Настройка sstp сервера Windows
Обновлено: 21.11.2024
RRAS хорошо работает как в качестве маршрутизатора, так и в качестве сервера удаленного доступа, поскольку поддерживает широкий набор функций. Для целей этого развертывания вам потребуется лишь небольшой набор этих функций: поддержка VPN-соединений IKEv2 и маршрутизация по локальной сети.
IKEv2 — это протокол туннелирования VPN, описанный в запросе 7296 рабочей группы по проектированию Интернета. Основное преимущество IKEv2 заключается в том, что он допускает прерывания основного сетевого подключения. Например, если подключение временно потеряно или если пользователь перемещает клиентский компьютер из одной сети в другую, IKEv2 автоматически восстанавливает VPN-подключение при восстановлении сетевого подключения — и все это без вмешательства пользователя.
Настройте сервер RRAS для поддержки подключений IKEv2, отключив неиспользуемые протоколы, что уменьшит влияние безопасности сервера. Кроме того, настройте сервер для назначения адресов VPN-клиентам из статического пула адресов. Вы можете назначать адреса из пула или DHCP-сервера; однако использование DHCP-сервера усложняет конструкцию и дает минимальные преимущества.
Важно:
Установите два сетевых адаптера Ethernet на физический сервер. Если вы устанавливаете VPN-сервер на виртуальную машину, необходимо создать два внешних виртуальных коммутатора, по одному для каждого физического сетевого адаптера; а затем создайте два виртуальных сетевых адаптера для виртуальной машины, при этом каждый сетевой адаптер будет подключен к одному виртуальному коммутатору.
Установите сервер в сети периметра между граничным и внутренним брандмауэрами, подключив один сетевой адаптер к внешней сети периметра, а другой сетевой адаптер — к внутренней сети периметра.
Прежде чем начать, обязательно включите IPv6 на сервере VPN. В противном случае соединение не может быть установлено и отображается сообщение об ошибке.
Установить удаленный доступ в качестве VPN-сервера RAS Gateway
В этой процедуре вы устанавливаете роль удаленного доступа в качестве отдельного VPN-сервера RAS Gateway. Дополнительные сведения см. в разделе Удаленный доступ.
Установите роль удаленного доступа с помощью Windows PowerShell
Откройте Windows PowerShell от имени администратора.
Введите и запустите следующий командлет:
После завершения установки в Windows PowerShell появится следующее сообщение.
Установите роль удаленного доступа с помощью диспетчера серверов
Вы можете использовать следующую процедуру для установки роли удаленного доступа с помощью диспетчера серверов.
На VPN-сервере в Диспетчере серверов выберите Управление, а затем выберите Добавить роли и компоненты.
Откроется мастер добавления ролей и компонентов.
На странице "Перед началом" выберите "Далее".
На странице "Выбор типа установки" выберите вариант установки на основе ролей или компонентов и нажмите кнопку "Далее".
На странице "Выбор целевого сервера" выберите параметр "Выбрать сервер из пула серверов".
В разделе "Пул серверов" выберите локальный компьютер и нажмите "Далее".
На странице "Выбор ролей сервера" в разделе "Роли" выберите "Удаленный доступ", а затем "Далее".
На странице "Выбор функций" нажмите "Далее".
На странице удаленного доступа выберите Далее.
На странице "Выбор службы ролей" в разделе "Службы ролей" выберите DirectAccess и VPN (RAS).
Откроется диалоговое окно мастера добавления ролей и компонентов.
В диалоговом окне "Добавить роли и функции" выберите "Добавить функции", затем нажмите "Далее".
На странице "Роль веб-сервера (IIS)" выберите "Далее".
На странице "Выбор служб ролей" нажмите "Далее".
На странице "Подтверждение выбора установки" просмотрите свой выбор и выберите "Установить".
По завершении установки выберите Закрыть.
Настроить удаленный доступ в качестве VPN-сервера
В этом разделе можно настроить VPN удаленного доступа, чтобы разрешить VPN-подключения IKEv2, запретить подключения по другим протоколам VPN и назначить пул статических IP-адресов для выдачи IP-адресов подключающимся авторизованным VPN-клиентам.
На VPN-сервере в Диспетчере серверов установите флажок Уведомления.
В меню "Задачи" выберите "Открыть мастер начала работы".
Откроется мастер настройки удаленного доступа.
Мастер настройки удаленного доступа может открыться за диспетчером серверов. Если вы считаете, что мастер открывается слишком долго, переместите или сверните Диспетчер серверов, чтобы выяснить, не стоит ли за этим мастер. Если нет, дождитесь инициализации мастера.
Выберите Развернуть только VPN.
Откроется консоль управления маршрутизацией и удаленным доступом (MMC).
Нажмите правой кнопкой мыши VPN-сервер, затем выберите «Настроить и включить маршрутизацию и удаленный доступ».
Откроется мастер настройки сервера маршрутизации и удаленного доступа.
В окне "Вас приветствует мастер настройки сервера маршрутизации и удаленного доступа" нажмите "Далее".
В разделе «Конфигурация» выберите «Пользовательская конфигурация», а затем нажмите «Далее».
В пользовательской конфигурации выберите Доступ к VPN, а затем нажмите кнопку Далее.
Откроется окно завершения мастера настройки сервера маршрутизации и удаленного доступа.
Нажмите "Готово", чтобы закрыть мастер, затем нажмите "ОК", чтобы закрыть диалоговое окно "Маршрутизация и удаленный доступ".
Выберите Запустить службу, чтобы запустить удаленный доступ.
В MMC удаленного доступа щелкните правой кнопкой мыши VPN-сервер и выберите "Свойства".
В свойствах выберите вкладку "Безопасность" и выполните следующие действия:
а. Выберите «Поставщик аутентификации» и выберите «Аутентификация RADIUS».
б. Выберите Настроить.
Откроется диалоговое окно "Аутентификация RADIUS".
<р>в. Выберите Добавить.Откроется диалоговое окно "Добавить сервер RADIUS".
д. В поле Имя сервера введите полное доменное имя (FQDN) сервера NPS в вашей организации/корпоративной сети.
<р>т.е. В разделе Общий секрет выберите Изменить.Откроется диалоговое окно "Изменить секрет".
ж. В поле Новый секрет введите текстовую строку.
г. В поле Подтвердите новый секрет введите ту же текстовую строку и нажмите кнопку ОК.
Сохраните эту текстовую строку. Когда вы настраиваете NPS-сервер в своей организации/корпоративной сети, вы добавляете этот VPN-сервер в качестве RADIUS-клиента. Во время этой настройки вы будете использовать тот же общий секрет, чтобы NPS и VPN-серверы могли обмениваться данными.
В разделе "Добавить сервер RADIUS" проверьте параметры по умолчанию для:
Тайм-аут
Начальная оценка
Порт
При необходимости измените значения в соответствии с требованиями вашей среды и нажмите кнопку ОК.
NAS – это устройство, которое обеспечивает некоторый уровень доступа к более крупной сети. NAS, использующий инфраструктуру RADIUS, также является клиентом RADIUS, отправляющим запросы на подключение и учетные сообщения на сервер RADIUS для проверки подлинности, авторизации и учета.
Проверьте настройки поставщика услуг учета:
Выберите вкладку IPv4 и выполните:
а. Выберите Статический пул адресов.
б. Выберите Добавить, чтобы настроить пул IP-адресов.
Пул статических адресов должен содержать адреса из внутренней сети периметра. Эти адреса находятся во внутреннем сетевом соединении на сервере VPN, а не в корпоративной сети.
<р>в. В поле «Начальный IP-адрес» введите начальный IP-адрес в диапазоне, который вы хотите назначить VPN-клиентам.д. В поле Конечный IP-адрес введите конечный IP-адрес в диапазоне, который вы хотите назначить VPN-клиентам, или в поле Количество адресов введите номер адреса, который вы хотите сделать доступным. Если вы используете DHCP для этой подсети, убедитесь, что вы настроили соответствующее исключение адресов на своих DHCP-серверах.
Для оптимальной производительности сети сам VPN-сервер не должен иметь сетевой интерфейс в той же подсети IPv4, которая назначает адреса IPv4 клиентам. Если у VPN-сервера есть сетевой интерфейс в этой подсети, широковещательная или многоадресная рассылка, отправляемая в эту подсеть, может вызвать всплеск задержки.
<р>т.е. (Необязательно) Если вы используете DHCP, выберите Адаптер и в списке результатов выберите адаптер Ethernet, подключенный к вашей внутренней сети периметра.(Необязательно) Если вы настраиваете условный доступ для подключения к VPN, в раскрывающемся списке Сертификат в разделе Привязка SSL-сертификата выберите аутентификацию VPN-сервера.
(Необязательно) Если вы настраиваете условный доступ для VPN-подключения, в MMC NPS разверните Policies\Network Policies и выполните следующие действия:
а. Справа — сетевая политика «Подключения к серверу маршрутизации и удаленного доступа Microsoft» и выберите «Свойства».
б. Выберите Предоставить доступ. Предоставьте доступ, если запрос на подключение соответствует этому параметру политики.
<р>в. В разделе Тип сервера доступа к сети выберите в раскрывающемся списке Сервер удаленного доступа (VPN-Dial-up).В консоли MMC «Маршрутизация и удаленный доступ» щелкните правой кнопкой мыши «Порты» и выберите «Свойства».
Откроется диалоговое окно "Свойства портов".
Выберите мини-порт WAN (SSTP) и выберите «Настроить». Откроется диалоговое окно «Настройка устройства — мини-порт WAN (SSTP)».
а. Снимите флажки Подключения удаленного доступа (только входящие) и Подключения маршрутизации по запросу (входящие и исходящие).
б. Выберите ОК.
Выберите мини-порт WAN (L2TP) и выберите «Настроить». Откроется диалоговое окно «Настройка устройства — мини-порт WAN (L2TP)».
а. В поле Максимальное количество портов введите количество портов, соответствующее максимальному количеству одновременных подключений VPN, которые вы хотите поддерживать.
б. Выберите ОК.
Выберите мини-порт WAN (PPTP) и выберите «Настроить». Откроется диалоговое окно «Настройка устройства — мини-порт WAN (PPTP)».
а. В поле Максимальное количество портов введите количество портов, соответствующее максимальному количеству одновременных подключений VPN, которые вы хотите поддерживать.
б. Выберите ОК.
Выберите мини-порт WAN (IKEv2) и выберите «Настроить». Откроется диалоговое окно «Настройка устройства — мини-порт WAN (IKEv2)».
а. В поле Максимальное количество портов введите количество портов, соответствующее максимальному количеству одновременных подключений VPN, которые вы хотите поддерживать.
б. Выберите ОК.
При появлении запроса выберите Да, чтобы подтвердить перезапуск сервера, и выберите Закрыть, чтобы перезапустить сервер.
Следующий шаг
Шаг 4. Установка и настройка сервера политики сети (NPS). На этом этапе вы устанавливаете сервер политики сети (NPS) с помощью Windows PowerShell или мастера добавления ролей и компонентов диспетчера серверов. Вы также настраиваете NPS для обработки всех обязанностей по проверке подлинности, авторизации и учету для запросов на подключение, которые он получает от VPN-сервера.
Решение
У меня уже настроен сервер Windows 2012, он является контроллером домена и использует DNS. Вам не обязательно иметь один и тот же сервер с SSTP/RRAS, но в этой лабораторной среде это то, что я делаю. Кроме того, мои удаленные VPN-клиенты получат IP-адрес из моей обычной корпоративной локальной сети.
<р>1. На сервере у меня установлены две сетевые карты, первая (NIC1) является обычным сетевым подключением для сервера, вторая (NIC2) будет той, к которой будут подключаться удаленные клиенты (после того, как они аутентифицируются на NIC1).< /p><р>2. Убедитесь, что сетевая карта, обращенная к Интернету, имеет хорошую связь и работает нормально.
<р>3. NIC2, как видите, даже не нужен шлюз по умолчанию.
Windows Server 2012 Добавление служб сертификатов
Я буду использовать самоподписанный сертификат. Если вы его приобрели, пропустите этот раздел.
<р>4. В диспетчере серверов (ServerManager.exe) > Добавить роли и компоненты > Далее > Далее > Далее > Выбрать > Службы сертификатов Active Directory.<р>5. Добавить функции > Далее > Далее > Далее > Отметьте "Веб-регистрация центра сертификации".
<р>6. Добавить функции > Далее > Далее > Далее > Установить > Закрыть > Из предупреждения (вверху справа) > Настроить службы сертификатов Active Directory на этом сервере.
<р>8. Выберите Центр сертификации и Веб-регистрация центра сертификации > Далее.
<р>9. Далее > Далее > Далее > Далее > Далее > Далее > Далее > Настроить > Закрыть > Закрыть диспетчер серверов.
<р>10. Откройте консоль управления Microsoft.
<р>11. Файл > Добавить Удалить оснастку > Центр сертификации > Добавить > Локальный компьютер > Готово > ОК.
<р>12. Перейдите к Шаблоны сертификатов > Управление.
<р>13. В появившемся списке найдите IPsec > Щелкните правой кнопкой мыши > Дублировать шаблон.
<р>14. Вкладка «Общие» > Измените имя на SSTP-VPN.
<р>15. Вкладка «Обработка запросов» > установите флажок «Разрешить экспорт закрытого ключа».
<р>16. Вкладка «Имя субъекта» > установите флажок «Отправить запрос» > нажмите «ОК» при появлении запроса.
<р>17. Вкладка «Расширения» > выберите запись «Политики приложений» > «Изменить».
<р>18. Добавить > Найдите политику «Аутентификация сервера» > ОК > ОК > Применить > ОК > Закройте консоль шаблона сертификата.
<р>19. Из папки шаблонов сертификатов > Создать > Выпуск шаблона сертификата.
<р>20. Найдите запись SSTP-VPN > OK > Закройте MMC.
Настройка брандмауэра SSTP
21. На этом сервере я просто отключу брандмауэр > Пуск > Выполнить > firewall.cpl > Включу или выключу брандмауэр Windows > Установить соответствующим образом.
Предоставить пользователям права SSTP VPN/Dial-in.
22. Убедитесь, что для любого пользователя, который хочет получить доступ к SSTP VPN, для Dial-in установлено значение «разрешить доступ».
Windows 2012 Server: установка и настройка RRAS для SSTP
23. В диспетчере серверов (ServerManager.exe) > Добавить роли и компоненты > Далее > Далее > Далее > Выбрать > Политика сети и службы доступа.
24. Добавить компоненты > Далее > Далее > Далее > Далее > Установить > Закрыть.
25. Вернитесь в Диспетчер сервера (ServerManager.exe)> Добавить роли и компоненты> Далее> Далее> Далее> Выберите «Удаленный доступ».
26. Добавить функции > Далее > Далее > Далее > Отметьте «Маршрутизация» > Далее > Установить.
Примечание. На этом этапе вы можете увидеть предупреждение о том, что необходимо выполнить дополнительные действия (для настройки маршрутизации удаленного доступа), если это так, вы можете запустить, а затем закрыть этот мастер, поскольку мы сделаем это вручную.
28. Закройте Диспетчер серверов > Откройте новую MMC > Файл > Добавить/удалить оснастку > Сертификаты > Добавить > Учетная запись компьютера > Готово > ОК.
29. Разверните Личные > Сертификаты > Все задачи > Запросить новый сертификат.
<р>30. Найдите запись SSTP-VPN > Нажмите ссылку «Требуется дополнительная информация…».
31. Измените Тип на обычное имя > Введите общедоступное имя сервера SSTP VPN > Добавить > ОК.
32. Отметьте сертификат > Зарегистрировать.
33. Готово > Закройте MMC.
34. Клавиша Windows+R > rrasmgmt.msc > ОК.
35. Щелкните правой кнопкой мыши сервер > Настроить и включить маршрутизацию и удаленный доступ.
36. В мастере > Далее > Далее > Отметьте VPN > Далее.
37. Выберите NIC1. В этом случае я снимаю флажок «Включить безопасность» (или отключает RDP и блокирует сетевую карту) > Далее.
38. Я собираюсь использовать этот сервер, поэтому выберите нижнюю опцию > Далее.
39. Создать > Создать диапазон IP-адресов. (Примечание: вам может потребоваться исключить их из существующей области DHCP) > OK > Далее.
41. Готово > OK > OK > На этом этапе вы увидите перезапуск служб.
42. Щелкните правой кнопкой мыши сервер > Свойства.
43. Вкладка «Безопасность» > Измените сертификат на созданный нами > Применить > Да > ОК > Закрыть консоль.
Windows Server 2012 — подключение к SSTP с удаленного клиента
На данный момент у меня открыты правильные порты в брандмауэре, и я использую клиент Windows 7 за пределами корпоративной сети.
44. Поскольку мы используем самозаверяющий сертификат, нам нужно заставить клиента доверять ему. Мы можем дать пользователю корневой сертификат, или они могут подключиться и загрузить его, здесь я подключаюсь к веб-порталу служб сертификации. Примечание. Помните, что это на том же сервере.
45. Укажите учетные данные домена > ОК > Загрузить сертификат ЦС > Загрузить сертификат ЦС > Сохранить как.
46. Поместите сертификат куда-нибудь и назовите его как-нибудь осмысленно.
47. Теперь запустите MMC на клиентском компьютере и добавьте оснастку сертификата (для «учетной записи компьютера»).
48. Перейдите к разделу Доверенные корневые центры сертификации > Сертификаты > Все задачи > Импорт > Перейти к и выберите только что загруженный сертификат.
Примечание. Если дважды щелкнуть сертификат и импортировать его вручную, он будет помещен в аккаунт пользователя, а НЕ в аккаунт компьютера, и это вызовет проблемы. (Ошибка 0x800b0109).
Для доступа по протоколу SSTP требуется ключ реестра
Заголовок на самом деле не соответствует действительности, но, поскольку мы используем самозаверяющий сертификат, клиент не может проверить CRL для ЦС. Это может потребоваться даже для некоторых приобретенных сертификатов.
49. Откройте редактор реестра и перейдите к:
<р>50. Создайте новое 32-битное DWORD с именем NoCertRevocationCheck и установите для него значение 1 (один).
Настройка VPN-подключения SSTP
51. Откройте Центр управления сетями и общим доступом.
52. Настройте новое подключение или сеть.
<р>53. Подключиться к рабочему месту.
<р>54. Использовать мое подключение к Интернету.
55. Укажите Интернет-адрес (который соответствует общему имени, которое вы использовали выше) > Далее.
56. Укажите учетные данные своего домена > Подключиться.
<р>57. Подключено успешно.
Примечание. Если на этом этапе происходит сбой, обычно выдается код ошибки, который вы можете найти в Google, или предоставляется возможность ведения журнала для устранения неполадок.
<р>58. Просто чтобы подтвердить, что я подключен, этот клиент может пропинговать серверы SSTP по частному адресу.
В этой статье блога мы собираемся обсудить, как настроить SSTP VPN на Windows Server 2019 с использованием роли сервера службы маршрутизации и удаленного доступа. VPN — это сокращенная форма виртуальной частной сети, которая обеспечивает конфиденциальность, анонимность и безопасность в общедоступном Интернете. Служба VPN маскирует IP-адрес нашего интернет-провайдера, поэтому ваши онлайн-действия практически невозможно отследить. VPN также можно использовать для подключения компьютеров к изолированным удаленным компьютерным сетям, которые обычно недоступны, через Интернет или другую промежуточную сеть.
Серверы Microsoft снабжены ролями сервера RRAS для реализации таких служб удаленного доступа. Полная форма RRAS — служба маршрутизации и удаленного доступа. Это набор сетевых служб в семействе Windows Server, который позволяет серверу выполнять функции обычного маршрутизатора. Это также проприетарная роль сервера Windows, которая поддерживает подключение удаленного пользователя или сайта к сайту с помощью виртуальной частной сети или телефонного номера. соединения вверх. Таким образом, используя RRAS, мы можем преобразовать обычный Windows Server в VPN-сервер. Сервер Microsoft RRAS и VPN-клиент поддерживают VPN-подключения на основе PPTP, L2TP, IPSec, SSTP и IKEv2. Используя RRAS в качестве VPN, удаленные пользователи могут безопасно подключаться к корпоративным сетям своей компании через общедоступный Интернет.
Использованная нами конфигурация системы.
Используется сервер Windows 2019, который является скрытым сервером VPN SSTP.
Используется клиентский ПК с Windows 10 для подключения к серверу Windows VPN 2019.
Другое дело, мы настраиваем эту SSTP VPN на Windows Server 2019, которая имеет только один сетевой интерфейс. Таким образом, эта статья в блоге может быть реализована на большинстве VPS (виртуальных частных серверов), предоставляемых хостинг-провайдерами, или с облачными виртуальными машинами Windows.
Кроме того, для настройки SSTP VPN требуется SSL-сертификат. В этом тестировании мы используем самоподписанный сертификат, сгенерированный для имени хоста VPS. Мы также можем использовать SSL-сертификат Let’s Encrypt или SSL-сертификат, приобретенный для доменного имени нашего сервера у поставщиков SSL.
Здесь я разделил все шаги на разные части. Давайте начнем. Несмотря на то, что мы выполняем установку на Windows Server 2019, вы можете обратиться к этой статье для Windows Server 2016 и Windows Server 2012.
Часть 1. Установка роли сервера удаленного доступа в Windows Server 2019
Войдите в Windows Server 2019 > щелкните значок "Пуск" Windows >> щелкните "Диспетчер серверов".
Нажмите "Добавить роли и функции".
Выберите тип установки «Установка на основе ролей или компонентов» и нажмите «Далее».
В разделе «Выбор сервера» выберите «выбрать сервер из пула серверов» и нажмите «Далее».
В роли сервера выберите «Удаленный доступ» и нажмите «Далее».
Оставьте раздел «Функции» без изменений и нажмите «Далее».
Нажмите «Далее» в разделе «Удаленный доступ».
В разделе «Службы ролей» выберите «Прямой доступ и VPN (RAS) и маршрутизация» и нажмите «Далее». Появится всплывающее окно для подтверждения функций, которые необходимо установить для прямого доступа и VPN. Подтвердите это, нажав «Добавить функции».
В разделе "Роль веб-сервера (IIS)" нажмите "Далее".
В разделе «Службы ролей IIS» оставьте значение по умолчанию и нажмите «Далее».
В разделе "Окончательное подтверждение" нажмите "Установить".
Установка роли сервера удаленного доступа начнется автоматически и обычно завершается в течение нескольких минут. После успешной установки нажмите «Закрыть».
Часть 2. Создание дополнительного сетевого адаптера обратной связи в Windows Server 2019
Это для пропуска ошибки при запуске мастера настройки удаленного доступа, и ошибка будет такой, как показано ниже.
На этом компьютере обнаружено менее двух сетевых интерфейсов. Для стандартной конфигурации VPN-сервера необходимо установить как минимум два сетевых интерфейса. Вместо этого используйте собственный путь конфигурации.
В диспетчере серверов выберите Инструменты >> Управление компьютером.
В окне «Управление компьютером» нажмите «Диспетчер устройств» >> нажмите «Имя виртуальной машины» справа.
На вкладке "Действия" >> нажмите "Добавить устаревшее оборудование"
Откроется мастер добавления оборудования, нажмите кнопку Далее.
Выберите вариант «Установить оборудование, которое я выбрал вручную из списка» и нажмите «Далее».
Выберите «Сетевые адаптеры» и нажмите «Далее».
Выберите «Microsoft» в качестве производителя и «адаптер Microsoft KM-TEST Loopback» в качестве модели. Нажмите «Далее».
Подтвердите установку, нажав кнопку "Далее".
После завершения установки закройте мастер установки, нажав "Готово".
Теперь мы можем подтвердить установку нового сетевого адаптера из самой панели управления компьютером. Для этого нажмите Диспетчер устройств >> Нажмите Имя виртуальной машины >> Разверните Сетевые адаптеры, там мы увидим доступный недавно добавленный сетевой адаптер LoopBack.
Часть 3. Создайте самозаверяющий сертификат с помощью диспетчера IIS.
Мы создаем самозаверяющий сертификат для имени хоста сервера и используем его для роли службы удаленного доступа. Если у вас уже есть SSL-сертификат, приобретенный у поставщика SSL для вашего домена, или у вас есть SSL-сертификат Lets-encrypt, импортированный через диспетчер IIS, мы можем пропустить эту часть.
В диспетчере серверов выберите IIS > щелкните правой кнопкой мыши имя сервера и выберите "Диспетчер информационных служб Интернета (IIS)"
Выберите имя ВМ и дважды щелкните «Сертификаты сервера»
В поле «Действия» выберите «Создать самозаверяющий сертификат»
Укажите любое имя в поле «Укажите понятное имя для сертификата» и выберите «Личное» в разделе выбора хранилища сертификатов для нового раздела сертификата. В нашем случае я дал имя «vpnsslcertificate» и нажал «ОК».
Теперь в разделе сертификата сервера IIS мы видим, что наш самоподписанный сертификат для имени хоста сгенерирован.
Часть: 4 Экспорт самозаверяющего сертификата.
Теперь нам нужно экспортировать этот самозаверяющий сертификат в файл, а затем импортировать его на удаленный клиентский ПК с Windows 10 для успешного подключения SSTP VPN.
Нажмите кнопку «Пуск» в Windows >> выполните поиск и откройте его.
Введите «certlm.msc» и нажмите «ОК».
В разделе «Сертификаты» разверните «Доверенные корневые центры сертификации» >> выберите «Сертификаты» >> В правой части мы видим созданный нами самоподписанный сертификат с понятным именем «vpnsslcertificate».
Щелкните правой кнопкой мыши наш самоподписанный сертификат >> В разделе "Все задачи" >> нажмите "Экспорт".
Откроется мастер экспорта сертификатов, нажмите кнопку Далее.
Выберите вариант «Да, экспортировать закрытый ключ» и нажмите «Далее».
Выберите «Обмен личной информацией PKCS 12 (.PFX)» и нажмите «Далее».
В разделе «Безопасность» нажмите «Пароль» и укажите безопасный пароль. Нажмите кнопку "Далее. Делая это, мы защищаем паролем экспортированный файл сертификата ssl.
Оставьте тип шифрования по умолчанию — TrippleDES-SHA1.
В разделе «Файл для экспорта» нажмите «Обзор» и выберите, где мы хотим сохранить экспортированный файл ssl. Я решил сохранить его на рабочем столе. Также дайте имя файла для экспорта файла. Нажмите «Сохранить» и нажмите «Далее».
Завершите экспорт, нажав "Готово".
Мы увидим сообщение об успешном экспорте, нажмите «ОК».
Теперь, если мы перейдем к рабочему столу, мы увидим новый файл с именем «vpnsslcertificate» и расширением .pfx, который содержит информацию о нашем сертификате.
Часть 5. Настройка службы удаленного доступа и SSTP VPN.
В диспетчере сервера выберите «Удаленный доступ» >> щелкните правой кнопкой мыши имя сервера >> выберите «Управление удаленным доступом».
В разделе "Прямой доступ и VPN" нажмите "Запустить мастер настройки удаленного доступа"
Откроется мастер настройки удаленного доступа. Нажмите «Развернуть только VPN»
В консоли маршрутизации и удаленного доступа щелкните правой кнопкой мыши имя сервера и выберите параметр «Настроить и включить маршрутизацию и удаленный доступ».
Нажмите «Далее» в мастере настройки сервера маршрутизации и удаленного доступа.
Выберите доступ к виртуальной частной сети (VPN) и параметр NAT. Нажмите «Далее».
В разделе выбора сетевого интерфейса выберите сетевой адаптер, на котором настроен наш общедоступный IP-адрес, и нажмите "Далее".
В разделе «Назначенный IP-адрес» выберите «из указанного диапазона адресов» и нажмите «Далее». Здесь мы пытаемся определить частный IP-адрес, который сервер дает удаленному VPN-клику ПК после успешного подключения.
Нажмите кнопку "Создать".
Укажите начальный и конечный диапазон частных IP-адресов в соответствующих полях. Нажмите «ОК». Мы даем IP-адреса от 192.168.3.150 до 192.168.3.160.
Теперь мы увидим назначенный диапазон и нажмем Далее.
В разделе вопросов «Хотите ли вы настроить этот сервер для работы с сервером RADIUS» выберите «Нет, использовать маршрутизацию и удаленный доступ для проверки подлинности запросов на подключение» и нажмите «Далее».
Нажмите «Готово» после завершения работы мастера настройки сервера маршрутизации и удаленного доступа.
На этом настройка сервера маршрутизации и удаленного доступа завершена. Теперь мы видим зеленую стрелку вверх рядом с именем хоста сервера, которая показывает, что служба сервера маршрутизации и удаленного доступа успешно запущена.
Часть 6. Разрешить удаленный доступ к нашему VPN-серверу через адаптер общедоступной сети.
Для поддержания доступа к VPN-серверу через удаленный рабочий стол нам необходимо разрешить порт удаленного доступа через наш общедоступный сетевой адаптер через раздел свойств маршрутизации и удаленного доступа. В противном случае мы потеряем доступ к серверу через удаленный рабочий стол, потому что у нас есть только один сетевой интерфейс, доступный на сервере как для VPN-трафика, так и для удаленного доступа.
В диспетчере маршрутизации и удаленного доступа разверните Имя сервера >> Разверните IPv4 >> Выберите NAT >> Щелкните правой кнопкой мыши Наш общедоступный сетевой адаптер и выберите Свойства.
Выберите «Удаленный доступ». Появится всплывающее окно, в поле «Частный адрес» укажите общедоступный IP-адрес нашего сервера и нажмите «ОК». После этого нажмите Применить и ОК.
Если у вас другой порт RDP, вам нужно создать новое разрешающее правило, нажав кнопку "Добавить".
Часть 7. Разрешить пользователям удаленный доступ через VPN.
В этой части мы предоставляем существующему пользователю на VPN-сервере удаленный доступ. Тогда, только если мы передадим логины этих пользователей сервера удаленным VPN-клиентам, они смогут успешно подключиться к серверу через VPN.
Перейдите в раздел «Управление компьютером» >> разверните «Локальные пользователи и группы» >> «Выбрать пользователей» >> щелкните правой кнопкой мыши пользователя, которому мы хотим предоставить доступ к VPN, и выберите свойства.
На вкладке «Входящие звонки» >> выберите «Разрешить доступ». Нажмите «Применить» и «ОК».
part:8 Определите сертификат SSL для службы маршрутизации и удаленного доступа.
В этом разделе мы прикрепляем самозаверяющий сертификат, созданный в части 3, к службе маршрутизации и удаленного доступа, после чего только удаленные клиенты vpn могут обмениваться данными через SSTP.
В диспетчере маршрутизации и удаленного доступа >> щелкните правой кнопкой мыши имя сервера и выберите "Свойства".
На вкладке «Безопасность» выберите наш самоподписанный сертификат и нажмите «ОК».
Подтвердите перезапуск службы маршрутизации и удаленного доступа, нажав Да.
Часть 9. Разрешить порты VPN в брандмауэре Windows.
В этой части мы разрешаем порты, используемые VPN-сервером для связи в брандмауэре Windows. В противном случае удаленные VPN-клиенты не смогут взаимодействовать с VPN-сервером.
Теперь введите приведенные ниже команды Power Shell, чтобы разрешить порты в брандмауэре Windows.
Теперь, если мы посмотрим на входящий раздел брандмауэра Windows, мы увидим, что порты разрешены.
На этом настройка VPN-сервера SSTP на Windows Server 2019 завершена. Теперь давайте приступим к настройке удаленного VPN-клиента на ПК с Windows 10 и попробуем установить подключение к VPN-серверу.
Шаг 10. Импортируйте самозаверяющий сертификат на ПК с Windows 10.
Сначала загрузите файл экспортированного самоподписанного сертификата в части 4 с сервера на удаленный компьютер с Windows 10. Для этого вы можете использовать любые варианты загрузки, например, использовать службу ftp или прикрепить файл экспорта SSL к своей электронной почте и загрузить его со своего клиентского ПК и т. д.
После успешной загрузки дважды щелкните файл экспортированного сертификата SSL. В нашем случае это файл vpnsslcertificate.pfx из Windows 10.
Дважды щелкните PFX-файл экспорта ssl.
В мастере импорта сертификатов выберите «Локальный компьютер» и нажмите «Далее».
Подтвердите имя файла, нажав кнопку "Далее".
Укажите пароль для импорта файла и нажмите «Далее». Это тот же пароль, который мы даем в части 4
Выберите «Пожалуйста, все сертификаты в следующем хранилище» и нажмите «Обзор». Выберите хранилище сертификатов как «Доверенные корневые центры сертификации». Нажмите "ОК".
Подтвердите выбор магазина, нажав кнопку "Далее".
Завершите импорт сертификата, нажав "Готово".
Мы получим сообщение об успешном импорте.
Шаг 11. Проверка конфигурации SSTP VPN.
В нашем случае имя хоста сервера — VPNSERVER2019, которое является фиктивным именем сервера и не имеет надлежащих записей DNS A. Поэтому, прежде чем пытаться подключиться к VPN-серверу, мы определяем запись хоста DNS в файле хостов Windows 10 C:\Windows\System32\drivers\etc\hosts
Для этого откройте блокнот от имени администратора. Найдите блокнот в поиске Windows и нажмите «Запуск от имени администратора».
Перейдите в папку C:\Windows\System32\drivers\etc и выберите Показать все файлы. В нем будет список файлов с именами hosts. Выберите его и нажмите «Открыть».
Добавьте запись, как показано на скриншоте, и сохраните ее.
Теперь добавим VPN-подключение. Для этого откройте настройки сети и Интернета.
В разделе VPN >> нажмите Добавить VPN-подключение.
Выберите провайдера VPN как встроенного в Windows
В поле "Имя подключения" укажите любое имя
В поле "Имя сервера" или "Адрес" укажите Имя хоста нашего сервера
Выберите тип VPN как безопасный протокол туннелирования сокетов (SSTP)
Тип данных для входа в виде имени пользователя и пароля
Дал нам имя пользователя и пароль VPN. Нажмите Сохранить.
Нажмите «Подключиться», чтобы просмотреть сохраненные настройки VPN-клиента.
Теперь мы увидим статус VPN как подключенный.
Два других способа подтвердить успешность VPN-подключения: вернуться к VPN-серверу 2019 и открыть Диспетчер маршрутизации и удаленного доступа >> Оттуда разверните имя нашего сервера >> Выберите клиент удаленного доступа, и справа мы увидим активное соединение.
Еще один способ подтвердить успешное VPN-подключение: открыть браузер на ПК с Windows 10 и найти мой IP-адрес, и он покажет общедоступный IP-адрес интернет-провайдера как IP-адрес VPN-сервера. Это означает, что весь интернет-трафик со стороны клиента проходит через наш VPN-сервер.
На этом настройка SSTP VPN на сервере Windows Server 2019 завершена. Надеюсь, эта статья в блоге будет информативной. Оставьте свое мнение в поле для комментариев.
В этом посте мы узнаем, как настроить SSTP VPN на Windows Server 2019 с использованием самозаверяющего сертификата.
Протокол безопасного туннелирования сокетов (SSTP):
Secure Socket Tunneling Protocol (SSTP) – это протокол туннелирования, разработанный Microsoft. SSTP использует TCP-соединение (порт 443) для управления туннелем.
Примечание. В производственной среде следует использовать сертификат общедоступного центра сертификации. Поскольку мы только тестируем конфигурацию SSTP, в этом руководстве мы будем использовать самозаверяющий сертификат.
Знакомство с тестовой лабораторией SSTP:
- WS2K19-DC01: контроллер домена и DNS.
- WS2K19-VPN01: рядовой сервер.
- WS10-CLI01: клиентский компьютер с Windows 10.
Шаг 1. Установите роль сервера удаленного доступа в Windows Server 2019:
<р>1. Первым шагом является установка роли сервера удаленного доступа. Откройте консоль диспетчера серверов и запустите мастер установки ролей и компонентов. Выберите роль сервера удаленного доступа.<р>2. В выбранных службах ролей выберите службу ролей DirectAccess и VPN (RAS). Нажмите «Далее» и завершите установку.
<р>3. Когда установка завершится, нажмите «Открыть мастер начала работы». Оставьте консоль открытой и перейдите к следующему шагу, чтобы создать самозаверяющий сертификат.
Шаг 2. Создайте самозаверяющий сертификат с помощью диспетчера IIS.
<р>4. На рядовом сервере откройте консоль диспетчера серверов. Нажмите «Инструменты» и выберите «Диспетчер информационных служб Интернета (IIS)».<р>5. Щелкните имя сервера (WS2K19-VPN01) в столбце подключений слева и дважды щелкните Сертификаты сервера.
<р>6. Нажмите «Создать самозаверяющий сертификат» в столбце «Действия» справа.
. <р>7. Введите понятное имя, которое вы хотите использовать для идентификации самозаверяющего сертификата, а затем нажмите OK, чтобы завершить процесс.
<р>8. Теперь у вас есть самозаверяющий сертификат IIS, указанный в разделе «Сертификаты сервера». Дважды щелкните Сертификат. Срок действия самоподписанного сертификата составляет один год.
Шаг 3. Экспорт самозаверяющего сертификата:
<р>9. Нажмите на вкладку Подробности. Нажмите «Копировать в файл».<р>10. Выберите Нет, не экспортировать закрытый ключ. Нажмите «Далее».
<р>11. Укажите место для сохранения файла. Нажмите «Далее».
<р>12. Нажмите «Готово». Нажмите OK в консоли подтверждающего сообщения.
Примечание. Вам необходимо скопировать этот файл сертификата .cer на компьютер с Windows 10. Проще всего это сделать, отправив этот CER-файл по электронной почте.
Шаг 4. Настройка службы удаленного доступа и SSTP VPN:
<р>13. На странице настройки удаленного доступа нажмите Развернуть только VPN.<р>14. Откроется консоль управления маршрутизацией и удаленным доступом. Вы также можете открыть консоль управления из меню "Инструменты".
<р>15. Щелкните правой кнопкой мыши имя сервера и выберите «Настроить и включить маршрутизацию и удаленный доступ».
<р>16. На экране приветствия нажмите «Далее».
<р>17. На странице Конфигурация выберите переключатель Пользовательская конфигурация. Нажмите «Далее».
<р>18. На странице службы выберите VPN-доступ. Нажмите «Далее».
<р>19. После нажатия на «Готово» вам будет предложено запустить службу. Нажмите «Запустить службу».
<р>20. Теперь вы увидите зеленую стрелку вверх рядом с именем вашего сервера.
Шаг 5. Настройте параметры SSTP и укажите диапазон IP-адресов:
Чтобы настроить SSTP VPN, нам нужно настроить определенные параметры в разделе свойств VPN-сервера.
21. Щелкните правой кнопкой мыши имя сервера и выберите "Свойства".
22. Нажмите на вкладку «Безопасность».В разделе «Привязка SSL-сертификата» выберите самозаверяющий сертификат, который вы только что создали ранее.
23. Нажмите на вкладку IPv4. Выберите переключатель Статический пул адресов.
24. Нажмите «Добавить» и укажите диапазон IP-адресов. Нажмите "ОК".
25. Нажмите «Применить», чтобы сохранить изменения на сервере VPN. Он попросит перезапустить службу маршрутизации и удаленного доступа. Нажмите «Да», чтобы сделать это.
Шаг 6. Создайте пользователя AD и разрешите телефонный доступ:
26. На контроллере домена откройте оснастки «Пользователи и компьютеры Active Directory». Создайте пользователей AD с именами Test User1 и Test User2.
27. Включите коммутируемый доступ для выбранных пользователей VPN, открыв свойства пользователя и выбрав Разрешить доступ на вкладке Коммутируемый доступ.
Примечание. При желании вы можете настроить сервер политики сети, чтобы пользователи VPN могли подключаться к серверу VPN, работающему на Windows Server 2019.
Шаг 7. Импортируйте самозаверяющий сертификат на компьютер с Windows 10:
После того как вы получите файл сертификата .cer, вам необходимо импортировать сертификат на локальный компьютер. Вам необходимо хранить сертификат в хранилище доверенных корневых центров сертификации.
28. Дважды щелкните файл SSTPselfsigned.cer. Нажмите «Установить сертификат».
29. Выберите «Локальный компьютер» и нажмите «Далее».
<р>30. Выберите переключатель «Поместить сертификаты в следующий магазин» и нажмите «Обзор».
.
31. Выберите хранилище «Доверенные корневые центры сертификации» и нажмите «ОК». Нажмите «Далее».
32. Нажмите «Готово», чтобы завершить процесс импорта.
Шаг 8. Проверка конфигурации SSTP VPN:
На клиентском компьютере с Windows 10 нам нужно создать новое VPN-подключение.
33. Щелкните правой кнопкой мыши кнопку "Пуск" и выберите "Сетевые подключения".
34. На левой панели нажмите VPN.
35. Нажмите «Добавить новое VPN-подключение».
36. Укажите необходимую информацию для VPN-подключения.
- Провайдер VPN: Windows (встроенный)
- Имя подключения: имя по вашему выбору
- Имя сервера или IP-адрес: полное доменное имя VPN-сервера
- Тип VPN: SSTP (протокол безопасного туннелирования сокетов)
Нажмите "Сохранить".
37. Выберите VPN-подключение и нажмите Подключиться.
38. Укажите имя пользователя и пароль для подключения к VPN-серверу. Нажмите OK, чтобы подключиться.
39. Убедитесь, что VPN-подключение успешно подключено к VPN-серверу по протоколу SSTP.
На клиентском компьютере с Windows 10:
40. Нажмите клавишу Windows и клавишу R вместе. В меню «Выполнить» введите ncpa.cpl и нажмите Enter, чтобы открыть консоль сетевого подключения.
41. Щелкните правой кнопкой мыши VPN-подключение и нажмите кнопку «Статус».
42. Нажмите на подробности, чтобы просмотреть информацию о VPN-подключении, например о методе аутентификации и т. д.
В этой статье мы рассмотрели шаги по установке и настройке SSTP VPN с использованием самозаверяющего сертификата в Windows Server 2019 и Windows 10.
Читайте также: