Kā iestatīt L2TP VPN Server 2016, izmantojot pielāgotu iepriekš koplietotu atslēgu autentifikācijai.

Šajā apmācībā atradīsit soli pagrieziena norādījumus par L2TP VPN piekļuves servera iestatīšanu operētājsistēmā Windows Server 2016. Virtuālais privātais tīkls (VPN) ļauj droši izveidot savienojumu ar jūsu privāto tīklu no interneta vietām, un tas pasargā jūs no interneta uzbrukumiem un datu pārtveršanas. Lai instalētu un konfigurētu L2TP/IPSec VPN piekļuvi serverī 2016, tas ir daudzpakāpju process, jo VPN servera pusē ir jākonfigurē vairāki iestatījumi, lai VPN būtu veiksmīgs darbība.

Kā instalēt L2TP/IPSec VPN Server 2016 ar pielāgotu iepriekš koplietoto atslēgu.

Šajā soli pa solim sniegtajā rokasgrāmatā ir aprakstīta L2TP VPN Server 2016 iestatīšana, izmantojot otrā slāņa tunelēšanas protokolu (L2TP/IPSEC) ar pielāgotu iepriekš kopīgotu atslēgu, lai nodrošinātu drošāku VPN savienojumu.

1. darbība. Kā pievienot attālās piekļuves (VPN piekļuves) lomu serverī 2016.

Pirmais solis, lai iestatītu Windows Server 2016 kā VPN serveri, ir instalēt Attālā piekļuve lomu {Tiešās piekļuves un VPN (RAS) pakalpojumi} jūsu Server 2016. *

* Informācija: Šajā piemērā mēs iestatīsim VPN operētājsistēmas Windows Server 2016 ierīcē ar nosaukumu "Srv1" un ar IP adresi "192.168.1.8".

1. Lai instalētu VPN lomu operētājsistēmā Windows Server 2016, atveriet “Servera pārvaldnieks” un noklikšķiniet uz Pievienojiet lomas un funkcijas.

Iestatiet VPN serveri 2016

2. Lomu un funkciju pievienošanas vedņa pirmajā ekrānā atstājiet Uz lomu vai funkcijām balstīta instalēšana opciju un noklikšķiniet uz Nākamais.

clip_image008

3. Nākamajā ekrānā atstājiet noklusējuma opciju "Izvēlieties serveri no serveru pūla"un noklikšķiniet Nākamais.

attēlu

4. Pēc tam atlasiet Attālā piekļuve lomu un noklikšķiniet Nākamais.

instalējiet VPN Server 2016

5. Ekrānā "Funkcijas" atstājiet noklusējuma iestatījumus un noklikšķiniet uz Nākamais.

attēlu

6. Informācijas ekrānā “Attālā piekļuve” noklikšķiniet uz Nākamais.

clip_image016

7. Sadaļā “Attālie pakalpojumi” izvēlieties Tiešā piekļuve un VPN (RAS) lomu pakalpojumi un pēc tam noklikšķiniet uz Nākamais.

clip_image020

8. Pēc tam noklikšķiniet Pievienojiet funkcijas.

attēlu

9. Klikšķis Nākamais atkal.

attēlu

10. Atstājiet noklusējuma iestatījumus un noklikšķiniet uz Nākamais (divas reizes) ekrānos “Tīmekļa servera loma (IIS)” un “Lomu pakalpojumi”.

attēlu

11. Ekrānā "Apstiprinājums" atlasiet Automātiski restartējiet galamērķa serveri (ja nepieciešams) un noklikšķiniet Uzstādīt.

clip_image022

12. Pēdējā ekrānā pārliecinieties, vai attālās piekļuves lomas instalēšana ir veiksmīga un Aizvērt burvis.

clip_image024

13. Pēc tam (no servera pārvaldnieka) Rīki izvēlnē noklikšķiniet uz Attālās piekļuves pārvaldība.
14.
Izvēlieties Tiešā piekļuve un VPN kreisajā pusē un pēc tam noklikšķiniet uz Palaidiet darba sākšanas vedni.

attēlu

15. Pēc tam noklikšķiniet Izvietot VPN tikai.

attēlu

16. Turpināt solis-2 zemāk, lai konfigurētu maršrutēšanu un attālo piekļuvi.

2. darbība. Kā konfigurēt un iespējot maršrutēšanu un attālo piekļuvi serverī 2016.

Nākamais solis ir iespējot un konfigurēt VPN piekļuvi mūsu serverī 2016. Darīt to:

1. Ar peles labo pogu noklikšķiniet uz servera nosaukuma un atlasiet Konfigurējiet un iespējojiet maršrutēšanu un attālo piekļuvi. *

attēlu

* Piezīme: Varat arī palaist maršrutēšanas un attālās piekļuves iestatījumus, izmantojot šādu veidu:

1. Atveriet Server Manager un no Rīki izvēlnē atlasiet Datoru pārvaldība.
2. Izvērst Pakalpojumi un lietojumprogrammas
3. Ar peles labo pogu noklikšķiniet uz Maršrutēšana un attālā piekļuve un atlasiet Konfigurējiet un iespējojiet maršrutēšanu un attālo piekļuvi.

attēlu

2. Klikšķis Nākamais sadaļā "Maršrutēšanas un attālās piekļuves servera iestatīšanas vednis".

attēlu

3. Izvēlieties Pielāgota konfigurācija un noklikšķiniet Nākamais.

clip_image030

4. Izvēlieties VPN piekļuve tikai šajā gadījumā un noklikšķiniet Nākamais.

clip_image032

5. Visbeidzot noklikšķiniet Pabeigt.

clip_image034

6. Kad tiek prasīts Sākt pakalpojumu, noklikšķiniet uz Sākt.

attēlu

7. Tagad blakus servera nosaukumam redzēsit zaļu bultiņu (šajā piemērā, piemēram, “Svr1”).

3. darbība. Kā iespējot pielāgoto IPsec politiku L2TP/IKEv2 savienojumiem.

Tagad ir pienācis laiks atļaut pielāgotu IPsec politiku maršrutēšanas un attālās piekļuves serverim un norādīt pielāgoto iepriekš kopīgoto atslēgu.

1. Plkst Maršrutēšana un attālā piekļuve panelī, ar peles labo pogu noklikšķiniet uz sava servera nosaukuma un atlasiet Īpašības.

attēlu

2. Plkst Drošība cilni, izvēlieties Atļaut pielāgotu IPsec politiku L2TP/IKEv2 savienojumam un pēc tam ierakstiet iepriekš kopīgoto atslēgu (šajā piemērā es ierakstu: "TestVPN@1234").

clip_image038

3. Pēc tam noklikšķiniet uz Autentifikācijas metodes pogu (augšpusē) un pārliecinieties, vai Microsoft šifrētās autentifikācijas versija 2 (MS-CHAP v2) ir atlasīts un pēc tam noklikšķiniet uz LABI.

clip_image040

4. Tagad atlasiet IPv4 cilni, atlasiet Statiskā adrešu kopa un noklikšķiniet Pievienot.
5. Šeit ierakstiet IP adrešu diapazonu, kas tiks piešķirts VPN savienotajiem klientiem, un noklikšķiniet uz labi (divas reizes), lai aizvērtu visus logus.

piem. Šajā piemērā mēs izmantosim IP adrešu diapazonu: 192.168.1.200 – 192.168.1.202.

clip_image042

6. Kad tiek parādīts uznirstošais ziņojums: "Lai iespējotu pielāgotu IPsec politiku L2TP/IKEv2 savienojumiem, ir jārestartē maršrutēšana un attālā piekļuve", noklikšķiniet uz labi.

attēlu

7. Visbeidzot ar peles labo pogu noklikšķiniet uz sava servera (piemēram, "Svr1") un atlasiet Visi uzdevumi > Restartēt.

4. darbība. Windows ugunsmūrī atveriet nepieciešamos portus.

1. Iet uz Vadības panelis > Visi vadības paneļa vienumi > Windows ugunsmūris.
2. Klikšķis Papildu iestatījumi pa kreisi.

image_thumb[11]

3. Kreisajā pusē atlasiet Ienākošie noteikumi.
4a. Veiciet dubultklikšķi uz Maršrutēšana un attālā piekļuve (L2TP-In)

attēlu

4b. Cilnē "Vispārīgi" izvēlieties Iespējots, Atļaut savienojumu un noklikšķiniet LABI.

attēlu

5. Tagad ar peles labo pogu noklikšķiniet uz Ienākošie noteikumi kreisajā pusē un atlasiet Jauns noteikums.

attēlu

6. Pirmajā ekrānā atlasiet Osta un noklikšķiniet Nākamais.

attēlu

7. Tagad atlasiet UDP protokola veids un laukā "Īpaši vietējie porti" ierakstiet: 50, 500, 4500.
Kad esat pabeidzis, noklikšķiniet uz Tālāk.

attēlu

8. Atstājiet noklusējuma iestatījumu “Atļaut savienojumu” un noklikšķiniet uz Nākamais.

attēlu

9. Nākamajā ekrānā noklikšķiniet uz Nākamais atkal.

attēlu

10. Tagad ierakstiet jaunā noteikuma nosaukumu (piemēram, "Atļaut L2PT VPN") un noklikšķiniet uz Pabeigt.

attēlu

11. Aizvērt ugunsmūra iestatījumi.

5. darbība. Kā konfigurēt tīkla politikas serveri, lai atļautu piekļuvi tīklam.

Lai VPN lietotāji varētu piekļūt tīklam, izmantojot VPN savienojumu, rīkojieties un modificējiet tīkla politikas serveri šādi:

1. Ar peles labo pogu noklikšķiniet uz Attālās piekļuves reģistrēšana un politikas un atlasiet Palaidiet NPS

attēlu

2. Cilnē “Pārskats” atlasiet tālāk norādītos iestatījumus un noklikšķiniet uz labi:

    • Piešķirt piekļuvi: ja savienojuma pieprasījums atbilst šai politikai.
    • Attālās piekļuves serveris (VPN iezvane)
attēlu

3. Tagad atveriet Savienojumi ar citiem piekļuves serveriem politiku, atlasiet tos pašus iestatījumus un noklikšķiniet uz LABI.

    • Piešķirt piekļuvi: ja savienojuma pieprasījums atbilst šim
      politiku.
    • Attālās piekļuves serveris (VPN-Dial
      uz augšu)
attēlu

4. Aizveriet tīkla politikas servera iestatījumus.

attēlu
6. darbība. Kā iespējot L2TP/IPsec savienojumus aiz NAT.

Pēc noklusējuma mūsdienu Windows klienti (Windows 10, 8, 7 vai Vista) un Windows Server 2016, 2012 un 2008 operētājsistēmas neatbalsta L2TP/IPsec savienojumus, ja atrodas Windows dators vai VPN serveris aiz NAT. Lai apietu šo problēmu, VPN serverī ir jāmaina reģistrs šādi un Klienti:

1. Vienlaicīgi nospiediet pogu Windows attēlu+ R taustiņus, lai atvērtu palaišanas komandu lodziņu.
2. Tips regedit un nospiediet Ievadiet.

regedit

3. Kreisajā rūtī pārejiet uz šo taustiņu:

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Sevices\PolicyAgent

4. Ar peles labo pogu noklikšķiniet uz PolicyAgent un atlasiet Jauns –> DWORD (32 bitu) vērtība.

attēlu

5. Jaunajam atslēgas nosaukuma veidam: AssumeUDPEcapsulationContextOnSendRule un nospiediet Ievadiet.

* Piezīme: Vērtība jāievada, kā parādīts iepriekš, bez atstarpēm.

6. Veiciet dubultklikšķi uz šīs jaunās DWORD atslēgas un ievadiet vērtības datus: 2

attēlu

7.Aizvērt Reģistra redaktors. *

* Svarīgs: Lai izvairītos no problēmām, veidojot savienojumu ar VPN serveri no Windows klienta datora (Windows Vista, 7, 8, 10 un 2008 Server), šis reģistra labojums ir jāizmanto arī klientiem.

8. Reboot mašīna.

7. darbība. Pārbaudiet, vai darbojas IKE un IPsec politikas aģenta pakalpojumi.

Pēc restartēšanas dodieties uz pakalpojumu vadības paneli un pārliecinieties, vai ir izveidoti un darbojas tālāk norādītie pakalpojumi. Darīt to:

1. Vienlaicīgi nospiediet pogu Windows attēlu+ R taustiņus, lai atvērtu palaišanas komandu lodziņu.
2. Palaist komandu lodziņā ierakstiet: pakalpojumi.msc un nospiediet Ievadiet.

pakalpojumi.msc

3. Pārliecinieties, vai darbojas šādi pakalpojumi: *

    1. IKE un AuthIP IPsec atslēgas moduļi
    2. IPsec politikas aģents
attēlu

* Piezīmes:
1. Ja iepriekš minētie pakalpojumi nedarbojas, veiciet dubultklikšķi uz katra pakalpojuma un iestatiet Startēšanas veids uz Automātiski. Pēc tam noklikšķiniet labi un restartēt serveris.
2. Jums ir jānodrošina, lai iepriekš minētie pakalpojumi darbotos arī Windows klienta mašīnā.

attēlu
8. darbība. Kā izvēlēties, kuriem lietotājiem būs piekļuve VPN.

Tagad ir pienācis laiks norādīt, kuri lietotāji varēs izveidot savienojumu ar VPN serveri (Dial-IN atļaujas).

1. Atvērt Servera pārvaldnieks.
2. No Rīki izvēlnē atlasiet Active Directory lietotāji un datori. *

* Piezīme: Ja jūsu serveris nepieder domēnam, dodieties uz Datoru pārvaldība -> Vietējie lietotāji un grupas.

Pārsūtiet operāciju meistara lomu uz serveri 2016.

3. Izvēlieties Lietotāji un veiciet dubultklikšķi uz lietotāja, kuram vēlaties atļaut VPN piekļuvi.
4. Izvēlieties Iezvane cilni un atlasiet Atļaut piekļuvi. Pēc tam noklikšķiniet labi.

clip_image002
9. darbība. Kā konfigurēt ugunsmūri, lai atļautu L2TP VPN piekļuvi (portu pārsūtīšanu).

Nākamais solis ir atļaut VPN savienojumus savā ugunsmūrī.

1. Piesakieties maršrutētāja tīmekļa saskarnē.
2. Maršrutētāja konfigurācijas iestatījumos pārsūtiet portus 1701, 50, 500 un 4500 uz VPN servera IP adresi. (Skatiet maršrutētāja rokasgrāmatu, lai uzzinātu, kā konfigurēt Port Forward).

  • Piemēram, ja VPN servera IP adrese ir "192.168.1.8", tad visi iepriekš minētie porti ir jāpārsūta uz šo IP.

Papildu palīdzība:

  • Lai varētu izveidot savienojumu ar savu VPN serveri no attāluma, jums jāzina VPN servera publiskā IP adrese. Lai atrastu publisko IP adresi (no VPN servera datora), dodieties uz šo saiti: http://www.whatismyip.com/
  • Lai nodrošinātu, ka vienmēr varat izveidot savienojumu ar savu VPN serveri, labāk ir izmantot statisku publisko IP adresi. Lai iegūtu statisku publisko IP adresi, jums jāsazinās ar interneta pakalpojumu sniedzēju. Ja nevēlaties maksāt par statisku IP adresi, varat iestatīt bezmaksas dinamisko DNS pakalpojumu (piem. nē-ip.) maršrutētāja (VPN servera) pusē.
10. darbība. Kā iestatīt L2TP VPN savienojumu Windows klienta datorā.

Pēdējais solis ir klienta datorā izveidot jaunu L2TP/IPSec VPN savienojumu ar mūsu VPN Server 2016, izpildot tālāk sniegtos norādījumus.

  • Saistīts raksts:Kā iestatīt PPTP VPN savienojumu operētājsistēmā Windows 10.

UZMANĪBU: Pirms VPN savienojuma izveides turpiniet un lietojiet reģistra labojumu solis-6 iepriekš, arī klienta datorā.

1. Atveriet tīkla un koplietošanas centru.
2. Klikšķis Iestatiet jaunu savienojumu vai tīklu

attēlu

3. Izvēlieties Izveidojiet savienojumu ar darba vietu un noklikšķiniet Nākamais.

attēlu

4. Pēc tam atlasiet Izmantot manu interneta savienojumu (VPN).

attēlu

5. Nākamajā ekrānā ierakstiet VPN servera publiskā IP adrese un VPN portu, kuru esat piešķīris maršrutētāja pusē, un pēc tam noklikšķiniet uz Izveidot.

piem. Ja ārējā IP adrese ir: 108.200.135.144, interneta adreses lodziņā ierakstiet: "108.200.135.144" un failā "Galamērķa nosaukums" ierakstiet jebkuru nosaukumu (piemēram, "L2TP-VPN").

6. Ievadiet VPN savienojuma lietotājvārdu un paroli un noklikšķiniet uz Savienot.

attēlu

7. Ja iestatāt VPN Windows 7 klienta ierīcē, tas mēģinās izveidot savienojumu. Nospiediet Izlaist un pēc tam noklikšķiniet Aizvērt, jo jums ir jānorāda daži papildu iestatījumi VPN savienojumam.

8. Tīkla un koplietošanas centrā noklikšķiniet uz Mainiet adaptera iestatījumus kreisajā pusē.
9.
Ar peles labo pogu noklikšķiniet uz jaunā VPN savienojuma (piemēram, "L2TP-VPN") un atlasiet Īpašības.
10. Izvēlieties Drošība cilni un izvēlieties 2. slānis (tunelēšanas protokols ar IPsec (L2TP/IPsec) un pēc tam noklikšķiniet uz Papildu iestatījumi.

clip_image078

11. Sadaļā "Papildu iestatījumi" ierakstiet iepriekš kopīgoto atslēgu (piemēram, šajā piemērā "TestVPN@1234") un noklikšķiniet uz labi

clip_image080

12. Pēc tam noklikšķiniet uz Atļaut šos protokolus un atlasiet Microsoft CHAP 2. versija (MS-CHAP v2)

clip_image082

13. Pēc tam atlasiet Tīklošana cilne. Mēs veiksim dubultklikšķi uz Interneta protokola versija 4 (TCP/IPv4) lai to atvērtu Īpašības.
14. Priekš Vēlamais DNS serveris ierakstiet VPN servera vietējo IP adresi (piem., šajā piemērā "192.168.1.8"). *

* Piezīme: Šis iestatījums nav obligāts, tāpēc izmantojiet to tikai tad, ja nepieciešams.

clip_image084

15. Pēc tam noklikšķiniet uz pogas Papildu un noņemiet atzīmi uz Izmantojiet noklusējuma vārteju attālajā tīklā jo mēs vēlamies nodalīt mūsu datora interneta pārlūkošanu no VPN savienojuma.
16. Visbeidzot noklikšķiniet labi nepārtraukti aizvērt visus logus.

clip_image086

17. Tagad veiciet dubultklikšķi uz jaunā VPN savienojuma un noklikšķiniet uz Savienot, lai izveidotu savienojumu ar savu darba vietu.

clip_image088

Tieši tā! Paziņojiet man, vai šī rokasgrāmata jums ir palīdzējusi, atstājot komentāru par savu pieredzi. Lūdzu, patīk un dalies ar šo ceļvedi, lai palīdzētu citiem.