В този урок ще намерите инструкции стъпка по стъпка за настройка на L2TP VPN сървър за достъп на Windows Server 2016. Виртуалната частна мрежа (VPN) ви позволява сигурно да се свържете с вашата частна мрежа от интернет местоположения и ви защитава от интернет атаки и прихващане на данни. За да инсталирате и конфигурирате L2TP/IPSec VPN достъп на Server 2016, това е многоетапен процес, т.к. трябва да конфигурирате няколко настройки от страната на VPN сървъра, за да постигнете успешната VPN операция.
Как да инсталирате L2TP/IPSec VPN сървър 2016 с персонализиран предварително споделен ключ.
В това ръководство стъпка по стъпка преминаваме през настройката на L2TP VPN Server 2016, използвайки протокола за тунелиране на Layer Two (L2TP/IPSEC) с персонализиран PreShared ключ, за по-сигурна VPN връзка.
Етап 1. Как да добавите роля за отдалечен достъп (VPN достъп) на сървър 2016.
Първата стъпка за настройка на Windows Server 2016 като VPN сървър е да инсталирате Отдалечен достъп роля {Direct Access & VPN (RAS) services} към вашия сървър 2016. *
* Информация: За този пример ще настроим VPN на машина с Windows Server 2016, наречена „Srv1“ и с IP адрес „192.168.1.8“.
1. За да инсталирате VPN роля на Windows Server 2016, отворете „Server Manager“ и щракнете върху Добавете роли и функции.
2. На първия екран на „Помощник за добавяне на роли и функции“ оставете Инсталация, базирана на роли или базирана на функции опция и щракнете Следващия.
3. На следващия екран оставете опцията по подразбиране "Изберете сървър от пула сървъри“ и щракнете Следващия.
4. След това изберете Отдалечен достъп роля и щракнете Следващия.
5. На екрана „Функции“ оставете настройките по подразбиране и щракнете Следващия.
6. На информационния екран „Отдалечен достъп“ щракнете Следващия.
7. В „Отдалечени услуги“ изберете Директен достъп и VPN (RAS) ролеви услуги и след това щракнете Следващия.
8. След това щракнете Добавяне на функции.
9. Щракнете върху Следващия отново.
10. Оставете настройките по подразбиране и щракнете Следващия (два пъти) на екраните „Роля на уеб сървър (IIS)“ и „Услуги за роли“.
11. На екрана „Потвърждение“ изберете Рестартирайте автоматично целевия сървър (ако е необходимо) и щракнете Инсталирай.
12. На последния екран се уверете, че инсталирането на ролята за отдалечен достъп е успешно и Близо Магьосникът.
13. След това (от Server Manager) Инструменти меню, щракнете върху Управление на отдалечен достъп.
14. Изберете Директен достъп и VPN отляво и след това щракнете върху Стартирайте съветника за начало.
15. След това щракнете Разгръщане на VPN само.
16. Продължете да стъпка 2 по-долу, за да конфигурирате маршрутизиране и отдалечен достъп.
Стъпка 2. Как да конфигурирате и активирате маршрутизиране и отдалечен достъп на сървър 2016.
Следващата стъпка е да активирате и конфигурирате VPN достъпа на нашия сървър 2016. Да направя това:
1. Щракнете с десния бутон върху името на сървъра и изберете Конфигуриране и активиране на маршрутизиране и отдалечен достъп. *
* Забележка: Можете също да стартирате настройките за маршрутизиране и отдалечен достъп, като използвате следния начин:
1.Отворете Server Manager и от Инструменти меню, изберете Компютърно управление.
2. Разгънете Услуги и приложения
3. Щракнете с десния бутон върху Маршрутизация и отдалечен достъп и изберете Конфигуриране и активиране на маршрутизиране и отдалечен достъп.
2. Щракнете върху Следващия в „Съветник за настройка на сървъра за маршрутизиране и отдалечен достъп“.
3. Избирам Персонализирана конфигурация и щракнете Следващия.
4. Изберете VPN достъп само в този случай и щракнете Следващия.
5. Накрая щракнете завършек.
6. Когато бъдете подканени да стартирате услугата, щракнете Започнете.
7. Сега ще видите зелена стрелка до името на вашия сървър (например "Svr1" в този пример).
Стъпка 3. Как да активирате персонализирана IPsec политика за L2TP/IKEv2 връзки.
Сега е време да разрешите персонализирана IPsec политика на сървъра за маршрутизиране и отдалечен достъп и да посочите персонализирания предварително споделен ключ.
1. В Маршрутизация и отдалечен достъп панел, щракнете с десния бутон върху името на вашия сървър и изберете Имоти.
2. В Сигурност раздел, изберете Разрешаване на персонализирана IPsec политика за L2TP/IKEv2 връзка и след това въведете предварително споделен ключ (за този пример въвеждам: "TestVPN@1234").
3. След това щракнете върху Методи за удостоверяване бутон (по-горе) и се уверете, че Microsoft криптирано удостоверяване версия 2 (MS-CHAP v2) е избран и след това щракнете ДОБРЕ.
4. Сега изберете IPv4 раздел, изберете Пул със статичен адрес и щракнете Добавете.
5. Тук въведете диапазона на IP адресите, който ще бъде присвоен на клиенти, свързани с VPN, и щракнете Добре (два пъти), за да затворите всички прозорци.
напр. За този пример ще използваме диапазона на IP адресите: 192.168.1.200 – 192.168.1.202.
6. Когато бъдете подканени с изскачащото съобщение: „За да активирате персонализирана IPsec политика за L2TP/IKEv2 връзки, трябва да рестартирате маршрутизиране и отдалечен достъп“, щракнете върху Добре.
7. Накрая щракнете с десния бутон върху вашия сървър (например "Svr1") и изберете Всички задачи > Рестартиране.
Стъпка 4. Отворете необходимите портове в защитната стена на Windows.
1. Отидете до Контролен панел > Всички елементи от контролния панел > Защитна стена на Windows.
2. Щракнете върху Разширени настройки наляво.
![image_thumb[11]](/f/8fdd322bee9adcc07e0f5cf1564c5791.png "image_thumb[11]")
3. Вляво изберете Входящи правила.
4а. Щракнете двукратно върху Маршрутизация и отдалечен достъп (L2TP-In)
4б. В раздела „Общи“ изберете Разрешено, Разрешаване на връзката и щракнете ДОБРЕ.
5. Сега щракнете с десния бутон върху Входящи правила вляво и изберете Ново правило.
6. На първия екран изберете Порт и щракнете Следващия.
7. Сега изберете UDP тип протокол и в полето „Специфични локални портове“ въведете: 50, 500, 4500.
Когато сте готови, щракнете върху Напред.
8. Оставете настройката по подразбиране „Разрешаване на връзката“ и щракнете Следващия.
9. На следващия екран щракнете Следващия отново.
10. Сега въведете име за новото правило (например "Разрешаване на L2PT VPN") и щракнете завършек.
11. Близо настройките на защитната стена.
Стъпка 5. Как да конфигурирате сървъра за мрежови политики, за да разрешите достъп до мрежата.
За да позволите на потребителите на VPN да имат достъп до мрежата чрез VPN връзката, продължете и променете сървъра за мрежови политики, както следва:
1. Щракнете с десния бутон върху Регистриране и политики за отдалечен достъп и изберете Стартирайте NPS
2. В раздела „Преглед“ изберете следните настройки и щракнете Добре:
- Предоставяне на достъп: Ако заявката за връзка съответства на това правило.
- Сървър за отдалечен достъп (VPN-Dial up)
3. Сега отворете Връзки към други сървъри за достъп политика, изберете същите настройки и щракнете ДОБРЕ.
- Предоставяне на достъп: Ако заявката за връзка съответства на това
политика. - Сървър за отдалечен достъп (VPN-Dial
нагоре)
- Предоставяне на достъп: Ако заявката за връзка съответства на това
4. Затворете настройките на сървъра за мрежова политика.
Стъпка 6. Как да активирате L2TP/IPsec връзки зад NAT.
По подразбиране съвременните Windows клиенти (Windows 10, 8, 7 или Vista) и Windows Server 2016, 2012 и 2008 операционните системи не поддържат L2TP/IPsec връзки, ако се намират компютърът с Windows или VPN сървърът зад NAT. За да заобиколите този проблем, трябва да промените системния регистър, както следва, в VPN сървъра и клиентите:
1. Едновременно с това натиснете Windows 
+ Р клавиши за отваряне на командното поле за изпълнение.
2. Тип regedit и натиснете Въведете.
3. В левия панел отидете до този клавиш:
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Sevices\PolicyAgent
4. Щракнете с десния бутон върху PolicyAgent и изберете Нов –> DWORD (32 бита) Стойност.
5. За новия тип име на ключ: ПриеметеUDPEcapsulationContextOnSendRule и натиснете Въведете.
* Забележка: Стойността трябва да бъде въведена, както е показано по-горе и без интервал.
6. Щракнете двукратно върху този нов ключ DWORD и въведете данни за стойност: 2
7.Близо Редактор на регистъра. *
* Важно: За да избегнете проблеми при свързване към вашия VPN сървър от клиентски компютър с Windows (Windows Vista, 7, 8, 10 и 2008 Server), трябва да приложите тази корекция на системния регистър и към клиенти.
8. Рестартирайте машината.
Стъпка 7. Проверете дали услугите на IKE & IPsec Policy Agent работят.
След рестартирането отидете на контролния панел на услугите и се уверете, че следните услуги работят и работят. Да направя това:
1. Едновременно с това натиснете Windows + Р клавиши за отваряне на командното поле за изпълнение.
2. В командното поле за изпълнение въведете: услуги.msc и натиснете Въведете.
3. Уверете се, че следните услуги работят: *
- IKE и AuthIP IPsec ключови модули
- IPsec Policy Agent
* Бележки:
1. Ако горните услуги не се изпълняват, щракнете двукратно върху всяка услуга и задайте Тип стартиране да се Автоматично. След това щракнете Добре и рестартирам сървърът.
2. Трябва да се уверите, че горните услуги се изпълняват и на клиентската машина на Windows.
Стъпка 8. Как да изберете кои потребители ще имат VPN достъп.
Сега е време да посочите кои потребители ще могат да се свързват към VPN сървъра (разрешения за набиране).
1. Отвори Мениджър на сървъра.
2. От Инструменти меню, изберете Потребители и компютри на Active Directory. *
* Забележка: Ако вашият сървър не принадлежи към домейн, отидете на Компютърно управление -> Местни потребители и групи.
3. Изберете Потребители и щракнете двукратно върху потребителя, на когото искате да разрешите VPN достъп.
4. Изберете Набиране раздел и изберете Позволи достъп. След това щракнете Добре.
Стъпка 9. Как да конфигурирате защитната стена, за да разрешите L2TP VPN достъп (пренасочване на портове).
Следващата стъпка е да разрешите VPN връзките във вашата защитна стена.
1. Влезте в уеб интерфейса на рутера.
2. В конфигурацията на рутера препратете портовете 1701, 50, 500 и 4500 към IP адреса на VPN сървъра. (Вижте ръководството на вашия рутер за това как да конфигурирате Port Forward).
- Например, ако VPN сървърът има IP адрес "192.168.1.8", тогава трябва да препратите всички гореспоменати портове към този IP.
Допълнителна помощ:
- За да можете да се свържете с вашия VPN сървър от разстояние, трябва да знаете публичния IP адрес на VPN сървъра. За да намерите публичния IP адрес (от компютъра на VPN сървъра), отидете на тази връзка: http://www.whatismyip.com/
- За да сте сигурни, че винаги можете да се свържете с вашия VPN сървър, по-добре е да имате статичен публичен IP адрес. За да получите статичен публичен IP адрес, трябва да се свържете с вашия доставчик на интернет услуги. Ако не искате да плащате за статичен IP адрес, тогава можете да настроите безплатна услуга за динамичен DNS (напр. без IP.) от страната на вашия рутер (VPN сървър).
Стъпка 10. Как да настроите L2TP VPN връзка на клиентски компютър с Windows.
Последната стъпка е да създадете нова L2TP/IPSec VPN връзка към нашия VPN сървър 2016 на клиентския компютър, като следвате инструкциите по-долу:
- Свързана статия:Как да настроите PPTP VPN връзка на Windows 10.
ВНИМАНИЕ: Преди да продължите да създавате VPN връзка, продължете и приложете корекцията в системния регистър стъпка-6 по-горе, също и на клиентския компютър.
1. Отворете Центъра за мрежи и споделяне.
2. Щракнете върху Настройте нова връзка или мрежа
3. Изберете Свържете се с работното място и щракнете Следващия.
4. След това изберете Използвайте моята интернет връзка (VPN).
5. На следващия екран въведете Публичен IP адрес на VPN сървъра и VPN порта, който сте задали от страната на рутера и след това щракнете Създайте.
напр. Ако външният IP адрес е: 108.200.135.144, тогава въведете: "108.200.135.144" в полето за интернет адрес и в полето "Име на дестинация" въведете всяко име, което искате (например "L2TP-VPN").
6. Въведете потребителското име и паролата за VPN връзката и щракнете Свържете се.
7. Ако настроите VPN на клиентска машина с Windows 7, тя ще се опита да се свърже. Натиснете Пропусни и след това щракнете Близо, защото трябва да посочите някои допълнителни настройки за VPN връзката.
8. В Центъра за мрежи и споделяне щракнете върху Променете настройките на адаптера отляво.
9. Щракнете с десния бутон върху новата VPN връзка (например "L2TP-VPN") и изберете Имоти.
10. Изберете Сигурност раздел и изберете Слой 2 (протокол за тунелиране с IPsec (L2TP/IPsec) и след това щракнете върху Разширени настройки.
11. В „Разширени настройки“ въведете предварително споделения ключ (напр. „TestVPN@1234“ в този пример) и щракнете Добре
12. След това кликнете върху Разрешете тези протоколи и изберете Microsoft CHAP версия 2 (MS-CHAP v2)
13. След това изберете Работа в мрежа раздел. Ще щракнем два пъти върху Интернет протокол версия 4 (TCP/IPv4) да го отвори Имоти.
14. За Предпочитан DNS сървър въведете локалния IP адрес на VPN сървъра (например "192.168.1.8" в този пример). *
* Забележка: Тази настройка не е задължителна, така че я прилагайте само ако имате нужда.
15. След това щракнете върху бутона Разширени и премахнете отметката на Използвайте шлюз по подразбиране в отдалечена мрежа защото искаме да отделим нашия компютър, сърфиране в интернет от VPN връзка.
16. Накрая щракнете Добре непрекъснато да затваряте всички прозорци.
17. Сега щракнете двукратно върху новата VPN връзка и щракнете Свържете се, за да се свържете с вашето работно място.
Това е! Уведомете ме дали това ръководство ви е помогнало, като оставите коментар за вашия опит. Моля, харесайте и споделете това ръководство, за да помогнете на другите.