Настройка сервера Windows l2tp

Обновлено: 21.11.2024

В этой статье описывается, как настроить сервер L2TP/IPsec за устройством NAT-T.

Применимо к: Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер базы знаний: 926179

Обзор

Этот раздел, метод или задача содержат инструкции по изменению реестра. Однако при неправильном изменении реестра могут возникнуть серьезные проблемы. Поэтому убедитесь, что вы внимательно выполните следующие действия. Для дополнительной защиты создайте резервную копию реестра перед его изменением. Затем вы можете восстановить реестр, если возникнет проблема. Дополнительные сведения о резервном копировании и восстановлении реестра см. в разделе Резервное копирование и восстановление реестра в Windows.

Из-за того, как устройства NAT преобразуют сетевой трафик, вы можете столкнуться с неожиданными результатами в следующем сценарии:

  • Вы размещаете сервер за устройством NAT.
  • Вы используете среду IPsec NAT-T.

Если для связи необходимо использовать IPsec, используйте общедоступные IP-адреса для всех серверов, к которым можно подключиться из Интернета. Если вам необходимо поместить сервер за устройством NAT, а затем использовать среду IPsec NAT-T, вы можете включить связь, изменив значение реестра на клиентском компьютере VPN и сервере VPN.

Установите ключ реестра AssumeUDPEncapsulationContextOnSendRule

Чтобы создать и настроить значение реестра AssumeUDPEncapsulationContextOnSendRule, выполните следующие действия:

Войдите на клиентский компьютер Windows Vista как пользователь, который является членом группы администраторов.

Выберите «Пуск» > «Все программы» > «Стандартные» > «Выполнить», введите regedit и нажмите «ОК». Если на экране отображается диалоговое окно «Контроль учетных записей пользователей», в котором предлагается повысить права администратора, выберите «Продолжить».

Найдите и выберите следующий подраздел реестра:

Вы также можете применить значение DWORD AssumeUDPEncapsulationContextOnSendRule к клиентскому компьютеру VPN под управлением Microsoft Windows XP с пакетом обновления 2 (SP2). Для этого найдите и выберите подраздел реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec.

В меню "Правка" выберите "Создать" и выберите "Значение DWORD (32 разряда)".

Введите AssumeUDPEncapsulationContextOnSendRule и нажмите клавишу ВВОД.

Щелкните правой кнопкой мыши AssumeUDPEncapsulationContextOnSendRule и выберите "Изменить".

В поле "Значение" введите одно из следующих значений:

Это значение по умолчанию. Если для него установлено значение 0, Windows не может устанавливать сопоставления безопасности с серверами, расположенными за устройствами NAT.

Если установлено значение 1, Windows может устанавливать ассоциации безопасности с серверами, расположенными за устройствами NAT.

В этой статье мы узнаем, как настроить L2TP/IPsec VPN с предварительным общим ключом в Windows Server 2019.

Что такое VPN?

Виртуальная частная сеть (VPN) — это безопасный сетевой туннель, который позволяет вам подключаться к вашей частной сети из Интернета. Таким образом, вы можете получить доступ к своим внутренним ресурсам и использовать их на основе назначенного разрешения.

Протокол туннелирования уровня 2 (L2TP):

L2TP — это отраслевой стандарт при настройке безопасных туннелей VPN. L2TP поддерживает либо сертификаты компьютеров, либо общий ключ в качестве метода аутентификации для IPsec. Подключения L2TP/IPsec VPN обеспечивают конфиденциальность данных, их целостность и аутентификацию данных.

Знакомство с тестовой лабораторией SSTP:

  • WS2K19-DC01: контроллер домена и DNS.
  • WS2K19-VPN01: рядовой сервер.
  • WS10-CLI01: клиентский компьютер с Windows 10.

Шаг 1. Установите роль сервера удаленного доступа в Windows Server 2019:

<р>1. Первым шагом является установка роли сервера удаленного доступа. Откройте консоль диспетчера серверов и запустите мастер установки ролей и компонентов. Выберите роль сервера удаленного доступа.

<р>2. В выбранных службах ролей выберите службу ролей DirectAccess и VPN (RAS). Нажмите «Далее» и завершите установку.

<р>3. Когда установка завершится, нажмите «Закрыть».

Шаг 2. Настройте L2TP/IPsec VPN на Windows Server 2019:

<р>4. На рядовом сервере откройте диспетчер серверов. Нажмите Инструменты и выберите Консоль маршрутизации и удаленного доступа.

<р>5. Щелкните правой кнопкой мыши имя сервера и выберите «Настроить и включить маршрутизацию и удаленный доступ».

<р>6. На экране приветствия нажмите «Далее».

<р>7. На странице Конфигурация выберите переключатель Пользовательская конфигурация. Нажмите «Далее».

<р>8. На странице службы выберите VPN-доступ. Нажмите «Далее».

<р>9. После нажатия на «Готово» вам будет предложено запустить службу. Нажмите «Запустить службу».

<р>10. Теперь вы увидите зеленую стрелку вверх рядом с именем вашего сервера.

Шаг 3. Настройте общий ключ для аутентификации IPsec.

Чтобы настроить предварительный общий ключ для L2TP/IPsec VPN, нам нужно настроить определенные параметры в разделе свойств VPN-сервера.

<р>11. Щелкните правой кнопкой мыши имя сервера и выберите "Свойства".

<р>12. На вкладке «Безопасность» установите флажок «Разрешить пользовательскую политику IPsec для подключения L2TP/IKEv2». Укажите надежный общий ключ для L2TP/IPsec VPN-подключения.

<р>13. Нажмите на вкладку IPv4. Выберите переключатель Статический пул адресов. Нажмите кнопку «Добавить».

<р>14. Укажите диапазон IP-адресов. Нажмите "ОК".

<р>15. Нажмите «Применить», чтобы сохранить изменения на сервере VPN. Он попросит перезапустить службу маршрутизации и удаленного доступа. Нажмите «Да», чтобы сделать это.

Шаг 4. Создайте пользователя AD и разрешите телефонный доступ:

<р>16. На контроллере домена откройте оснастки «Пользователи и компьютеры Active Directory». Создайте пользователей AD с именами Test User1 и Test User2.

<р>17. Включите коммутируемый доступ для выбранных пользователей VPN, открыв свойства пользователя и выбрав Разрешить доступ на вкладке Коммутируемый доступ.

Шаг 5. Настройте VPN-подключение для L2TP/IPsec VPN:

На клиентском компьютере с Windows 10 нам нужно создать новое VPN-подключение.

<р>18. Щелкните правой кнопкой мыши кнопку "Пуск" и выберите "Сетевые подключения".

<р>19. На левой панели нажмите VPN.

<р>20. Нажмите «Добавить новое VPN-подключение».

21. Укажите необходимую информацию для VPN-подключения.

  • Провайдер VPN: Windows (встроенный)
  • Имя подключения: имя по вашему выбору
  • Имя сервера или IP-адрес: общедоступный IP-адрес VPN-сервера
  • Тип VPN: L2TP/IPsec с общим ключом
  • Pre-Shared Key: Укажите ключ, который мы назначили на VPN-сервере.

22. Нажмите Сохранить.

Шаг 6. Проверка подключения L2TP/IPsec VPN:

23. Нажмите на VPN-подключение и выберите Подключиться.

24. Укажите имя пользователя и пароль для подключения к VPN-серверу. Нажмите OK, чтобы подключиться.

25. Убедитесь, что VPN-подключение успешно подключено к VPN-серверу с использованием протокола L2TP/IPsec.

Шаг 7. Мониторинг L2TP/IPsec VPN-подключения:

На клиентском компьютере с Windows 10:

26. Нажмите клавишу Windows и клавишу R вместе. В меню «Выполнить» введите ncpa.cpl и нажмите Enter, чтобы открыть консоль сетевого подключения.

27. Щелкните правой кнопкой мыши VPN-подключение и нажмите кнопку «Статус».

28. Нажмите на подробности, чтобы просмотреть информацию о VPN-подключении, такую ​​как метод аутентификации, мод шифрования и т. д.

На VPN-сервере:

29. Нажмите клавишу Windows и клавишу R вместе. В меню «Выполнить» введите wf.msc и нажмите Enter, чтобы открыть брандмауэр Защитника Windows и консоль Advanced Security.

<р>30. Разверните Мониторинг, Разверните ассоциации безопасности. Разверните и нажмите Основной режим.

Вы можете проверить метод аутентификации и стандарт шифрования для подключения в основном режиме IPsec.

  • Метод аутентификации: общий ключ.
  • Стандарт шифрования: AES-CBC, 256 бит.
  • Алгоритм проверки целостности: SHA-1
  • Режим обмена ключами: эллиптическая кривая Диффи-Хеллмана P-384.

31. Также проверьте информацию о туннеле быстрого режима.

  • Локальный адрес: локальный IP-адрес VPN-сервера.
  • Удаленный адрес: IP-адрес VPN-клиента.
  • Локальный порт: UDP 1701
  • Удаленный порт: UDP 1701
  • Режим целостности ESP: SHA-1
  • Режим шифрования ESP: AES-CBC, 256 бит

В этом посте мы узнали, как настроить L2TP/IPsec VPN с предварительным общим ключом в Windows Server 2019 и Windows 10.

В этой статье обсуждается, как настроить общий ключ для использования с протоколом туннелирования уровня 2 (L2TP).

Применимо к: Windows Server 2003
Исходный номер базы знаний: 324258

Обзор

Чтобы использовать L2TP в Microsoft Windows Server 2003, у вас должна быть инфраструктура открытых ключей (PKI) для выдачи компьютерных сертификатов серверу виртуальной частной сети (VPN) и клиентам, чтобы процесс проверки подлинности Internet Key Exchange (IKE) мог выполняться. произойти.

В Windows Server 2003 можно использовать общий ключ для проверки подлинности IKE. Эта функция полезна в средах, в которых в настоящее время нет PKI, или в ситуациях, когда серверы Windows Server 2003 L2TP подключаются к сторонним VPN-серверам, которые поддерживают только использование предварительных ключей.

Microsoft не поощряет использование общих ключей, так как это менее безопасный метод проверки подлинности, чем сертификаты. Предварительно общие ключи не предназначены для замены использования сертификатов; вместо этого предварительные общие ключи являются еще одним методом тестирования и внутренних операций. Microsoft настоятельно рекомендует по возможности использовать сертификаты с L2TP.

В следующих разделах описано, как настроить общие ключи как на клиенте L2TP, так и на сервере. Если вы используете операционную систему Windows Server 2003 как для клиента, так и для сервера на основе VPN, выполните инструкции в обоих этих разделах, чтобы L2TP, использующий общий ключ, мог работать. Если вы используете VPN-клиент Windows Server 2003 и сторонний VPN-сервер, необходимо выполнить действия, описанные в разделе Настройка предварительного общего ключа на VPN-клиенте этой статьи, а также настроить предварительные общие ключи на стороннем сервере. устройство.

Настройте общий ключ на VPN-клиенте

В Панели управления дважды щелкните Сетевые подключения.

В разделе "Виртуальная частная сеть" щелкните правой кнопкой мыши подключение, для которого вы хотите использовать общий ключ, и выберите "Свойства".

Перейдите на вкладку "Безопасность".

Нажмите "Настройки IPSec".

Настройки IPSec могут быть затенены, если на вкладке «Сеть» для параметра «Тип VPN» установлено значение «PPTP VPN». Общий ключ можно настроить только в том случае, если для этого параметра установлено значение L2TP IPSec VPN или Автоматически.

Нажмите, чтобы установить флажок Использовать предварительный ключ для проверки подлинности.

В поле "Ключ" введите значение предварительного общего ключа. Это значение должно совпадать со значением предварительного общего ключа, введенного на VPN-сервере.

RRAS хорошо работает как в качестве маршрутизатора, так и в качестве сервера удаленного доступа, поскольку поддерживает широкий набор функций. Для целей этого развертывания вам потребуется лишь небольшой набор этих функций: поддержка VPN-соединений IKEv2 и маршрутизация по локальной сети.

IKEv2 — это протокол туннелирования VPN, описанный в запросе 7296 рабочей группы по проектированию Интернета. Основное преимущество IKEv2 заключается в том, что он допускает прерывания основного сетевого подключения. Например, если подключение временно потеряно или если пользователь перемещает клиентский компьютер из одной сети в другую, IKEv2 автоматически восстанавливает VPN-подключение при восстановлении сетевого подключения — и все это без вмешательства пользователя.

Настройте сервер RRAS для поддержки подключений IKEv2, отключив неиспользуемые протоколы, что уменьшит влияние безопасности сервера. Кроме того, настройте сервер для назначения адресов VPN-клиентам из статического пула адресов. Вы можете назначать адреса из пула или DHCP-сервера; однако использование DHCP-сервера усложняет конструкцию и дает минимальные преимущества.

Важно:

Установите два сетевых адаптера Ethernet на физический сервер. Если вы устанавливаете VPN-сервер на виртуальную машину, необходимо создать два внешних виртуальных коммутатора, по одному для каждого физического сетевого адаптера; а затем создайте два виртуальных сетевых адаптера для виртуальной машины, при этом каждый сетевой адаптер будет подключен к одному виртуальному коммутатору.

Установите сервер в сети периметра между граничным и внутренним брандмауэрами, подключив один сетевой адаптер к внешней сети периметра, а другой сетевой адаптер — к внутренней сети периметра.

Прежде чем начать, обязательно включите IPv6 на сервере VPN. В противном случае соединение не может быть установлено и отображается сообщение об ошибке.

Установить удаленный доступ в качестве VPN-сервера RAS Gateway

В этой процедуре вы устанавливаете роль удаленного доступа в качестве отдельного VPN-сервера RAS Gateway. Дополнительные сведения см. в разделе Удаленный доступ.

Установите роль удаленного доступа с помощью Windows PowerShell

Откройте Windows PowerShell от имени администратора.

Введите и запустите следующий командлет:

После завершения установки в Windows PowerShell появится следующее сообщение.

Установите роль удаленного доступа с помощью диспетчера серверов

Вы можете использовать следующую процедуру для установки роли удаленного доступа с помощью диспетчера серверов.

На VPN-сервере в Диспетчере серверов выберите Управление, а затем выберите Добавить роли и компоненты.

Откроется мастер добавления ролей и компонентов.

На странице "Перед началом" выберите "Далее".

На странице "Выбор типа установки" выберите вариант установки на основе ролей или компонентов и нажмите кнопку "Далее".

На странице "Выбор целевого сервера" выберите параметр "Выбрать сервер из пула серверов".

В разделе "Пул серверов" выберите локальный компьютер и нажмите "Далее".

На странице "Выбор ролей сервера" в разделе "Роли" выберите "Удаленный доступ", а затем "Далее".

На странице "Выбор функций" нажмите "Далее".

На странице удаленного доступа выберите Далее.

На странице "Выбор службы ролей" в разделе "Службы ролей" выберите DirectAccess и VPN (RAS).

Откроется диалоговое окно мастера добавления ролей и компонентов.

В диалоговом окне "Добавить роли и функции" выберите "Добавить функции", затем нажмите "Далее".

На странице "Роль веб-сервера (IIS)" выберите "Далее".

На странице "Выбор служб ролей" нажмите "Далее".

На странице "Подтверждение выбора установки" просмотрите свой выбор и выберите "Установить".

По завершении установки выберите Закрыть.

Настроить удаленный доступ в качестве VPN-сервера

В этом разделе можно настроить VPN удаленного доступа, чтобы разрешить VPN-подключения IKEv2, запретить подключения по другим протоколам VPN и назначить пул статических IP-адресов для выдачи IP-адресов подключающимся авторизованным VPN-клиентам.

На VPN-сервере в Диспетчере серверов установите флажок Уведомления.

В меню "Задачи" выберите "Открыть мастер начала работы".

Откроется мастер настройки удаленного доступа.

Мастер настройки удаленного доступа может открыться за диспетчером серверов. Если вы считаете, что мастер открывается слишком долго, переместите или сверните Диспетчер серверов, чтобы выяснить, не стоит ли за этим мастер. Если нет, дождитесь инициализации мастера.

Выберите Развернуть только VPN.

Откроется консоль управления маршрутизацией и удаленным доступом (MMC).

Нажмите правой кнопкой мыши VPN-сервер, затем выберите «Настроить и включить маршрутизацию и удаленный доступ».

Откроется мастер настройки сервера маршрутизации и удаленного доступа.

В окне "Вас приветствует мастер настройки сервера маршрутизации и удаленного доступа" нажмите "Далее".

В разделе «Конфигурация» выберите «Пользовательская конфигурация», а затем нажмите «Далее».

В пользовательской конфигурации выберите Доступ к VPN, а затем нажмите кнопку Далее.

Откроется окно завершения мастера настройки сервера маршрутизации и удаленного доступа.

Нажмите "Готово", чтобы закрыть мастер, затем нажмите "ОК", чтобы закрыть диалоговое окно "Маршрутизация и удаленный доступ".

Выберите Запустить службу, чтобы запустить удаленный доступ.

В MMC удаленного доступа щелкните правой кнопкой мыши VPN-сервер и выберите "Свойства".

В свойствах выберите вкладку "Безопасность" и выполните следующие действия:

а. Выберите «Поставщик аутентификации» и выберите «Аутентификация RADIUS».

б. Выберите Настроить.

Откроется диалоговое окно "Аутентификация RADIUS".

<р>в. Выберите Добавить.

Откроется диалоговое окно "Добавить сервер RADIUS".

д. В поле Имя сервера введите полное доменное имя (FQDN) сервера NPS в вашей организации/корпоративной сети.

<р>т.е. В разделе Общий секрет выберите Изменить.

Откроется диалоговое окно "Изменить секрет".

ж. В поле Новый секрет введите текстовую строку.

г. В поле Подтвердите новый секрет введите ту же текстовую строку и нажмите кнопку ОК.

Сохраните эту текстовую строку. Когда вы настраиваете NPS-сервер в своей организации/корпоративной сети, вы добавляете этот VPN-сервер в качестве RADIUS-клиента. Во время этой настройки вы будете использовать тот же общий секрет, чтобы NPS и VPN-серверы могли обмениваться данными.

В разделе "Добавить сервер RADIUS" проверьте параметры по умолчанию для:

Тайм-аут

Начальная оценка

Порт

При необходимости измените значения в соответствии с требованиями вашей среды и нажмите кнопку ОК.

NAS – это устройство, которое обеспечивает некоторый уровень доступа к более крупной сети. NAS, использующий инфраструктуру RADIUS, также является клиентом RADIUS, отправляющим запросы на подключение и учетные сообщения на сервер RADIUS для проверки подлинности, авторизации и учета.

Проверьте настройки поставщика услуг учета:

Выберите вкладку IPv4 и выполните:

а. Выберите Статический пул адресов.

б. Выберите Добавить, чтобы настроить пул IP-адресов.

Пул статических адресов должен содержать адреса из внутренней сети периметра. Эти адреса находятся во внутреннем сетевом соединении на сервере VPN, а не в корпоративной сети.

<р>в. В поле «Начальный IP-адрес» введите начальный IP-адрес в диапазоне, который вы хотите назначить VPN-клиентам.

д. В поле Конечный IP-адрес введите конечный IP-адрес в диапазоне, который вы хотите назначить VPN-клиентам, или в поле Количество адресов введите номер адреса, который вы хотите сделать доступным. Если вы используете DHCP для этой подсети, убедитесь, что вы настроили соответствующее исключение адресов на своих DHCP-серверах.

Для оптимальной производительности сети сам VPN-сервер не должен иметь сетевой интерфейс в той же подсети IPv4, которая назначает адреса IPv4 клиентам. Если у VPN-сервера есть сетевой интерфейс в этой подсети, широковещательная или многоадресная рассылка, отправляемая в эту подсеть, может вызвать всплеск задержки.

<р>т.е. (Необязательно) Если вы используете DHCP, выберите Адаптер и в списке результатов выберите адаптер Ethernet, подключенный к вашей внутренней сети периметра.

(Необязательно) Если вы настраиваете условный доступ для подключения к VPN, в раскрывающемся списке Сертификат в разделе Привязка SSL-сертификата выберите аутентификацию VPN-сервера.

(Необязательно) Если вы настраиваете условный доступ для VPN-подключения, в MMC NPS разверните Policies\Network Policies и выполните следующие действия:

а. Справа — сетевая политика «Подключения к серверу маршрутизации и удаленного доступа Microsoft» и выберите «Свойства».

б. Выберите Предоставить доступ. Предоставьте доступ, если запрос на подключение соответствует этому параметру политики.

<р>в. В разделе Тип сервера доступа к сети выберите в раскрывающемся списке Сервер удаленного доступа (VPN-Dial-up).

В консоли MMC «Маршрутизация и удаленный доступ» щелкните правой кнопкой мыши «Порты» и выберите «Свойства».

Откроется диалоговое окно "Свойства портов".

Выберите мини-порт WAN (SSTP) и выберите «Настроить». Откроется диалоговое окно «Настройка устройства — мини-порт WAN (SSTP)».

а. Снимите флажки Подключения удаленного доступа (только входящие) и Подключения маршрутизации по запросу (входящие и исходящие).

б. Выберите ОК.

Выберите мини-порт WAN (L2TP) и выберите «Настроить». Откроется диалоговое окно «Настройка устройства — мини-порт WAN (L2TP)».

а. В поле Максимальное количество портов введите количество портов, соответствующее максимальному количеству одновременных подключений VPN, которые вы хотите поддерживать.

б. Выберите ОК.

Выберите мини-порт WAN (PPTP) и выберите «Настроить». Откроется диалоговое окно «Настройка устройства — мини-порт WAN (PPTP)».

а. В поле Максимальное количество портов введите количество портов, соответствующее максимальному количеству одновременных подключений VPN, которые вы хотите поддерживать.

б. Выберите ОК.

Выберите мини-порт WAN (IKEv2) и выберите «Настроить». Откроется диалоговое окно «Настройка устройства — мини-порт WAN (IKEv2)».

а. В поле Максимальное количество портов введите количество портов, соответствующее максимальному количеству одновременных подключений VPN, которые вы хотите поддерживать.

б. Выберите ОК.

При появлении запроса выберите Да, чтобы подтвердить перезапуск сервера, и выберите Закрыть, чтобы перезапустить сервер.

Следующий шаг

Шаг 4. Установка и настройка сервера политики сети (NPS). На этом этапе вы устанавливаете сервер политики сети (NPS) с помощью Windows PowerShell или мастера добавления ролей и компонентов диспетчера серверов. Вы также настраиваете NPS для обработки всех обязанностей по проверке подлинности, авторизации и учету для запросов на подключение, которые он получает от VPN-сервера.

Читайте также: