Šajā apmācībā atradīsit soli pagrieziena norādījumus par L2TP VPN piekļuves servera iestatīšanu operētājsistēmā Windows Server 2016. Virtuālais privātais tīkls (VPN) ļauj droši izveidot savienojumu ar jūsu privāto tīklu no interneta vietām, un tas pasargā jūs no interneta uzbrukumiem un datu pārtveršanas. Lai instalētu un konfigurētu L2TP/IPSec VPN piekļuvi serverī 2016, tas ir daudzpakāpju process, jo VPN servera pusē ir jākonfigurē vairāki iestatījumi, lai VPN būtu veiksmīgs darbība.
Kā instalēt L2TP/IPSec VPN Server 2016 ar pielāgotu iepriekš koplietoto atslēgu.
Šajā soli pa solim sniegtajā rokasgrāmatā ir aprakstīta L2TP VPN Server 2016 iestatīšana, izmantojot otrā slāņa tunelēšanas protokolu (L2TP/IPSEC) ar pielāgotu iepriekš kopīgotu atslēgu, lai nodrošinātu drošāku VPN savienojumu.
1. darbība. Kā pievienot attālās piekļuves (VPN piekļuves) lomu serverī 2016.
Pirmais solis, lai iestatītu Windows Server 2016 kā VPN serveri, ir instalēt Attālā piekļuve lomu {Tiešās piekļuves un VPN (RAS) pakalpojumi} jūsu Server 2016. *
* Informācija: Šajā piemērā mēs iestatīsim VPN operētājsistēmas Windows Server 2016 ierīcē ar nosaukumu "Srv1" un ar IP adresi "192.168.1.8".
1. Lai instalētu VPN lomu operētājsistēmā Windows Server 2016, atveriet “Servera pārvaldnieks” un noklikšķiniet uz Pievienojiet lomas un funkcijas.
2. Lomu un funkciju pievienošanas vedņa pirmajā ekrānā atstājiet Uz lomu vai funkcijām balstīta instalēšana opciju un noklikšķiniet uz Nākamais.
3. Nākamajā ekrānā atstājiet noklusējuma opciju "Izvēlieties serveri no serveru pūla"un noklikšķiniet Nākamais.
4. Pēc tam atlasiet Attālā piekļuve lomu un noklikšķiniet Nākamais.
5. Ekrānā "Funkcijas" atstājiet noklusējuma iestatījumus un noklikšķiniet uz Nākamais.
6. Informācijas ekrānā “Attālā piekļuve” noklikšķiniet uz Nākamais.
7. Sadaļā “Attālie pakalpojumi” izvēlieties Tiešā piekļuve un VPN (RAS) lomu pakalpojumi un pēc tam noklikšķiniet uz Nākamais.
8. Pēc tam noklikšķiniet Pievienojiet funkcijas.
9. Klikšķis Nākamais atkal.
10. Atstājiet noklusējuma iestatījumus un noklikšķiniet uz Nākamais (divas reizes) ekrānos “Tīmekļa servera loma (IIS)” un “Lomu pakalpojumi”.
11. Ekrānā "Apstiprinājums" atlasiet Automātiski restartējiet galamērķa serveri (ja nepieciešams) un noklikšķiniet Uzstādīt.
12. Pēdējā ekrānā pārliecinieties, vai attālās piekļuves lomas instalēšana ir veiksmīga un Aizvērt burvis.
13. Pēc tam (no servera pārvaldnieka) Rīki izvēlnē noklikšķiniet uz Attālās piekļuves pārvaldība.
14. Izvēlieties Tiešā piekļuve un VPN kreisajā pusē un pēc tam noklikšķiniet uz Palaidiet darba sākšanas vedni.
15. Pēc tam noklikšķiniet Izvietot VPN tikai.
16. Turpināt solis-2 zemāk, lai konfigurētu maršrutēšanu un attālo piekļuvi.
2. darbība. Kā konfigurēt un iespējot maršrutēšanu un attālo piekļuvi serverī 2016.
Nākamais solis ir iespējot un konfigurēt VPN piekļuvi mūsu serverī 2016. Darīt to:
1. Ar peles labo pogu noklikšķiniet uz servera nosaukuma un atlasiet Konfigurējiet un iespējojiet maršrutēšanu un attālo piekļuvi. *
* Piezīme: Varat arī palaist maršrutēšanas un attālās piekļuves iestatījumus, izmantojot šādu veidu:
1. Atveriet Server Manager un no Rīki izvēlnē atlasiet Datoru pārvaldība.
2. Izvērst Pakalpojumi un lietojumprogrammas
3. Ar peles labo pogu noklikšķiniet uz Maršrutēšana un attālā piekļuve un atlasiet Konfigurējiet un iespējojiet maršrutēšanu un attālo piekļuvi.
2. Klikšķis Nākamais sadaļā "Maršrutēšanas un attālās piekļuves servera iestatīšanas vednis".
3. Izvēlieties Pielāgota konfigurācija un noklikšķiniet Nākamais.
4. Izvēlieties VPN piekļuve tikai šajā gadījumā un noklikšķiniet Nākamais.
5. Visbeidzot noklikšķiniet Pabeigt.
6. Kad tiek prasīts Sākt pakalpojumu, noklikšķiniet uz Sākt.
7. Tagad blakus servera nosaukumam redzēsit zaļu bultiņu (šajā piemērā, piemēram, “Svr1”).
3. darbība. Kā iespējot pielāgoto IPsec politiku L2TP/IKEv2 savienojumiem.
Tagad ir pienācis laiks atļaut pielāgotu IPsec politiku maršrutēšanas un attālās piekļuves serverim un norādīt pielāgoto iepriekš kopīgoto atslēgu.
1. Plkst Maršrutēšana un attālā piekļuve panelī, ar peles labo pogu noklikšķiniet uz sava servera nosaukuma un atlasiet Īpašības.
2. Plkst Drošība cilni, izvēlieties Atļaut pielāgotu IPsec politiku L2TP/IKEv2 savienojumam un pēc tam ierakstiet iepriekš kopīgoto atslēgu (šajā piemērā es ierakstu: "TestVPN@1234").
3. Pēc tam noklikšķiniet uz Autentifikācijas metodes pogu (augšpusē) un pārliecinieties, vai Microsoft šifrētās autentifikācijas versija 2 (MS-CHAP v2) ir atlasīts un pēc tam noklikšķiniet uz LABI.
4. Tagad atlasiet IPv4 cilni, atlasiet Statiskā adrešu kopa un noklikšķiniet Pievienot.
5. Šeit ierakstiet IP adrešu diapazonu, kas tiks piešķirts VPN savienotajiem klientiem, un noklikšķiniet uz labi (divas reizes), lai aizvērtu visus logus.
piem. Šajā piemērā mēs izmantosim IP adrešu diapazonu: 192.168.1.200 – 192.168.1.202.
6. Kad tiek parādīts uznirstošais ziņojums: "Lai iespējotu pielāgotu IPsec politiku L2TP/IKEv2 savienojumiem, ir jārestartē maršrutēšana un attālā piekļuve", noklikšķiniet uz labi.
7. Visbeidzot ar peles labo pogu noklikšķiniet uz sava servera (piemēram, "Svr1") un atlasiet Visi uzdevumi > Restartēt.
4. darbība. Windows ugunsmūrī atveriet nepieciešamos portus.
1. Iet uz Vadības panelis > Visi vadības paneļa vienumi > Windows ugunsmūris.
2. Klikšķis Papildu iestatījumi pa kreisi.
3. Kreisajā pusē atlasiet Ienākošie noteikumi.
4a. Veiciet dubultklikšķi uz Maršrutēšana un attālā piekļuve (L2TP-In)
4b. Cilnē "Vispārīgi" izvēlieties Iespējots, Atļaut savienojumu un noklikšķiniet LABI.
5. Tagad ar peles labo pogu noklikšķiniet uz Ienākošie noteikumi kreisajā pusē un atlasiet Jauns noteikums.
6. Pirmajā ekrānā atlasiet Osta un noklikšķiniet Nākamais.
7. Tagad atlasiet UDP protokola veids un laukā "Īpaši vietējie porti" ierakstiet: 50, 500, 4500.
Kad esat pabeidzis, noklikšķiniet uz Tālāk.
8. Atstājiet noklusējuma iestatījumu “Atļaut savienojumu” un noklikšķiniet uz Nākamais.
9. Nākamajā ekrānā noklikšķiniet uz Nākamais atkal.
10. Tagad ierakstiet jaunā noteikuma nosaukumu (piemēram, "Atļaut L2PT VPN") un noklikšķiniet uz Pabeigt.
11. Aizvērt ugunsmūra iestatījumi.
5. darbība. Kā konfigurēt tīkla politikas serveri, lai atļautu piekļuvi tīklam.
Lai VPN lietotāji varētu piekļūt tīklam, izmantojot VPN savienojumu, rīkojieties un modificējiet tīkla politikas serveri šādi:
1. Ar peles labo pogu noklikšķiniet uz Attālās piekļuves reģistrēšana un politikas un atlasiet Palaidiet NPS
2. Cilnē “Pārskats” atlasiet tālāk norādītos iestatījumus un noklikšķiniet uz labi:
- Piešķirt piekļuvi: ja savienojuma pieprasījums atbilst šai politikai.
- Attālās piekļuves serveris (VPN iezvane)
3. Tagad atveriet Savienojumi ar citiem piekļuves serveriem politiku, atlasiet tos pašus iestatījumus un noklikšķiniet uz LABI.
- Piešķirt piekļuvi: ja savienojuma pieprasījums atbilst šim
politiku. - Attālās piekļuves serveris (VPN-Dial
uz augšu)
- Piešķirt piekļuvi: ja savienojuma pieprasījums atbilst šim
4. Aizveriet tīkla politikas servera iestatījumus.
6. darbība. Kā iespējot L2TP/IPsec savienojumus aiz NAT.
Pēc noklusējuma mūsdienu Windows klienti (Windows 10, 8, 7 vai Vista) un Windows Server 2016, 2012 un 2008 operētājsistēmas neatbalsta L2TP/IPsec savienojumus, ja atrodas Windows dators vai VPN serveris aiz NAT. Lai apietu šo problēmu, VPN serverī ir jāmaina reģistrs šādi un Klienti:
1. Vienlaicīgi nospiediet pogu Windows + R taustiņus, lai atvērtu palaišanas komandu lodziņu.
2. Tips regedit un nospiediet Ievadiet.
3. Kreisajā rūtī pārejiet uz šo taustiņu:
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Sevices\PolicyAgent
4. Ar peles labo pogu noklikšķiniet uz PolicyAgent un atlasiet Jauns –> DWORD (32 bitu) vērtība.
5. Jaunajam atslēgas nosaukuma veidam: AssumeUDPEcapsulationContextOnSendRule un nospiediet Ievadiet.
* Piezīme: Vērtība jāievada, kā parādīts iepriekš, bez atstarpēm.
6. Veiciet dubultklikšķi uz šīs jaunās DWORD atslēgas un ievadiet vērtības datus: 2
7.Aizvērt Reģistra redaktors. *
* Svarīgs: Lai izvairītos no problēmām, veidojot savienojumu ar VPN serveri no Windows klienta datora (Windows Vista, 7, 8, 10 un 2008 Server), šis reģistra labojums ir jāizmanto arī klientiem.
8. Reboot mašīna.
7. darbība. Pārbaudiet, vai darbojas IKE un IPsec politikas aģenta pakalpojumi.
Pēc restartēšanas dodieties uz pakalpojumu vadības paneli un pārliecinieties, vai ir izveidoti un darbojas tālāk norādītie pakalpojumi. Darīt to:
1. Vienlaicīgi nospiediet pogu Windows + R taustiņus, lai atvērtu palaišanas komandu lodziņu.
2. Palaist komandu lodziņā ierakstiet: pakalpojumi.msc un nospiediet Ievadiet.
3. Pārliecinieties, vai darbojas šādi pakalpojumi: *
- IKE un AuthIP IPsec atslēgas moduļi
- IPsec politikas aģents
* Piezīmes:
1. Ja iepriekš minētie pakalpojumi nedarbojas, veiciet dubultklikšķi uz katra pakalpojuma un iestatiet Startēšanas veids uz Automātiski. Pēc tam noklikšķiniet labi un restartēt serveris.
2. Jums ir jānodrošina, lai iepriekš minētie pakalpojumi darbotos arī Windows klienta mašīnā.
8. darbība. Kā izvēlēties, kuriem lietotājiem būs piekļuve VPN.
Tagad ir pienācis laiks norādīt, kuri lietotāji varēs izveidot savienojumu ar VPN serveri (Dial-IN atļaujas).
1. Atvērt Servera pārvaldnieks.
2. No Rīki izvēlnē atlasiet Active Directory lietotāji un datori. *
* Piezīme: Ja jūsu serveris nepieder domēnam, dodieties uz Datoru pārvaldība -> Vietējie lietotāji un grupas.
3. Izvēlieties Lietotāji un veiciet dubultklikšķi uz lietotāja, kuram vēlaties atļaut VPN piekļuvi.
4. Izvēlieties Iezvane cilni un atlasiet Atļaut piekļuvi. Pēc tam noklikšķiniet labi.
9. darbība. Kā konfigurēt ugunsmūri, lai atļautu L2TP VPN piekļuvi (portu pārsūtīšanu).
Nākamais solis ir atļaut VPN savienojumus savā ugunsmūrī.
1. Piesakieties maršrutētāja tīmekļa saskarnē.
2. Maršrutētāja konfigurācijas iestatījumos pārsūtiet portus 1701, 50, 500 un 4500 uz VPN servera IP adresi. (Skatiet maršrutētāja rokasgrāmatu, lai uzzinātu, kā konfigurēt Port Forward).
- Piemēram, ja VPN servera IP adrese ir "192.168.1.8", tad visi iepriekš minētie porti ir jāpārsūta uz šo IP.
Papildu palīdzība:
- Lai varētu izveidot savienojumu ar savu VPN serveri no attāluma, jums jāzina VPN servera publiskā IP adrese. Lai atrastu publisko IP adresi (no VPN servera datora), dodieties uz šo saiti: http://www.whatismyip.com/
- Lai nodrošinātu, ka vienmēr varat izveidot savienojumu ar savu VPN serveri, labāk ir izmantot statisku publisko IP adresi. Lai iegūtu statisku publisko IP adresi, jums jāsazinās ar interneta pakalpojumu sniedzēju. Ja nevēlaties maksāt par statisku IP adresi, varat iestatīt bezmaksas dinamisko DNS pakalpojumu (piem. nē-ip.) maršrutētāja (VPN servera) pusē.
10. darbība. Kā iestatīt L2TP VPN savienojumu Windows klienta datorā.
Pēdējais solis ir klienta datorā izveidot jaunu L2TP/IPSec VPN savienojumu ar mūsu VPN Server 2016, izpildot tālāk sniegtos norādījumus.
- Saistīts raksts:Kā iestatīt PPTP VPN savienojumu operētājsistēmā Windows 10.
UZMANĪBU: Pirms VPN savienojuma izveides turpiniet un lietojiet reģistra labojumu solis-6 iepriekš, arī klienta datorā.
1. Atveriet tīkla un koplietošanas centru.
2. Klikšķis Iestatiet jaunu savienojumu vai tīklu
3. Izvēlieties Izveidojiet savienojumu ar darba vietu un noklikšķiniet Nākamais.
4. Pēc tam atlasiet Izmantot manu interneta savienojumu (VPN).
5. Nākamajā ekrānā ierakstiet VPN servera publiskā IP adrese un VPN portu, kuru esat piešķīris maršrutētāja pusē, un pēc tam noklikšķiniet uz Izveidot.
piem. Ja ārējā IP adrese ir: 108.200.135.144, interneta adreses lodziņā ierakstiet: "108.200.135.144" un failā "Galamērķa nosaukums" ierakstiet jebkuru nosaukumu (piemēram, "L2TP-VPN").
6. Ievadiet VPN savienojuma lietotājvārdu un paroli un noklikšķiniet uz Savienot.
7. Ja iestatāt VPN Windows 7 klienta ierīcē, tas mēģinās izveidot savienojumu. Nospiediet Izlaist un pēc tam noklikšķiniet Aizvērt, jo jums ir jānorāda daži papildu iestatījumi VPN savienojumam.
8. Tīkla un koplietošanas centrā noklikšķiniet uz Mainiet adaptera iestatījumus kreisajā pusē.
9. Ar peles labo pogu noklikšķiniet uz jaunā VPN savienojuma (piemēram, "L2TP-VPN") un atlasiet Īpašības.
10. Izvēlieties Drošība cilni un izvēlieties 2. slānis (tunelēšanas protokols ar IPsec (L2TP/IPsec) un pēc tam noklikšķiniet uz Papildu iestatījumi.
11. Sadaļā "Papildu iestatījumi" ierakstiet iepriekš kopīgoto atslēgu (piemēram, šajā piemērā "TestVPN@1234") un noklikšķiniet uz labi
12. Pēc tam noklikšķiniet uz Atļaut šos protokolus un atlasiet Microsoft CHAP 2. versija (MS-CHAP v2)
13. Pēc tam atlasiet Tīklošana cilne. Mēs veiksim dubultklikšķi uz Interneta protokola versija 4 (TCP/IPv4) lai to atvērtu Īpašības.
14. Priekš Vēlamais DNS serveris ierakstiet VPN servera vietējo IP adresi (piem., šajā piemērā "192.168.1.8"). *
* Piezīme: Šis iestatījums nav obligāts, tāpēc izmantojiet to tikai tad, ja nepieciešams.
15. Pēc tam noklikšķiniet uz pogas Papildu un noņemiet atzīmi uz Izmantojiet noklusējuma vārteju attālajā tīklā jo mēs vēlamies nodalīt mūsu datora interneta pārlūkošanu no VPN savienojuma.
16. Visbeidzot noklikšķiniet labi nepārtraukti aizvērt visus logus.
17. Tagad veiciet dubultklikšķi uz jaunā VPN savienojuma un noklikšķiniet uz Savienot, lai izveidotu savienojumu ar savu darba vietu.
Tieši tā! Paziņojiet man, vai šī rokasgrāmata jums ir palīdzējusi, atstājot komentāru par savu pieredzi. Lūdzu, patīk un dalies ar šo ceļvedi, lai palīdzētu citiem.