Windows server 2008 r2 vpn server установка окон
Обновлено: 21.11.2024
Это пошаговое руководство по настройке сервера Open VPN в операционных системах Windows Server 2008/2012 и подключению клиентов к созданной виртуальной частной сети.
Open VPN — это открытая реализация технологии VPN — Virtual Private Network, которая предназначена для создания виртуальных частных сетей между группами географически удаленных узлов поверх открытого канала передачи данных (Интернет). Open VPN подходит для таких задач, как безопасное удаленное сетевое подключение к серверу без открытия к нему доступа в Интернет, как если бы вы подключались к хосту в вашей локальной сети. Безопасность соединения обеспечивается шифрованием Open SSL.
Как это работает?
После завершения настройки Open VPN сервер сможет принимать внешние защищенные SSL сетевые подключения к виртуальному сетевому адаптеру, созданному при запуске службы VPN (tun/tap), не влияя на правила обработки трафика других интерфейсы (внешний интернет-адаптер и т.п.). Вы можете настроить общий доступ клиента Open VPN к конкретному сетевому адаптеру из присутствующих на сервере. Во второй части инструкции рассматривается это туннелирование интернет-трафика пользователей. При таком способе переадресации хост, обрабатывающий VPN-подключения, будет также выполнять функцию прокси-сервера (Proxy) — унифицировать правила сетевой активности пользователей и маршрутизировать клиентский интернет-трафик от своего имени.
Установка Open VPN на сервер
Загрузите и установите версию Open VPN, соответствующую вашей операционной системе. Запустите установщик; убедитесь, что все функции выбраны для установки на третьем шаге мастера установки.
Обратите внимание, что в этой инструкции дальнейшие команды основаны на том, что Open VPN устанавливается в каталог по умолчанию "C:\Program Files\OpenVPN".
Разрешаем добавить виртуальный сетевой адаптер TAP в ответ на соответствующий запрос и ждем завершения установки (это может занять несколько минут).
Генерация ключей (PKI) центра сертификации, сервера, клиента; Алгоритм Диффи-Хеллмана
Для управления парами ключ/сертификат всех узлов создаваемой частной сети используйте утилиту easy-rsa, работающую через командную строку, по аналогии с консолью Linux. Для работы с ним откройте, запустите командную строку (сочетание клавиш Win + R, затем введите cmd и нажмите Enter)
Файлы конфигурации.
Запуск скрипта init-config.bat создаст новый файл vars.bat в нашем каталоге easy-rsa, этот файл будет содержать нашу конфигурацию:
Теперь нам нужно открыть следующий каталог с помощью проводника Windows: C:\Program Files\OpenVPN\easy-rsa
Теперь с помощью Блокнота (или другого текстового редактора) отредактируйте пакетный файл с именем vars.bat, нам нужно настроить некоторые переменные…
Измените следующие настройки (ближе к концу файла) в соответствии с вашими требованиями:
Примечание. Если значение переменной содержит пробел, заключите его в кавычки.
Далее следует сохранить изменения в файле, а затем с помощью командной строки выполнить следующие команды:
Центр сертификации и генерация ключей сервера
Приступим к созданию ключа/сертификата центра сертификации. Запустите скрипт:
В ответ на появившиеся подсказки можно просто нажать Enter. Единственным исключением является поле KEY_CN (общее имя) — обязательно укажите уникальное имя и вставьте такое же имя в поле «Имя»:
Аналогичным образом мы создаем сертификат сервера. Здесь значение полей Common Name и Name равно SERVER:
Примечание: аргумент сервера — это имя будущего файла.
Всем сгенерированным ключам теперь будет предложено подписать сгенерированный сертификат (Подписать сертификат) от имени центра сертификации. Ответьте да (да).
Создание клиентских ключей и сертификатов
Для каждого VPN-клиента необходимо создать отдельный SSL-сертификат.
В конфигурации Open VPN есть опция, включив которую можно использовать один сертификат для нескольких клиентов (см.ovpn -> файл "dublicate-cn"), но это не рекомендуется с точки зрения безопасности. Сертификаты могут быть созданы в будущем по мере подключения новых клиентов. Поэтому сейчас создадим только один для client1:
Выполните следующие команды, чтобы сгенерировать ключи клиента:
Примечание: аргумент client1 — это имя будущего файла.
В поле Common Name укажите имя клиента (в нашем случае client1).
Параметры Диффи Хеллмана
Чтобы завершить настройку шифрования, необходимо запустить скрипт генерации параметров Диффи-Хеллмана:
Отображение информации о создании параметров выглядит следующим образом:
Передача сгенерированных ключей/сертификатов
Сгенерированные сертификаты находятся в каталоге C:\Program Files\OpenVPN\easy-rsa\keys. Скопируйте файлы, перечисленные ниже, в каталог C:\Program Files\OpenVPN\config:
- ca.crt
- dh2048.pem/dh1048.pem
- server.crt
- сервер.ключ
Открыть конфигурацию VPN-сервера
Приступим непосредственно к настройке VPN-сервера, воспользуемся нашим конфигурационным файлом с именем server.ovpn и разместим его в директории C:\Program Files\OpenVPN\config.
Откройте файл; найти путь к ключам (см. ниже). Проверьте пути к ранее скопированным сертификатам ca.crt, dh1024.pem/dh2048.pem, server.key, server.crt и при необходимости измените:
Теперь вам нужно разрешить переадресацию трафика между адаптерами. Выполните следующие действия: Панель управления -> Сеть и Интернет -> Центр управления сетями и общим доступом -> Изменить параметры адаптера. Выбираем адаптер, который смотрит во внешний интернет (за VPN-подключение отвечает TAP-адаптер). В нашем примере это Ethernet 2.
Дважды щелкните Свойства адаптера и перейдите на вкладку Доступ, установите все флажки. Сохраните изменения.
Далее вам нужно включить IP-адресацию.
С помощью поиска Windows найдите приложение REGEDIT.exe.
В дереве найдите директорию HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters. В правой части окна найдите переменную IPEnableRouter, кликните дважды в окно редактирования значения и измените его на 1, тем самым разрешив адресацию на VPS.
Автозапуск Open VPN
Немедленно настройте службу Open VPN на автозапуск при запуске системы.
Откройте службы Windows. Найдите в списке Открыть VPN -> правый клик -> Свойства -> Пуск: Автоматически
На этом основная настройка сервера виртуальной частной сети завершена. Найдите файл C:\Program Files\OpenVPN\config\server.ovpn -> щелкните правой кнопкой мыши -> «Запустить OpenVPN на этом конфиге», чтобы запустить сервер виртуальной частной сети и подготовленный нами файл конфигурации.
Открыть конфигурацию VPN-клиента
Клиентские приложения Open VPN доступны для всех популярных операционных систем: Windows/Linux/iOS/Android. Для MacOS используется клиент Tunnelblick. Все эти приложения работают с одними и теми же файлами конфигурации. Возможны лишь некоторые отличия нескольких вариантов.Вы можете узнать о них, изучив документацию к вашему клиенту Open VPN. В этом руководстве мы рассмотрим подключение Windows-клиента с помощью того же дистрибутива программы, который мы установили на сервер. При использовании приложений для других операционных систем логика установки аналогична.
- Установите текущую версию Open VPN на клиентский компьютер.
- Скопируйте в каталог C:\Program Files\OpenVPN\config файлы сертификатов клиента, созданные ранее на сервере (2 сертификата с расширением .crt и ключ с расширением .key) и используйте нашу конфигурацию клиента client.ovpn файл. После копирования на устройство пользователя последний файл удаляется с сервера или переносится из папки config во избежание путаницы в будущем.
- Откройте файл client.ovpn. Найдите строку remote my-server-1 1194 и укажите в ней ip-адрес или доменное имя vpn-сервера:
Проверьте правила брандмауэра Windows
Внимание! Для корректной работы сервиса OpenVPN требуется, чтобы на сервере были открыты соответствующие порты (по умолчанию UDP 1194). Проверьте соответствующее правило в своем брандмауэре: Брандмауэр Windows или стороннее антивирусное программное обеспечение.
Проверьте соединения OpenVPN
Запускаем Open VPN сервер, для этого переходим в директорию C:\Program Files\OpenVPN\config и выбираем файл конфигурации сервера (у нас server.ovpn -> правый клик -> "Запустить OpenVPN на этом файл конфигурации").
Запускаем клиент, для этого переходим в директорию C:\Program Files\OpenVPN\config и выбираем файл конфигурации клиента (у нас client.ovpn -> правый клик -> "Запустить Open VPN на этом конфиге файл").
На экране отображается окно состояния подключения. Через несколько секунд он будет свернут в трей. Зеленый индикатор ярлыка Open VPN в области уведомлений указывает на успешное подключение.
Проверьте доступность с клиентского устройства сервера OpenVPN, используя его внутренний частный сетевой адрес:
- Нажмите клавиши Win + R и введите cmd в появившемся окне, чтобы открыть командную строку.
- Выполнить команду ping на адрес нашего сервера в виртуальной частной сети (10.8.0.1):
Если VPN настроен правильно, начнется обмен пакетами с сервером.
По результату работы утилиты мы видим, что пакеты сначала отправляются на VPN-сервер, и только потом во внешнюю сеть.
Теперь у вас есть готовая к работе виртуальная частная сеть, позволяющая устанавливать безопасные сетевые соединения между ее клиентами и сервером, используя открытые и географически удаленные точки подключения к Интернету.
Виртуальные частные сети (VPN) на базе Интернета вместо традиционных выделенных линий предлагают организациям любого размера недорогую и безопасную электронную сеть. VPN позволяет отправлять данные между двумя компьютерами через общую или общедоступную сеть, имитируя свойства частного канала "точка-точка".
VPN можно использовать в любое время, когда у пользователя есть подключение к Интернету, но они требуют, чтобы ваша внутренняя сетевая инфраструктура подвергалась запросам аутентификации из Интернета.
<р>1. В диспетчере серверов щелкните правой кнопкой мыши "Роли" и выберите "Добавить роли".<р>2. Нажмите «Далее», чтобы начать.
<р>3. Выберите «Сетевая политика и службы доступа», а затем нажмите «Далее».
<р>4. Появятся окна сетевых политик и служб доступа, нажмите «Далее».
<р>5. Выберите Службы ролей, Службы маршрутизации и удаленного доступа и нажмите кнопку Далее.
<р>6. Нажмите «Установить».
<р>7.Нажмите «Пуск», «Администрирование», затем «Маршрутизация и удаленный доступ».
<р>8. На странице "Конфигурация" выберите "Настроить и включить маршрутизацию и удаленный доступ".
<р>9. Выберите параметр «Удаленный доступ», затем нажмите «Далее».
<р>10. Выберите параметр «Доступ к VPN», затем нажмите «Далее».
<р>11. На странице "Выбор сети" выберите сеть, к которой должны подключаться пользователи после набора номера, а затем нажмите "Далее".
<р>12. Выберите «Автоматически», если в сети уже есть DHCP-сервер, или в противном случае выберите «Заданный диапазон адресов», а затем нажмите «Далее».
<р>13. Нажмите «Создать», введите диапазон IP-адресов и нажмите «ОК».
<р>15. Выберите Нет, использовать маршрутизацию и удаленный доступ для проверки подлинности запросов на подключение. Затем нажмите «Далее».
<р>16. Нажмите "Готово".
<р>17. Сервер успешно настроил RRAS.
Настройка на стороне клиента в Windows 7
<р>18. Перейдите в Центр управления сетями и общим доступом и выберите настройку подключения или сети, а затем выберите вариант «Подключиться к рабочему месту».
В этой статье объясняется процедура настройки VPN-сервера в Windows Server 2008. Используемым VPN-протоколом будет PPTP (протокол двухточечного туннелирования). Описанный здесь метод использует среду, состоящую из сервера Active Directory, DHCP-сервера, нескольких рабочих станций и VPN-сервера. Конфигурация только VPN-сервера объясняется в следующих шагах
Топология сети, используемая в этой настройке, показана ниже
Настроить IP-адреса на VPN-сервере
VPN-сервер будет иметь два интерфейса, частный и общедоступный, со следующей конфигурацией IP
частный
IP-адрес – 10.0.0.1
Маска подсети – 255.0.0.0
Предпочитаемый DNS – 10.0.0.2 (при условии, что DNS работает на сервере Active Directory)
public
Получите информацию об общедоступном IP-адресе от вашего интернет-провайдера (Internet Service Provider)
Присоедините VPN-сервер к домену
Щелкните правой кнопкой мыши компьютер -> Свойства -> Изменить настройки -> Изменить -> Выбрать домен и введите имя своего домена. Вам будет предложено ввести учетные данные, также введите их и перезагрузите компьютер.
Установка сетевой политики и роли сервера доступа
Войдите на VPN-сервер как администратор, выберите Пуск -> Администрирование -> Диспетчер серверов. Нажмите «Добавить роли» и установите флажок «Сетевая политика и сервер доступа»
В разделе службы ролей установите флажок «Маршрутизация и удаленный доступ»
Подтвердите свой выбор и установите.
Настройка маршрутизации и удаленного доступа
После установки выберите Пуск -> Выполнить и введите rrasmgmt.msc. В открывшейся консоли щелкните правой кнопкой мыши имя своего сервера и выберите «Настроить и включить маршрутизацию и удаленный доступ»
В появившемся мастере нажмите «Далее» и выберите «Пользовательская конфигурация».
Установите флажок Доступ к VPN
Нажмите Далее -> Готово. В появившемся окне сообщения нажмите «Запустить службу». Если у вас есть DHCP-сервер, настроенный в сети в той же подсети, вы можете перейти к последнему шагу.
В сетях, в которых DHCP-сервер находится в другой подсети, должен быть настроен агент ретрансляции DHCP. Разверните IPv4 -> щелкните правой кнопкой мыши агент ретрансляции DHCP и перейдите к свойствам
В появившемся окне введите IP-адрес DHCP-сервера. Соответствующая область DHCP должна быть настроена на сервере DHCP.
Если в вашей сети нет DHCP-сервера, VPN-сервер сам может назначать IP-адреса VPN-клиентам. Щелкните правой кнопкой мыши имя сервера -> свойства -> вкладка IPv4 -> выберите «статический пул адресов» -> нажмите «Добавить». Введите начальный и конечный диапазоны IP-адресов.
Разрешить пользователям входить через VPN
На сервере Active Directory выберите Пуск -> Администрирование -> Пользователи и компьютеры Active Directory -> Щелкните правой кнопкой мыши свойства пользователя -> вкладка "Входящие звонки" и нажмите "Разрешить доступ"
Настройте VPN-соединение на удаленном клиентском ПК
На компьютере с VPN-клиентом перейдите в Пуск -> Выполнить и введите ncpa.cpl, откройте «Мастер нового подключения», в появившемся мастере нажмите «Далее» и выберите «Подключиться к сети на моем рабочее место»
На следующем этапе выберите Подключение к виртуальной частной сети.
Введите название компании, которое используется для имени соединения, и на последнем шаге введите IP-адрес ОБЩЕСТВЕННОГО IP-адреса VPN-сервера. После создания соединения введите имя пользователя и пароль пользователя в базе данных Active Directory и нажмите «Подключиться».
Нам нужно проверить состояние сетевого интерфейса. В командной строке введите:
ncpa.cpl
Как видите, у нас есть запасной интерфейс, и в настоящее время он отключен. В этом упражнении мы будем использовать только одну сетевую карту; т. е. активный для локальной сети и для VPN-подключения.
На данный момент интерфейс LAN имеет следующие настройки IP-адреса:
2/ Добавьте роли сетевой политики и служб доступа
В Server 2008 R2 сервер маршрутизации и удаленного доступа находится в разделе сетевых политик и служб доступа. Поэтому нам нужно добавить эту роль. Запустите Диспетчер серверов и нажмите Добавить роли.
Нажмите Пропустить эту страницу по умолчанию и нажмите Далее.
Выберите политику сети и службы доступа.
Нажмите «Далее» на вводном экране.
Выберите Службы маршрутизации и удаленного доступа и нажмите Далее.
Нажмите "Установить".
По завершении нажмите "Закрыть".
Нажмите «Пуск» -> «Администрирование» -> «Маршрутизация и удаленный доступ».
Вы увидите этот экран.
Щелкните правой кнопкой мыши имя сервера и выберите «Настроить и включить маршрутизацию и удаленный доступ».
На экране приветствия нажмите "Далее".
Выберите «Пользовательская конфигурация» и нажмите «Далее».
Выберите доступ к VPN и нажмите "Далее".
Нажмите "Готово".
Нажмите Запустить службу.
Вы увидите, что статус сервера изменится на "Активный" (зеленый значок со стрелкой вверх).
Выберите Нет для сервера RADIUS.
По завершении нажмите "Готово".
После настройки главный экран маршрутизации и удаленного доступа выглядит следующим образом:
Теперь откройте консоль оснастки «Пользователи и компьютеры Active Directory».
Выберите пользователя, которому вы хотите предоставить доступ к VPN-подключению.
Щелкните правой кнопкой мыши пользователя и выберите "Свойства". Щелкните вкладку Телефонный звонок. Выберите Разрешить доступ. Нажмите "ОК".
3/ Тестирование
В настоящее время, поскольку в брандмауэре нет правила переадресации порта 1723 (PPTP) на сервер RRAS, VPN-подключение работать не будет. Брандмауэр, который у меня есть, — это Linux Shorewall. Я слежу за журналом отладки в реальном времени при удаленном подключении к серверу RRAS.
Как видно из журнала трассировки отладки, брандмауэр Linux сообщает, что трафик VPN сбрасывается из-за неправильной обработки порта TCP/1723.
Теперь в сетевом брандмауэре убедитесь, что трафик, предназначенный для порта TCP/1723, перенаправляется на этот VPN-сервер:
vi /etc/shorewall/rules
DNAT net loc:192.168.0.4:1723 TCP 1723
Затем перезапустите береговую стену: сервисная перезагрузка береговой стены
На клиентском компьютере вне сети в Интернете выполните следующие действия, чтобы создать новое подключение.
Откройте панель управления.
Нажмите «Настроить новое подключение или сеть».
Выберите «Подключиться к рабочему месту» и нажмите «Далее».
Выберите «Создать новое подключение» и нажмите «Далее».
Выберите «Использовать мое подключение к Интернету (VPN)».
Введите общедоступный IP-адрес удаленного сайта (сайта, на котором расположен VPN-сервер RRAS), введите имя подключения и нажмите «Создать».
Нажмите Изменить настройки адаптера.
Дважды щелкните только что созданное соединение, чтобы подключиться.
Выберите VPN-подключение для подключения, в данном случае «Мое второе VPN-подключение», которое мы только что создали, и нажмите «Подключиться».
Введите учетные данные и нажмите OK.
При подключении статус изменится на «Подключено».
Щелкните правой кнопкой мыши подключение и выберите "Свойства".
Перейдите на вкладку "Сеть", выделите Интернет-протокол версии 4 (TCP/IPv4) и нажмите "Свойства".
Нажмите "Дополнительно".
Убедитесь, что параметр Использовать шлюз по умолчанию в удаленной сети отключен, и нажмите OK.
Попробуйте пропинговать локальный компьютер в удаленной сети.
Когда соединение установлено, можно наблюдать две интересные вещи. Сервер RRAS показывает активное подключение:
А так же на локальном клиентском компьютере добавляется маршрут.
В командной строке введите
распечатать маршрут
для просмотра таблицы маршрутизации.
При отключении маршрут исчезнет.
В этой лабораторной работе мы успешно создали VPN-подключение PPTP в Windows 2008 R2 с одной сетевой картой. Мы также выполнили переадресацию портов на брандмауэре Linux, чтобы разрешить перенаправление трафика PPTP на блок RRAS. Используя маршрутизаторы SOHO, такие как Linksys и DLINK, было бы очень легко выполнить эту переадресацию портов, поэтому я не хотел рассматривать ее в этой статье. Мы также успешно подключились к VPN-серверу и получили доступ к сети на удаленном конце.
Вы хотите предоставить удаленным пользователям доступ к корпоративной сети.
Решение
Установка роли сервера
<р>1. Пуск > Диспетчер серверов (или Пуск > выполнить > CompMgmtLauncher.exe (Ввод) > Добавить роли > Выбрать сетевую политику и службы доступа > Далее > Далее<р>2. Выберите Служба удаленного доступа > Далее > Установить > Установка службы займет некоторое время (время кофе!).
<р>3. По завершении > Закрыть.
<р>4. Пуск > Инструменты администрирования > Маршрутизация и удаленный доступ > На сервере будет красная стрелка «вниз» > Щелкните правой кнопкой мыши сервер и выберите «Настроить и включить маршрутизацию и удаленный доступ»
<р>5. Далее > Выберите «Пользовательская конфигурация» > Далее.(Примечание: я выбираю это, потому что у меня есть только одна сетевая карта, и я хочу использовать эту сетевую карту).
<р>6. VPN-доступ > Далее.
<р>7. При повышении уровня Выберите «Запустить службу» > Служба запустится > теперь вы можете закрыть консоль маршрутизации и удаленного доступа.
<р>8. Убедитесь, что пользователю, которому необходимо подключиться, предоставлено разрешение (напрямую или через политику).
Примечание о брандмауэре:
Чтобы это работало, должны произойти две вещи: TCP-порт 1723 должен быть разрешен (или порт) для переадресации на сервер. И GRE (общая инкапсуляция маршрутизации) должна быть разрешена на сервере. GRE — это ПРОТОКОЛ, а НЕ порт, поэтому вы не можете просто перенаправить его через порт, он должен быть разрешен непосредственно на сервере, поэтому для этого серверу требуется общедоступный IP-адрес.
Пользователям Cisco PIX/ASA нажмите здесь
Виста и Windows 7
<р>1. Пуск > Панель управления > Центр управления сетями и общим доступом > Подключиться к сети > Настроить подключение или сеть > Подключиться к рабочему месту > Далее.<р>2. Используйте Мое подключение к Интернету (VPN) > Введите общедоступный IP-адрес VPN-сервера > Введите имя для подключения > Далее > Введите данные для входа в домен > Подключиться.
Windows 2000, 2003 и XP
<р>1. Пуск > выполнить > NCPA.CPL > Файл > Новое подключение > Далее > Подключиться к сети на моем рабочем месте > Далее.<р>2. Подключение к виртуальной частной сети > Далее.
3.Введите общедоступный IP-адрес VPN-сервера. > Далее > Выберите, кто может использовать подключение > Далее > Готово > Введите имя пользователя и пароль > Подключиться.
Читайте также: