Настройка VPN-сервера Windows Server 2016

Обновлено: 21.11.2024

Виртуальная частная сеть (VPN) расширяет частную сеть за пределы общедоступной сети, чтобы вы могли безопасно получать удаленный доступ к своим данным через общедоступную сеть. Вы также можете использовать VPN для защиты своей интернет-активности, используя VPN-сервер в качестве прокси-сервера.

В этой статье с пошаговыми снимками экрана показано, как настроить L2TP/IPsec VPN на Windows Server 2016 Standard. Этот VPN можно использовать для доступа к вашей бизнес-сети.

Мы настроим VPN со встроенной функцией (маршрутизация и удаленный доступ RRAS), которую Microsoft предоставляет в Windows Server 2016. Эту функцию можно включить в мастере добавления ролей и компонентов.

Предпосылки

Шаг 1. Войдите с помощью RDP

Вы должны войти в систему через RDP как администратор или пользователь с правами администратора. Инструкции см. в этой статье, если вы не знаете, как подключиться.

Шаг 2. Обновите Windows

Перед началом установки и настройки L2TP/IPsec необходимо установить все обновления Windows. Это необходимо для того, чтобы на сервере всегда были установлены все исправления безопасности.

Откройте меню "Пуск" Windows и нажмите "Настройки"

Перейдите к разделу «Обновление и безопасность»

Нажмите «Проверить наличие обновлений», чтобы проверить наличие обновлений для вашего сервера.

Загрузите и установите все обновления, если они доступны.

Шаг 3. Установка зависимостей

Откройте меню "Пуск" Windows и нажмите "Диспетчер сервера"

Нажмите «Управление» -> «Добавить роли и функции».

Откроется новый экран, нажмите «Далее».

Выберите установку на основе ролей или компонентов и нажмите кнопку "Далее".

Выберите «Выбрать сервер из пула серверов» и нажмите «Далее».

Выберите «Удаленный доступ» и нажмите «Далее».

Выберите DirectAccess и VPN (RAS) и Маршрутизация . После выбора появится всплывающее окно, в котором нажмите «Добавить функции».

Выберите Автоматический перезапуск целевого сервера, если требуется

После выбора появится всплывающее окно, и нажмите «Да», чтобы разрешить перезагрузку системы, если это необходимо.

Последний шаг — нажать «Установить» .

Установка завершена.

Шаг 4. Маршрутизация и удаленный доступ

Откройте "Маршрутизация и удаленный доступ" в диспетчере серверов -> Инструменты -> Маршрутизация и удаленный доступ.

Откроется новый экран. Щелкните правой кнопкой мыши имя сервера и выберите «Настроить маршрутизацию и удаленный доступ».

Откроется новый экран для настройки сервера доступа к маршрутизации и нажмите кнопку "Далее".

Мы используем пользовательскую конфигурацию, поскольку для доступа к виртуальной частной сети (VPN) и NAT требуется два или более сетевых интерфейса.

Выберите «Пользовательская конфигурация» и нажмите «Далее».

Выберите доступ к VPN и NAT и нажмите "Далее".

Завершите работу мастера, нажав "Готово"

После завершения работы мастера появится всплывающее окно с вопросом, хотите ли вы запустить службу маршрутизации и удаленного доступа. Нажмите «Запустить службу».

Шаг 5. Настройка маршрутизации и удаленного доступа

Щелкните правой кнопкой мыши имя сервера (VPN) и выберите "Свойства"

Перейдите на вкладку «Безопасность» и выберите «Разрешить пользовательскую политику IPsec для подключения L2TP/IKev2». В нашем разделе скриншотов Предварительный ключ, но вы должны заполнить его надежным паролем.

Вы можете использовать пароль. генератор фраз-паролей для создания предварительного ключа.Создайте надежный предварительный общий ключ, содержащий не менее 32 символов.

Перейдите к IPv4 . В нашей настройке у нас нет DHCP-сервера, поэтому мы должны выбрать параметр «Статический пул адресов» и нажать «Добавить», чтобы ввести диапазон IP-адресов.

Мы использовали следующий диапазон:

Нажмите OK, чтобы сохранить диапазон IPv4.

Нажмите OK, чтобы применить изменения, которые мы внесли в свойства службы маршрутизации и удаленного доступа. Вы должны получить всплывающее предупреждение с информацией о перезапуске службы, нажмите «ОК» .

Шаг 6. Настройка NAT

Щелкните правой кнопкой мыши NAT, выбрав Маршрутизация и удаленный доступ -> VPN (имя сервера) -> IPv4 -> NAT, и выберите Новый интерфейс.

Откроется новый экран, выберите Ethernet и нажмите OK .

Выберите Общий интерфейс, подключенный к Интернету, и выберите Включить NAT на этом интерфейсе

Откройте вкладку «Службы и порты» и выберите из списка VPN-шлюз (L2TP/IPsec — работает на этом сервере).

Откроется новый экран. Измените переменную частного адреса с 0.0.0.0 на 127.0.0.1 и нажмите OK

Шаг 7. Перезапустите маршрутизацию и удаленный доступ

Щелкните правой кнопкой мыши имя сервера (VPN), перейдите к разделу «Все задачи» и нажмите «Перезапустить».

Шаг 8. Брандмауэр Windows

Откройте меню "Пуск" Windows и нажмите "Панель управления"

Откройте "Система и безопасность"

Открыть брандмауэр Windows

Нажмите Дополнительные настройки в меню слева

Откроется новый экран и откроются правила для входящих подключений

Создайте новое правило, нажав Новое правило. в правом меню.

Откроется новый экран. Выберите «Предопределенные: маршрутизация и удаленный доступ» и нажмите «Далее».

Выберите «Маршрутизация и удаленный доступ (L2TP-входящий)» и нажмите «Далее».

Нажмите "Готово"

Убедитесь, что правило создано

Шаг 9. Настройка пользователей

Прежде чем пользователи смогут начать использовать VPN, мы должны дать им разрешение на подключение.

Щелкните правой кнопкой мыши значок Windows и выберите Управление компьютером

Откройте «Локальные пользователи и группы» в меню слева и нажмите «Пользователи»

Вы должны увидеть список пользователей вашего сервера. Щелкните правой кнопкой мыши пользователя, для которого хотите включить VPN, и выберите Свойства

В нашей статье мы включаем VPN для нашего администратора. Мы рекомендуем создавать/использовать отдельных пользователей для целей VPN с ограниченными разрешениями.

Откроется новый экран со свойствами пользователя. В нашем примере это Администратор. Откройте вкладку «Входящие звонки» и выберите «Разрешить доступ».

Нажмите «ОК» и закройте «Управление компьютером». Администратор пользователей теперь имеет право подключаться к серверу через VPN-подключение L2TP/IPsec.

Шаг 10. Управление удаленным доступом

Откройте меню "Пуск" Windows и нажмите "Диспетчер серверов".

Перейдите в Инструменты -> Управление удаленным доступом. Откроется новый экран с панелью удаленного доступа.В нашем обзоре видно, что службы работают без предупреждений.

Дополнительную информацию об управлении удаленным доступом можно найти здесь.

Шаг 11. Перезагрузите сервер

Открыть меню "Пуск" Windows

Щелкните правой кнопкой мыши значок питания и выберите "Перезагрузить"

Шаг 12. Подключение клиента

Заключение

Поздравляем, вы настроили L2TP/IPsec VPN на своем Windows Server 2016 Standard. Если вам нужна дополнительная помощь или помощь в настройке Windows Server 2016 Standard, свяжитесь с нашей службой поддержки.

Ранее я несколько раз настраивал VPN-доступ на Windows Server 2012 R2, но не проверял его на только что выпущенной Windows Server 2016.

Роль удаленного доступа — это VPN, которая защищает сетевое соединение или ваше удаленное соединение от одной стороны к другой и защищает обе стороны от атак или перехвата данных, поскольку протокол VPN использует туннель внутри стандартного подключения для передачи данных.

Обычные варианты аварийного восстановления для виртуализированных ИТ-сред, работающих на Microsoft Windows Server 2016

Узнайте из этого видео о:

• К чему следует подготовить ИТ-среду
• Реплика хранилища, Veeam Backup & Replication и реплика Hyper-V
• Демонстрация каждого используемого варианта сайта аварийного восстановления

Примечание. Вам необходимо открыть TCP-порт 1723 на брандмауэре, так как этот порт используется для доступа к VPN.

Кроме того, я хотел бы отметить, что это может не быть руководством для корпоративного развертывания, поскольку там вы, возможно, будете использовать аппаратный VPN от своего маршрутизатора или использовать функцию прямого доступа, которая, однако, зависит от Интернет-протокола версии шесть ( IPv6) для установления клиентских подключений.

Как установить VPN на Windows Server 2016 — шаги:

Установите роль удаленного доступа с помощью мастера добавления ролей и компонентов. Откройте Диспетчер сервера либо локально на сервере, на котором будет размещаться роль удаленного доступа, либо на компьютере, на котором Диспетчер серверов настроен для подключения к серверу, на котором вы развертываете роль.

Затем выберите «Мастер добавления ролей и компонентов» в меню «Управление». Нажмите «Далее» на странице «Перед началом», если она отображается. Затем выберите установку на основе ролей или компонентов и нажмите «Далее».

На странице "Выбор роли сервера" прокрутите вниз и установите флажок "Удаленный доступ". Затем нажмите «Далее».

Нажмите еще два раза, чтобы перейти к службам ролей удаленного доступа, где вам нужно будет выбрать прямой доступ и VPN.

Примите установку подкомпонентов, таких как IIS… Примите все значения по умолчанию.

Для завершения установки всех компонентов и подкомпонентов потребуется некоторое время.

Затем нажмите на ссылку Открыть мастер начала работы, чтобы открыть мастер настройки.

Появится новое окно. Вам нужно нажать Развернуть только VPN, чтобы настроить VPN с помощью консоли маршрутизации и удаленного доступа.

Нажав на эту часть, вы откроете консоль маршрутизации и удаленного доступа. Щелкните правой кнопкой мыши имя сервера и выберите «Настроить и включить маршрутизацию и удаленный доступ».

Примечание. Вы также можете запустить эту консоль через Панель управления > Система и безопасность > Инструменты администрирования.

Нажмите "Далее" и выберите "Пользовательская конфигурация".

До сих пор это было очень просто. Идем и заканчиваем настройку. Все, что нам нужно сделать на следующем экране, это установить флажок Доступ к VPN, поскольку мы хотим, чтобы была активна только эта функция.

Тогда у вас будет только одна страница, на которой будет отображаться сводка вашего выбора. Подтвердите, нажав кнопку Готово. Через несколько секунд вы увидите всплывающее окно с просьбой запустить службу маршрутизации и удаленного доступа. Нажмите кнопку «Запустить службу».

StarWind HyperConverged Appliance — это гиперконвергентная аппаратная платформа «под ключ», размещенная в небольшом корпусе из двух узлов. Вам больше ничего не нужно для создания недорогой новой ИТ-инфраструктуры или модернизации существующей. Все ваши системы будут «присматривать» за StarWind 24/7/365, устраняя любые проблемы без вашего участия. Все управляется через аккуратный веб-интерфейс. Мы также бесплатно перенесем ваши рабочие нагрузки.

Значительно сократите свои капитальные и операционные расходы, а также затраты на управление ИТ, а также заметно повысьте рентабельность инвестиций (ROI) благодаря гиперконвергенции для ROBO, SMB и Edge от StarWind.

Следующий шаг. Разрешите некоторым пользователям подключаться к вашему недавно настроенному VPN-серверу

Обычно такую ​​небольшую среду можно использовать для системных администраторов, которым требуется доступ к удаленно установленному серверу, или для небольшой группы пользователей в организации. В зависимости от архитектуры сервер может быть частью домена Microsoft и иметь централизованное управление пользователями через Active Directory (AD) или может быть автономным сервером, находящимся за пределами любого домена.

Для простоты мы рассматриваем этот случай, но в обоих случаях вам потребуется настроить хотя бы одного пользователя для доступа через VPN, и мы покажем вам, как это сделать.

Поэтому, если вы находитесь в среде «Рабочая группа», вы можете использовать Консоль управления компьютером (MMC), а если вы находитесь в среде домена, это можно сделать в свойствах пользователя Active Directory.

Обычно в корпоративной среде есть DHCP-сервер. Если это не так, вам придется добавить пул статических адресов.

Вы можете найти настройки в свойствах вашего VPN-сервера, где вы можете щелкнуть вкладку IPv4 и включить и настроить пул статических адресов. Убедитесь, что вы используете ту же подсеть, что и статический адрес вашего сервера.

Ну, это примерно.

С точки зрения клиента. Клиент должен настроить VPN-соединение со стороны клиента. Таким образом, в зависимости от операционной системы, которую использует клиент, настройка может отличаться.

Но в основном вам придется настроить новое VPN-подключение.

Это создаст новое подключение в окне сетевого подключения.

Чтобы получить этот экран после подключения и ввода пароля.

Подведение итогов: Windows Server VPN

Это самый простой способ сделать это. Однако для этого необходимо открыть порт TCP 1723 на брандмауэре. Обратите внимание, что существует другое решение для удаленного доступа, но обычно оно предполагает установку сторонних инструментов на стороне сервера, а также на стороне клиента.

Возможно, вы захотите не устанавливать эти инструменты на серверы компании и использовать традиционную встроенную VPN от Microsoft для удаленного администрирования.

Вы также можете быть ограничены своим бюджетом, поскольку эти инструменты обычно стоят денег при использовании в корпоративной среде на серверных системах.

В этом сообщении показано, как шаг за шагом установить VPN-сервер на Windows Server 2016. В нем показано, как легко настроить VPN-сервер для небольшой среды или для сценария размещенного сервера. В этой записи блога рассказывается, как можно использовать Windows Server VPN.

Это определенно не руководство для корпоративного развертывания. Если вы думаете о корпоративном развертывании, вам обязательно следует взглянуть на Direct Access.

Я уже делал подобные записи в блоге для Windows Server 2008 R2, Windows Server 2012 и Windows Server 2012 R2.

Вы можете просто следовать этому пошаговому руководству:

Установите роль Windows Server VPN

Сначала установите «Удаленный доступ» через диспетчер серверов или Windows PowerShell.

Выберите службы ролей «DirectAccess и VPN (RAS)» и нажмите «Далее».

На следующих шагах просто используйте настройки по умолчанию. После этого вы можете посмотреть обзорный экран и установить роль.

После установки функций, которая может занять некоторое время, вы увидите ссылку на Мастер Приступая к работе. Нажмите «Открыть мастер начала работы».

Настройка Windows Server VPN

При этом откроется новый мастер, который поможет вам настроить сервер. На первом экране выберите «Развернуть только VPN».

Откроется консоль управления маршрутизацией и удаленным доступом

Щелкните правой кнопкой мыши имя сервера и выберите «Настроить и включить маршрутизацию и удаленный доступ».

В новом мастере выберите «Пользовательская конфигурация».

Выберите «VPN-доступ».

После того, как вы нажали кнопку "Готово", вы можете запустить службу маршрутизации и удаленного доступа.

Если у вас есть другой брандмауэр между Интернетом и вашим Windows Server, вы должны открыть следующий порт брандмауэра и перенаправить их на ваш Windows Server:

Для PPTP: 1723 TCP и протокол 47 GRE (также известный как PPTP Pass-through)
Для L2TP через IPSEC: 1701 TCP и 500 UDP
Для SSTP: 443 TCP

После установки пользователям необходимо разрешить удаленный доступ для подключения к вашему VPN-серверу. На отдельном сервере это можно сделать в MMC управления компьютером, в доменной среде это можно сделать в свойствах пользователя Active Directory.

Если в вашей среде нет DHCP-сервера, вам необходимо добавить пул статических IP-адресов. Это часто необходимо, если у вас есть один сервер, размещенный у поставщика услуг.В свойствах вашего VPN-сервера вы можете нажать на вкладку IPv4 и включить и настроить «Статический пул адресов».

Теперь вам нужно добавить IP-адрес из той же подсети, что и ваш пул статических адресов, в сетевой интерфейс вашего сервера, чтобы пользователи могли получить доступ к серверу.

Я надеюсь, что это поможет вам настроить VPN-сервер в небольшой среде, лаборатории или размещенном сервере.

Установить и настроить VPN-сервер с помощью Windows Server 2016 очень просто. Следуя инструкциям в этой статье, вы сможете развернуть VPN-сервер всего за несколько минут.

VPN обеспечивает безопасный доступ к внутренним данным и приложениям организаций для клиентов и устройств, использующих Интернет.

Чтобы правильно внедрить и поддерживать среду VPN в своей организации, вы должны понимать, как выбрать подходящий протокол туннелирования, настроить аутентификацию VPN и настроить роль сервера для поддержки выбранной вами конфигурации.

Для этой демонстрации я буду использовать 2 ВМ и 1 клиентскую ВМ с Windows 10, все из которых работают в Hyper-V.

Приступим к настройке VPN.

01 — позволяет проверить конфигурацию сети для VPN-сервера. (Пожалуйста, обратитесь к фотографиям)

1 — для VPN-сервера требуется 2 сетевых адаптера:

Ethernet 1: локальная сеть

Ethernet 2 : Интернет

2 — клиент Windows 10.

02 – Создание OU и пользователя VPNUsers в Active Directory.

1. Создайте новую организационную единицу. В диалоговом окне «Новый объект — Организационная единица» в поле «Имя» введите VPNUsers и нажмите «ОК».

2. В консоли «Пользователи и компьютеры Active Directory» разверните Windows.ae, щелкните правой кнопкой мыши подразделение VPNUsers, нажмите «Создать» и выберите «Пользователь».

3 – щелкните правой кнопкой мыши пользователя, Свойства, Разрешить доступ для удаленного доступа, чтобы подключиться к вашему VPN-серверу. и хорошо. (Пожалуйста, обратитесь к изображениям)

03 – Установка

1 – откройте диспетчер серверов и нажмите "Добавить роли и компоненты".

2 – нажмите "Далее".

3 — Теперь выберите вариант установки на основе ролей или функций и нажмите "Далее".

4. Теперь выберите нужный сервер, на котором вы хотите установить маршрутизацию и удаленный доступ.

5. В списке ролей выберите «Удаленный доступ» и нажмите «Далее».

6 — Нажмите "Далее", пока никаких дополнительных функций не требуется.

7 — Просто нажмите "Далее".

8. На следующей вкладке выберите DirectAccess и VPN (RAS), нажмите «Добавить компоненты» во всплывающем окне.

9 — На странице подтверждения нажмите Установить, чтобы начать.

10. После завершения процесса установки нажмите «Открыть мастер начала работы».

11 — На этой вкладке нажмите "Развернуть только VPN".

04 – Конфигурация

1. Щелкните правой кнопкой мыши свой сервер и выберите «Настроить и включить маршрутизацию и удаленный доступ».

2 — Нажмите "Далее".

3 — В новом мастере выберите Удаленный доступ (удаленный доступ или VPN).

4 — На следующей странице выберите VPN.

5 — Здесь выберите сетевой адаптер, который подключает ваш сервер к Интернету.

6 — здесь выберите сетевой адаптер, который подключает ваш сервер к VPN-клиентам.

7 — Здесь вы можете выбрать способ раздачи IP-адресов — через DHCP или вручную. Выберите второй способ.

8 — На этой вкладке нажмите "Создать".

9 – Во всплывающем окне укажите диапазон IP-адресов, нажмите OK, вернитесь на предыдущую вкладку и нажмите Далее.

10 — На этой вкладке вы можете выбрать метод аутентификации. Выберите Маршрутизация и удаленный доступ.

11 – Нажмите «Готово». и нажмите "ОК", теперь настройка завершена.

12. Затем в консоли «Маршрутизация и удаленный доступ» разверните DC-CLOUD, щелкните порты правой кнопкой мыши и выберите «Свойства».

13. Убедитесь, что для SSTP, IKEv2, PPTP и L2TP существует 128 портов, а затем дважды щелкните мини-порт WAN (SSTP). В поле «Максимум портов» введите 5, а затем нажмите «ОК», в окне сообщения «Маршрутизация и удаленный доступ» нажмите «Да».

14. Повторите тот же шаг № 13 для IKEv2, PPTP и L2TP, затем нажмите OK.

05 — Тестирование подключения клиента

1. На клиентском ПК с Windows 10 откройте Центр управления сетями и общим доступом, затем нажмите «Настроить новое подключение или сеть».

2. Далее в интерфейсе выбора варианта подключения нажмите Подключиться к рабочему месту, а затем нажмите Далее.

3 — На странице Как вы хотите подключиться? нажмите Использовать мое подключение к Интернету (VPN).

4. В интерфейсе «Подключиться к рабочему месту» нажмите «Я настрою подключение к Интернету позже».

5 — В поле "Интернет-адрес" введите 131.107.0.10 (IP-адрес VPN-сервера DC-CLOUD).

— В поле «Назначение» введите NewHelpTech VPN-подключение, установите флажок «Разрешить другим людям использовать это подключение» и нажмите «Создать». —

6. Затем щелкните правой кнопкой мыши NewHelpTech VPN-подключение и выберите Подключиться.

7. В диалоговом окне входа введите имя пользователя домена из VPNUsers OU Name Sifad и введите пароль, а затем нажмите OK.

8. Убедитесь, что вы подключены к Windows с помощью PPTP-подключения, щелкните правой кнопкой мыши NewHelpTech VPN-подключение и выберите «Статус».

Или на этом все, мы успешно подключились к NewHelpTech VPN.

Резюме

Внедрение клиентского VPN-решения для безопасного удаленного доступа с помощью Windows Server 2016 имеет много преимуществ по сравнению с специализированными и проприетарными устройствами безопасности. VPN-серверы на базе Windows просты в управлении, экономичны и обеспечивают большую гибкость развертывания. Однако на этом этапе требуется дополнительная настройка для правильной защиты входящих подключений.

Читайте также:

  
• Как подключить микрофон к компьютеру с Windows 7
  
• Perflogs что это за папка Windows 10
  
• Безопасная система, что это за процесс Windows
  
• Сетевая карта не получает IP-адрес автоматически, Windows 10
  
• Ubuntu fastboot не видит телефон