U ovom vodiču ćete pronaći upute korak po korak za postavljanje L2TP VPN poslužitelja za pristup na Windows Server 2016. Virtualna privatna mreža (VPN) omogućuje vam sigurno povezivanje s vašom privatnom mrežom s internetskih lokacija i štiti vas od internetskih napada i presretanja podataka. Za instalaciju i konfiguraciju L2TP/IPSec VPN pristupa na poslužitelju 2016 to je proces u više koraka, jer morate konfigurirati nekoliko postavki na strani VPN poslužitelja da biste postigli uspješan VPN operacija.
Kako instalirati L2TP/IPSec VPN poslužitelj 2016 s prilagođenim unaprijed podijeljenim ključem.
U ovom vodiču korak po korak prolazimo kroz postavljanje L2TP VPN poslužitelja 2016 koristeći Layer Two Tunneling Protocol (L2TP/IPSEC) s prilagođenim PreShared ključem, za sigurniju VPN vezu.
Korak 1. Kako dodati ulogu udaljenog pristupa (VPN pristup) na poslužitelju 2016.
Prvi korak za postavljanje Windows Servera 2016, kao VPN poslužitelja je instaliranje Daljinski pristup uloga {Direct Access & VPN (RAS) services} na vašem poslužitelju 2016. *
* Info: Za ovaj primjer ćemo postaviti VPN na Windows Server 2016 stroj, pod nazivom "Srv1" i s IP adresom "192.168.1.8".
1. Da biste instalirali VPN ulogu na Windows Server 2016, otvorite 'Upravitelj poslužitelja' i kliknite na Dodajte uloge i značajke.
2. Na prvom zaslonu "Čarobnjaka za dodavanje uloga i značajki" ostavite Instalacija temeljena na ulozi ili značajkama opciju i kliknite Sljedeći.
3. Na sljedećem ekranu ostavite zadanu opciju "Odaberite poslužitelj iz skupa poslužitelja" i kliknite Sljedeći.
4. Zatim odaberite Daljinski pristup ulogu i kliknite Sljedeći.
5. Na zaslonu "Značajke" ostavite zadane postavke i kliknite Sljedeći.
6. Na informacijskom zaslonu "Daljinski pristup" kliknite Sljedeći.
7. Na "Udaljene usluge" odaberite Izravan pristup i VPN (RAS) usluge uloga, a zatim kliknite Sljedeći.
8. Zatim kliknite Dodajte značajke.
9. Klik Sljedeći opet.
10. Ostavite zadane postavke i kliknite Sljedeći (dva puta) na ekranima "Uloga web poslužitelja (IIS)" i "Usluge uloga".
11. Na zaslonu "Potvrda" odaberite Automatski ponovno pokrenite odredišni poslužitelj (ako je potrebno) i kliknite Instalirati.
12. Na završnom zaslonu provjerite je li instalacija uloge daljinskog pristupa uspješna i Zatvoriti čarobnjak.
13. Zatim (iz upravitelja poslužitelja) Alati izborniku, kliknite na Upravljanje daljinskim pristupom.
14. Izaberi Izravan pristup i VPN na lijevoj strani, a zatim kliknite na Pokrenite čarobnjak za početak rada.
15. Zatim kliknite Postavite VPN samo.
16. Nastavi na korak 2 u nastavku da biste konfigurirali usmjeravanje i daljinski pristup.
Korak 2. Kako konfigurirati i omogućiti usmjeravanje i daljinski pristup na poslužitelju 2016.
Sljedeći korak je omogućiti i konfigurirati VPN pristup na našem poslužitelju 2016. Napraviti to:
1. Desnom tipkom miša kliknite naziv poslužitelja i odaberite Konfigurirajte i omogućite usmjeravanje i daljinski pristup. *
* Bilješka: Također možete pokrenuti postavke usmjeravanja i udaljenog pristupa na sljedeći način:
1.Otvorite Server Manager i iz Alati izborniku, odaberite Upravljanje računalom.
2. Proširiti Usluge i aplikacije
3. Desni klik na Usmjeravanje i daljinski pristup i odaberite Konfigurirajte i omogućite usmjeravanje i daljinski pristup.
2. Klik Sljedeći na 'Čarobnjak za postavljanje poslužitelja za usmjeravanje i daljinski pristup'.
3. Odaberite Prilagođena konfiguracija i kliknite Sljedeći.
4. Izaberi VPN pristup samo u ovom slučaju i kliknite Sljedeći.
5. Na kraju kliknite Završi.
6. Kada se od vas zatraži da pokrenete uslugu, kliknite Početak.
7. Sada ćete vidjeti zelenu strelicu pored imena vašeg poslužitelja (npr. "Svr1" u ovom primjeru).
Korak 3. Kako omogućiti prilagođeno IPsec pravilo za L2TP/IKEv2 veze.
Sada je vrijeme da se omogući prilagođena IPsec politika na poslužitelju usmjeravanja i udaljenog pristupa i da se navede prilagođeni unaprijed dijeljeni ključ.
1. Na Usmjeravanje i daljinski pristup panelu, desnom tipkom miša kliknite naziv vašeg poslužitelja i odaberite Svojstva.
2. Na Sigurnost karticu, odaberite Dopusti prilagođeno pravilo IPsec za L2TP/IKEv2 vezu a zatim upišite unaprijed dijeljeni ključ (za ovaj primjer upisujem: "TestVPN@1234").
3. Zatim kliknite na Metode provjere autentičnosti gumb (iznad) i uvjerite se da je Microsoftova šifrirana autentifikacija verzija 2 (MS-CHAP v2) je odabran, a zatim kliknite U REDU.
4. Sada odaberite IPv4 karticu, odaberite Skup statičkih adresa i kliknite Dodati.
5. Ovdje upišite raspon IP adresa koji će biti dodijeljen klijentima povezanim s VPN-om i kliknite u redu (dvaput) za zatvaranje svih prozora.
npr. Za ovaj primjer koristit ćemo raspon IP adresa: 192.168.1.200 – 192.168.1.202.
6. Kada se od vas zatraži iskačuća poruka: "Da biste omogućili prilagođenu IPsec politiku za L2TP/IKEv2 veze, morate ponovno pokrenuti usmjeravanje i daljinski pristup", kliknite u redu.
7. Na kraju kliknite desnom tipkom miša na vaš poslužitelj (npr. "Svr1") i odaberite Svi zadaci > Ponovno pokretanje.
4. korak. Otvorite potrebne portove u vatrozidu sustava Windows.
1. Ići Upravljačka ploča > Sve stavke upravljačke ploče > Vatrozid za Windows.
2. Klik Napredne postavke na lijevo.
3. Na lijevoj strani odaberite Ulazna pravila.
4a. Dvaput kliknite na Usmjeravanje i daljinski pristup (L2TP-In)
4b. Na kartici "Općenito" odaberite Omogućeno, Dopusti vezu i kliknite U REDU.
5. Sada, desni klik na Ulazna pravila na lijevoj strani i odaberite Novo pravilo.
6. Na prvom zaslonu odaberite Luka i kliknite Sljedeći.
7. Sada odaberite UDP tip protokola i u polje "Specifični lokalni portovi" upišite: 50, 500, 4500.
Kada završite kliknite Dalje.
8. Ostavite zadanu postavku "Dopusti vezu" i kliknite Sljedeći.
9. Na sljedećem zaslonu kliknite Sljedeći opet.
10. Sada upišite naziv za novo pravilo (npr. "Dopusti L2PT VPN") i kliknite Završi.
11. Zatvoriti postavke vatrozida.
Korak 5. Kako konfigurirati poslužitelj mrežne politike da omogući pristup mreži.
Kako biste korisnicima VPN-a omogućili pristup mreži putem VPN veze, nastavite i modificirajte poslužitelj mrežne politike na sljedeći način:
1. Desni klik na Zapisivanje i pravila udaljenog pristupa i odaberite Pokrenite NPS
2. Na kartici 'Pregled' odaberite sljedeće postavke i kliknite u redu:
- Odobri pristup: ako zahtjev za povezivanje odgovara ovom pravilu.
- Poslužitelj za daljinski pristup (VPN-Dial up)
3. Sada otvorite Veze s drugim pristupnim poslužiteljima politike, odaberite iste postavke i kliknite U REDU.
- Dopusti pristup: ako zahtjev za povezivanje odgovara ovome
politika. - Poslužitelj udaljenog pristupa (VPN-Dial
gore)
- Dopusti pristup: ako zahtjev za povezivanje odgovara ovome
4. Zatvorite postavke poslužitelja mrežne politike.
Korak 6. Kako omogućiti L2TP/IPsec veze iza NAT-a.
Prema zadanim postavkama, moderni Windows klijenti (Windows 10, 8, 7 ili Vista) i Windows Server 2016, 2012 i 2008 operativni sustavi ne podržavaju L2TP/IPsec veze ako se nalazi Windows računalo ili VPN poslužitelj iza NAT-a. Da biste zaobišli ovaj problem, morate modificirati registar na sljedeći način, na VPN poslužitelju i Klijenti:
1. Istovremeno pritisnite Windows + R tipke za otvaranje naredbenog okvira za pokretanje.
2. Tip regedit i pritisnite Unesi.
3. U lijevom oknu idite do ove tipke:
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Sevices\PolicyAgent
4. Desni klik na PolicyAgent i odaberite Novi –> DWORD (32-bitna) vrijednost.
5. Za novu vrstu naziva ključa: PretpostavitiUDPEncapsulationContextOnSendRule i pritisnite Unesi.
* Bilješka: Vrijednost se mora unijeti kao što je prikazano iznad i bez razmaka.
6. Dvaput kliknite na ovaj novi ključ DWORD i unesite za podatke o vrijednosti: 2
7.Zatvoriti Urednik registra. *
* Važno: Kako biste izbjegli probleme pri povezivanju s vašim VPN poslužiteljem s Windows klijentskog računala (Windows Vista, 7, 8, 10 i 2008 Server), morate primijeniti ovaj popravak registra i na klijente.
8. Ponovno podizanje sustava stroj.
Korak 7. Provjerite rade li usluge IKE & IPsec Policy Agent.
Nakon ponovnog pokretanja idite na upravljačku ploču usluga i provjerite jesu li sljedeće usluge pokrenute. Napraviti to:
1. Istovremeno pritisnite Windows + R tipke za otvaranje naredbenog okvira za pokretanje.
2. U naredbeni okvir za pokretanje upišite: usluge.msc i pritisnite Unesi.
3. Provjerite rade li sljedeće usluge: *
- IKE i AuthIP IPsec moduli za ključanje
- IPsec Policy Agent
* Napomene:
1. Ako gore navedene usluge ne rade, dvaput kliknite na svaku uslugu i postavite Vrsta pokretanja do Automatski. Zatim kliknite u redu i ponovno pokrenuti poslužitelju.
2. Morate osigurati da se gore navedene usluge također izvode na Windows klijentskom računalu.
Korak 8. Kako odabrati koji će korisnici imati pristup VPN-u.
Sada je vrijeme da odredite koji će se korisnici moći spojiti na VPN poslužitelj (dopuštenja za biranje).
1. Otvorena Upravitelj poslužitelja.
2. Iz Alati izborniku, odaberite Korisnici i računala Active Directory. *
* Bilješka: Ako vaš poslužitelj ne pripada domeni, idite na Upravljanje računalom -> Lokalni korisnici i grupe.
3. Izaberi Korisnici i dvaput kliknite na korisnika kojem želite dopustiti pristup VPN-u.
4. Odaberite Biraj broj karticu i odaberite Dopusti pristup. Zatim kliknite u redu.
Korak 9. Kako konfigurirati vatrozid da omogući L2TP VPN pristup (prosljeđivanje portova).
Sljedeći korak je dopustiti VPN veze u Vatrozidu.
1. Prijavite se na web sučelje usmjerivača.
2. Unutar konfiguracije usmjerivača, proslijedite portove 1701, 50, 500 i 4500 na IP adresu VPN poslužitelja. (Pogledajte priručnik vašeg usmjerivača o tome kako konfigurirati Port Forward).
- Na primjer, ako VPN poslužitelj ima IP adresu "192.168.1.8" tada morate proslijediti sve gore navedene portove na taj IP.
Dodatna pomoć:
- Da biste se mogli spojiti na svoj VPN poslužitelj iz daljine morate znati javnu IP adresu VPN poslužitelja. Da biste pronašli javnu IP adresu (s računala VPN poslužitelja) idite na ovu vezu: http://www.whatismyip.com/
- Kako biste osigurali da se uvijek možete spojiti na svoj VPN poslužitelj, bolje je imati statičku javnu IP adresu. Za dobivanje statičke javne IP adrese morate kontaktirati svog davatelja internetskih usluga. Ako ne želite platiti statičku IP adresu, tada možete postaviti besplatnu uslugu Dynamic DNS (npr. ne-ip.) na strani vašeg usmjerivača (VPN poslužitelja).
Korak 10. Kako postaviti L2TP VPN vezu na Windows klijentskom računalu.
Posljednji korak je stvaranje nove L2TP/IPSec VPN veze s našim VPN poslužiteljem 2016 na klijentskom računalu, slijedeći upute u nastavku:
- Povezani članak:Kako postaviti PPTP VPN vezu na Windows 10.
PAŽNJA: Prije nego što nastavite stvarati VPN vezu, nastavite i primijenite popravak registra korak-6 gore, također na klijentskom računalu.
1. Otvorite Centar za mrežu i dijeljenje.
2. Klik Postavite novu vezu ili mrežu
3. Izaberi Povežite se s radnim mjestom i kliknite Sljedeći.
4. Zatim odaberite Koristi moju internetsku vezu (VPN).
5. Na sljedećem zaslonu upišite Javna IP adresa VPN-ovog poslužitelja i VPN port koji ste dodijelili na strani usmjerivača, a zatim kliknite Stvoriti.
npr. Ako je vanjska IP adresa: 108.200.135.144, upišite: "108.200.135.144" u okvir Internet Address i u polje "Naziv odredišta" unesite bilo koji naziv koji želite (npr. "L2TP-VPN").
6. Upišite korisničko ime i lozinku za VPN vezu i kliknite Spojiti.
7. Ako postavite VPN na Windows 7 klijentskom računalu, pokušat će se povezati. Pritisnite Preskočiti a zatim kliknite Zatvoriti, jer morate odrediti neke dodatne postavke za VPN vezu.
8. U centru za mrežu i dijeljenje kliknite na Promijenite postavke adaptera na lijevoj strani.
9. Desnom tipkom miša kliknite novu VPN vezu (npr. "L2TP-VPN") i odaberite Svojstva.
10. Odaberite Sigurnost karticu i odaberite Sloj 2 (protokol tuneliranja s IPsec-om (L2TP/IPsec) a zatim kliknite na Napredne postavke.
11. U "Napredne postavke" upišite unaprijed dijeljeni ključ (npr. "TestVPN@1234" u ovom primjeru) i kliknite u redu
12. Zatim kliknite na Dopustite ove protokole i odaberite Microsoft CHAP verzija 2 (MS-CHAP v2)
13. Zatim odaberite Umrežavanje tab. Dvaput ćemo kliknuti na Internetski protokol verzija 4 (TCP/IPv4) da ga otvori Svojstva.
14. Za Preferirani DNS poslužitelj upišite lokalnu IP adresu VPN poslužitelja (npr. "192.168.1.8" u ovom primjeru). *
* Bilješka: Ova postavka nije obavezna, stoga je primijenite samo ako vam je potrebno.
15. Zatim kliknite gumb Napredno i poništiti the Koristite zadani pristupnik na udaljenoj mreži jer želimo odvojiti naše PC internetsko pregledavanje od VPN veze.
16. Na kraju kliknite u redu neprekidno zatvarati sve prozore.
17. Sada dvaput kliknite na novu VPN vezu i kliknite Spojiti, za povezivanje sa svojim radnim mjestom.
To je to! Javite mi je li vam ovaj vodič pomogao tako što ćete ostaviti komentar o svom iskustvu. Lajkajte i podijelite ovaj vodič kako biste pomogli drugima.