ამ სახელმძღვანელოში თქვენ იხილავთ ეტაპობრივ ინსტრუქციებს Windows Server 2016-ზე L2TP VPN Access სერვერის დასაყენებლად. ვირტუალური პირადი ქსელი (VPN) საშუალებას გაძლევთ უსაფრთხოდ დაუკავშირდეთ თქვენს პირად ქსელს ინტერნეტის მდებარეობიდან და ის გიცავთ ინტერნეტ შეტევებისგან და მონაცემთა ჩარევისგან. სერვერზე 2016 L2TP/IPSec VPN წვდომის ინსტალაციისა და კონფიგურაციისთვის ეს მრავალსაფეხურიანი პროცესია, რადგან თქვენ უნდა დააკონფიგურიროთ რამდენიმე პარამეტრი VPN სერვერის მხრიდან წარმატებული VPN-ის განსახორციელებლად ოპერაცია.
როგორ დააინსტალიროთ L2TP/IPSec VPN სერვერი 2016 მორგებული წინასწარ გაზიარებული გასაღებით.
ამ ნაბიჯ-ნაბიჯ სახელმძღვანელოში, ჩვენ გავდივართ L2TP VPN სერვერის 2016 კონფიგურაციას მეორე ფენის გვირაბის პროტოკოლის გამოყენებით (L2TP/IPSEC) მორგებული PreShared გასაღებით, უფრო უსაფრთხო VPN კავშირისთვის.
Ნაბიჯი 1. როგორ დავამატოთ დისტანციური წვდომის (VPN წვდომა) როლი სერვერზე 2016.
პირველი ნაბიჯი Windows Server 2016-ის დასაყენებლად, როგორც VPN სერვერი, არის ინსტალაცია დისტანციური წვდომა როლი {Direct Access & VPN (RAS) services} თქვენს სერვერზე 2016 წ. *
* ინფორმაცია: ამ მაგალითისთვის ჩვენ ვაპირებთ VPN-ის დაყენებას Windows Server 2016 მოწყობილობაზე, სახელად "Srv1" და IP მისამართით "192.168.1.8".
1. Windows Server 2016-ზე VPN როლის დასაყენებლად გახსენით "სერვერ მენეჯერი" და დააწკაპუნეთ დაამატეთ როლები და ფუნქციები.
2. "როლებისა და მახასიათებლების ოსტატის დამატების" პირველ ეკრანზე დატოვეთ როლებზე დაფუძნებული ან ფუნქციებზე დაფუძნებული ინსტალაცია ვარიანტი და დააწკაპუნეთ შემდეგი.
3. შემდეგ ეკრანზე დატოვეთ ნაგულისხმევი ვარიანტი "აირჩიეთ სერვერი სერვერის აუზიდან"და დააწკაპუნეთ შემდეგი.
4. შემდეგ აირჩიეთ დისტანციური წვდომა როლი და დააწკაპუნეთ შემდეგი.
5. "ფუნქციების" ეკრანზე დატოვეთ ნაგულისხმევი პარამეტრები და დააწკაპუნეთ შემდეგი.
6. „დისტანციური წვდომის“ ინფორმაციის ეკრანზე დააწკაპუნეთ შემდეგი.
7. "დისტანციურ სერვისებში" აირჩიეთ პირდაპირი წვდომა და VPN (RAS) როლური სერვისები და შემდეგ დააწკაპუნეთ შემდეგი.
8. შემდეგ დააწკაპუნეთ ფუნქციების დამატება.
9. დააწკაპუნეთ შემდეგი ისევ.
10. დატოვეთ ნაგულისხმევი პარამეტრები და დააწკაპუნეთ შემდეგი (ორჯერ) „ვებ სერვერის როლი (IIS)“ და „როლის სერვისები“ ეკრანებზე.
11. "დადასტურების" ეკრანზე აირჩიეთ გადატვირთეთ დანიშნულების სერვერი ავტომატურად (საჭიროების შემთხვევაში) და დააწკაპუნეთ Დაინსტალირება.
12. საბოლოო ეკრანზე დარწმუნდით, რომ დისტანციური წვდომის როლის ინსტალაცია წარმატებულია და დახურვა ჯადოქარი.
13. შემდეგ (სერვერის მენეჯერიდან) ხელსაწყოები მენიუ, დააწკაპუნეთ დისტანციური წვდომის მენეჯმენტი.
14. აირჩიეთ პირდაპირი წვდომა და VPN მარცხნივ და შემდეგ დააწკაპუნეთ გაუშვით დაწყების ოსტატი.
15. შემდეგ დააწკაპუნეთ განათავსეთ VPN მხოლოდ.
16. Გაგრძელება ნაბიჯი-2 ქვემოთ მარშრუტიზაციისა და დისტანციური წვდომის კონფიგურაციისთვის.
ნაბიჯი 2. როგორ დააკონფიგურიროთ და ჩართოთ მარშრუტიზაცია და დისტანციური წვდომა სერვერზე 2016.
შემდეგი ნაბიჯი არის VPN წვდომის ჩართვა და კონფიგურაცია ჩვენს სერვერზე 2016. ამის გასაკეთებლად:
1. დააწკაპუნეთ სერვერის სახელზე მარჯვენა ღილაკით და აირჩიეთ მარშრუტიზაციის და დისტანციური წვდომის კონფიგურაცია და ჩართვა. *
* Შენიშვნა: თქვენ ასევე შეგიძლიათ გაუშვათ მარშრუტიზაციისა და დისტანციური წვდომის პარამეტრები შემდეგი გზით:
1.გახსენით სერვერის მენეჯერი და დან ხელსაწყოები მენიუ, აირჩიეთ Კომპიუტერის მართვა.
2. გაფართოება სერვისები და აპლიკაციები
3. დააწკაპუნეთ მარჯვენა ღილაკით მარშრუტიზაცია და დისტანციური წვდომა და აირჩიეთ მარშრუტიზაციის და დისტანციური წვდომის კონფიგურაცია და ჩართვა.
2. დააწკაპუნეთ შემდეგი "როუტირებისა და დისტანციური წვდომის სერვერის დაყენების ოსტატი".
3. აირჩიეთ მორგებული კონფიგურაცია და დააწკაპუნეთ შემდეგი.
4. აირჩიეთ VPN წვდომა მხოლოდ ამ შემთხვევაში და დააწკაპუნეთ შემდეგი.
5. ბოლოს დააწკაპუნეთ დასრულება.
6. როდესაც მოგეთხოვებათ სერვისის დაწყება დააწკაპუნეთ დაწყება.
7. ახლა დაინახავთ მწვანე ისარს თქვენი სერვერის სახელის გვერდით (მაგ. "Svr1" ამ მაგალითში).
ნაბიჯი 3. როგორ ჩართოთ მორგებული IPsec პოლიტიკა L2TP/IKEv2 კავშირებისთვის.
ახლა დროა, დაუშვათ ინდივიდუალური IPsec პოლიტიკა მარშრუტიზაციისა და დისტანციური წვდომის სერვერზე და მიუთითოთ მორგებული წინასწარ გაზიარებული გასაღები.
1. ზე მარშრუტიზაცია და დისტანციური წვდომა პანელი, დააწკაპუნეთ მარჯვენა ღილაკით თქვენი სერვერის სახელზე და აირჩიეთ Თვისებები.
2. ზე უსაფრთხოება ჩანართი, აირჩიეთ დაუშვით მორგებული IPsec პოლიტიკა L2TP/IKEv2 კავშირისთვის და შემდეგ აკრიფეთ წინასწარ გაზიარებული გასაღები (ამ მაგალითისთვის მე ვწერ: "TestVPN@1234").
3. შემდეგ დააწკაპუნეთ ავთენტიფიკაციის მეთოდები ღილაკზე (ზემოთ) და დარწმუნდით, რომ Microsoft-ის დაშიფრული ავთენტიფიკაციის ვერსია 2 (MS-CHAP v2) არჩეულია და შემდეგ დააწკაპუნეთ ᲙᲐᲠᲒᲘ.
4. ახლა აირჩიეთ IPv4 ჩანართი, აირჩიეთ სტატიკური მისამართის აუზი და დააწკაპუნეთ დამატება.
5. აქ ჩაწერეთ IP მისამართის დიაპაზონი, რომელიც მიენიჭება VPN დაკავშირებულ კლიენტებს და დააწკაპუნეთ კარგი (ორჯერ) ყველა ფანჯრის დახურვა.
მაგალითად. ამ მაგალითისთვის ჩვენ გამოვიყენებთ IP მისამართის დიაპაზონს: 192.168.1.200 – 192.168.1.202.
6. როდესაც მოგეთხოვებათ pop-up შეტყობინება: "მორგებული IPsec პოლიტიკის ჩასართავად L2TP/IKEv2 კავშირებისთვის, თქვენ უნდა გადატვირთოთ მარშრუტიზაცია და დისტანციური წვდომა", დააწკაპუნეთ კარგი.
7. ბოლოს დააწკაპუნეთ მარჯვენა ღილაკით თქვენს სერვერზე (მაგ. "Svr1") და აირჩიეთ ყველა ამოცანა > გადატვირთვა.
ნაბიჯი 4. გახსენით საჭირო პორტები Windows Firewall-ში.
1. Წადი Მართვის პანელი > მართვის პანელის ყველა ელემენტი > Windows Firewall.
2. დააწკაპუნეთ გაფართოებული პარამეტრები მარცხნივ.
3. მარცხნივ აირჩიეთ შემომავალი წესები.
4ა. ორჯერ დააწკაპუნეთ მარშრუტიზაცია და დისტანციური წვდომა (L2TP-In)
4ბ. "ზოგადი" ჩანართზე აირჩიეთ ჩართულია, დაუშვით კავშირი და დააწკაპუნეთ ᲙᲐᲠᲒᲘ.
5. ახლა დააწკაპუნეთ მარჯვენა ღილაკით შემომავალი წესები მარცხნივ და აირჩიეთ ახალი წესი.
6. პირველ ეკრანზე აირჩიეთ პორტი და დააწკაპუნეთ შემდეგი.
7. ახლა აირჩიეთ UDP პროტოკოლის ტიპი და „სპეციფიკური ადგილობრივი პორტების“ ველში აკრიფეთ: 50, 500, 4500.
დასრულების შემდეგ დააჭირეთ შემდეგი.
8. დატოვეთ ნაგულისხმევი პარამეტრი "Allow the Connection" და დააწკაპუნეთ შემდეგი.
9. შემდეგ ეკრანზე დააწკაპუნეთ შემდეგი ისევ.
10. ახლა ჩაწერეთ ახალი წესის სახელი (მაგ. „Allow L2PT VPN“) და დააწკაპუნეთ დასრულება.
11. დახურვა Firewall პარამეტრები.
ნაბიჯი 5. როგორ დავაკონფიგურიროთ ქსელის პოლიტიკის სერვერი, რათა დაუშვას ქსელში წვდომა.
იმისათვის, რომ VPN მომხმარებლებს ქსელში წვდომა მისცეთ VPN კავშირის საშუალებით, გააგრძელეთ და შეცვალეთ ქსელის პოლიტიკის სერვერი შემდეგნაირად:
1. დააწკაპუნეთ მარჯვენა ღილაკით დისტანციური წვდომის აღრიცხვა და პოლიტიკა და აირჩიეთ გაუშვით NPS
2. "მიმოხილვის" ჩანართზე აირჩიეთ შემდეგი პარამეტრები და დააწკაპუნეთ კარგი:
- წვდომის მინიჭება: თუ კავშირის მოთხოვნა ემთხვევა ამ პოლიტიკას.
- დისტანციური წვდომის სერვერი (VPN-Dial up)
3. ახლა გახსენით კავშირები სხვა წვდომის სერვერებთან პოლიტიკა, აირჩიეთ იგივე პარამეტრები და დააწკაპუნეთ ᲙᲐᲠᲒᲘ.
- წვდომის მინიჭება: თუ კავშირის მოთხოვნა ემთხვევა ამას
პოლიტიკა. - დისტანციური წვდომის სერვერი (VPN-Dial
ზევით)
- წვდომის მინიჭება: თუ კავშირის მოთხოვნა ემთხვევა ამას
4. დახურეთ ქსელის პოლიტიკის სერვერის პარამეტრები.
ნაბიჯი 6. როგორ ჩართოთ L2TP/IPsec კავშირები NAT-ის უკან.
ნაგულისხმევად, თანამედროვე Windows კლიენტები (Windows 10, 8, 7 ან Vista) და Windows Server 2016, 2012 და 2008 ოპერაციული სისტემები არ უჭერს მხარს L2TP/IPsec კავშირებს, თუ Windows კომპიუტერი ან VPN სერვერი მდებარეობს NAT-ის უკან. ამ პრობლემის გვერდის ავლით, თქვენ უნდა შეცვალოთ რეესტრი შემდეგნაირად, VPN სერვერზე და კლიენტები:
1. ერთდროულად დააჭირეთ Windows + რ გასაღებები გაშვების ბრძანების ველის გასახსნელად.
2. ტიპი რეგედიტი და დააჭირეთ შედი.
3. მარცხენა პანელზე გადადით ამ კლავიშზე:
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Sevices\PolicyAgent
4. დააწკაპუნეთ მარჯვენა ღილაკით პოლიტიკის აგენტი და აირჩიეთ ახალი –> DWORD (32 ბიტიანი) მნიშვნელობა.
5. ახალი გასაღების სახელისთვის ჩაწერეთ: AssumeUDPEncapsulationContextOnSendRule და დააჭირეთ შედი.
* Შენიშვნა: მნიშვნელობა უნდა შეიყვანოთ ისე, როგორც ზემოთ არის ნაჩვენები და სივრცის გარეშე.
6. ორჯერ დააწკაპუნეთ ამ ახალ DWORD გასაღებზე და შეიყვანეთ მნიშვნელობის მონაცემები: 2
7.დახურვა რეესტრის რედაქტორი. *
* Მნიშვნელოვანი: თქვენს VPN სერვერთან Windows კლიენტის კომპიუტერიდან (Windows Vista, 7, 8, 10 და 2008 სერვერი) დაკავშირებისას პრობლემების თავიდან ასაცილებლად, თქვენ უნდა გამოიყენოთ ეს რეესტრის შესწორება კლიენტებზეც.
8. გადატვირთვა მანქანა.
ნაბიჯი 7. შეამოწმეთ, რომ მუშაობს IKE და IPsec Policy Agent სერვისები.
გადატვირთვის შემდეგ გადადით სერვისების მართვის პანელზე და დარწმუნდით, რომ შემდეგი სერვისები მუშაობს და მუშაობს. ამის გასაკეთებლად:
1. ერთდროულად დააჭირეთ Windows + რ გასაღებები გაშვების ბრძანების ველის გასახსნელად.
2. გაშვების ბრძანების ველში ჩაწერეთ: სერვისები.msc და დააჭირეთ შედი.
3. დარწმუნდით, რომ მუშაობს შემდეგი სერვისები: *
- IKE და AuthIP IPsec Keying მოდულები
- IPsec პოლიტიკის აგენტი
* შენიშვნები:
1. თუ ზემოთ მოყვანილი სერვისები არ მუშაობს, მაშინ ორჯერ დააწკაპუნეთ თითოეულ სერვისზე და დააყენეთ გაშვების ტიპი რომ Ავტომატური. შემდეგ დააწკაპუნეთ კარგი და რესტარტი სერვერი.
2. თქვენ უნდა დარწმუნდეთ, რომ ზემოაღნიშნული სერვისები ასევე მუშაობს Windows კლიენტის აპარატში.
ნაბიჯი 8. როგორ ავირჩიოთ რომელ მომხმარებლებს ექნებათ VPN წვდომა.
ახლა დროა განვსაზღვროთ რომელი მომხმარებლები შეძლებენ VPN სერვერთან დაკავშირებას (Dial-IN ნებართვები).
1. გახსენით სერვერის მენეჯერი.
2. დან ხელსაწყოები მენიუ, აირჩიეთ Active Directory მომხმარებლები და კომპიუტერები. *
* Შენიშვნა: თუ თქვენი სერვერი არ ეკუთვნის დომენს, გადადით Კომპიუტერის მართვა -> ადგილობრივი მომხმარებლები და ჯგუფები.
3. აირჩიეთ მომხმარებლები და ორჯერ დააწკაპუნეთ მომხმარებელზე, რომელსაც გსურთ VPN წვდომის დაშვება.
4. აირჩიეთ Ნომრის აკრეფა ჩანართი და აირჩიეთ Დაუშვას. შემდეგ დააწკაპუნეთ კარგი.
ნაბიჯი 9. როგორ დავაკონფიგურიროთ Firewall, რათა დაუშვას L2TP VPN წვდომა (პორტის გადამისამართება).
შემდეგი ნაბიჯი არის VPN კავშირების დაშვება თქვენს Firewall-ში.
1. შედით როუტერის ვებ ინტერფეისში.
2. როუტერის კონფიგურაციის კონფიგურაციის შიგნით, გადაიტანეთ პორტები 1701, 50, 500 და 4500 VPN სერვერის IP მისამართზე. (იხილეთ თქვენი როუტერის სახელმძღვანელო, თუ როგორ უნდა დააკონფიგურიროთ Port Forward).
- მაგალითად, თუ VPN სერვერს აქვს IP მისამართი "192.168.1.8", მაშინ თქვენ უნდა გადააგზავნოთ ყველა ზემოთ აღნიშნული პორტი ამ IP-ზე.
დამატებითი დახმარება:
- იმისათვის, რომ შეძლოთ თქვენს VPN სერვერთან შორიდან დაკავშირება, თქვენ უნდა იცოდეთ VPN სერვერის საჯარო IP მისამართი. საჯარო IP მისამართის საპოვნელად (VPN სერვერის კომპიუტერიდან) გადადით ამ ბმულზე: http://www.whatismyip.com/
- იმის უზრუნველსაყოფად, რომ ყოველთვის შეგიძლიათ დაუკავშირდეთ თქვენს VPN სერვერს, უმჯობესია გქონდეთ სტატიკური საჯარო IP მისამართი. სტატიკური საჯარო IP მისამართის მისაღებად თქვენ უნდა დაუკავშირდეთ თქვენს ინტერნეტ სერვისის პროვაიდერს. თუ არ გსურთ გადაიხადოთ სტატიკური IP მისამართი, მაშინ შეგიძლიათ დააყენოთ უფასო Dynamic DNS სერვისი (მაგ. no-ip.) თქვენი როუტერის (VPN სერვერის) მხარეს.
ნაბიჯი 10. როგორ დავაყენოთ L2TP VPN კავშირი Windows კლიენტის კომპიუტერზე.
საბოლოო ნაბიჯი არის ახალი L2TP/IPSec VPN კავშირის შექმნა ჩვენს VPN სერვერზე 2016 კლიენტის კომპიუტერზე, ქვემოთ მოცემული ინსტრუქციების შემდეგ:
- დაკავშირებული სტატია:როგორ დავაყენოთ PPTP VPN კავშირი Windows 10-ზე.
ყურადღება: სანამ VPN კავშირის შექმნას გააგრძელებთ, გააგრძელეთ და გამოიყენეთ რეესტრის შესწორება ნაბიჯი-6 ზემოთ, კლიენტის კომპიუტერზეც.
1. გახსენით ქსელისა და გაზიარების ცენტრი.
2. დააწკაპუნეთ დააყენეთ ახალი კავშირი ან ქსელი
3. აირჩიეთ დაკავშირება სამუშაო ადგილზე და დააწკაპუნეთ შემდეგი.
4. შემდეგ აირჩიეთ გამოიყენეთ ჩემი ინტერნეტ კავშირი (VPN).
5. შემდეგ ეკრანზე აკრიფეთ VPN სერვერის საჯარო IP მისამართი და VPN პორტი, რომელიც თქვენ მინიჭებული გაქვთ როუტერის მხარეს და შემდეგ დააწკაპუნეთ Შექმნა.
მაგალითად. თუ გარე IP მისამართია: 108.200.135.144, მაშინ აკრიფეთ: „108.200.135.144“ ინტერნეტ მისამართის ველში და შეტანილ „დანიშნულების სახელზე“ ჩაწერეთ თქვენთვის სასურველი ნებისმიერი სახელი (მაგ. „L2TP-VPN“).
6. ჩაწერეთ მომხმარებლის სახელი და პაროლი VPN კავშირისთვის და დააწკაპუნეთ დაკავშირება.
7. თუ VPN-ს დააყენებთ Windows 7 კლიენტის აპარატზე, ის შეეცდება დაკავშირებას. დაჭერა გამოტოვება და შემდეგ დააწკაპუნეთ დახურვა, რადგან თქვენ უნდა მიუთითოთ რამდენიმე დამატებითი პარამეტრი VPN კავშირისთვის.
8. ქსელისა და გაზიარების ცენტრში დააწკაპუნეთ შეცვალეთ ადაპტერის პარამეტრები მარცხნივ.
9. დააწკაპუნეთ მარჯვენა ღილაკით ახალ VPN კავშირზე (მაგ. "L2TP-VPN") და აირჩიეთ Თვისებები.
10. აირჩიეთ უსაფრთხოება ჩანართი და აირჩიეთ ფენა 2 (გვირაბის პროტოკოლი IPsec-ით (L2TP/IPsec) და შემდეგ დააწკაპუნეთ გაფართოებული პარამეტრები.
11. „გაფართოებულ პარამეტრებში“ აკრიფეთ წინასწარ გაზიარებული გასაღები (მაგ. „TestVPN@1234“ ამ მაგალითში) და დააწკაპუნეთ კარგი
12. შემდეგ დააწკაპუნეთ დაუშვით ეს პროტოკოლები და აირჩიეთ Microsoft CHAP ვერსია 2 (MS-CHAP v2)
13. შემდეგ აირჩიეთ ქსელი ჩანართი. ჩვენ ორჯერ დავაწკაპუნებთ ინტერნეტ პროტოკოლის ვერსია 4 (TCP/IPv4) მისი გახსნა Თვისებები.
14. ამისთვის სასურველი DNS სერვერი აკრიფეთ VPN სერვერის ლოკალური IP მისამართი (მაგ. "192.168.1.8" ამ მაგალითში). *
* Შენიშვნა: ეს პარამეტრი არჩევითია, ამიტომ გამოიყენეთ იგი მხოლოდ საჭიროების შემთხვევაში.
15. შემდეგ დააჭირეთ ღილაკს Advanced და მოხსენით მონიშვნა The გამოიყენეთ ნაგულისხმევი კარიბჭე დისტანციურ ქსელში იმიტომ, რომ ჩვენ გვინდა გამოვყოთ ჩვენი კომპიუტერის ინტერნეტ-დათვალიერება VPN კავშირისგან.
16. ბოლოს დააწკაპუნეთ კარგი მუდმივად ყველა ფანჯრის დახურვა.
17. ახლა ორჯერ დააწკაპუნეთ ახალ VPN კავშირზე და დააწკაპუნეთ დაკავშირებათქვენს სამუშაო ადგილთან დასაკავშირებლად.
Ის არის! შემატყობინეთ, დაგეხმარათ თუ არა ეს სახელმძღვანელო თქვენი გამოცდილების შესახებ თქვენი კომენტარის დატოვებით. გთხოვთ მოიწონოთ და გააზიაროთ ეს სახელმძღვანელო სხვების დასახმარებლად.