V tomto tutoriálu najdete podrobné pokyny k nastavení L2TP VPN Access Serveru na Windows Server 2016. Virtuální privátní síť (VPN) vám umožňuje bezpečně se připojit k vaší privátní síti z internetových míst a chrání vás před internetovými útoky a zachycením dat. Instalace a konfigurace L2TP/IPSec VPN přístupu na Server 2016 je proces složený z několika kroků, protože musíte nakonfigurovat několik nastavení na straně serveru VPN, abyste dosáhli úspěšné VPN úkon.
Jak nainstalovat L2TP/IPSec VPN Server 2016 s vlastním předsdíleným klíčem.
V tomto průvodci krok za krokem projdeme nastavením L2TP VPN Server 2016 pomocí protokolu Layer Two Tunneling Protocol (L2TP/IPSEC) s vlastním předsdíleným klíčem pro bezpečnější připojení VPN.
Krok 1. Jak přidat roli vzdáleného přístupu (VPN Access) na Server 2016.
Prvním krokem k nastavení Windows Server 2016 jako serveru VPN je instalace Vzdálený přístup role {Přímý přístup a služby VPN (RAS)} na váš Server 2016. *
* Info: V tomto příkladu nastavíme VPN na počítači se systémem Windows Server 2016 s názvem „Srv1“ a s adresou IP „192.168.1.8“.
1. Chcete-li nainstalovat roli VPN na Windows Server 2016, otevřete „Správce serveru“ a klikněte na Přidat role a funkce.
2. Na první obrazovce „Průvodce přidáním rolí a funkcí“ opusťte Instalace na základě rolí nebo funkcí možnost a klikněte Další.
3. Na další obrazovce ponechte výchozí možnost "Vyberte server z fondu serverů“ a klikněte Další.
4. Poté vyberte Vzdálený přístup role a klikněte další.
5. Na obrazovce „Features“ ponechte výchozí nastavení a klikněte další.
6. Na informační obrazovce „Vzdálený přístup“ klikněte na další.
7. V 'Vzdálené služby' vyberte Přímý přístup a VPN (RAS) služby rolí a poté klikněte na další.
8. Pak klikněte Přidat funkce.
9. Klikněte další znovu.
10. Ponechte výchozí nastavení a klikněte další (dvakrát) na obrazovkách „Role webového serveru (IIS)“ a „Služby rolí“.
11. Na obrazovce „Potvrzení“ vyberte Automaticky restartujte cílový server (v případě potřeby) a klikněte Nainstalujte.
12. Na poslední obrazovce se ujistěte, že instalace role vzdáleného přístupu proběhla úspěšně a Zavřít čaroděj.
13. Poté (ze Správce serveru) Nástroje v nabídce klikněte na Správa vzdáleného přístupu.
14. Vybrat Přímý přístup a VPN vlevo a poté klikněte na Spusťte průvodce Začínáme.
15. Pak klikněte Nasaďte VPN pouze.
16. Pokračovat krok 2 níže ke konfiguraci Směrování a vzdáleného přístupu.
Krok 2. Jak nakonfigurovat a povolit směrování a vzdálený přístup na serveru 2016.
Dalším krokem je povolení a konfigurace přístupu VPN na našem serveru 2016. Udělat to:
1. Klikněte pravým tlačítkem na název serveru a vyberte Nakonfigurujte a povolte směrování a vzdálený přístup. *
* Poznámka: Nastavení Směrování a vzdálený přístup můžete spustit také následujícím způsobem:
1. Otevřete Správce serveru az Nástroje menu, vyberte Počítačový management.
2. Rozšířit Služby a aplikace
3. Klikněte pravým tlačítkem na Směrování a vzdálený přístup a vyberte Nakonfigurujte a povolte směrování a vzdálený přístup.
2. Klikněte další v 'Průvodce nastavením serveru pro směrování a vzdálený přístup'.
3. Vybrat Vlastní konfigurace a klikněte Další.
4. Vybrat VPN přístup pouze v tomto případě a klikněte Další.
5. Nakonec klikněte Dokončit.
6. Po zobrazení výzvy ke spuštění služby klepněte na Start.
7. Nyní uvidíte vedle názvu vašeho serveru zelenou šipku (v tomto příkladu např. „Svr1“).
Krok 3 Jak povolit vlastní zásady IPsec pro připojení L2TP/IKEv2.
Nyní je čas povolit vlastní zásady IPsec na serveru pro směrování a vzdálený přístup a zadat vlastní předsdílený klíč.
1. Na Směrování a vzdálený přístup klikněte pravým tlačítkem na název vašeho serveru a vyberte Vlastnosti.
2. Na Bezpečnostní kartu, vyberte Povolit vlastní zásady IPsec pro připojení L2TP/IKEv2 a potom zadejte předsdílený klíč (pro tento příklad napíšu: "TestVPN@1234").
3. Poté klikněte na Metody autentizace tlačítko (výše) a ujistěte se, že Šifrované ověřování Microsoft verze 2 (MS-CHAP v2) je vybráno a poté klikněte OK.
4. Nyní vyberte IPv4 karta, vyberte Fond statických adres a klikněte Přidat.
5. Zde zadejte rozsah IP adres, který bude přiřazen klientům připojeným k VPN, a klikněte OK (dvakrát) pro zavření všech oken.
např. Pro tento příklad použijeme rozsah IP adres: 192.168.1.200 – 192.168.1.202.
6. Po zobrazení výzvy s vyskakovací zprávou: „Chcete-li povolit vlastní zásady IPsec pro připojení L2TP/IKEv2, musíte restartovat Směrování a vzdálený přístup“, klepněte na OK.
7. Nakonec klikněte pravým tlačítkem na svůj server (např. "Svr1") a vyberte Všechny úkoly > Restartovat.
Krok 4 Otevřete požadované porty v bráně Windows Firewall.
1. Jít do Kontrolní panel > Všechny položky ovládacího panelu > Brána firewall systému Windows.
2. Klikněte Pokročilé nastavení nalevo.
![image_thumb[11]](/f/8fdd322bee9adcc07e0f5cf1564c5791.png "image_thumb[11]")
3. Vlevo vyberte Příchozí pravidla.
4a. Dvakrát klikněte na Směrování a vzdálený přístup (L2TP-In)
4b. Na kartě Obecné vyberte Povoleno, Povolit připojení a klikněte OK.
5. Nyní klikněte pravým tlačítkem na Příchozí pravidla vlevo a vyberte Nové pravidlo.
6. Na první obrazovce vyberte Přístav a klikněte Další.
7. Nyní vyberte UDP typ protokolu a do pole 'Specifické místní porty' zadejte: 50, 500, 4500.
Po dokončení klikněte na Další.
8. Ponechte výchozí nastavení „Povolit připojení“ a klikněte další.
9. Na další obrazovce klikněte na další znovu.
10. Nyní zadejte název nového pravidla (např. „Povolit L2PT VPN“) a klikněte Dokončit.
11. Zavřít nastavení brány firewall.
Krok 5. Jak nakonfigurovat server síťových zásad, aby umožnil přístup k síti.
Chcete-li uživatelům VPN umožnit přístup k síti prostřednictvím připojení VPN, postupujte a upravte Server zásad sítě následovně:
1. Klikněte pravým tlačítkem na Protokolování a zásady vzdáleného přístupu a vyberte Spusťte NPS
2. Na kartě „Přehled“ vyberte následující nastavení a klikněte OK:
- Udělit přístup: Pokud požadavek na připojení odpovídá této zásadě.
- Server pro vzdálený přístup (VPN-vytáčené připojení)
3. Nyní otevřete Připojení k jiným přístupovým serverům zásadu, vyberte stejná nastavení a klikněte na OK.
- Udělit přístup: Pokud požadavek na připojení odpovídá tomuto
politika. - Server pro vzdálený přístup (VPN-Dial
nahoru)
- Udělit přístup: Pokud požadavek na připojení odpovídá tomuto
4. Zavřete nastavení serveru síťových zásad.
Krok 6. Jak povolit připojení L2TP/IPsec za NAT.
Ve výchozím nastavení jsou moderní klienti Windows (Windows 10, 8, 7 nebo Vista) a Windows Server 2016, 2012 a 2008 operační systémy nepodporují připojení L2TP/IPsec, pokud je umístěn počítač se systémem Windows nebo server VPN za NAT. Chcete-li tento problém obejít, musíte upravit registr na serveru VPN následovně a klienti:
1. Současně stiskněte tlačítko Okna 
+ R klávesy pro otevření příkazového pole spuštění.
2. Typ regedit a stiskněte Vstupte.
3. V levém podokně přejděte na tuto klávesu:
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Sevices\PolicyAgent
4. Klikněte pravým tlačítkem na PolicyAgent a vyberte Nový –> Hodnota DWORD (32 bitů)..
5. Pro nový typ názvu klíče: AssumeUDPEncapsulationContextOnSendRule a stiskněte Vstupte.
* Poznámka: Hodnota musí být zadána tak, jak je uvedeno výše, bez mezer.
6. Dvakrát klikněte na tento nový klíč DWORD a zadejte pro Údaj hodnoty: 2
7.Zavřít Editor registru. *
* Důležité: Chcete-li se vyhnout problémům při připojování k serveru VPN z klientského počítače se systémem Windows (Windows Vista, 7, 8, 10 a 2008 Server), musíte tuto opravu registru použít také na klienty.
8. Restartujte stroj.
Krok 7 Ověřte, zda jsou spuštěny služby agenta zásad IKE a IPsec.
Po restartu přejděte na ovládací panel služeb a ujistěte se, že jsou spuštěny následující služby. Udělat to:
1. Současně stiskněte tlačítko Okna + R klávesy pro otevření příkazového pole spuštění.
2. Do pole příkazu Spustit zadejte: services.msc a stiskněte Vstupte.
3. Ujistěte se, že jsou spuštěny následující služby: *
- IKE a AuthIP IPsec klíčovací moduly
- Agent zásad IPsec
* Poznámky:
1. Pokud výše uvedené služby neběží, dvakrát klikněte na každou službu a nastavte Typ spouštění na Automatický. Pak klikněte OK a restartovat server.
2. Musíte zajistit, aby výše uvedené služby byly spuštěny také na klientském počítači Windows.
Krok 8. Jak vybrat, kteří uživatelé budou mít přístup k VPN.
Nyní je čas určit, kteří uživatelé se budou moci připojit k serveru VPN (oprávnění Dial-IN).
1. Otevřeno Správce serveru.
2. Z Nástroje menu, vyberte Uživatelé a počítače služby Active Directory. *
* Poznámka: Pokud váš server nepatří do domény, přejděte na Počítačový management -> Místní uživatelé a skupiny.
3. Vybrat Uživatelé a dvakrát klikněte na uživatele, kterému chcete povolit přístup k VPN.
4. Vybrat Vytočit kartu a vyberte Povolit přístup. Pak klikněte OK.
Krok 9. Jak nakonfigurovat bránu firewall pro povolení přístupu L2TP VPN (přesměrování portů).
Dalším krokem je povolení připojení VPN ve vaší bráně firewall.
1. Přihlaste se do webového rozhraní routeru.
2. V nastavení konfigurace routeru předejte porty 1701, 50, 500 a 4500 na IP adresu VPN serveru. (Informace o konfiguraci přesměrování portu naleznete v příručce k routeru).
- Pokud má například VPN server IP adresu „192.168.1.8“, musíte na tuto IP přesměrovat všechny výše uvedené porty.
Další nápověda:
- Abyste se mohli na dálku připojit k vašemu VPN serveru, musíte znát veřejnou IP adresu VPN serveru. Chcete-li zjistit veřejnou IP adresu (z PC serveru VPN), přejděte na tento odkaz: http://www.whatismyip.com/
- Aby bylo zajištěno, že se můžete vždy připojit k serveru VPN, je lepší mít statickou veřejnou IP adresu. Chcete-li získat statickou veřejnou IP adresu, musíte kontaktovat svého poskytovatele internetových služeb. Pokud nechcete platit za statickou IP adresu, můžete si nastavit bezplatnou službu Dynamic DNS (např. ne-ip.) na straně vašeho routeru (VPN Server).
Krok 10. Jak nastavit připojení L2TP VPN na klientském počítači Windows.
Posledním krokem je vytvoření nového připojení L2TP/IPSec VPN k našemu serveru VPN Server 2016 na klientském počítači podle následujících pokynů:
- Související článek:Jak nastavit připojení PPTP VPN v systému Windows 10.
POZORNOST: Než budete pokračovat ve vytváření připojení VPN, pokračujte a použijte opravu registru v krok-6 výše, také na klientském počítači.
1. Otevřete Centrum sítí a sdílení.
2. Klikněte Nastavte nové připojení nebo síť
3. Vybrat Připojte se k pracovišti a klikněte Další.
4. Poté vyberte Použít mé internetové připojení (VPN).
5. Na další obrazovce zadejte Veřejná IP adresa serveru VPN a VPN Port, který jste přiřadili na straně routeru, a poté klikněte Vytvořit.
např. Pokud je externí IP adresa: 108.200.135.144, zadejte: „108.200.135.144“ do pole Internetová adresa a do pole „Název cíle“ zadejte libovolný název (např. „L2TP-VPN“).
6. Zadejte uživatelské jméno a heslo pro připojení VPN a klikněte Připojit.
7. Pokud nastavíte VPN na klientském počítači se systémem Windows 7, pokusí se připojit. lis Přeskočit a poté klikněte Zavřít, protože musíte zadat některá další nastavení pro připojení VPN.
8. V Centru sítí a sdílení klikněte na Změňte nastavení adaptéru vlevo.
9. Klikněte pravým tlačítkem na nové připojení VPN (např. „L2TP-VPN“) a vyberte Vlastnosti.
10. Vybrat Bezpečnostní kartu a vyberte Vrstva 2 (Tunneling Protocol with IPsec (L2TP/IPsec) a poté klikněte na Pokročilé nastavení.
11. V části „Pokročilá nastavení“ zadejte předsdílený klíč (např. „TestVPN@1234“ v tomto příkladu) a klikněte na OK
12. Poté klikněte na Povolit tyto protokoly a vyberte Microsoft CHAP verze 2 (MS-CHAP v2)
13. Poté vyberte vytváření sítí tab. Dvakrát klikneme na Internetový protokol verze 4 (TCP/IPv4) otevřít jeho Vlastnosti.
14. Pro Preferovaný server DNS zadejte místní IP adresu VPN serveru (např. „192.168.1.8“ v tomto příkladu). *
* Poznámka: Toto nastavení je volitelné, takže jej použijte pouze v případě potřeby.
15. Poté klikněte na tlačítko Upřesnit a zrušte zaškrtnutí a Použít výchozí bránu ve vzdálené síti protože chceme oddělit naše PC procházení internetu od připojení VPN.
16. Nakonec klikněte OK průběžně zavírat všechna okna.
17. Nyní dvakrát klikněte na nové připojení VPN a klikněte Připojitpro připojení k vašemu pracovišti.
A je to! Dejte mi vědět, zda vám tento průvodce pomohl, a zanechte svůj komentář o své zkušenosti. Lajkujte a sdílejte tento návod, abyste pomohli ostatním.