Настройка rras windows server 2016
Обновлено: 21.11.2024
Виртуальная частная сеть (VPN) расширяет частную сеть за пределы общедоступной сети, чтобы вы могли безопасно получать удаленный доступ к своим данным через общедоступную сеть. Вы также можете использовать VPN для защиты своей интернет-активности, используя VPN-сервер в качестве прокси-сервера.
В этой статье с пошаговыми снимками экрана показано, как настроить L2TP/IPsec VPN на Windows Server 2016 Standard. Этот VPN можно использовать для доступа к вашей бизнес-сети.
Мы настроим VPN со встроенной функцией (маршрутизация и удаленный доступ RRAS), которую Microsoft предоставляет в Windows Server 2016. Эту функцию можно включить в мастере добавления ролей и компонентов.
Предпосылки
Шаг 1. Войдите с помощью RDP
Вы должны войти в систему через RDP как администратор или пользователь с правами администратора. Инструкции см. в этой статье, если вы не знаете, как подключиться.
Шаг 2. Обновите Windows
Перед началом установки и настройки L2TP/IPsec необходимо установить все обновления Windows. Это необходимо для того, чтобы на сервере всегда были установлены все исправления безопасности.
Откройте меню "Пуск" Windows и нажмите "Настройки"
Перейдите к разделу «Обновление и безопасность»
Нажмите «Проверить наличие обновлений», чтобы проверить наличие обновлений для вашего сервера.
Загрузите и установите все обновления, если они доступны.
Шаг 3. Установка зависимостей
Откройте меню "Пуск" Windows и нажмите "Диспетчер сервера"
Нажмите «Управление» -> «Добавить роли и функции».
Откроется новый экран, нажмите «Далее».
Выберите установку на основе ролей или компонентов и нажмите кнопку "Далее".
Выберите «Выбрать сервер из пула серверов» и нажмите «Далее».
Выберите «Удаленный доступ» и нажмите «Далее».
Выберите DirectAccess и VPN (RAS) и Маршрутизация . После выбора появится всплывающее окно, в котором нажмите «Добавить функции».
Выберите Автоматический перезапуск целевого сервера, если требуется
После выбора появится всплывающее окно, и нажмите «Да», чтобы разрешить перезагрузку системы, если это необходимо.
Последний шаг — нажать «Установить» .
Установка завершена.
Шаг 4. Маршрутизация и удаленный доступ
Откройте "Маршрутизация и удаленный доступ" в диспетчере серверов -> Инструменты -> Маршрутизация и удаленный доступ.
Откроется новый экран. Щелкните правой кнопкой мыши имя сервера и выберите «Настроить маршрутизацию и удаленный доступ».
Откроется новый экран для настройки сервера доступа к маршрутизации и нажмите кнопку "Далее".
Мы используем пользовательскую конфигурацию, поскольку для доступа к виртуальной частной сети (VPN) и NAT требуется два или более сетевых интерфейса.
Выберите «Пользовательская конфигурация» и нажмите «Далее».
Выберите доступ к VPN и NAT и нажмите "Далее".
Завершите работу мастера, нажав "Готово"
После завершения работы мастера появится всплывающее окно с вопросом, хотите ли вы запустить службу маршрутизации и удаленного доступа. Нажмите «Запустить службу».
Шаг 5. Настройка маршрутизации и удаленного доступа
Щелкните правой кнопкой мыши имя сервера (VPN) и выберите "Свойства"
Перейдите на вкладку «Безопасность» и выберите «Разрешить пользовательскую политику IPsec для подключения L2TP/IKev2». В нашем разделе скриншотов Предварительный ключ, но вы должны заполнить его надежным паролем.
Вы можете использовать пароль. генератор фраз-паролей для создания предварительного ключа.Создайте надежный предварительный общий ключ, содержащий не менее 32 символов.
Перейдите к IPv4 . В нашей настройке у нас нет DHCP-сервера, поэтому мы должны выбрать параметр «Статический пул адресов» и нажать «Добавить», чтобы ввести диапазон IP-адресов.
Мы использовали следующий диапазон:
Нажмите OK, чтобы сохранить диапазон IPv4.
Нажмите OK, чтобы применить изменения, которые мы внесли в свойства службы маршрутизации и удаленного доступа. Вы должны получить всплывающее предупреждение с информацией о перезапуске службы, нажмите «ОК» .
Шаг 6. Настройка NAT
Щелкните правой кнопкой мыши NAT, выбрав Маршрутизация и удаленный доступ -> VPN (имя сервера) -> IPv4 -> NAT, и выберите Новый интерфейс.
Откроется новый экран, выберите Ethernet и нажмите OK .
Выберите Общий интерфейс, подключенный к Интернету, и выберите Включить NAT на этом интерфейсе
Откройте вкладку «Службы и порты» и выберите из списка VPN-шлюз (L2TP/IPsec — работает на этом сервере).
Откроется новый экран. Измените переменную частного адреса с 0.0.0.0 на 127.0.0.1 и нажмите OK
Шаг 7. Перезапустите маршрутизацию и удаленный доступ
Щелкните правой кнопкой мыши имя сервера (VPN), перейдите к разделу «Все задачи» и нажмите «Перезапустить».
Шаг 8. Брандмауэр Windows
Откройте меню "Пуск" Windows и нажмите "Панель управления"
Откройте "Система и безопасность"
Открыть брандмауэр Windows
Нажмите Дополнительные настройки в меню слева
Откроется новый экран и откроются правила для входящих подключений
Создайте новое правило, нажав Новое правило. в правом меню.
Откроется новый экран. Выберите «Предопределенные: маршрутизация и удаленный доступ» и нажмите «Далее».
Выберите «Маршрутизация и удаленный доступ (L2TP-входящий)» и нажмите «Далее».
Нажмите "Готово"
Убедитесь, что правило создано
Шаг 9. Настройка пользователей
Прежде чем пользователи смогут начать использовать VPN, мы должны дать им разрешение на подключение.
Щелкните правой кнопкой мыши значок Windows и выберите Управление компьютером
Откройте «Локальные пользователи и группы» в меню слева и нажмите «Пользователи»
Вы должны увидеть список пользователей вашего сервера. Щелкните правой кнопкой мыши пользователя, для которого хотите включить VPN, и выберите Свойства
В нашей статье мы включаем VPN для нашего администратора. Мы рекомендуем создавать/использовать отдельных пользователей для целей VPN с ограниченными разрешениями.
Откроется новый экран со свойствами пользователя. В нашем примере это Администратор. Откройте вкладку «Входящие звонки» и выберите «Разрешить доступ».
Нажмите «ОК» и закройте «Управление компьютером». Администратор пользователей теперь имеет право подключаться к серверу через VPN-подключение L2TP/IPsec.
Шаг 10. Управление удаленным доступом
Откройте меню "Пуск" Windows и нажмите "Диспетчер серверов".
Перейдите в Инструменты -> Управление удаленным доступом. Откроется новый экран с панелью удаленного доступа.В нашем обзоре видно, что службы работают без предупреждений.
Дополнительную информацию об управлении удаленным доступом можно найти здесь.
Шаг 11. Перезагрузите сервер
Открыть меню "Пуск" Windows
Щелкните правой кнопкой мыши значок питания и выберите "Перезагрузить"
Шаг 12. Подключение клиента
Заключение
Поздравляем, вы настроили L2TP/IPsec VPN на своем Windows Server 2016 Standard. Если вам нужна дополнительная помощь или помощь в настройке Windows Server 2016 Standard, свяжитесь с нашей службой поддержки.
Это первая часть из четырех частей серии «Маршрутизация и удаленный доступ в Windows Server 2016».
Часть 1 серии «Маршрутизация и удаленный доступ в Windows Server 2016» посвящена установке роли удаленного доступа в Windows Server 2016
Требования к установке, настройке и включению маршрутизации и удаленного доступа в Windows Server 2016
Для прохождения демонстраций из этой серии вам потребуется два сервера:
- Контроллер домена
- Рядовой сервер Active Directory под управлением Windows Server 2016
Для этого конкретного руководства вам потребуется только рядовой сервер для установки роли удаленного доступа.
Этапы установки роли маршрутизации и удаленного доступа
- Войдите на рядовой сервер и откройте Диспетчер серверов.
- В диспетчере серверов нажмите «Управление». Затем выберите Добавить роли и функции.
- Когда откроется мастер, нажмите "Далее".
- На странице Выберите тип установки выберите Установка на основе ролей или компонентов. Затем нажмите "Далее".
- На следующей странице перечислены все серверы, управляемые с помощью диспетчера серверов. Выберите первый вариант — выберите сервер из пула серверов. Затем выберите сервер, на который вы хотите установить удаленный доступ, и нажмите «Далее».
Вы также можете установить роли и компоненты сервера на виртуальные жесткие диски. Это второй вариант на изображении ниже.
В этой части мастера перечислены службы ролей, доступные в роли сервера удаленного доступа. Все перечисленные службы рассматриваются в нашей серии статей «Маршрутизация и удаленный доступ в Windows Server 2016» (части 1–6).
- На странице Выберите службы ролей вы выбираете службы ролей удаленного доступа, которые хотите установить. Я выбрал все службы ролей, потому что все они будут рассмотрены в серии «Маршрутизация и удаленный доступ в Windows Server 2016». Сделав свой выбор, нажмите "Далее".
Чтобы определить службу роли, которую необходимо развернуть, нажмите на каждую роль и прочитайте предоставленную информацию о службе роли.
- На странице подтверждения проверьте свой выбор. Затем установите флажок «Автоматически перезапускать целевой сервер, если требуется». Чтобы проверить этот параметр, нажмите «Да» в ответ на приглашение (второе изображение ниже). Если вы хотите изменить службы ролей, нажмите «Назад». В противном случае, чтобы продолжить, нажмите «Установить».
Предупреждение!
Если вы работаете в производственной среде, имейте в виду, что установка флажка «Перезапускать конечный сервер автоматически, если требуется» может привести к перезапуску вашего сервера. Если вы хотите перезапустить сервер в «Окне изменений», НЕ устанавливайте этот флажок. После этого вы сможете перезапустить сервер в любое время, если потребуется.
Заключение
При установке роли удаленного доступа в Windows Server 2016 у вас есть возможность установить:
- Маршрутизация, DirectAccess и VPN (RAS) или
- Прокси веб-приложения
В этом руководстве я установил 3 службы ролей, поскольку они нужны мне для завершения остальных частей этой серии.
Пожалуйста, дайте нам знать, что вы думаете об этом руководстве. Воспользуйтесь формой «Оставить ответ» в конце этой страницы.
Вы, должно быть, слышали о VPN. VPN — это виртуальная частная сеть, которая обеспечивает безопасность и конфиденциальность ваших частных и общедоступных сетей. Он создает безопасное соединение через общедоступную сеть. Вы можете подключить несколько систем к VPN-серверу и использовать пропускную способность VPN для подключения к общедоступной сети.
Существуют различные протоколы VPN для защищенной связи, а именно. IPSec, SSL и TLS, PPTP и L2TP. Из которых PPTP (протокол туннелирования точка-точка) является широко используемым протоколом.Это один из самых простых протоколов в настройке и обслуживании по сравнению с другими протоколами.
VPN – это наиболее эффективный и недорогой способ создания защищенной частной сети. Несмотря на то, что это самый недорогой вариант, для его успешной реализации требуется немало технических знаний.
На рынке представлено различное платное программное обеспечение VPN. Но если вы используете сервер Windows, вы можете использовать RRAS для настройки собственного VPN-сервера без каких-либо дополнительных затрат. В этой статье вы узнаете, как установить VPN с помощью удаленного доступа и маршрутизации и подключиться к нему из вашей локальной системы (с работающим доступом в Интернет). (Действия выполняются в ОС Windows server 2012 R2)
- Войдите на свой сервер через удаленный рабочий стол, на котором вы хотите установить VPN.
- Откройте Диспетчер серверов и нажмите Добавить роли и компоненты.
- Следуйте инструкциям мастера установки. Выберите «Установка на основе ролей или функций». Тип установки.
- В поле выбора сервера установите флажок «Выбрать сервер из пула серверов». Вы увидите свой сервер с именем компьютера в пуле серверов.
- Выберите роль «Удаленный доступ» в ролях сервера и нажмите «Далее».
- Не вносите никаких изменений в «Функции» и нажмите «Далее».
В службах ролей выберите DirectAccess и VPN, службы маршрутизации и нажмите "Далее". - Просмотрите страницу установки и нажмите «Установить», когда будете готовы.
После завершения установки нажмите «Открыть мастер начала работы». - Вы увидите мастер «Настройка удаленного доступа». Нажмите «Развернуть только VPN».
- Вы увидите консоль MMC маршрутизации и удаленного доступа. Щелкните правой кнопкой мыши имя своего сервера и выберите «Настроить и включить маршрутизацию и удаленный доступ».
- Теперь следуйте инструкциям мастера установки. Нажмите «Далее» в мастере приветствия.
- В мастере настройки выберите «Доступ к виртуальной частной сети (VPN) и NAT» и нажмите «Далее».
- В VPN-подключении выберите сетевой интерфейс с общедоступным IP-адресом и надлежащим подключением к Интернету и нажмите «Далее».
- В разделе «Назначение IP-адреса» выберите «Из указанного диапазона адресов» и нажмите «Далее».
- В разделе «Назначение диапазона адресов» нажмите «Создать» и добавьте диапазон локальных IP-адресов (здесь убедитесь, что начальный IP-адрес совпадает с основным IP-адресом вашей внутренней сети). Это будет использоваться для выделения IP-адреса удаленным клиентам, которые подключаются к этому VPN-серверу. Добавив диапазон IP-адресов, нажмите «Далее», чтобы продолжить.
- В разделе «Управление несколькими серверами удаленного доступа» выберите «Нет, использовать маршрутизацию и удаленный доступ для проверки подлинности запросов на подключение» и нажмите «Далее».
- По завершении работы мастера нажмите «Готово». Вам будет предложено сообщение для агента ретрансляции DHCP, просто нажмите «ОК» для этого сообщения.
Теперь вам нужно разрешить порт RDP в службах и портах NAT. Выполните указанные ниже шаги для того же.
- В разделе «Маршрутизация и удаленный доступ» разверните сервер → IPV4 → NAT.
- Нажмите правой кнопкой мыши на Внешняя сеть, выберите "Свойства" → "Службы и порты".
- Нажмите «Добавить», введите описание этой службы, введите порт RDP и IP-адрес VPS и нажмите «ОК».
ПРИМЕЧАНИЕ 1. Если эта служба не добавлена, вы не сможете получить доступ к своему серверу через RDP.
ПРИМЕЧАНИЕ 2. Если на вашем сервере установлен брандмауэр, вам необходимо разрешить TCP-порт 1723 для PPTP.
Теперь давайте изменим настройки пользователя, который будет использоваться для установления VPN-подключения с клиентского/удаленного компьютера.
- Перейдите в раздел «Администрирование» → «Управление компьютером» → «Локальные пользователи и группы» → «Пользователи».
- Щелкните правой кнопкой мыши пользователя (которого вы хотите настроить для VPN-подключения) и выберите свойства.
- Перейдите на вкладку "Входящие звонки", выберите "Разрешить доступ" в разделе "Разрешение на доступ к сети" и нажмите "Применить".
Ваш VPN-сервер готов к клиентским/удаленным подключениям.
Теперь давайте посмотрим, как настроить клиентский компьютер для подключения к VPN-серверу.
- Откройте Центр управления сетями и общим доступом в вашей локальной системе. Нажмите «Настроить новое соединение или сеть».
- Нажмите «Подключиться к рабочему месту».
- Нажмите «Использовать мое подключение к Интернету (VPN)».
- Введите IP-адрес VPN-сервера (основной/статический IP-адрес внешней сети с подключением к Интернету) и нажмите «Далее».
- Введите данные для входа на VPN-сервер и нажмите «Подключиться».
- И ваш локальный компьютер подключен к VPN-серверу. Если вы проверите свой IP-адрес с помощью любого онлайн-инструмента, вы увидите, что ваш IP-адрес принадлежит VPN-серверу, а не местному интернет-провайдеру.
Это все. Теперь ваша клиентская машина будет иметь доступ в Интернет через VPN. Однако, если у вас возникнут какие-либо трудности, не стесняйтесь задавать вопросы здесь, в этом блоге.
Если вы ищете простое решение для удаленного доступа к своей сети и используете Windows Server, вы можете рассмотреть возможность установки роли маршрутизации и удаленного доступа, включенной в Windows Server. Вы можете использовать различные типы VPN, такие как PPTP, L2TP и SSTP.
В этой статье предполагается, что в вашей сети уже настроен домен Active Directory для управления удаленным доступом. Если вы еще не используете ADDS, ознакомьтесь с этой статьей, чтобы настроить его. Помните, что вам также потребуется перенаправить соответствующие порты через внешний брандмауэр, чтобы клиенты могли подключаться извне.
У вас есть устройство SonicWALL UTM? Попробуйте вместо этого использовать SSL VPN: статья здесь
Установка роли маршрутизации и удаленного доступа
<р>1. Войдите на сервер с учетными данными администратора2. Откройте Диспетчер серверов
3. На панели инструментов найдите и щелкните Добавить роли и функции
4. Нажмите «Далее», чтобы пропустить страницу «Перед началом работы»
5. Выберите «Установка на основе ролей» или «Установка на основе функций» и нажмите «Далее».
<р>6. Убедитесь, что сервер, на который вы устанавливаете, выбран из пула. Нажмите «Далее», чтобы продолжить.
<р>7. Прокрутите список, чтобы найти удаленный доступ, и выберите его. Нажмите «Далее».
<р>8. Вас встретит страница приветствия для роли удаленного доступа. Нажмите «Далее», чтобы продолжить.
<р>9. Поскольку мы настраиваем этот сервер для подключения к VPN, выберите DirectAccess и VPN (RAS) из списка, а затем при появлении запроса нажмите «Добавить компоненты» во всплывающем окне. Нажмите «Далее», чтобы продолжить.
<р>10. Теперь мастер проведет вас через установку роли веб-сервера (IIS), поскольку роль удаленного доступа зависит от IIS для работы. Нажмите «Далее», чтобы продолжить.
<р>11. Оставьте выбранными параметры по умолчанию и нажмите «Далее», чтобы продолжить.
<р>12. Наконец, проверьте предоставленную информацию и нажмите «Установить», чтобы начать установку ролей.
<р>13. После завершения установки нажмите Закрыть. Потребуется дополнительная настройка.
Настройка роли удаленного доступа
Теперь, когда установка завершена, нам нужно собственно настроить роль.
<р>1. Войдите на сервер с учетными данными администратора2. Откройте Диспетчер серверов
3. В правом верхнем углу вы увидите флажок «Требуется действие» , щелкните значок и выберите «Открыть мастер начала работы».
Примечание. Когда я нажимал эту кнопку в Windows Server 2016 Technical Preview 4, ничего не происходило. Я продолжу, открыв Консоль управления удаленным доступом.
<р>4. Если мастер начала работы не отображается, выберите «Пуск» > «Все приложения» > «Администрирование Windows» > «Управление удаленным доступом». <р>5. В консоли управления удаленным доступом нажмите «DirectAccess и VPN» в разделе «Конфигурация», затем нажмите «Запустить мастер начала работы».<р>6. В мастере настройки удаленного доступа выберите, следует ли развернуть Direct Access, VPN или развернуть и DirectAccess, и VPN (рекомендуется).
<р>8. Наконец, нажмите Готово
Мы выполнили все начальные шаги по настройке сервера. Вам нужно будет настроить клиентов для подключения с помощью встроенного VPN-клиента в Microsoft Windows. Убедитесь, что вы либо настроили правильные политики NPS, чтобы разрешить доступ с ваших клиентов, либо разрешили пользователям подключаться вручную, изменив параметр на вкладке "Входящие звонки" в объекте пользователя в Active Directory.
Читайте также: