Настройка VPN для Windows Server 2019

Обновлено: 21.11.2024

VPN — один из самых популярных инструментов для удаленной работы пользователей. Хотя существует множество сторонних VPN, вы также можете настроить Windows Server для работы в качестве VPN. В этой статье я покажу вам, как настроить Windows Server 2019 для работы в качестве VPN-сервера.

Прежде чем я начну

Прежде чем я начну, мне нужно быстро упомянуть две вещи. Во-первых, процедура, которую я собираюсь вам показать, — не единственный способ настроить Windows Server VPN. Я намерен максимально упростить этот процесс для тех, кто никогда раньше этого не делал.

Второе, что вам нужно знать перед началом работы, это то, что VPN-сервер должен быть оснащен двумя сетевыми интерфейсами. Один из этих интерфейсов будет обрабатывать входящий трафик и должен быть подключен к Интернету. Другой интерфейс будет подключен к вашей внутренней сети.

Процесс настройки VPN для Windows Server 2019

Первым шагом в этом процессе является использование диспетчера серверов (или PowerShell) для установки роли удаленного доступа, как показано ниже. Вам не нужно беспокоиться об установке каких-либо дополнительных ролей функций, но когда вы попадете на экран «Службы ролей», вам нужно будет выбрать службу DirectAccess и VPN (RAS) и службу маршрутизации, а также поддерживающие функции, которые рекомендуется Windows.

Выберите роль удаленного доступа. Выберите службу DirectAccess и VPN (RAS) вместе со службой маршрутизации.

Когда процесс установки роли и компонента завершится, закройте мастер. Затем щелкните значок уведомлений диспетчера серверов. Когда вы это сделаете, вы увидите сообщение о том, что требуется настройка после развертывания. Щелкните ссылку Открыть мастер начала работы.

Открытие мастера начала работы

В этот момент вы увидите экран с вопросом о том, как вы хотите настроить сервер. В интересах простоты выберите вариант «Развернуть только VPN». Когда вы это сделаете, Windows откроет консоль маршрутизации и удаленного доступа. На этом этапе вам нужно будет щелкнуть правой кнопкой мыши список вашего сервера в дереве консоли, а затем выбрать параметр «Настроить и включить маршрутизацию и удаленный доступ» в контекстном меню, как показано ниже.

Щелкните правой кнопкой мыши свой сервер и выберите параметр для настройки и включения маршрутизации и удаленного доступа

Windows запустит мастер настройки сервера маршрутизации и удаленного доступа. Нажмите «Далее», чтобы пропустить экран приветствия мастера, и вы попадете на экран с вопросом, какую службу вы хотите настроить. Соответствующий выбор будет варьироваться в зависимости от вашего варианта использования. Однако, если ваша цель — включить базовые возможности VPN, вам следует выбрать вариант Доступ к виртуальной частной сети (VPN) и NAT.

Выберите доступ к виртуальной частной сети (VPN) и параметр NAT

На следующем экране вам будет предложено выбрать интерфейс для подключения к Интернету. Это интерфейс, через который клиенты будут подключаться к VPN-серверу.

Выберите внешний интерфейс вашего VPN-сервера

Теперь выберите, хотите ли вы предоставлять клиентам IP-адреса автоматически (с DHCP-сервера или из выделенного пула адресов). Сделайте свой выбор и нажмите «Далее».

Нажмите «Далее», и вас спросят, хотите ли вы использовать сервер Radius для проверки подлинности запросов на удаленный доступ. Выберите Нет, чтобы разрешить VPN-серверу самостоятельно аутентифицировать запросы аутентификации. Нажмите «Далее», а затем «Готово». Когда вы это сделаете, вы можете увидеть сообщение о том, что вам нужно вручную открыть необходимые порты брандмауэра. Обязательно сделайте это при необходимости.

Проверка VPN

Прежде чем вы сможете протестировать свой VPN-сервер, вам необходимо предоставить одному или нескольким пользователям разрешение на удаленный доступ к серверу. После этого вы сможете подключиться к VPN-серверу из клиента Windows 10. Чтобы установить VPN-подключение, откройте панель управления Windows, а затем нажмите «Сеть и Интернет», а затем «Центр управления сетями и общим доступом». Когда откроется Центр управления сетями и общим доступом, нажмите ссылку «Настроить новое подключение или сеть». На следующем экране выберите вариант подключения к рабочему месту.

Нажмите «Настроить новое подключение или сеть». Выберите вариант подключения к рабочему месту.

На следующем экране вас спросят, хотите ли вы использовать подключение к Интернету или предпочитаете напрямую подключаться к VPN-серверу. Выберите вариант Интернет.

На этом этапе вы должны перейти к экрану, который запрашивает интернет-адрес вашего VPN-сервера. Вы можете заполнить это поле, используя имя DNS или адрес IPv4 или IPv6. Вам также нужно будет указать имя для соединения, которое вы создаете. Нажмите кнопку «Создать», чтобы создать VPN-подключение.

Введите IP-адрес вашего VPN-сервера

Теперь вернитесь к экрану «Сеть и Интернет» в Панели управления. Щелкните ссылку «Сеть и Интернет», а затем ссылку «Центр управления сетями и общим доступом». Нажмите «Изменить настройки адаптера», и вы должны увидеть значок, представляющий ваше VPN-подключение. Щелкните правой кнопкой мыши по этому значку, а затем выберите пункт «Подключение/отключение» в контекстном меню. При появлении запроса щелкните соединение во всплывающем окне, а затем укажите свои учетные данные для аутентификации. Клиент должен иметь возможность подключиться к созданной вами VPN.

Клиент Windows подключен к VPN

Не забывайте о безопасности

Как видите, настроить Windows Server 2019 для работы в качестве VPN относительно просто. Тем не менее, важно помнить, что в отношении безопасности можно сделать гораздо больше, чем вы можете. В этой статье я хотел максимально упростить процесс настройки для тех, кто никогда раньше не настраивал службы маршрутизации и удаленного доступа Windows Server.

Главная страсть Александра — технологии. Имея солидный писательский опыт, он полон решимости донести до обычного пользователя передовые технологии. Острым глазом он всегда замечает следующее большое событие вокруг. Подробнее

  • Windows Server 2019 поддерживает VPN-подключения. Но вам придется немного потрудиться, чтобы настроить его и разрешить доступ к VPN всем вовлеченным пользователям.
  • Ознакомьтесь с тремя простыми шагами по настройке VPN на Windows Server 2019. Вам не нужно устанавливать какие-либо программные инструменты, поскольку вы можете использовать встроенные настройки сервера.
  • Нужна новая установка ОС? Загрузите Windows Server 2019 прямо сейчас!
  • Присоединяйтесь к нашему Центру устранения неполадок VPN, чтобы получить дополнительные руководства.

Для решения различных проблем с ПК мы рекомендуем DriverFix:
Это программное обеспечение будет поддерживать работоспособность ваших драйверов, тем самым защищая вас от распространенных компьютерных ошибок и сбоев оборудования. Проверьте все свои драйверы прямо сейчас, выполнив 3 простых шага:

Использование VPN на Windows Server имеет множество преимуществ.

Он позволяет пользователям в небольшой среде получать доступ к Windows Server удаленным клиентам или брандмауэрам.

Если вы хотите узнать, как установить VPN на Windows Server 2019, вот все, что вам нужно знать.

Доступ к контенту по всему миру с максимальной скоростью.

Защитите несколько устройств и наслаждайтесь стабильным подключением в любом месте.

Удобный VPN-сервис со всесторонними функциями безопасности.

Подключайтесь к тысячам серверов для непрерывного непрерывного просмотра.

Просматривайте веб-страницы с нескольких устройств с помощью стандартных протоколов безопасности.

Как настроить VPN на Windows Server 2019?

Установка удаленного доступа с помощью диспетчера серверов

Альтернативным решением является установка и настройка удаленного доступа с помощью PowerShell.

Настройте VPN

Вы не должны столкнуться с какими-либо проблемами на этом этапе, если используете специальный мастер.

Настроить VPN-доступ

Наконец, осталось только настроить пользователя VPN и доступ к сети. Вы должны открыть и перенаправить порты от брандмауэра к Windows Server.

В зависимости от используемого протокола вам следует открыть следующие порты:

  • Для PPTP: 1723 TCP и протокол 47 GRE (также известный как сквозной протокол PPTP).
  • Для L2TP через IPSEC: 1701 TCP и 500 UDP
  • Для SSTP: 443 TCP

Если у вас нет DHCP-сервера, вы можете установить статический пул IPv4-адресов. Это можно сделать, выполнив следующие действия:

  1. Во-первых, убедитесь, что у всех пользователей включен удаленный доступ.
  2. Откройте панель свойств вашего VPN-сервера.
  3. Перейдите на вкладку IPv4 и включите статический пул адресов.
  4. Нажмите «Добавить» и добавьте тот же статический IP-адрес из той же подсети сервера.

Итак, вы можете установить VPN на свой Windows Server 2019, выполнив три простых шага: настроить Remote Manager с помощью Server Manager или PowerShell, установить VPN и управлять разрешениями на доступ к VPN.

Если у вас возникли технические трудности, сообщите нам об этом, оставив комментарий в разделе ниже.

Ваше соединение не защищено — веб-сайты, которые вы посещаете, могут узнать ваши данные:

Компании могут продавать эту информацию, наряду с вашим местоположением и именем интернет-провайдера, и получать от этого прибыль, показывая таргетированную рекламу или отслеживая использование ваших данных.

Мы рекомендуем частный доступ в Интернет, VPN с политикой отсутствия журналов, открытым исходным кодом, блокировкой рекламы и многим другим; сейчас скидка 79%.

RRAS хорошо работает как в качестве маршрутизатора, так и в качестве сервера удаленного доступа, поскольку поддерживает широкий набор функций. Для целей этого развертывания вам потребуется лишь небольшой набор этих функций: поддержка VPN-соединений IKEv2 и маршрутизация по локальной сети.

IKEv2 — это протокол туннелирования VPN, описанный в запросе 7296 рабочей группы по проектированию Интернета. Основное преимущество IKEv2 заключается в том, что он допускает прерывания основного сетевого подключения. Например, если подключение временно потеряно или если пользователь перемещает клиентский компьютер из одной сети в другую, IKEv2 автоматически восстанавливает VPN-подключение при восстановлении сетевого подключения — и все это без вмешательства пользователя.

Настройте сервер RRAS для поддержки подключений IKEv2, отключив неиспользуемые протоколы, что уменьшит влияние безопасности сервера. Кроме того, настройте сервер для назначения адресов VPN-клиентам из статического пула адресов. Вы можете назначать адреса из пула или DHCP-сервера; однако использование DHCP-сервера усложняет конструкцию и дает минимальные преимущества.

Важно:

Установите два сетевых адаптера Ethernet на физический сервер. Если вы устанавливаете VPN-сервер на виртуальную машину, необходимо создать два внешних виртуальных коммутатора, по одному для каждого физического сетевого адаптера; а затем создайте два виртуальных сетевых адаптера для виртуальной машины, при этом каждый сетевой адаптер будет подключен к одному виртуальному коммутатору.

Установите сервер в сети периметра между граничным и внутренним брандмауэрами, подключив один сетевой адаптер к внешней сети периметра, а другой сетевой адаптер — к внутренней сети периметра.

Прежде чем начать, обязательно включите IPv6 на сервере VPN. В противном случае соединение не может быть установлено и отображается сообщение об ошибке.

Установить удаленный доступ в качестве VPN-сервера RAS Gateway

В этой процедуре вы устанавливаете роль удаленного доступа в качестве отдельного VPN-сервера RAS Gateway. Дополнительные сведения см. в разделе Удаленный доступ.

Установите роль удаленного доступа с помощью Windows PowerShell

Откройте Windows PowerShell от имени администратора.

Введите и запустите следующий командлет:

После завершения установки в Windows PowerShell появится следующее сообщение.

Установите роль удаленного доступа с помощью диспетчера серверов

Вы можете использовать следующую процедуру для установки роли удаленного доступа с помощью диспетчера серверов.

На VPN-сервере в Диспетчере серверов выберите Управление, а затем выберите Добавить роли и компоненты.

Откроется мастер добавления ролей и компонентов.

На странице "Перед началом" выберите "Далее".

На странице "Выбор типа установки" выберите вариант установки на основе ролей или компонентов и нажмите кнопку "Далее".

На странице "Выбор целевого сервера" выберите параметр "Выбрать сервер из пула серверов".

В разделе "Пул серверов" выберите локальный компьютер и нажмите "Далее".

На странице "Выбор ролей сервера" в разделе "Роли" выберите "Удаленный доступ", а затем "Далее".

На странице "Выбор функций" нажмите "Далее".

На странице удаленного доступа выберите Далее.

На странице "Выбор службы ролей" в разделе "Службы ролей" выберите DirectAccess и VPN (RAS).

Откроется диалоговое окно мастера добавления ролей и компонентов.

В диалоговом окне "Добавить роли и функции" выберите "Добавить функции", затем нажмите "Далее".

На странице "Роль веб-сервера (IIS)" выберите "Далее".

На странице "Выбор служб ролей" нажмите "Далее".

На странице "Подтверждение выбора установки" просмотрите свой выбор и выберите "Установить".

По завершении установки выберите Закрыть.

Настроить удаленный доступ в качестве VPN-сервера

В этом разделе можно настроить VPN удаленного доступа, чтобы разрешить VPN-подключения IKEv2, запретить подключения по другим протоколам VPN и назначить пул статических IP-адресов для выдачи IP-адресов подключающимся авторизованным VPN-клиентам.

На VPN-сервере в Диспетчере серверов установите флажок Уведомления.

В меню "Задачи" выберите "Открыть мастер начала работы".

Откроется мастер настройки удаленного доступа.

Мастер настройки удаленного доступа может открыться за диспетчером серверов. Если вы считаете, что мастер открывается слишком долго, переместите или сверните Диспетчер серверов, чтобы выяснить, не стоит ли за этим мастер. Если нет, дождитесь инициализации мастера.

Выберите Развернуть только VPN.

Откроется консоль управления маршрутизацией и удаленным доступом (MMC).

Нажмите правой кнопкой мыши VPN-сервер, затем выберите «Настроить и включить маршрутизацию и удаленный доступ».

Откроется мастер настройки сервера маршрутизации и удаленного доступа.

В окне "Вас приветствует мастер настройки сервера маршрутизации и удаленного доступа" нажмите "Далее".

В разделе «Конфигурация» выберите «Пользовательская конфигурация», а затем нажмите «Далее».

В пользовательской конфигурации выберите Доступ к VPN, а затем нажмите кнопку Далее.

Откроется окно завершения мастера настройки сервера маршрутизации и удаленного доступа.

Нажмите "Готово", чтобы закрыть мастер, затем нажмите "ОК", чтобы закрыть диалоговое окно "Маршрутизация и удаленный доступ".

Выберите Запустить службу, чтобы запустить удаленный доступ.

В MMC удаленного доступа щелкните правой кнопкой мыши VPN-сервер и выберите "Свойства".

В свойствах выберите вкладку "Безопасность" и выполните следующие действия:

а. Выберите «Поставщик аутентификации» и выберите «Аутентификация RADIUS».

б. Выберите Настроить.

Откроется диалоговое окно "Аутентификация RADIUS".

<р>в. Выберите Добавить.

Откроется диалоговое окно "Добавить сервер RADIUS".

д. В поле Имя сервера введите полное доменное имя (FQDN) сервера NPS в вашей организации/корпоративной сети.

<р>т.е. В разделе Общий секрет выберите Изменить.

Откроется диалоговое окно "Изменить секрет".

ж. В поле Новый секрет введите текстовую строку.

г. В поле Подтвердите новый секрет введите ту же текстовую строку и нажмите кнопку ОК.

Сохраните эту текстовую строку. Когда вы настраиваете NPS-сервер в своей организации/корпоративной сети, вы добавляете этот VPN-сервер в качестве RADIUS-клиента. Во время этой настройки вы будете использовать тот же общий секрет, чтобы NPS и VPN-серверы могли обмениваться данными.

В разделе "Добавить сервер RADIUS" проверьте параметры по умолчанию для:

Тайм-аут

Начальная оценка

Порт

При необходимости измените значения в соответствии с требованиями вашей среды и нажмите кнопку ОК.

NAS – это устройство, которое обеспечивает некоторый уровень доступа к более крупной сети. NAS, использующий инфраструктуру RADIUS, также является клиентом RADIUS, отправляющим запросы на подключение и учетные сообщения на сервер RADIUS для проверки подлинности, авторизации и учета.

Проверьте настройки поставщика услуг учета:

Выберите вкладку IPv4 и выполните:

а. Выберите Статический пул адресов.

б. Выберите Добавить, чтобы настроить пул IP-адресов.

Пул статических адресов должен содержать адреса из внутренней сети периметра. Эти адреса находятся во внутреннем сетевом соединении на сервере VPN, а не в корпоративной сети.

<р>в. В поле «Начальный IP-адрес» введите начальный IP-адрес в диапазоне, который вы хотите назначить VPN-клиентам.

д. В поле Конечный IP-адрес введите конечный IP-адрес в диапазоне, который вы хотите назначить VPN-клиентам, или в поле Количество адресов введите номер адреса, который вы хотите сделать доступным. Если вы используете DHCP для этой подсети, убедитесь, что вы настроили соответствующее исключение адресов на своих DHCP-серверах.

Для оптимальной производительности сети сам VPN-сервер не должен иметь сетевой интерфейс в той же подсети IPv4, которая назначает адреса IPv4 клиентам. Если у VPN-сервера есть сетевой интерфейс в этой подсети, широковещательная или многоадресная рассылка, отправляемая в эту подсеть, может вызвать всплеск задержки.

<р>т.е. (Необязательно) Если вы используете DHCP, выберите Адаптер и в списке результатов выберите адаптер Ethernet, подключенный к вашей внутренней сети периметра.

(Необязательно) Если вы настраиваете условный доступ для подключения к VPN, в раскрывающемся списке Сертификат в разделе Привязка SSL-сертификата выберите аутентификацию VPN-сервера.

(Необязательно) Если вы настраиваете условный доступ для VPN-подключения, в MMC NPS разверните Policies\Network Policies и выполните следующие действия:

а. Справа — сетевая политика «Подключения к серверу маршрутизации и удаленного доступа Microsoft» и выберите «Свойства».

б. Выберите Предоставить доступ. Предоставьте доступ, если запрос на подключение соответствует этому параметру политики.

<р>в. В разделе Тип сервера доступа к сети выберите в раскрывающемся списке Сервер удаленного доступа (VPN-Dial-up).

В консоли MMC «Маршрутизация и удаленный доступ» щелкните правой кнопкой мыши «Порты» и выберите «Свойства».

Откроется диалоговое окно "Свойства портов".

Выберите мини-порт WAN (SSTP) и выберите «Настроить». Откроется диалоговое окно «Настройка устройства — мини-порт WAN (SSTP)».

а. Снимите флажки Подключения удаленного доступа (только входящие) и Подключения маршрутизации по запросу (входящие и исходящие).

б. Выберите ОК.

Выберите мини-порт WAN (L2TP) и выберите «Настроить». Откроется диалоговое окно «Настройка устройства — мини-порт WAN (L2TP)».

а.В поле Максимальное количество портов введите количество портов, соответствующее максимальному количеству одновременных подключений VPN, которые вы хотите поддерживать.

б. Выберите ОК.

Выберите мини-порт WAN (PPTP) и выберите «Настроить». Откроется диалоговое окно «Настройка устройства — мини-порт WAN (PPTP)».

а. В поле Максимальное количество портов введите количество портов, соответствующее максимальному количеству одновременных подключений VPN, которые вы хотите поддерживать.

б. Выберите ОК.

Выберите мини-порт WAN (IKEv2) и выберите «Настроить». Откроется диалоговое окно «Настройка устройства — мини-порт WAN (IKEv2)».

а. В поле Максимальное количество портов введите количество портов, соответствующее максимальному количеству одновременных подключений VPN, которые вы хотите поддерживать.

б. Выберите ОК.

При появлении запроса выберите Да, чтобы подтвердить перезапуск сервера, и выберите Закрыть, чтобы перезапустить сервер.

Следующий шаг

Шаг 4. Установка и настройка сервера политики сети (NPS). На этом этапе вы устанавливаете сервер политики сети (NPS) с помощью Windows PowerShell или мастера добавления ролей и компонентов диспетчера серверов. Вы также настраиваете NPS для обработки всех обязанностей по проверке подлинности, авторизации и учету для запросов на подключение, которые он получает от VPN-сервера.

Эта запись в блоге представляет собой пошаговое руководство по установке и настройке VPN на Windows Server 2019. В этой записи блога показано, как легко настроить VPN-сервер для небольшой среды, филиала или размещенного сервера. сценарий. Этот сервер VPN (виртуальная частная сеть) позволяет подключаться с удаленных клиентов или брандмауэров к серверу Windows.

Я уже делал аналогичный пост для других версий Windows

Чтобы установить VPN-доступ к Windows Server 2019, просто следуйте этому пошаговому руководству:

Установить роль удаленного доступа

Сначала установите «Удаленный доступ» через диспетчер серверов или PowerShell.

Откройте Диспетчер серверов и выберите Добавить роли и компоненты

Выберите роль удаленного доступа и нажмите «Далее» в мастере.

На шаге Службы ролей выберите DirectAccess и VPN (RAS)

На последнем этапе выберите «Установить», чтобы установить роль удаленного доступа.

Для этого может потребоваться перезагрузка сервера.

Установка и настройка VPN на Windows Server 2019

После успешной установки вы можете запустить мастер для установки и настройки VPN-сервера в Windows Server 2019.

После установки функций, что может занять некоторое время, вы увидите ссылку на Мастер Приступая к работе. Нажмите «Открыть мастер начала работы».

При этом откроется новый мастер, который поможет вам настроить сервер. На первом экране выберите «Развернуть только VPN».

Откроется консоль управления маршрутизацией и удаленным доступом

Щелкните правой кнопкой мыши имя сервера и выберите «Настроить и включить маршрутизацию и удаленный доступ».

В новом мастере выберите «Пользовательская конфигурация».

Выберите «VPN-доступ».

После того, как вы нажали кнопку "Готово", вы можете запустить службу маршрутизации и удаленного доступа.

Настройка пользователей и сети VPN-доступа

Если у вас есть брандмауэр между Интернетом и вашим Windows Server, вы должны открыть следующий порт брандмауэра и перенаправить их на ваш Windows Server:

Для PPTP: 1723 TCP и протокол 47 GRE (также известный как PPTP Pass-through)
Для L2TP через IPSEC: 1701 TCP и 500 UDP
Для SSTP: 443 TCP

После установки пользователям необходимо разрешить удаленный доступ для подключения к вашему VPN-серверу. На отдельном сервере это можно сделать в MMC управления компьютером, в доменной среде это можно сделать в свойствах пользователя Active Directory.

Если в вашей среде нет DHCP-сервера, вам необходимо добавить пул статических IP-адресов. Это часто необходимо, если у вас есть один сервер, размещенный у поставщика услуг. В свойствах вашего VPN-сервера вы можете нажать на вкладку IPv4 и включить и настроить «Статический пул адресов».

Теперь вам нужно добавить IP-адрес из той же подсети, что и ваш пул статических адресов, в сетевой интерфейс вашего сервера, чтобы пользователи могли получить доступ к серверу.

Я надеюсь, что это поможет вам настроить VPN-сервер в небольшой среде, лаборатории или размещенном сервере. Дополнительную информацию о Windows Server можно найти в Microsoft Docs.

Читайте также: