роль:
1) Открываем диспетчер сервера и нажимаем на ссылку «Добавить роль«.
2) Выбираем роль «Службы политики сети и доступа» и нажимаем «Далее«.
3) Выбираем «удаленного доступа» и нажимаем «Далее«.
4) Нажимаем «Установить» и по завершению установки кнопку «Закрыть«.
Теперь перейдем к настройке:
1) Открываем диспетчер сервера, раскрываем ветку «Роли«, выбираем роль «Службы политики сети и доступа«, правой кнопкой мыши жмем по «Маршрутизация и удаленный доступ«, выбираем «Настроить и включить маршрутизацию и удаленный доступ«.
2) В первом окошке жмем «Далее«, в следующем выберем «Особая конфигурация«, жмем кнопку «Далее«, отметим галочками три пункта: «Доступ к виртуальной частной сети (VPN)«, «Преобразование сетевых адресов (NAT)» и «Маршрутизация локальной сети«, жмем «Далее» и «Готово«.
В появившемся окне нажмем «Запустить службу«.
3) Добавим пул адресов для клиентов, открыв «Диспетчер сервера» — «Роли» — «Службы политики сети и доступа«, правой кнопкой мыши жмем по «Маршрутизация и удаленный доступ» и выбираем «Свойства«.
Во вкладке «IPv4» выберем «Статический пул адресов» и добавим любой диапазон после нажатия кнопки «Добавить«.
Чтобы можно было подключится к VPN серверу например с iPhone (по L2TP), во вкладке «Безопасность» поставим галочку на «Разрешить особые IPSec-политики для L2TP подключения» и укажем ключ.
4) Теперь настроим разрешения для пользователей. Переходим в «Диспетчер сервера — Конфигурация — Локальные пользователи и группы — Пользователи«:
Открываем «Свойства» нужного пользователя и во закладке «Входящие звонки«, где «Права доступа к сети» выбираем «Разрешить доступ«.
5) Добавим NAT правила, нужные маршруты и перезапустим службу, нажав правой кнопкой мыши по «Маршрутизация и удаленный доступ» — «Все задачи» — «Перезапуск«.
Для работы VPN используются и должны быть открыты порты:
TCP 1723 (для PPTP)
TCP 1701 и UDP 500 (для L2TP)
TCP 443 (для SSTP)
Готово.
Логи подключений можно увидеть в директории C:\Windows\System32\LogFiles
Настройка VPN сервера Windows 2003
2. Выставите параметр «локальной сети и вызова по требованию», а также «сервер удаленного доступа» см.рис.
3. Зайдите во вкладку «IP», выберите название внутреннего адаптера и создайте статический пул адресов отличного от внутреннего который будет присваиваться VPN клиентам.
Кнопка «Добавить»см.рис.
4. Далее во вкладке «PPP» снимите галку с «Многоканальные подключения»-это ускорит работу Интернета.
5. Во вкладке «Журнал событий» выставите параметр «вести журнал всех событий»
II. Конфигурация портов
1.Зайдите в свойства «Порты». По умолчанию RRAS создаст 5 «PPTP» , 5 «L2TP» и 1 «Прямой параллельный». Для стабильной работы сервера рекомендуется удалить ненужные порты (прямой параллельный, L2TP, и.т.д.) и создать необходимое количество портов, их должно быть больше чем одновременных подключений.
2. Удаляем порты WAN(L2TP)
3. Выставите необходимое число PPTP портов (число портов должно быть больше чем планируемых одновременных подключений), см.рис
4. В итоге у Вас появится следующие окно см.рис
III. Конфигурируем NAT.
1. Зайдите в «IP-маршрутизация» / «NAT-преобразование сетевых адресов».Если Вы собираетесь предоставлять доступ только по VPN соединению тогда удалите внутренний интерфейс, если нет тогда оставьте.
2. Далее вам надо добавить RAS интерфейс для этого в командной строке наберите «netsh routing ip nat add interface Внутренний (в английской версии windows » internal«) private» см.рис. Кроме того очень полезно запретить привязку NetBios к интерфейсу Внутренний (internal),если он активен (см. выше). Это важно,если используется RAS-сервер для подключения диалапных клиентов (модемы или VPN) и поможет избавится от некоторых проблем при работе сервера в сети Windows. Если NetBios разрешен на этом интерфейсе, то сервер будет регистрировать свои NetBios-имена с IP-адресами всех интерфейсов, на которые есть привязка этой службы.Появление IP- адреса интерфейса Внутренний (internal) в этих регистрациях может привести к проблемам.
Для этого редактором реестра в разделе HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRemoteAccessParametersIp добавляем параметр DisableNetbiosOverTcpip типа DWORD и значением 1. Службу надо перезапустить.
3. Автоматически появится RAS интерфейс см.рис, зайдите
IV. Создание клиентов.
1. Зайдите в «Управление компьютером»,далее в «Локальные пользователи и группы», «Пользователи»
2. Создайте пользователя,далее зайдите во вкладку «Входящие звонки».
3. Разрешите ему доступ в пункте «Разрешение на удаленный доступ (VPN или модем)»,этот пользователь будет тестовым, для других желательно указать их IP адрес в пункте «Статический IP-адрес пользователя»
V. Настройка VPN соединения.
1. В группе «Политика удаленного доступа»зайдите в свойства «Разрешить доступ,если разрешены входящие подключения»
2. Нажмите на кнопку «Изменить профиль…»
3. Зайдите во вкладку «Проверка подлинности»
4. Оставьте два параметра проверки подлинности MS-CHAP для ОС Windows и CHAP для других ОС см.рис.
5. Далее зайдите на вкладку «Шифрование»,выберите параметры шифрования. Все произведенные настройки должны быть идентичны, при настройке VPN соединения у клиентов.
Перезапустите сервер.
Настройка сервера удаленного доступа для Always On VPN
- 8 минут на чтение
В этой статье
Применимо к: Windows Server (полугодовой канал), Windows Server 2016, Windows Server 2012 R2, Windows 10
RRAS разработан как маршрутизатор и как сервер удаленного доступа, поскольку поддерживает широкий спектр функций.Для целей этого развертывания вам потребуется лишь небольшая часть этих функций: поддержка соединений IKEv2 VPN и маршрутизации LAN.
IKEv2 — это протокол туннелирования VPN, описанный в запросе комментариев 7296 Инженерной группы Интернета. Основное преимущество IKEv2 состоит в том, что он допускает прерывания в основном сетевом соединении. Например, если соединение временно потеряно или если пользователь перемещает клиентский компьютер из одной сети в другую, IKEv2 автоматически восстанавливает VPN-соединение, когда сетевое соединение восстанавливается — и все это без вмешательства пользователя.
Настройте сервер RRAS для поддержки подключений IKEv2 при отключении неиспользуемых протоколов, что снижает уровень безопасности сервера. Кроме того, настройте сервер для назначения адресов VPN-клиентам из пула статических адресов. Вы можете назначить адреса из пула или DHCP-сервера; однако использование DHCP-сервера усложняет конструкцию и дает минимальные преимущества.
Важно
Важно:
Установите два сетевых адаптера Ethernet на физический сервер.Если вы устанавливаете VPN-сервер на виртуальную машину, вы должны создать два внешних виртуальных коммутатора, по одному для каждого физического сетевого адаптера; а затем создайте два виртуальных сетевых адаптера для виртуальной машины, каждый из которых будет подключен к одному виртуальному коммутатору.
Установите сервер в сети периметра между пограничным и внутренним брандмауэрами, с одним сетевым адаптером, подключенным к внешней сети периметра, и одним сетевым адаптером, подключенным к внутренней сети периметра.
Предупреждение
Прежде чем начать, обязательно включите IPv6 на VPN-сервере. В противном случае соединение не может быть установлено и отображается сообщение об ошибке.
Установите удаленный доступ в качестве VPN-сервера шлюза RAS
В этой процедуре вы устанавливаете роль удаленного доступа как VPN-сервер шлюза RAS с одним клиентом. Для получения дополнительной информации см. Удаленный доступ.
Установите роль удаленного доступа с помощью Windows PowerShell
Откройте Windows PowerShell от имени администратора .
Введите и запустите следующий командлет:
Install-WindowsFeature DirectAccess-VPN -IncludeManagementTools
После завершения установки в Windows PowerShell появится следующее сообщение.
| Успех | Необходим перезапуск | Код выхода | Результат функции | | --------- | ---------------- | ----------- | ---------- ---------------------------------- | | Правда | Нет | Успех | {Комплект администрирования диспетчера подключений RAS |
Установите роль удаленного доступа с помощью диспетчера сервера
Для установки роли удаленного доступа с помощью диспетчера сервера можно использовать следующую процедуру.
На сервере VPN в диспетчере серверов выберите Управление и выберите Добавить роли и компоненты .
Откроется мастер добавления ролей и компонентов.
На странице «Прежде чем начать» выберите Далее .
На странице Выбор типа установки выберите Ролевую или функциональную установку и выберите Далее .
На странице Выбор целевого сервера выберите Выбрать сервер из пула серверов .
В разделе «Пул серверов» выберите локальный компьютер и нажмите Далее .
На странице Выбор ролей сервера в разделе Роли выберите Удаленный доступ , затем Далее .
На странице выбора функций выберите Далее .
На странице удаленного доступа выберите Далее .
На странице выбора службы роли в Службы ролей выберите DirectAccess и VPN (RAS) .
Откроется диалоговое окно Мастер добавления ролей и компонентов .
В диалоговом окне «Добавить роли и компоненты» выберите Добавить компоненты , затем выберите Далее .
На странице роли веб-сервера (IIS) выберите Далее .
На странице Выбор служб ролей выберите Далее .
На странице Подтверждение выбора установки просмотрите выбранные варианты и выберите Установить .
Когда установка будет завершена, выберите Закрыть .
Настройка удаленного доступа в качестве сервера VPN
В этом разделе вы можете настроить VPN для удаленного доступа, чтобы разрешить VPN-подключения IKEv2, запретить подключения из других протоколов VPN и назначить пул статических IP-адресов для выдачи IP-адресов для подключения авторизованных VPN-клиентов.
На VPN-сервере в диспетчере серверов установите флажок Уведомления .
В меню Задачи выберите Открыть мастер начала работы
Откроется мастер настройки удаленного доступа.
Примечание
Мастер настройки удаленного доступа может открываться за диспетчером сервера. Если вы считаете, что мастер открывается слишком долго, переместите или сверните Диспетчер серверов, чтобы узнать, не стоит ли за ним мастер. Если нет, дождитесь инициализации мастера.
Выберите Развернуть только VPN .
Откроется консоль управления Microsoft (MMC) маршрутизации и удаленного доступа.
Щелкните правой кнопкой мыши VPN-сервер, затем выберите Настроить и включить маршрутизацию и удаленный доступ .
Откроется мастер настройки сервера маршрутизации и удаленного доступа.
В окне приветствия мастера настройки сервера маршрутизации и удаленного доступа выберите Далее .
В Configuration выберите Custom Configuration , а затем выберите Next .
В пользовательской конфигурации выберите Доступ к VPN , а затем выберите Далее .
Откроется мастер завершения настройки сервера маршрутизации и удаленного доступа.
Выберите Завершить , чтобы закрыть мастер, затем выберите ОК , чтобы закрыть диалоговое окно «Маршрутизация и удаленный доступ».
Выберите Запустить службу , чтобы запустить удаленный доступ.
В MMC удаленного доступа щелкните правой кнопкой мыши VPN-сервер, затем выберите Свойства .
В свойствах выберите вкладку Security и выполните:
а. Выберите Поставщик проверки подлинности и выберите Проверка подлинности RADIUS .
г. Выберите Настроить .
Откроется диалоговое окно «Проверка подлинности RADIUS».
г. Выберите Добавить .
Откроется диалоговое окно «Добавить сервер RADIUS».
г. В поле Имя сервера введите полное доменное имя (FQDN) сервера политики сети в вашей организации / корпоративной сети.
Например, если NetBIOS-имя вашего NPS-сервера — NPS1, а ваше доменное имя — corp.contoso.com, введите NPS1.corp.contoso.com .
e. В Общий секрет выберите Изменить .
Откроется диалоговое окно «Изменить секрет».
ф. В Новый секрет введите текстовую строку.
г. В Подтвердите новый секрет , введите ту же текстовую строку, затем выберите ОК .
Важно
Сохраните эту текстовую строку.Когда вы настраиваете NPS-сервер в своей организации / корпоративной сети, вы добавляете этот VPN-сервер в качестве клиента RADIUS. Во время этой конфигурации вы будете использовать тот же общий секрет, чтобы серверы политики сети и VPN могли обмениваться данными.
В Добавьте сервер RADIUS , проверьте настройки по умолчанию для:
Тайм-аут
Начальный балл
Порт
При необходимости измените значения в соответствии с требованиями для вашей среды и выберите OK .
NAS — это устройство, которое обеспечивает определенный уровень доступа к более крупной сети. NAS, использующий инфраструктуру RADIUS, также является клиентом RADIUS, отправляя запросы на соединение и сообщения учета на сервер RADIUS для аутентификации, авторизации и учета.
Проверьте настройку Поставщик бухгалтерского учета :
Если вам нужен … Тогда… Активность удаленного доступа, зарегистрированная на сервере удаленного доступа Убедитесь, что выбран Windows Accounting . НПС для оказания бухгалтерских услуг для VPN Измените поставщика учетных данных на RADIUS Accounting , а затем настройте NPS в качестве поставщика учета. Выберите вкладку IPv4 и выполните:
а. Выберите Пул статических адресов .
г. Выберите Добавить , чтобы настроить пул IP-адресов.
Пул статических адресов должен содержать адреса из внутренней сети периметра.Эти адреса находятся во внутреннем сетевом соединении на сервере VPN, а не в корпоративной сети.
г. В поле Начальный IP-адрес введите начальный IP-адрес из диапазона, который вы хотите назначить VPN-клиентам.
г. В поле Конечный IP-адрес введите конечный IP-адрес из диапазона, который вы хотите назначить для VPN-клиентов, или в поле Число адресов введите номер адреса, который вы хотите сделать доступным. Если вы используете DHCP для этой подсети, убедитесь, что вы настроили соответствующее исключение адресов на своих DHCP-серверах.
e. (Необязательно) Если вы используете DHCP, выберите Адаптер и в списке результатов выберите адаптер Ethernet, подключенный к внутренней сети периметра.
(Необязательно) Если вы настраиваете условный доступ для подключения к VPN , в раскрывающемся списке Сертификат в разделе Привязка сертификата SSL выберите аутентификацию сервера VPN.
(необязательно) Если вы настраиваете условный доступ для подключения к VPN , в NPS MMC разверните Политики \ Сетевые политики и выполните:
а.Справа — сетевая политика Connections to Microsoft Routing and Remote Access Server и выберите Properties .
г. Выберите доступ Grant. Предоставьте доступ, если запрос на подключение соответствует этому параметру политики .
г. В разделе Тип сервера доступа к сети выберите Сервер удаленного доступа (VPN-Dial up) из раскрывающегося списка.
В MMC маршрутизации и удаленного доступа щелкните правой кнопкой мыши Порты , и выберите Свойства .
Откроется диалоговое окно «Свойства портов».
Выберите Минипорт WAN (SSTP) и выберите Настроить . Откроется диалоговое окно «Настройка устройства — минипорт WAN (SSTP)».
а. Снимите флажки Подключения удаленного доступа (только входящие), и Маршрутизирующие подключения по требованию (входящие и исходящие), .
г. Выберите ОК .
Выберите Минипорт WAN (L2TP) и выберите Настроить .Откроется диалоговое окно «Настройка устройства — минипорт WAN (L2TP)».
а. В поле Максимальное количество портов введите количество портов, соответствующее максимальному количеству одновременных VPN-подключений, которые вы хотите поддерживать.
г. Выберите ОК .
Выберите Минипорт WAN (PPTP) и выберите Настроить . Откроется диалоговое окно «Настройка устройства — минипорт WAN (PPTP)».
а. В поле Максимальное количество портов введите количество портов, соответствующее максимальному количеству одновременных VPN-подключений, которые вы хотите поддерживать.
г. Выберите ОК .
Выберите Минипорт WAN (IKEv2) и выберите Настроить . Откроется диалоговое окно «Настройка устройства — минипорт WAN (IKEv2)».
а. В поле Максимальное количество портов введите количество портов, соответствующее максимальному количеству одновременных VPN-подключений, которые вы хотите поддерживать.
г. Выберите ОК .
При появлении запроса выберите Да , чтобы подтвердить перезапуск сервера, и выберите Закрыть , чтобы перезапустить сервер.
Следующий шаг
Шаг 4. Установите и настройте сервер сетевой политики (NPS). На этом шаге вы устанавливаете сервер сетевой политики (NPS) с помощью Windows PowerShell или мастера добавления ролей и компонентов диспетчера сервера. Вы также настраиваете NPS для обработки всех функций проверки подлинности, авторизации и учета для запросов на подключение, которые он получает от VPN-сервера.
.
Пошаговое руководство: Настройка VPN под Windows Server 2012 с NPS
Привет, это Ларс. ИТ-инженер. Сертифицированный (и увлеченный) веб-мастер. Также увлеченный пользователь Windows, Apple и Office. Я пишу на самые разные темы об ИТ. Живу в Швейцарии. Вы можете узнать обо мне больше здесь: Обо мне. Спасибо за визит!
Из этого руководства вы узнаете, как настроить VPN под Windows Server 2012 R2. Сначала мы настроим его на устаревшие протоколы, чтобы получить общее представление.Затем мы настраиваем центр сертификации для создания самоподписанного сертификата для защиты VPN-соединения (SSTP).
Учебник предназначен для учебных целей в вашей лаборатории. В производственной среде вам придется кое-что изменить. Обычно вам нужно купить официальный сертификат.
Для его настройки было бы хорошо, если бы у вас был сервер за брандмауэром с фиксированным IP и DNS-именем, и вы могли бы подключиться к нему из внешнего источника. В целях тестирования вы можете предоставить своему серверу два сетевых адаптера и объявить один как внешний и подключиться от клиента во внешнем IP-диапазоне к вашему VPN-серверу через внешний IP-адрес.Если вы работаете с сертификатами, вы должны назначить имя хоста внешнему IP.
Базовая установка и настройка VPN
Я предполагаю, что вы хорошо знакомы с добавлением ролей и функций через Server Manager в Windows Server 2012, поэтому я не буду описывать эти шаги во всех деталях.
- Добавьте роль «Удаленный доступ»
- Добавьте службы ролей «Прямой доступ и VPN (RAS)»
После того, как все будет установлено, щелкните
- «Удаленный доступ»
- «Подробнее…»
- «Откройте мастер начала работы»
Обычно он запускается в фоновом режиме, поэтому сверните все остальные программы.
- Нажмите «Развернуть только VPN»
- «Маршрутизация удаленного доступа» запускается
- Щелкните прямо на имени сервера
- Выберите «Настроить и включить маршрутизацию и удаленный доступ»
- Нажмите «Далее»
- «Маршрутизация удаленного доступа» начинается.
- Нажмите «Пользовательская конфигурация»
- Нажмите «Далее»
- Нажмите «Доступ к VPN»
- Нажмите «Далее»
- Нажмите «Готово»
- После завершения базовой настройки появится окно.
- Нажмите «Начать службу»
Базовая установка и настройка NPS в Windows Server 2012
- Добавьте роль «Службы сетевой политики и доступа»
- Добавьте службы ролей «Сервер политики сети»
- Запустите сервер сетевой политики i. е. через «Диспетчер серверов» — «Инструменты» — «Сервер сетевой политики»
- Перейдите в «Политики» — «Сетевые политики»
- Щелкните правой кнопкой мыши Политики
- Нажмите «Создать»
- Дайте политике имя и выберите «Сервер удаленного доступа (VPN-Dial up)» в качестве «Типа сервера доступа к сети».
- Нажмите «Далее»
- Нажмите «Добавить»
- Нажмите «Группа пользователей»
- Добавить активный каталог Группа пользователей, которой вы хотите предоставить доступ к своей VPN.Для этого необходимо, чтобы вы уже бросили вызов группе.
Здесь вы можете определить еще несколько вещей. Это хорошая идея, пролистать его, чтобы получить лучшее представление о нем.
- Группы: группы Windows, группы компьютеров и группы пользователей
- Группы протокола аутентификации учетных данных хоста (HCAP) — HCAP используется для связи между сервером политики сети и сторонними серверами доступа к сети.
- Дневные и временные ограничения
- Защита доступа к сети (NAP) — здесь вы можете определить несколько условий, касающихся NAP, т.е.е. прошел ли компьютер проверку работоспособности.
- Свойства соединения — Здесь вы можете определить такие вещи, как IP-адрес, Тип службы, Тип туннеля.
- Свойства клиента Radius — Здесь вы можете определить параметры, относящиеся к RADIUS.
- Шлюз — Здесь вы можете определить вещи, касающиеся вашего сервера доступа к сети.
Чтобы продолжить специальную конфигурацию, сделайте следующее:
- Нажмите «Далее»
- Выберите «Доступ разрешен»
- Нажмите «Далее»
- На данный момент вы можете оставить здесь конфигурацию по умолчанию.
- Нажмите «Далее»
- Рекомендуется определить тайм-аут простоя для ваших пользователей, чтобы соединения не оставались открытыми, когда они не используются.
- Нажмите «Далее»
- Вы можете оставить значение по умолчанию конфигурация здесь на данный момент.
- Нажмите «Готово».
- Политика NPS создана.
Настройка VPN-соединения на клиенте
- Откройте «Центр управления сетями и общим доступом»
- Выберите «Настроить новое подключение или сеть»
- Выберите «Подключиться к рабочему месту»
- Нажмите «Далее»
- Выберите «Использовать мое Интернет-соединение (VPN)».
- Введите в «Интернет-адрес» адрес, по которому доступен ваш VPN-сервер.Обычно вы помещаете его за брандмауэр и определяете NAT для внешнего адреса.
- Введите в поле «Destination name» Имя для VPN-соединения. Очень полезно, если вы подключаетесь к более чем одному VPN-серверу.
- Щелкните «Создать».
В настоящее время мы все еще находимся на очень начальной стадии. В настоящее время мы настроили только VPN для PPTP, что устарело, небезопасно и должно использоваться только в LAB-Environment. Вам нужно «сказать» вашему клиенту, что он должен использовать этот протокол.
- Зайдите в «Сеть и Интернет».
- Перейдите в «Сетевые подключения». Вы найдете его в разделе «Изменить настройки адаптера».
- Щелкните правой кнопкой мыши на своем VPN-соединении.
- Щелкните «Свойства».
- Перейдите во вкладку «Безопасность».
- Включите «Протокол Microsoft Chap».
- Чтобы подключиться к своему VPN-сайту, перейдите в настройки сети и нажмите «Подключиться».
Добавьте центр сертификации и шаблон для выдачи сертификатов под Windows Server 2012 R2
Добавление центра сертификации — это первый шаг для делая соединение более безопасным.
- Добавьте роль «Службы сертификации Active Directory»
- Добавьте службы ролей «Центр сертификации» и «Регистрация в центре сертификации через Интернет»
- Перейдите в «AD CS»
- Нажмите «Подробнее…» на желтая полоса «Конфигурация, необходимая для служб сертификации Active Directory».
- Щелкните ссылку «Настроить сертификаты Active Directory».
- Выберите «Центр сертификации» и «Регистрация в центре сертификации через Интернет» в качестве «Выберите службы Tole для настройки».
- Щелкните «Далее».
- Убедитесь, что «Enterprise CA» включен.
- Щелкните «Далее».
- Убедитесь, что «Корневой ЦС» включен.
- Щелкните «Далее».
- Нам нужен новый закрытый ключ, поэтому включите соответствующую опцию.
- Щелкните «Далее».
- Оставьте настройки в следующих настройках по умолчанию
- Нажмите «Далее».
- Предопределенные значения для «CA Name» должны нормально работать.
- Щелкните «Далее».
- В следующем окне вы можете изменить срок действия сертификатов. 5 лет по умолчанию может быть немного большим.
- Щелкните «Далее».
- Предопределенные значения для «местоположений базы данных» должны нормально работать. Если хотите, можете это изменить.
- Щелкните «Далее».
- Прочтите «Подтверждение» и, если все в порядке, нажмите «Настроить».
- Вы должны получить такой результат.
- Перейти к диспетчеру сервера
- Инструменты
- Центр сертификации
- Разверните CA
- Нажмите «Шаблоны сертификатов»
- Нажмите справа справа и нажмите «Управление»
- Найдите IPSec
- Нажмите прямо на нем
- Выберите «Дублировать шаблон»
- Перешел на вкладку «Общие»
- Измените имя i. е. в «SSTP»
- Нажмите «Применить»
- Перешел на вкладку «Обработка запросов»
- Нажмите «Разрешить экспорт закрытого ключа»
- Нажмите «Применить»
- Перешел в «Тема» Имя »вкладка
- Нажмите« Поставка в запросе »
- Нажмите« ОК »в предупреждении« Текущие настройки для этого… »
- Нажмите« Применить »
- Перешел на вкладку« Расширения »
- Нажмите на «Редактировать»
- Нажмите «Добавить»
- Найдите «Аутентификация сервера»
- Нажмите «ОК» три раза, чтобы закрыть поля.
- В Центре сертификации перейдите к
- Шаблоны сертификатов
- Новый
- Шаблон сертификата для выпуска
- Выберите созданный шаблон
Выдача сертификата для SSTP VPN
- Откройте mmc (просто набрав в «mmc» на начальном экране или клавише Windows и R)
- Перейдите в «Файл»
- «Добавить / удалить оснастку»
- Найдите «Сертификаты»
- Нажмите «Добавить»
- Оставьте опция «Учетная запись компьютера»
- Нажмите «Готово»
- Нажмите «ОК»
- Разверните «Личные»
- Щелкните правой кнопкой мыши «Сертификаты»
- Нажмите «Все задачи» — «Запросить новый сертификат»
- Щелкните «Для подачи заявки на этот сертификат требуется дополнительная информация» под именем созданного вами шаблона.
- Измените «Тип» на «Общее имя» и введите имя, под которым ваш сервер доступен из exern в разделе «Значение».
- Нажмите «Добавить»
- Нажмите «ОК»
- Активируйте проверку- Коробка у вашего сертификата
- Нажмите «Enroll»
- В диспетчере серверов перейдите в «Инструменты»
- Маршрутизация и удаленный доступ
- Щелкните правой кнопкой мыши имя сервера
- Выберите Свойства
- Перейдите в « Вкладка «Безопасность»
- Выберите свой сертификат в разделе «Привязка сертификата SSL»
- Нажмите «ОК»
- Появится сообщение о том, что маршрутизатор необходимо перезагрузить.
- Нажмите «Да».
Настройка VPN-соединения на клиенте через SSTP
В целях тестирования вам необходимо импортировать сертификат SSL и цепочку сертификатов на каждом клиенте в магазин компьютера. Вы можете скачать его с http: // myvpnserver / certsrv. Измените «myvpnserver» на имя вашего VPN-сервера. Регистрация сертификата через Active Directory взорвала бы это руководство.
Вы должны установить
NoCertRevocationCheck
в
HKEY_LOCAL_MACHINE \ System \ CurrentControl \ SetServices \ Sstpsvc \ Parameters
на 1.
Это связано с тем, что ваш личный список отзыва недоступен из внешнего источника без дополнительной настройки. Этот ключ следует устанавливать только в среде LAB.
Теперь у вас должна быть возможность подключиться к вашему VPN-серверу с помощью SSTP.
.
Настройка открытого VPN-сервера в Windows Server 2008/2012
Это пошаговое руководство по настройке сервера Open VPN в операционных системах Windows Server 2008/2012 и подключению клиентов к созданной виртуальной частной сети.
Open VPN — это открытая реализация технологии VPN — Virtual Private Network, которая предназначена для создания виртуальных частных сетей между группами географически удаленных узлов поверх открытого канала передачи данных (Интернет).Open VPN подходит для таких задач, как безопасное удаленное сетевое подключение к серверу без открытия доступа к нему в Интернете, как если бы вы подключались к узлу в своей локальной сети. Безопасность подключения достигается за счет шифрования Open SSL.
Как это устроено?
Когда настройка Open VPN завершена, сервер сможет принимать внешние защищенные SSL сетевые подключения к виртуальному сетевому адаптеру, созданному при запуске службы VPN (tun / tap), не влияя на правила обработки трафика других интерфейсов (внешних Интернет-адаптер и др.). Вы можете настроить общий доступ клиентов к Open VPN для определенного сетевого адаптера из тех, что присутствуют на сервере. Во второй части инструкции рассматривается такое туннелирование интернет-трафика пользователей. При таком способе пересылки хост, который обрабатывает VPN-соединения, также будет выполнять функцию прокси-сервера (Proxy) — для унификации правил сетевой активности пользователей и маршрутизации клиентского интернет-трафика от своего имени.
Установка Open VPN на сервер
Загрузите и установите версию Open VPN, соответствующую вашей операционной системе.Запустите установщик ; убедитесь, что все компоненты выбраны для установки на третьем шаге мастера установки.
Обратите внимание, что в этой инструкции дальнейшие команды основаны на том факте, что Open VPN установлен в каталоге по умолчанию «C: \ Program Files \ OpenVPN».
Разрешаем добавить виртуальный сетевой адаптер TAP в ответ на соответствующий запрос и дождемся завершения установки (это может занять несколько минут).
Генерация ключей (PKI) удостоверяющего центра, сервера, клиента; Алгоритм Диффи-Хеллмана
Для управления парами ключ / сертификат всех узлов создаваемой частной сети используйте утилиту easy-rsa , которая работает через командную строку по аналогии с консолью Linux. Для работы с ним откройте, запустите командную строку (сочетание клавиш Win + R , затем введите cmd и нажмите Enter )
Файлы конфигурации.
Запуск сценария init-config.bat создаст новый файл vars.bat в нашем каталоге easy-rsa, этот файл будет содержать нашу конфигурацию:
cd "C: \ Program Files \ OpenVPN \ easy-rsa"
init-config.bat
Итак, теперь нам нужно открыть следующий каталог с помощью проводника Windows: C: \ Program Files \ OpenVPN \ easy-rsa
Теперь, используя Блокнот (или другой текстовый редактор), отредактируйте командный файл с именем vars.bat, нам нужно настроить некоторые переменные…
Измените следующие настройки (ближе к концу файла) в соответствии с вашими требованиями:
установить KEY_COUNTRY = US
установить KEY_PROVINCE = CA
установить KEY_CITY = SanFrancisco
установить KEY_ORG = OpenVPN
установите KEY_EMAIL = mail @ host.домен
установить KEY_CN = changeme
установить KEY_NAME = changeme
Примечание: если значение переменной содержит пробел, заключите его в кавычки.
Затем вы должны сохранить изменения в файле, а затем, используя командную строку, выполнить следующие команды:
cd "C: \ Program Files \ OpenVPN \ easy-rsa"
vars.bat
clean-all.bat
Центр сертификации и генерация ключей сервера
Приступим к созданию ключа / сертификата центра сертификации.Запускаем скрипт:
build-ca.bat
В ответ на появляющиеся запросы вы можете просто нажать Enter. Единственным исключением является поле KEY_CN ( Common Name ) — обязательно укажите уникальное имя и вставьте то же имя в поле Name :
Аналогичным образом генерируем сертификат сервера. Здесь значение полей Common Name и Name — SERVER:
.
. \ Build-key-server.bat сервер
Примечание: аргумент сервера — это имя будущего файла.
Теперь для всех сгенерированных ключей будет предложено подписать сгенерированный сертификат (подписать сертификат) от имени центра сертификации. Ответ y (да).
Генерация клиентских ключей и сертификатов
Для каждого VPN-клиента необходимо создать отдельный сертификат SSL.
В конфигурации Open VPN есть опция, включив которую вы можете использовать один сертификат для нескольких клиентов (см. Сервер .ovpn file -> « dublicate-cn » file), но это не рекомендуется с точки зрения безопасности. Сертификаты могут быть созданы в будущем по мере подключения новых клиентов. Поэтому сейчас создадим только один для client1 :
Выполните следующие команды для генерации клиентских ключей:
кд \
cd "C: \ Program Files \ OpenVPN \ easy-rsa"
. \ build-key.bat client1
Примечание: аргумент client1 — это имя будущего файла.
В поле Common Name укажите имя клиента (в нашем случае client1).
Параметры Диффи Хеллмана
Для завершения настройки шифрования необходимо запустить скрипт генерации параметра Диффи-Хеллмана:
. \ Build-dh.bat
Отображение информации о создании параметров выглядит так:
Перенос сгенерированных ключей / сертификатов
Сгенерированные сертификаты находятся в каталоге C: \ Program Files \ OpenVPN \ easy-rsa \ keys .Скопируйте перечисленные ниже файлы в каталог C: \ Program Files \ OpenVPN \ config :
- ca.crt
- dh3048.pem / dh2048.pem
- server.crt
- server.key
Конфигурация открытого VPN-сервера
Перейдем к настройке VPN-сервера напрямую, воспользуемся нашим конфигурационным файлом с именем server.ovpn и поместим его в каталог C: \ Program Files \ OpenVPN \ config .
скопируйте "C: \ Program Files \ OpenVPN \ sample-config \ server.ovpn "" C: \ Program Files \ OpenVPN \ config "
скопируйте "C: \ Program Files \ OpenVPN \ sample-config \ client.ovpn" "C: \ Program Files \ OpenVPN \ config"
Откройте файл; найти путь к ключам (см. ниже). Проверить пути к ранее скопированным сертификатам ca.crt, dh2024.pem / dh3048.pem, server.key, server.crt и при необходимости изменить:
порт 1194
прото udp
Dev Tun
сервер 10.8.0.0 255.255.255.0
ca "C: \ Program Files \ OpenVPN \ config \ ca.crt"
cert "C: \ Program Files \ OpenVPN \ config \ server.crt "
ключ "C: \ Program Files \ OpenVPN \ config \ server.key"
dh "C: \ Program Files \ OpenVPN \ config \ dh3048.pem"
нажмите "redirect-gateway def1"
нажмите "dhcp-option DNS 8.8.8.8"
Keepalive 10 120
comp-lzo
постоянный ключ
настойчивый туннель
глагол 3
Сохраните файл.
Теперь вам нужно разрешить пересылку трафика между адаптерами. Выполните следующие действия: Панель управления -> Сеть и Интернет -> Центр управления сетями и общим доступом -> Изменить настройки адаптера. Выберите адаптер, который смотрит во внешний Интернет (за VPN-соединение отвечает TAP-адаптер).В нашем примере это Ethernet 2.
Дважды щелкните адаптер Properties и перейдите на вкладку Access , отметьте все флажки. Сохраните изменения.
Далее вам нужно включить IP-адресацию.
С помощью поиска Windows найдите приложение REGEDIT.exe.
В дереве найдите каталог HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters. В правой части окна найдите переменную IPEnableRouter , дважды щелкните в окне редактирования значения и измените его на 1 , тем самым разрешив адресацию на VPS.
Автозапуск Открыть VPN
Немедленно настройте службу Open VPN на автозапуск при запуске системы.
Откройте Windows Services . Найдите в списке Open VPN -> щелкните правой кнопкой мыши -> Properties -> Start: Automatic
На этом базовая настройка сервера виртуальной частной сети завершена. Найдите файл C: \ Program Files \ OpenVPN \ config \ server.ovpn -> щелкните правой кнопкой мыши -> «Запустить OpenVPN в этой конфигурации», чтобы запустить сервер виртуальной частной сети и подготовленный нами файл конфигурации.
Откройте конфигурацию клиента VPN
Клиентские приложения Open VPN доступны для всех популярных операционных систем: Windows / Linux / iOS / Android . Для MacOS используется клиент Tunnelblick . Все эти приложения работают с одними и теми же файлами конфигурации. Возможны лишь некоторые отличия нескольких вариантов.Вы можете узнать о них, изучив документацию к вашему клиенту Open VPN. В этом руководстве мы рассмотрим подключение клиента Windows с помощью того же пакета распространения программы, который мы установили на сервере. При использовании приложений для других операционных систем логика настройки аналогична.
- Установите текущую версию Open VPN на клиентский компьютер.
- Скопируйте в каталог C: \ Program Files \ OpenVPN \ config файлы сертификатов клиента, созданные ранее на сервере (2 сертификата с расширением.crt и ключ с расширением .key) и используйте наш файл конфигурации клиента client.ovpn. После копирования на устройство пользователя последний файл удаляется с сервера или переносится из папки config, чтобы избежать путаницы в будущем.
- Откройте файл client.ovpn. Найдите строку remote my-server-1 1194 и укажите в ней ip-адрес или доменное имя vpn-сервера:
удаленный
1194 Например:
пульт 83.166.241.155 1194
- Найдите способы получения сертификатов. Укажите в нем пути к сертификатам ca.crt, client1.key, client1.crt, скопированным ранее, как в примере ниже:
# Подробнее см. В файле конфигурации сервера # описание. Лучше использовать # отдельная пара файлов .crt / .key # для каждого клиента. Единый ca # файл можно использовать для всех клиентов. ca "C: \ Program Files \ OpenVPN \ config \ ca.crt" сертификат "C: \ Program Files \ OpenVPN \ config \ client1.crt" ключ "C: \ Program Files \ OpenVPN \ config \ client1.ключ " # Этот файл нужно держать в секрете
- Сохраните файл. Настройка клиента завершена.
Проверьте правила брандмауэра Windows
Внимание! Для корректной работы службы OpenVPN необходимо, чтобы соответствующие порты были открыты на сервере ( по умолчанию UDP 1194 ). Проверьте соответствующее правило в вашем брандмауэре: брандмауэр Windows или стороннее антивирусное программное обеспечение.
Проверьте соединения OpenVPN
Запускаем Open VPN server, для этого заходим в директорию C: \ Program Files \ OpenVPN \ config и выбираем файл конфигурации сервера (у нас есть server.ovpn -> щелкните правой кнопкой мыши -> «Запустить OpenVPN в этом файле конфигурации»).
Запустите клиент, для этого перейдите в каталог C: \ Program Files \ OpenVPN \ config и выберите файл конфигурации клиента (у нас есть client.ovpn -> щелкните правой кнопкой мыши -> «Запустить Open VPN в этом файле конфигурации») .
На экране отображается окно состояния подключения. Через несколько секунд он будет свернут в трей. Зеленый индикатор ярлыка Open VPN в области уведомлений указывает на успешное соединение.
Проверьте доступность с клиентского устройства сервера OpenVPN, используя его внутренний адрес частной сети:
- Нажмите клавиши Win + R и введите cmd в появившемся окне, чтобы открыть командную строку.
- Выполните команду ping на адрес нашего сервера в виртуальной частной сети ( 10.8.0.1 ):
пинг 10.8.0.1
Если VPN настроен правильно, начнется обмен пакетами с сервером.
- С помощью утилиты tracert мы проверим, по какому маршруту идут пакеты от клиента. В консоли введите следующую команду:
По результату работы утилиты мы видим, что пакеты сначала отправляются на сервер VPN, а уже потом во внешнюю сеть.
Теперь у вас есть готовая к работе виртуальная частная сеть, которая позволяет устанавливать безопасные сетевые соединения между ее клиентами и сервером, используя открытые и географически удаленные точки подключения к Интернету.
.
USG / UDM: Настройка L2TP VPN с удаленным доступом — Центр поддержки и поддержки Ubiquiti Networks
Компьютеры
под управлением Windows и macOS могут маршрутизировать весь трафик через VPN (шлюз по умолчанию). Это значение по умолчанию на компьютерах Windows, но его необходимо вручную включить на компьютерах macOS с помощью опции «Отправлять весь трафик через VPN-соединение» в разделе «Системные настройки »> «Сеть»> «VPN L2TP»> «Дополнительно ».
Если вы намереваетесь использовать настройку «раздельного туннелирования» и отключить опцию шлюза на своих клиентах, вам нужно будет вручную добавить необходимых маршрутов в таблицы маршрутизации на клиентах.L2TP VPN не может протолкнуть маршруты на клиентские устройства.
Обходной путь при использовании «раздельного туннелирования» (шлюз по умолчанию не установлен) — это создание единого классового маршрута на клиенте, который автоматически устанавливается в таблице маршрутизации. Этот маршрут будет зависеть от IP-адреса шлюза / подсети , который вы укажете для L2TP VPN в настройках контроллера UniFi. Следующие классовые маршруты будут добавлены в зависимости от подсети, используемой для L2TP VPN:
-
10.0.0.0 / 8
L2TP VPN-подсеть настроена с адресом 10.x.x.x , например 10.10.1.1/24 . -
172.16.0.0/12
Подсеть L2TP VPN настроена с адресом 172.16-31.x.x , например 172.16.1.1/24 . -
192.168.x.0 / 24
Подсеть L2TP VPN настроена с адресом 192.168.x.x , например 192.168.2.1/24 .
Вы можете использовать эту функцию в своих интересах.Например, вы используете диапазон IP-адресов 10.0.10.0/24 для своей локальной сети и хотите, чтобы удаленные клиенты L2TP VPN могли подключаться к вашей локальной сети, но не маршрутизировали весь трафик через VPN (раздельное туннелирование). Если вы настроите IP-адрес шлюза / подсеть в диапазоне 10.xxx , например 10.255.20.1/24 , клиенты VPN установят маршрут 10.0.0.0/8 в свои таблицы маршрутизации и смогут обмениваться данными. с сетью 10.0.10.0/24 через VPN.
Ниже приведен пример компьютера под управлением Windows, который подключен к серверу L2TP, который использует 10.255.20.1/24 в качестве IP-адреса шлюза / подсети. Обратите внимание, что маршрут 10.255.20.1/32 (255.255.255.255) и маршрут 10.0.0.0/8 (255.0.0.0) установлены в таблице маршрутизации.
C: \ WINDOWS \ system32> печать маршрута -4 Таблица маршрутов IPv4 ================================================== ========================= Активные маршруты: Метрика интерфейса шлюза сетевой маски назначения 0.0.0.0 0.0.0.0 172.16.1.1 172.16.1.100 281 > 10.0.0.0 255.0.0.0 10.255.255.0 10.255.20.1 26 > 10.255.20.1 255.255.255.255 При подключении 10.255.20.1 281 127.0.0.0 255.0.0.0 При подключении 127.0.0.1 331 127.0.0.1 255.255.255.255 При подключении 127.0.0.1 331 127.255.255.255 255.255.255.255 При подключении 127.0.0.1 331 172.16.1.0 255.255.255.0 При подключении 172.16.1.100 281 172.16.1.1 255.255.255.255 При подключении 172.16.1.100 26 172.16.1.100 255.255.255.255 По ссылке 172.16.1.100 281 172.16.1.255 255.255.255.255 По ссылке 172.16.1.100 281 224.0.0.0 240.0.0.0 При подключении 127.0.0.1 331 224.0.0.0 240.0.0.0 Связь 172.16.1.100 281 224.0.0.0 240.0.0.0 Связь 10.255.20.1 281 255.255.255.255 255.255.255.255 при подключении 127.0.0.1 331 255.255.255.255 255.255.255.255 По ссылке 172.16.1.100 281 255.255.255.255 255.255.255.255 по ссылке 10.255.20.1 281 ================================================== =========================
.