Настройка VPN-сервера Windows Server 2012 r2

Обновлено: 21.11.2024

В этой статье мы рассмотрим, как установить VPN-сервер на Windows Server 2012 R2. Технология VPN (виртуальная частная сеть) используется для создания прямого соединения между компьютерами, находящимися в разных подсетях. Например, вы можете использовать VPN, когда необходимо настроить небольшую компьютерную сеть компаний, сотрудники которых работают удаленно. Это также может быть полезно в ситуации, когда вы хотите поиграть в компьютерную игру со своим другом, который живет в другом городе.

VPN использует транспортные интернет-протоколы TCP, UDP и имеет несколько типов реализации — PPTP, L2TP, OpenVPN. В этой статье мы рассмотрим VPN-решение для Microsoft Windows на основе PPTP. Этот протокол не является лучшим решением из-за его низкого уровня безопасности, но это самый простой и быстрый способ создать соединение, используя только встроенные функции вашей операционной системы без установки внешних приложений.

Следуйте этому пошаговому руководству.

Важно!

Перед началом установки VPN убедитесь, что порт 1723 открыт для TCP PPTP в вашем брандмауэре.

Сначала откройте Диспетчер серверов и нажмите Добавить роли и компоненты.

Теперь выберите вариант установки на основе ролей или компонентов и нажмите "Далее".

Теперь выберите нужный сервер, на котором вы хотите установить маршрутизацию и удаленный доступ.

В списке ролей выберите «Удаленный доступ» и нажмите «Далее».

Нажмите "Далее", пока никаких дополнительных функций не требуется.

Просто нажмите "Далее".

В следующей вкладке нужно выбрать DirectAccess и VPN (RAS).

Нажмите «Добавить компоненты» во всплывающем окне.

На странице подтверждения нажмите Установить, чтобы начать.

После завершения процесса установки нажмите «Открыть мастер начала работы».

На этой вкладке нажмите "Развернуть только VPN".

Щелкните правой кнопкой мыши на своем сервере и выберите "Настроить и включить маршрутизацию и удаленный доступ".

Нажмите "Далее".

В новом мастере выберите Удаленный доступ (удаленный доступ или VPN).

На следующей странице выберите VPN.

Здесь выберите сетевой адаптер, который подключает ваш сервер к Интернету.

Здесь вы можете выбрать способ раздачи IP-адресов — по DHCP или вручную. Выберите второй способ.

На этой вкладке нажмите "Создать".

Во всплывающем окне укажите диапазон IP-адресов, нажмите OK, вернитесь на предыдущую вкладку и нажмите Далее.

На этой вкладке вы можете выбрать метод аутентификации. Выберите Маршрутизация и удаленный доступ.

Нажмите "Готово". Теперь настройка завершена.

Это все. Ваш сервер готов к клиентским подключениям. Обратите внимание, что если ваша сеть достаточно велика, лучше использовать технологию DirectAccess.

Мне нравится технология и разработка веб-сайтов. С 2012 года я веду несколько собственных веб-сайтов и делюсь полезным контентом по гаджетам, администрированию ПК и продвижению веб-сайтов.

В этом сообщении показано, как шаг за шагом установить VPN-сервер на Windows Server 2012 R2. В нем показано, как легко настроить VPN-сервер для небольшой среды или для сценария размещенного сервера.

Это определенно не руководство для корпоративного развертывания. Если вы думаете о корпоративном развертывании, вам обязательно следует взглянуть на Direct Access.

Я уже делал подобный пост для Windows Server 2008 R2 и Windows Server 2012.

Сначала установите «Удаленный доступ» через диспетчер серверов или Windows PowerShell.

Выберите службы ролей DirectAccess и VPN (RAS).

На следующих шагах просто используйте настройки по умолчанию. После этого вы можете просмотреть обзорный экран и установить роль.

После установки функций, которая может занять некоторое время, вы увидите ссылку на Мастер Приступая к работе. Нажмите «Открыть мастер начала работы».

При этом откроется новый мастер, который поможет вам настроить сервер. На первом экране выберите «Развернуть только VPN».

При этом откроется MMC маршрутизации и удаленного доступа

Щелкните правой кнопкой мыши имя сервера и выберите «Настроить и включить маршрутизацию и удаленный доступ».

В новом мастере выберите «Пользовательская конфигурация».

Выберите «VPN-доступ».

После того, как вы нажали кнопку "Готово", вы можете запустить службу маршрутизации и удаленного доступа.

Если у вас есть другой брандмауэр между Интернетом и вашим Windows Server, вы должны открыть следующий порт брандмауэра и перенаправить их на ваш Windows Server:

Для PPTP: 1723 TCP и протокол 47 GRE (также известный как PPTP Pass-through)
Для L2TP через IPSEC: 1701 TCP и 500 UDP
Для SSTP: 443 TCP

После установки пользователям необходимо разрешить удаленный доступ для подключения к вашему VPN-серверу. На отдельном сервере это можно сделать в MMC управления компьютером, в доменной среде это можно сделать в свойствах пользователя Active Directory.

Если в вашей среде нет DHCP-сервера, вам необходимо добавить пул статических IP-адресов. Это часто необходимо, если у вас есть один сервер, размещенный у поставщика услуг. В свойствах вашего VPN-сервера вы можете нажать на вкладку IPv4 и включить и настроить «Статический пул адресов».

Теперь вам нужно добавить IP-адрес из той же подсети, что и ваш пул статических адресов, в сетевой интерфейс вашего сервера, чтобы пользователи могли получить доступ к серверу.

Я надеюсь, что это поможет вам настроить VPN-сервер в небольшой среде, лаборатории или размещенном сервере.

VPN (виртуальная частная сеть) – это технология, которая позволяет расширить локальную сеть на общедоступную сеть, такую ​​как Интернет. Используя VPN, компьютер, подключенный к Интернету, может отправлять и получать данные от компьютеров внутри сети, как если бы он был подключен напрямую.

Очень мощный инструмент для современных компаний.

На Windows Server 2012 R2 VPN легко настроить. Просто выполните следующие действия, и все будет готово (со стороны сервера, о настройке клиента мы поговорим в будущем).

<р>1. Установите роль удаленного доступа

Откройте Диспетчер серверов и нажмите Управление. Выберите Добавить роли и функции:

Нажимайте Далее, пока не дойдете до вкладки Роли:

Теперь выберите Удаленный доступ и нажмите Далее:

На вкладке Функции ничего выбирать не нужно, нажмите Далее:

Просто нажмите Далее:

Выберите Прямой доступ и VPN (RAS):

Появится диалоговое окно с отсутствующими зависимостями. Нажмите Добавить функции:

Установите роль Удаленный доступ. Это займет несколько минут:

<р>2. Установите и настройте VPN

Вернитесь на панель управления диспетчера серверов и нажмите Удаленный доступ. Выберите свой сервер и щелкните его правой кнопкой мыши, затем выберите Управление удаленным доступом:

Запустите мастер начала работы:

Нажмите Развернуть только VPN, и он будет установлен:

Выберите свой сервер, щелкните его правой кнопкой мыши и выберите Настроить и включить маршрутизацию и удаленный доступ:

Запустится новый мастер:

Выберите Пользовательская конфигурация и нажмите Далее:

Выберите только доступ к VPN:

Завершите процедуру и запустите службу:

Обратите внимание, что маршрутизатор и брандмауэр должны быть правильно настроены для поддержки функций VPN. Мы поговорим об этом в другом посте.

<р>3. Разрешить пользователям удаленный доступ

Вы можете разрешить пользователям Удаленный доступ в свойствах Active Directory:

Исторически VPN реализовывалась с использованием брандмауэров или выделенных устройств VPN. Так зачем использовать Windows Server для VPN? Вот некоторые вещи, которые следует учитывать.

  • Простота реализации. Установка и настройка VPN-сервера с помощью Windows Server 2012 R2 очень проста. Следуя инструкциям в этой статье, вы сможете развернуть VPN-сервер всего за несколько минут.
  • Простота управления. Управление VPN-сервером под управлением Windows Server 2012 R2 ничем не отличается от управления любым другим сервером Windows. Система управления Windows отработана и хорошо изучена, а сервер можно обслуживать с помощью существующих платформ, инструментов и процедур.
  • Экономичность. VPN-сервер на базе Windows Server 2012 R2 стоит значительно меньше, чем развертывание выделенного и проприетарного оборудования VPN. Сервер может быть развернут в существующей виртуальной инфраструктуре и не требует лицензирования для каждого пользователя. Кроме того, в большинстве случаев добавить емкость так же просто, как развернуть дополнительные ВМ.

Предварительные требования для установки

Виртуальный сервер должен быть настроен с двумя сетевыми интерфейсами; один внутренний и один внешний. Эта конфигурация обеспечивает более высокий уровень безопасности, поскольку внешний сетевой интерфейс может иметь более строгий профиль брандмауэра, чем внутренний интерфейс. Сервер с двумя сетевыми интерфейсами требует особого внимания к конфигурации сети. Только внешний сетевой интерфейс настроен со шлюзом по умолчанию. Без шлюза по умолчанию на внутреннем сетевом интерфейсе статические маршруты должны быть настроены на сервере, чтобы разрешить связь с любыми удаленными внутренними подсетями.Для получения дополнительной информации о настройке многосетевого сервера Windows нажмите здесь.

Сервер не обязательно присоединять к домену, но рекомендуется упростить процесс аутентификации для VPN-клиентов и обеспечить лучшее управление и безопасность сервера.

Подготовка сервера

После подготовки сервера и его присоединения к домену установка роли VPN становится простой и понятной. Чтобы установить роль VPN, введите следующую команду в командном окне PowerShell с повышенными привилегиями.

Install-WindowsFeature DirectAccess-VPN-IncludeManagementTools


Установите роль VPN с помощью команды PowerShell Install-WindowsFeature.

Настроить удаленный доступ

Откройте консоль управления маршрутизацией и удаленным доступом. Щелкните правой кнопкой мыши VPN-сервер и выберите «Настроить и включить маршрутизацию и удаленный доступ».


Настройте и включите маршрутизацию и удаленный доступ.

Нажмите "Далее", выберите вариант "Удаленный доступ (коммутируемый доступ или VPN)" и нажмите "Далее".


Выберите «Удаленный доступ (коммутируемый доступ или VPN)».

Выберите VPN и нажмите "Далее".


Выберите VPN.

Выберите сетевой интерфейс с выходом в Интернет. Кроме того, выберите параметр Включить безопасность на выбранном интерфейсе, настроив фильтры статических пакетов, и нажмите Далее.


Выберите сетевой интерфейс с выходом в Интернет.

Примечание.
При настройке сервера полезно переименовать сетевые интерфейсы, используя интуитивно понятные имена, такие как «Внутренний» и «Внешний», как показано выше.

IP-адреса можно назначать клиентам вручную или через DHCP. Для удобства управления рекомендуется использовать DHCP. Выберите параметр автоматического назначения IP-адресов и нажмите «Далее».


Выберите автоматическое назначение IP-адресов для удаленных клиентов.

Примечание.
Если VPN-сервер будет развернут в кластере с балансировкой нагрузки, IP-адреса должны быть назначены клиентам вручную.

Сервер VPN может сам аутентифицировать пользователей или перенаправлять запросы аутентификации на внутренний сервер RADIUS. Для целей этой статьи будет настроена собственная проверка подлинности Windows с использованием RRAS. Выберите «Нет», используйте маршрутизацию и удаленный доступ для проверки подлинности запросов на подключение и нажмите «Далее».


Используйте маршрутизацию и удаленный доступ для проверки подлинности запросов на подключение.

Проверьте конфигурацию и нажмите "Готово".

Мастер настройки RRAS укажет, что агент ретрансляции DHCP должен быть настроен для клиентов удаленного доступа. Нажмите OK, чтобы продолжить.

"Для поддержки ретрансляции сообщений DHCP от клиентов удаленного доступа необходимо настроить свойства агента ретрансляции DHCP, указав IP-адрес вашего DHCP-сервера".


Напоминание о настройке агента ретрансляции DHCP.

Настроить агент DHCP-ретрансляции

Чтобы разрешить внутреннему DHCP-серверу назначать IP-адреса клиентам удаленного доступа, разверните IPv4, щелкните правой кнопкой мыши Агент DHCP-ретрансляции и выберите Свойства.


Настройте агент ретрансляции DHCP.

Введите IP-адрес DHCP-сервера и нажмите Добавить. Повторите этот процесс для всех дополнительных DHCP-серверов и нажмите OK.


Настройте агент ретрансляции DHCP.

Конфигурация сервера политики сети (NPS)

VPN-сервер настроен на разрешение удаленного доступа только тем пользователям, чьи свойства подключения учетной записи домена разрешены по умолчанию. Лучшим и более эффективным способом предоставления удаленного доступа является использование группы безопасности Active Directory (AD). Чтобы настроить разрешения на удаленный доступ для группы AD, щелкните правой кнопкой мыши Ведение журнала удаленного доступа и выберите Запустить NPS.


Запустите NPS.

Щелкните правой кнопкой мыши «Сетевые политики» и выберите «Создать». Укажите описательное имя для политики, выберите Тип сервера доступа к сети, а затем выберите Сервер удаленного доступа (VPN-удаленный доступ) в раскрывающемся списке и нажмите кнопку Далее.


Создайте новую сетевую политику.

Нажмите "Добавить", выберите "Группы Windows" и нажмите "Добавить".


Выберите группы Windows.

Нажмите «Добавить группы», укажите имя группы безопасности AD, в которую входят пользователи, которым разрешено использовать VPN с удаленным доступом, затем нажмите «ОК» и «Далее».


Укажите группу безопасности AD для удаленного доступа.

Выберите «Доступ предоставлен» и нажмите «Далее».

Укажите разрешение на доступ.

Снимите галочку с опции использования Microsoft Encrypted Authentication (MS-CHAP). Нажмите «Добавить» и выберите Microsoft: Безопасный пароль (EAP-MSCHAP v2). Нажмите OK и Далее три раза, а затем нажмите Готово.


Настройте методы аутентификации.

Тестирование подключения клиента

Теперь VPN-сервер настроен на прием входящих клиентских подключений удаленного доступа, но только в ограниченном режиме. Без дополнительной настройки будет работать только протокол PPTP VPN. К сожалению, в конфигурации по умолчанию протокол PPTP имеет серьезные уязвимости в системе безопасности, поэтому его не следует использовать в производственной среде. Тем не менее, можно быстро и эффективно проверить путь сетевого соединения и то, что аутентификация работает с его использованием.

Чтобы проверить подключение клиента на клиенте Windows 10, нажмите значок сети в области системных уведомлений, нажмите «Настройки сети», нажмите «VPN», а затем нажмите «Добавить VPN-подключение». Выберите Windows (встроенная) в качестве провайдера VPN, укажите описательное имя для подключения, введите имя или IP-адрес VPN-сервера, а затем нажмите Сохранить.


Добавьте VPN-подключение.

Нажмите на тестовое VPN-подключение, а затем нажмите Подключиться.


Установите VPN-подключение.

Введите учетные данные домена при появлении запроса и нажмите OK. Если все работает правильно, соединение должно быть успешно установлено.


VPN-подключение успешно.

Обзор

Внедрение клиентского VPN-решения для безопасного удаленного доступа с помощью Windows Server 2012 R2 имеет много преимуществ по сравнению с специализированными и проприетарными устройствами безопасности. VPN-серверы на базе Windows просты в управлении, экономичны и обеспечивают большую гибкость развертывания. Однако на этом этапе требуется дополнительная настройка для правильной защиты входящих соединений, о чем я расскажу в следующей статье.

Мы будем делать это через графический интерфейс. Откройте диспетчер серверов, нажмите «Управление» и выберите «Добавить роли и компоненты».

Открывается мастер, выберите «Далее», нажмите «Установка на основе ролей или компонентов» и нажмите «Далее».

На следующей странице выберите целевой сервер, который является локальным компьютером.

Выберите роль удаленного доступа на следующей странице и нажмите "Далее".

На следующей странице выберите службы Direct Access и VPN Role, потому что это то, что нас интересует. Будет предложено установить необходимые функции, нажмите «Добавить функции» и «Далее».

Это также требует установки веб-сервера, вы можете просто выбрать значения по умолчанию и нажать кнопку "Далее".

Нажмите «Установить» и дождитесь завершения установки.

Настройка роли сервера удаленного доступа

Теперь, когда мы закончили установку роли сервера, нам нужно включить ее и предоставить несколько сведений, чтобы начать принимать входящие подключения.

В разделе «Администрирование» выберите «Удаленный доступ и маршрутизация». Появится окно, щелкните правой кнопкой мыши сервер и выберите «Настроить и включить, а также удаленный и маршрутизирующий доступ».

Откроется мастер и следуйте инструкциям.

Выберите «Пользовательская конфигурация» и нажмите «Далее».

На следующей странице выберите VPN-сервер и нажмите "Готово".

Следующим шагом будет запуск служб.

Теперь щелкните правой кнопкой мыши сервер и выберите "Свойства", чтобы настроить IP-адреса, которые он будет выдавать после установления соединений.

Теперь вам нужно разрешить входящие подключения через брандмауэр Windows. Перейдите в меню «Пуск», введите Брандмауэр и выберите третий вариант, как показано ниже.

Убедитесь, что подключения разрешены для удаленного доступа, как показано ниже.

Вот оно! Вы сделали. Прежде чем вы сможете получать подключения, вам необходимо настроить брандмауэр.

Настройка брандмауэра периметра

В зависимости от типа вашего брандмауэра убедитесь, что для следующих портов разрешен трафик на сервер RRAS:

Читайте также: