Настройка VPN-сервера Windows Server 2012 r2

Обновлено: 03.07.2024

В этой статье мы рассмотрим, как установить VPN-сервер на Windows Server 2012 R2. Технология VPN (виртуальная частная сеть) используется для создания прямого соединения между компьютерами, находящимися в разных подсетях. Например, вы можете использовать VPN, когда необходимо настроить небольшую компьютерную сеть компаний, сотрудники которых работают удаленно. Это также может быть полезно в ситуации, когда вы хотите поиграть в компьютерную игру со своим другом, который живет в другом городе.

VPN использует транспортные интернет-протоколы TCP, UDP и имеет несколько типов реализации — PPTP, L2TP, OpenVPN. В этой статье мы рассмотрим VPN-решение для Microsoft Windows на основе PPTP. Этот протокол не является лучшим решением из-за его низкого уровня безопасности, но это самый простой и быстрый способ создать соединение, используя только встроенные функции вашей операционной системы без установки внешних приложений.

Следуйте этому пошаговому руководству.

Важно!

Перед началом установки VPN убедитесь, что порт 1723 открыт для TCP PPTP в вашем брандмауэре.

Сначала откройте Диспетчер серверов и нажмите Добавить роли и компоненты.

Диспетчер серверов добавляет функции ролей

Теперь выберите вариант установки на основе ролей или компонентов и нажмите "Далее".

установка функций на основе ролей

Теперь выберите нужный сервер, на котором вы хотите установить маршрутизацию и удаленный доступ.

выберите целевой сервер

В списке ролей выберите «Удаленный доступ» и нажмите «Далее».

роль сервера удаленного доступа

Нажмите "Далее", пока никаких дополнительных функций не требуется.

features net framework

Просто нажмите "Далее".

удаленный доступ

В следующей вкладке нужно выбрать DirectAccess и VPN (RAS).

прямой доступ к vpn

Нажмите «Добавить компоненты» во всплывающем окне.

добавить роли vpn

На странице подтверждения нажмите Установить, чтобы начать.

подтвердить выбор установки

После завершения процесса установки нажмите «Открыть мастер начала работы».

установка функции

На этой вкладке нажмите "Развернуть только VPN".

развернуть только vpn

Щелкните правой кнопкой мыши на своем сервере и выберите "Настроить и включить маршрутизацию и удаленный доступ".

настроить маршрутизацию удаленного доступа

Нажмите "Далее".

настройка маршрутизации удаленного доступа

В новом мастере выберите Удаленный доступ (удаленный доступ или VPN).

dial up vpn

На следующей странице выберите VPN.

vpn gateway

Здесь выберите сетевой адаптер, который подключает ваш сервер к Интернету.


Здесь вы можете выбрать способ раздачи IP-адресов — по DHCP или вручную. Выберите второй способ.

диапазон адресов

На этой вкладке нажмите "Создать".

назначение диапазона адресов

Во всплывающем окне укажите диапазон IP-адресов, нажмите OK, вернитесь на предыдущую вкладку и нажмите Далее.

новый диапазон адресов ipv4

На этой вкладке вы можете выбрать метод аутентификации. Выберите Маршрутизация и удаленный доступ.

использовать маршрутизацию

Нажмите "Готово". Теперь настройка завершена.

завершение маршрутизации

Это все. Ваш сервер готов к клиентским подключениям. Обратите внимание, что если ваша сеть достаточно велика, лучше использовать технологию DirectAccess.

Мне нравится технология и разработка веб-сайтов. С 2012 года я веду несколько собственных веб-сайтов и делюсь полезным контентом по гаджетам, администрированию ПК и продвижению веб-сайтов.

Мастер начала работы

В этом сообщении показано, как шаг за шагом установить VPN-сервер на Windows Server 2012 R2. В нем показано, как легко настроить VPN-сервер для небольшой среды или для сценария размещенного сервера.

Это определенно не руководство для корпоративного развертывания. Если вы думаете о корпоративном развертывании, вам обязательно следует взглянуть на Direct Access.

Я уже делал подобный пост для Windows Server 2008 R2 и Windows Server 2012.

Сначала установите «Удаленный доступ» через диспетчер серверов или Windows PowerShell.

Удаленный доступ

Выберите службы ролей DirectAccess и VPN (RAS).

DirectAccess и VPN (RAS)

На следующих шагах просто используйте настройки по умолчанию. После этого вы можете просмотреть обзорный экран и установить роль.

Удаленный доступ Подтверждение установки

После установки функций, которая может занять некоторое время, вы увидите ссылку на Мастер Приступая к работе. Нажмите «Открыть мастер начала работы».

Мастер начала работы

При этом откроется новый мастер, который поможет вам настроить сервер. На первом экране выберите «Развернуть только VPN».

Развернуть VPN

При этом откроется MMC маршрутизации и удаленного доступа

MMC маршрутизации и удаленного доступа

Щелкните правой кнопкой мыши имя сервера и выберите «Настроить и включить маршрутизацию и удаленный доступ».

Настройка и включение маршрутизации и удаленного доступа

В новом мастере выберите «Пользовательская конфигурация».

Пользовательская конфигурация VPN

Выберите «VPN-доступ».

VPN-доступ

После того, как вы нажали кнопку "Готово", вы можете запустить службу маршрутизации и удаленного доступа.

Начать ротацию и службу удаленного доступа

Если у вас есть другой брандмауэр между Интернетом и вашим Windows Server, вы должны открыть следующий порт брандмауэра и перенаправить их на ваш Windows Server:

Для PPTP: 1723 TCP и протокол 47 GRE (также известный как PPTP Pass-through)
Для L2TP через IPSEC: 1701 TCP и 500 UDP
Для SSTP: 443 TCP

После установки пользователям необходимо разрешить удаленный доступ для подключения к вашему VPN-серверу. На отдельном сервере это можно сделать в MMC управления компьютером, в доменной среде это можно сделать в свойствах пользователя Active Directory.

Разрешить удаленный доступ к VPN для пользователя

Если в вашей среде нет DHCP-сервера, вам необходимо добавить пул статических IP-адресов. Это часто необходимо, если у вас есть один сервер, размещенный у поставщика услуг. В свойствах вашего VPN-сервера вы можете нажать на вкладку IPv4 и включить и настроить «Статический пул адресов».

пул статических адресов

Теперь вам нужно добавить IP-адрес из той же подсети, что и ваш пул статических адресов, в сетевой интерфейс вашего сервера, чтобы пользователи могли получить доступ к серверу.

Я надеюсь, что это поможет вам настроить VPN-сервер в небольшой среде, лаборатории или размещенном сервере.


VPN (виртуальная частная сеть) – это технология, которая позволяет расширить локальную сеть на общедоступную сеть, такую ​​как Интернет. Используя VPN, компьютер, подключенный к Интернету, может отправлять и получать данные от компьютеров внутри сети, как если бы он был подключен напрямую.

Очень мощный инструмент для современных компаний.

На Windows Server 2012 R2 VPN легко настроить. Просто выполните следующие действия, и все будет готово (со стороны сервера, о настройке клиента мы поговорим в будущем).

<р>1. Установите роль удаленного доступа

Откройте Диспетчер серверов и нажмите Управление. Выберите Добавить роли и функции:

Как установить VPN на Windows 2012 R2

Нажимайте Далее, пока не дойдете до вкладки Роли:

Как установить VPN на Windows 2012 R2

Как установить VPN на Windows 2012 R2

Как установить VPN на Windows 2012 R2

Теперь выберите Удаленный доступ и нажмите Далее:

Как установить VPN на Windows 2012 R2

На вкладке Функции ничего выбирать не нужно, нажмите Далее:

Как установить VPN на Windows 2012 R2

Просто нажмите Далее:

Как установить VPN на Windows 2012 R2

Выберите Прямой доступ и VPN (RAS):

Как установить VPN на Windows 2012 R2

Появится диалоговое окно с отсутствующими зависимостями. Нажмите Добавить функции:

Как установить VPN на Windows 2012 R2

Установите роль Удаленный доступ. Это займет несколько минут:

Как установить VPN на Windows 2012 R2

Как установить VPN на Windows 2012 R2

<р>2. Установите и настройте VPN

Вернитесь на панель управления диспетчера серверов и нажмите Удаленный доступ. Выберите свой сервер и щелкните его правой кнопкой мыши, затем выберите Управление удаленным доступом:

Как установить VPN на Windows 2012 R2

Запустите мастер начала работы:

Как установить VPN на Windows 2012 R2

Нажмите Развернуть только VPN, и он будет установлен:

Как установить VPN на Windows 2012 R2

Выберите свой сервер, щелкните его правой кнопкой мыши и выберите Настроить и включить маршрутизацию и удаленный доступ:

Как установить VPN на Windows 2012 R2

Запустится новый мастер:

Как установить VPN на Windows 2012 R2

Выберите Пользовательская конфигурация и нажмите Далее:

Как установить VPN на Windows 2012 R2

Выберите только доступ к VPN:

Как установить VPN на Windows 2012 R2

Завершите процедуру и запустите службу:

Как установить VPN на Windows 2012 R2

Как установить VPN на Windows 2012 R2

Обратите внимание, что маршрутизатор и брандмауэр должны быть правильно настроены для поддержки функций VPN. Мы поговорим об этом в другом посте.

<р>3. Разрешить пользователям удаленный доступ

Вы можете разрешить пользователям Удаленный доступ в свойствах Active Directory:

Исторически VPN реализовывалась с использованием брандмауэров или выделенных устройств VPN. Так зачем использовать Windows Server для VPN? Вот некоторые вещи, которые следует учитывать.

  • Простота реализации. Установка и настройка VPN-сервера с помощью Windows Server 2012 R2 очень проста. Следуя инструкциям в этой статье, вы сможете развернуть VPN-сервер всего за несколько минут.
  • Простота управления. Управление VPN-сервером под управлением Windows Server 2012 R2 ничем не отличается от управления любым другим сервером Windows. Система управления Windows отработана и хорошо изучена, а сервер можно обслуживать с помощью существующих платформ, инструментов и процедур.
  • Экономичность. VPN-сервер на базе Windows Server 2012 R2 стоит значительно меньше, чем развертывание выделенного и проприетарного оборудования VPN. Сервер может быть развернут в существующей виртуальной инфраструктуре и не требует лицензирования для каждого пользователя. Кроме того, в большинстве случаев добавить емкость так же просто, как развернуть дополнительные ВМ.

Предварительные требования для установки

Виртуальный сервер должен быть настроен с двумя сетевыми интерфейсами; один внутренний и один внешний. Эта конфигурация обеспечивает более высокий уровень безопасности, поскольку внешний сетевой интерфейс может иметь более строгий профиль брандмауэра, чем внутренний интерфейс. Сервер с двумя сетевыми интерфейсами требует особого внимания к конфигурации сети. Только внешний сетевой интерфейс настроен со шлюзом по умолчанию. Без шлюза по умолчанию на внутреннем сетевом интерфейсе статические маршруты должны быть настроены на сервере, чтобы разрешить связь с любыми удаленными внутренними подсетями.Для получения дополнительной информации о настройке многосетевого сервера Windows нажмите здесь.

Сервер не обязательно присоединять к домену, но рекомендуется упростить процесс аутентификации для VPN-клиентов и обеспечить лучшее управление и безопасность сервера.

Подготовка сервера

После подготовки сервера и его присоединения к домену установка роли VPN становится простой и понятной. Чтобы установить роль VPN, введите следующую команду в командном окне PowerShell с повышенными привилегиями.

Install-WindowsFeature DirectAccess-VPN-IncludeManagementTools

Image


Установите роль VPN с помощью команды PowerShell Install-WindowsFeature.

Настроить удаленный доступ

Откройте консоль управления маршрутизацией и удаленным доступом. Щелкните правой кнопкой мыши VPN-сервер и выберите «Настроить и включить маршрутизацию и удаленный доступ».

Image


Настройте и включите маршрутизацию и удаленный доступ.

Нажмите "Далее", выберите вариант "Удаленный доступ (коммутируемый доступ или VPN)" и нажмите "Далее".

Image


Выберите «Удаленный доступ (коммутируемый доступ или VPN)».

Выберите VPN и нажмите "Далее".

Image


Выберите VPN.

Выберите сетевой интерфейс с выходом в Интернет. Кроме того, выберите параметр Включить безопасность на выбранном интерфейсе, настроив фильтры статических пакетов, и нажмите Далее.

Image


Выберите сетевой интерфейс с выходом в Интернет.

Примечание.
При настройке сервера полезно переименовать сетевые интерфейсы, используя интуитивно понятные имена, такие как «Внутренний» и «Внешний», как показано выше.

IP-адреса можно назначать клиентам вручную или через DHCP. Для удобства управления рекомендуется использовать DHCP. Выберите параметр автоматического назначения IP-адресов и нажмите «Далее».

Image


Выберите автоматическое назначение IP-адресов для удаленных клиентов.

Примечание.
Если VPN-сервер будет развернут в кластере с балансировкой нагрузки, IP-адреса должны быть назначены клиентам вручную.

Сервер VPN может сам аутентифицировать пользователей или перенаправлять запросы аутентификации на внутренний сервер RADIUS. Для целей этой статьи будет настроена собственная проверка подлинности Windows с использованием RRAS. Выберите «Нет», используйте маршрутизацию и удаленный доступ для проверки подлинности запросов на подключение и нажмите «Далее».

Image


Используйте маршрутизацию и удаленный доступ для проверки подлинности запросов на подключение.

Проверьте конфигурацию и нажмите "Готово".

Image

Мастер настройки RRAS укажет, что агент ретрансляции DHCP должен быть настроен для клиентов удаленного доступа. Нажмите OK, чтобы продолжить.

"Для поддержки ретрансляции сообщений DHCP от клиентов удаленного доступа необходимо настроить свойства агента ретрансляции DHCP, указав IP-адрес вашего DHCP-сервера".

Image


Напоминание о настройке агента ретрансляции DHCP.

Настроить агент DHCP-ретрансляции

Чтобы разрешить внутреннему DHCP-серверу назначать IP-адреса клиентам удаленного доступа, разверните IPv4, щелкните правой кнопкой мыши Агент DHCP-ретрансляции и выберите Свойства.

Image


Настройте агент ретрансляции DHCP.

Введите IP-адрес DHCP-сервера и нажмите Добавить. Повторите этот процесс для всех дополнительных DHCP-серверов и нажмите OK.

Image


Настройте агент ретрансляции DHCP.

Конфигурация сервера политики сети (NPS)

VPN-сервер настроен на разрешение удаленного доступа только тем пользователям, чьи свойства подключения учетной записи домена разрешены по умолчанию. Лучшим и более эффективным способом предоставления удаленного доступа является использование группы безопасности Active Directory (AD). Чтобы настроить разрешения на удаленный доступ для группы AD, щелкните правой кнопкой мыши Ведение журнала удаленного доступа и выберите Запустить NPS.

Image


Запустите NPS.

Щелкните правой кнопкой мыши «Сетевые политики» и выберите «Создать». Укажите описательное имя для политики, выберите Тип сервера доступа к сети, а затем выберите Сервер удаленного доступа (VPN-удаленный доступ) в раскрывающемся списке и нажмите кнопку Далее.

Image


Создайте новую сетевую политику.

Нажмите "Добавить", выберите "Группы Windows" и нажмите "Добавить".

Image


Выберите группы Windows.

Нажмите «Добавить группы», укажите имя группы безопасности AD, в которую входят пользователи, которым разрешено использовать VPN с удаленным доступом, затем нажмите «ОК» и «Далее».

Image


Укажите группу безопасности AD для удаленного доступа.

Выберите «Доступ предоставлен» и нажмите «Далее».

Image

Укажите разрешение на доступ.

Снимите галочку с опции использования Microsoft Encrypted Authentication (MS-CHAP). Нажмите «Добавить» и выберите Microsoft: Безопасный пароль (EAP-MSCHAP v2). Нажмите OK и Далее три раза, а затем нажмите Готово.

Image


Настройте методы аутентификации.

Тестирование подключения клиента

Теперь VPN-сервер настроен на прием входящих клиентских подключений удаленного доступа, но только в ограниченном режиме. Без дополнительной настройки будет работать только протокол PPTP VPN. К сожалению, в конфигурации по умолчанию протокол PPTP имеет серьезные уязвимости в системе безопасности, поэтому его не следует использовать в производственной среде. Тем не менее, можно быстро и эффективно проверить путь сетевого соединения и то, что аутентификация работает с его использованием.

Чтобы проверить подключение клиента на клиенте Windows 10, нажмите значок сети в области системных уведомлений, нажмите «Настройки сети», нажмите «VPN», а затем нажмите «Добавить VPN-подключение». Выберите Windows (встроенная) в качестве провайдера VPN, укажите описательное имя для подключения, введите имя или IP-адрес VPN-сервера, а затем нажмите Сохранить.

Image


Добавьте VPN-подключение.

Нажмите на тестовое VPN-подключение, а затем нажмите Подключиться.

Image


Установите VPN-подключение.

Введите учетные данные домена при появлении запроса и нажмите OK. Если все работает правильно, соединение должно быть успешно установлено.

Image


VPN-подключение успешно.

Обзор

Внедрение клиентского VPN-решения для безопасного удаленного доступа с помощью Windows Server 2012 R2 имеет много преимуществ по сравнению с специализированными и проприетарными устройствами безопасности. VPN-серверы на базе Windows просты в управлении, экономичны и обеспечивают большую гибкость развертывания. Однако на этом этапе требуется дополнительная настройка для правильной защиты входящих соединений, о чем я расскажу в следующей статье.

Мы будем делать это через графический интерфейс. Откройте диспетчер серверов, нажмите «Управление» и выберите «Добавить роли и компоненты».

Как настроить Windows Server 2012 VPN

Открывается мастер, выберите «Далее», нажмите «Установка на основе ролей или компонентов» и нажмите «Далее».

На следующей странице выберите целевой сервер, который является локальным компьютером.

Как настроить Windows Server 2012 VPN

Выберите роль удаленного доступа на следующей странице и нажмите "Далее".

Как настроить Windows Server 2012 VPN

На следующей странице выберите службы Direct Access и VPN Role, потому что это то, что нас интересует. Будет предложено установить необходимые функции, нажмите «Добавить функции» и «Далее».

Как настроить Windows Server 2012 VPN

Как настроить Windows Server 2012 VPN

Это также требует установки веб-сервера, вы можете просто выбрать значения по умолчанию и нажать кнопку "Далее".

Как настроить Windows Server 2012 VPN

Нажмите «Установить» и дождитесь завершения установки.

Настройка роли сервера удаленного доступа

Теперь, когда мы закончили установку роли сервера, нам нужно включить ее и предоставить несколько сведений, чтобы начать принимать входящие подключения.

В разделе «Администрирование» выберите «Удаленный доступ и маршрутизация». Появится окно, щелкните правой кнопкой мыши сервер и выберите «Настроить и включить, а также удаленный и маршрутизирующий доступ».

Как настроить Windows Server 2012 VPN

Откроется мастер и следуйте инструкциям.

Как настроить Windows Server 2012 VPN

Выберите «Пользовательская конфигурация» и нажмите «Далее».

Как настроить Windows Server 2012 VPN

На следующей странице выберите VPN-сервер и нажмите "Готово".

Как настроить Windows Server 2012 VPN

Как настроить Windows Server 2012 VPN

Следующим шагом будет запуск служб.

Как настроить Windows Server 2012 VPN

Теперь щелкните правой кнопкой мыши сервер и выберите "Свойства", чтобы настроить IP-адреса, которые он будет выдавать после установления соединений.

Как настроить Windows Server 2012 VPN

Теперь вам нужно разрешить входящие подключения через брандмауэр Windows. Перейдите в меню «Пуск», введите Брандмауэр и выберите третий вариант, как показано ниже.

Как настроить Windows Server 2012 VPN

Убедитесь, что подключения разрешены для удаленного доступа, как показано ниже.

Как настроить Windows Server 2012 VPN

Вот оно! Вы сделали. Прежде чем вы сможете получать подключения, вам необходимо настроить брандмауэр.

Настройка брандмауэра периметра

В зависимости от типа вашего брандмауэра убедитесь, что для следующих портов разрешен трафик на сервер RRAS:

Читайте также: