I denne vejledning finder du trinvise instruktioner til opsætning af en L2TP VPN Access Server på Windows Server 2016. Det virtuelle private netværk (VPN) giver dig mulighed for sikkert at oprette forbindelse til dit private netværk fra internetplaceringer, og det beskytter dig mod internetangreb og dataaflytning. For at installere og konfigurere L2TP/IPSec VPN-adgang på Server 2016 er det en flertrinsproces, fordi du skal konfigurere flere indstillinger på VPN-serverens side for at opnå den vellykkede VPN operation.
Sådan installeres en L2TP/IPSec VPN-server 2016 med brugerdefineret foruddelt nøgle.
I denne trin for trin guide gennemgår vi L2TP VPN Server 2016 opsætningen ved hjælp af Layer Two Tunneling Protocol (L2TP/IPSEC) med en brugerdefineret PreShared nøgle, for en mere sikker VPN-forbindelse.
Trin 1. Sådan tilføjer du fjernadgang (VPN-adgang) rolle på en server 2016.
Det første trin til opsætning af en Windows Server 2016, som en VPN-server, er at installere Fjernadgang rolle {Direct Access & VPN (RAS) services} til din server 2016. *
* Info: I dette eksempel skal vi opsætte VPN på en Windows Server 2016-maskine, kaldet "Srv1" og med IP-adressen "192.168.1.8".
1. For at installere VPN-rolle på Windows Server 2016 skal du åbne 'Server Manager' og klikke på Tilføj roller og funktioner.
2. På det første skærmbillede af 'Add Rolles and Features wizard' skal du forlade Rollebaseret eller funktionsbaseret installation mulighed og klik Næste.
3. På den næste skærm skal du forlade standardindstillingen "Vælg server fra serverpuljen" og klik Næste.
4. Vælg derefter Fjernadgang rolle og klik Næste.
5. På skærmen 'Funktioner' forlader du standardindstillingerne og klik Næste.
6. Klik på informationsskærmen 'Fjernadgang' Næste.
7. Under 'Remote Services' skal du vælge Direkte adgang og VPN (RAS) rolletjenester og klik derefter Næste.
8. Klik derefter Tilføj funktioner.
9. Klik Næste igen.
10. Forlad standardindstillingerne og klik Næste (to gange) på skærmbillederne 'Web Server Role (IIS)' og 'Role Services'.
11. Vælg på skærmen 'Bekræftelse' Genstart destinationsserveren automatisk (hvis påkrævet) og klik Installere.
12. På det sidste skærmbillede skal du sikre dig, at installationen af fjernadgangsrollen er vellykket og Tæt troldmanden.
13. Derefter (fra Server Manager) Værktøjer menu, klik på Fjernadgangsstyring.
14. Vælg Direkte adgang og VPN til venstre og klik derefter på Kør guiden Kom godt i gang.
15. Klik derefter Implementer VPN kun.
16. Forsæt med trin-2 nedenfor for at konfigurere Routing og Fjernadgang.
Trin 2. Sådan konfigureres og aktiveres Routing og Fjernadgang på Server 2016.
Det næste trin er at aktivere og konfigurere VPN-adgangen på vores Server 2016. At gøre det:
1. Højreklik på serverens navn og vælg Konfigurer og aktiver routing og fjernadgang. *
* Bemærk: Du kan også starte indstillingerne for Routing og Fjernadgang ved at bruge følgende måde:
1. Åbn Server Manager og fra Værktøjer menu, vælg Computerstyring.
2. Udvide Tjenester og applikationer
3. Højreklik på Routing og fjernadgang og vælg Konfigurer og aktiver routing og fjernadgang.
2. Klik Næste under 'Route- og fjernadgangsserveropsætningsguide'.
3. Vælge Brugerdefineret konfiguration og klik Næste.
4. Vælg VPN adgang kun i dette tilfælde og klik Næste.
5. Klik endelig Afslut.
6. Klik på, når du bliver bedt om at starte tjenesten Start.
7. Nu vil du se en grøn pil ved siden af din servers navn (f.eks. "Svr1" i dette eksempel).
Trin 3. Sådan aktiverer du tilpasset IPsec-politik for L2TP/IKEv2-forbindelser.
Nu er det tid til at tillade en brugerdefineret IPsec-politik på routing- og fjernadgangsserver og at specificere den tilpassede foruddelte nøgle.
1. På Routing og fjernadgang panel, højreklik på din servers navn og vælg Ejendomme.
2. På Sikkerhed fane, vælg Tillad tilpasset IPsec-politik for L2TP/IKEv2-forbindelse og skriv derefter en foruddelt nøgle (i dette eksempel skriver jeg: "TestVPN@1234").
3. Klik derefter på Autentificeringsmetoder knappen (ovenfor), og sørg for, at Microsoft krypteret godkendelse version 2 (MS-CHAP v2) er valgt, og klik derefter OKAY.
4. Vælg nu IPv4 fanen, vælg Statisk adressepulje og klik Tilføje.
5. Indtast her IP-adresseområdet, der vil blive tildelt til VPN-forbundne klienter, og klik Okay (to gange) for at lukke alle vinduer.
for eksempel. Til dette eksempel vil vi bruge IP-adresseområdet: 192.168.1.200 – 192.168.1.202.
6. Når du bliver bedt om med pop op-meddelelsen: "For at aktivere tilpasset IPsec-politik for L2TP/IKEv2-forbindelser skal du genstarte Routing og Fjernadgang", klik Okay.
7. Højreklik til sidst på din server (f.eks. "Svr1") og vælg Alle opgaver > Genstart.
Trin 4. Åbn de nødvendige porte i Windows Firewall.
1. Gå til Kontrolpanel > Alle kontrolpanelelementer > Windows Firewall.
2. Klik Avancerede indstillinger til venstre.
![image_thumb[11]](/f/8fdd322bee9adcc07e0f5cf1564c5791.png "image_thumb[11]")
3. Til venstre skal du vælge Indgående regler.
4a. Dobbeltklik på Routing og fjernadgang (L2TP-In)
4b. Vælg under fanen 'Generelt' Aktiveret, Tillad forbindelse og klik OKAY.
5. Højreklik nu på Indgående regler til venstre og vælg Ny regel.
6. På den første skærm skal du vælge Havn og klik Næste.
7. Vælg nu UDP protokoltype og i feltet 'Specific local ports', skriv: 50, 500, 4500.
Når du er færdig, klik på Næste.
8. Lad standardindstillingen "Tillad forbindelsen" og klik Næste.
9. Klik på det næste skærmbillede Næste igen.
10. Indtast nu et navn til den nye regel (f.eks. "Tillad L2PT VPN") og klik Afslut.
11. Tæt Firewall-indstillingerne.
Trin 5. Sådan konfigureres netværkspolitikserveren til at tillade netværksadgang.
For at tillade VPN-brugere at få adgang til netværket via VPN-forbindelsen, skal du fortsætte og ændre Network Policy Server som følger:
1. Højreklik på Logning og politikker for fjernadgang og vælg Start NPS
2. På fanen 'Oversigt' skal du vælge følgende indstillinger og klikke Okay:
- Giv adgang: Hvis forbindelsesanmodningen matcher denne politik.
- Fjernadgangsserver (VPN-opkald)
3. Åbn nu Forbindelser til andre adgangsservere politik, vælg de samme indstillinger og klik OKAY.
- Giv adgang: Hvis forbindelsesanmodningen matcher dette
politik. - Fjernadgangsserver (VPN-Dial
op)
- Giv adgang: Hvis forbindelsesanmodningen matcher dette
4. Luk indstillingerne for Network Policy Server.
Trin 6. Sådan aktiveres L2TP/IPsec-forbindelser bag NAT.
Som standard er moderne Windows-klienter (Windows 10, 8, 7 eller Vista) og Windows Server 2016, 2012 og 2008 Operativsystemer understøtter ikke L2TP/IPsec-forbindelser, hvis Windows-computeren eller VPN-serveren er placeret bag en NAT. For at omgå dette problem skal du ændre registreringsdatabasen som følger i VPN-serveren og kunderne:
1. Tryk samtidigt på Windows 
+ R tasterne for at åbne kørselskommandoboksen.
2. Type regedit og tryk Gå ind.
3. Naviger til denne tast i venstre rude:
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Sevices\PolicyAgent
4. Højreklik på Politikagent og vælg Ny –> DWORD (32 bit) værdi.
5. For den nye nøglenavnstype: AssumeUDPEncapsulationContextOnSendRule og tryk Gå ind.
* Bemærk: Værdien skal indtastes som vist ovenfor og uden mellemrum.
6. Dobbeltklik på denne nye DWORD-nøgle og indtast for værdidata: 2
7.Tæt Registreringseditor. *
* Vigtigt: For at undgå problemer, når du opretter forbindelse til din VPN-server fra en Windows-klientcomputer (Windows Vista, 7, 8, 10 og 2008 Server), skal du også anvende denne registreringsdatabasen rettelse på klienter.
8. Genstart maskinen.
Trin 7. Bekræft, at IKE & IPsec Policy Agent-tjenester kører.
Efter genstart skal du gå til kontrolpanelet for tjenester og sikre dig, at følgende tjenester er oppe og køre. At gøre det:
1. Tryk samtidigt på Windows + R tasterne for at åbne kørselskommandoboksen.
2. I kør kommandoboksen skal du skrive: services.msc og tryk Gå ind.
3. Sørg for, at følgende tjenester kører: *
- IKE og AuthIP IPsec nøglemoduler
- IPsec-politikagent
* Bemærkninger:
1. Hvis ovenstående tjenester ikke kører, skal du dobbeltklikke på hver tjeneste og indstille Opstartstype til Automatisk. Klik derefter Okay og genstart serveren.
2. Du skal sikre dig, at ovenstående tjenester også kører på Windows-klientmaskinen.
Trin 8. Sådan vælger du, hvilke brugere der skal have VPN-adgang.
Nu er det tid til at specificere, hvilke brugere der vil være i stand til at oprette forbindelse til VPN-serveren (opkaldstilladelser).
1. Åben Server Manager.
2. Fra Værktøjer menu, vælg Active Directory-brugere og -computere. *
* Bemærk: Hvis din server ikke tilhører et domæne, så gå til Computerstyring -> Lokale brugere og grupper.
3. Vælg Brugere og dobbeltklik på den bruger, som du vil tillade VPN-adgang.
4. Vælg Indtast fanen og vælg Tillad adgang. Klik derefter Okay.
Trin 9. Sådan konfigureres firewall til at tillade L2TP VPN-adgang (portvideresendelse).
Det næste trin er at tillade VPN-forbindelser i din firewall.
1. Log ind på routerens webgrænseflade.
2. Inde i routerkonfigurationsopsætningen videresend portene 1701, 50, 500 og 4500 til IP-adressen på VPN-serveren. (Se din routers manual om, hvordan du konfigurerer Port Forward).
- For eksempel, hvis VPN-serveren har IP-adressen "192.168.1.8", så skal du videresende alle de ovennævnte porte til denne IP.
Yderligere hjælp:
- For at kunne oprette forbindelse til din VPN-server på afstand skal du kende den offentlige IP-adresse på VPN-serveren. For at finde den pubiske IP-adresse (fra VPN-server-pc'en) skal du navigere til dette link: http://www.whatismyip.com/
- For at sikre, at du altid kan oprette forbindelse til din VPN-server, er det bedre at have en statisk offentlig IP-adresse. For at få en statisk offentlig IP-adresse skal du kontakte din internetudbyder. Hvis du ikke vil betale for en statisk IP-adresse, kan du konfigurere en gratis Dynamic DNS-tjeneste (f.eks. nej-ip.) på din routers (VPN-server) side.
Trin 10. Sådan konfigureres L2TP VPN-forbindelsen på en Windows-klientcomputer.
Det sidste trin er at oprette en ny L2TP/IPSec VPN-forbindelse til vores VPN Server 2016 på klientcomputeren ved at følge instruktionerne nedenfor:
- Relateret artikel:Sådan konfigurerer du en PPTP VPN-forbindelse på Windows 10.
OPMÆRKSOMHED: Før du fortsætter med at oprette VPN-forbindelsen, skal du fortsætte og anvende registreringsdatabasen rettelsen i trin-6 ovenfor, også på klientcomputeren.
1. Åbn Netværks- og delingscenter.
2. Klik Konfigurer en ny forbindelse eller et nyt netværk
3. Vælg Opret forbindelse til arbejdspladsen og klik Næste.
4. Vælg derefter Brug min internetforbindelse (VPN).
5. Skriv på den næste skærm VPN's server offentlige IP-adresse og VPN-porten, som du har tildelt på routersiden, og klik derefter skab.
for eksempel. Hvis den eksterne IP-adresse er: 108.200.135.144, så skriv: "108.200.135.144" i feltet Internetadresse og indtast et navn, du ønsker (f.eks. "L2TP-VPN") ved 'Destinationsnavn'.
6. Indtast brugernavnet og adgangskoden til VPN-forbindelsen, og klik Forbinde.
7. Hvis du opsætter VPN'en på en Windows 7-klientmaskine, vil den forsøge at oprette forbindelse. Trykke Springe og klik derefter Tæt, fordi du skal angive nogle yderligere indstillinger for VPN-forbindelsen.
8. Klik på i Netværks- og delingscenter Skift adapterindstillinger til venstre.
9. Højreklik på den nye VPN-forbindelse (f.eks. "L2TP-VPN") og vælg Ejendomme.
10. Vælg Sikkerhed fanen og vælg Lag 2 (Tunnelprotokol med IPsec (L2TP/IPsec) og klik derefter på Avancerede indstillinger.
11. I 'Avancerede indstillinger' skriv den foruddelte nøgle (f.eks. "TestVPN@1234" i dette eksempel), og klik Okay
12. Klik derefter på Tillad disse protokoller og vælg Microsoft CHAP version 2 (MS-CHAP v2)
13. Vælg derefter Netværk fanen. Vi dobbeltklikker på Internetprotokol version 4 (TCP/IPv4) at åbne dens Ejendomme.
14. Til Foretrukken DNS-server skriv VPN-serverens lokale IP-adresse (f.eks. "192.168.1.8" i dette eksempel). *
* Bemærk: Denne indstilling er valgfri, så brug den kun, hvis du har brug for den.
15. Klik derefter på knappen Avanceret og fjern markeringen det Brug standardgateway på fjernnetværk fordi vi ønsker at adskille vores pc-internetbrowsing fra VPN-forbindelse.
16. Klik endelig Okay hele tiden for at lukke alle vinduer.
17. Dobbeltklik nu på den nye VPN-forbindelse og klik Forbinde, for at oprette forbindelse til din arbejdsplads.
Det er det! Fortæl mig, om denne guide har hjulpet dig ved at efterlade din kommentar om din oplevelse. Synes godt om og del denne guide for at hjælpe andre.