In deze tutorial vindt u stapsgewijze instructies om een L2TP VPN Access Server in te stellen op Windows Server 2016. Met het Virtual Private Network (VPN) kunt u veilig verbinding maken met uw privénetwerk vanaf internetlocaties en het beschermt u tegen internetaanvallen en onderschepping van gegevens. Het installeren en configureren van de L2TP/IPSec VPN-toegang op Server 2016 is een proces dat uit meerdere stappen bestaat, omdat: je moet verschillende instellingen aan de kant van de VPN-server configureren om de succesvolle VPN te bereiken operatie.
Hoe installeer ik een L2TP/IPSec VPN-server 2016 met aangepaste vooraf gedeelde sleutel.
In deze stapsgewijze handleiding doorlopen we de installatie van L2TP VPN Server 2016 met behulp van het Layer Two Tunneling Protocol (L2TP/IPSEC) met een aangepaste PreShared-sleutel, voor een veiligere VPN-verbinding.
Stap 1. Hoe u de rol voor externe toegang (VPN-toegang) kunt toevoegen op een server 2016.
De eerste stap om een Windows Server 2016 in te stellen, als VPN-server is het installeren van de
Toegang op afstand rol {Direct Access & VPN (RAS) services} naar uw Server 2016. ** Informatie: Voor dit voorbeeld gaan we VPN instellen op een Windows Server 2016-machine, genaamd "Srv1" en met IP-adres "192.168.1.8".
1. Om de VPN-rol op Windows Server 2016 te installeren, opent u 'Serverbeheer' en klikt u op Rollen en functies toevoegen.
2. Verlaat op het eerste scherm van de wizard 'Rollen en functies toevoegen' de Op rollen gebaseerde of op functies gebaseerde installatie optie en klik op Volgende.
3. Laat in het volgende scherm de standaardoptie "Selecteer server uit de serverpool" en klik op Volgende.
4. Selecteer vervolgens de Toegang op afstand rol en klik Volgende.
5. Laat op het scherm 'Functies' de standaardinstellingen staan en klik op Volgende.
6. Klik in het informatiescherm 'Remote Access' op Volgende.
7. Kies bij 'Remote Services' de Directe toegang en VPN (RAS) rolservices en klik vervolgens op Volgende.
8. Dan klikken Functies toevoegen.
9. Klik Volgende nog een keer.
10. Laat de standaardinstellingen staan en klik op Volgende (tweemaal) op de schermen 'Web Server Role (IIS)' en 'Role Services'.
11. Selecteer in het scherm 'Bevestiging' Start de doelserver automatisch opnieuw (indien nodig) en klik Installeren.
12. Zorg er in het laatste scherm voor dat de installatie van de Remote Access-rol succesvol is en Dichtbij de tovenaar.
13. Dan (van Serverbeheer) Hulpmiddelen menu, klik op Beheer van toegang op afstand.
14. Selecteer Directe toegang en VPN aan de linkerkant en klik vervolgens op om Voer de wizard Aan de slag uit.
15. Dan klikken VPN implementeren alleen.
16. Doorgaan met stap 2 hieronder om routering en toegang op afstand te configureren.
Stap 2. Routering en externe toegang configureren en inschakelen op Server 2016.
De volgende stap is het inschakelen en configureren van de VPN-toegang op onze Server 2016. Om dat te doen:
1. Klik met de rechtermuisknop op de naam van de server en selecteer Routering en externe toegang configureren en inschakelen. *
* Opmerking: U kunt ook de instellingen voor Routering en RAS starten op de volgende manier:
1.Open Server Manager en van Hulpmiddelen menu, selecteer Computer management.
2. Uitbreiden Diensten en toepassingen
3. Klik met de rechtermuisknop op Routering en toegang op afstand en selecteer Routering en externe toegang configureren en inschakelen.
2. Klik Volgende bij 'Wizard Setup van routerings- en RAS-server'.
3. Kiezen Aangepaste configuratie en klik Volgende.
4. Selecteer VPN-toegang alleen in dit geval en klik op Volgende.
5. Klik ten slotte op Finish.
6. Wanneer u wordt gevraagd om de service te starten, klikt u op Begin.
7. Nu ziet u een groene pijl naast de naam van uw server (bijvoorbeeld "Svr1" in dit voorbeeld).
Stap 3. Aangepast IPsec-beleid inschakelen voor L2TP/IKEv2-verbindingen.
Nu is het tijd om een aangepast IPsec-beleid toe te staan op de routerings- en RAS-server en om de aangepaste Preshared-sleutel te specificeren.
1. Bij Routering en toegang op afstand paneel, klik met de rechtermuisknop op de naam van uw server en selecteer Eigenschappen.
2. Bij Veiligheid tabblad, kies Aangepast IPsec-beleid toestaan voor L2TP/IKEv2-verbinding en typ vervolgens een Preshared key (voor dit voorbeeld typ ik: "TestVPN@1234").
3. Klik vervolgens op de Verificatiemethoden knop (hierboven) en zorg ervoor dat de Microsoft versleutelde authenticatie versie 2 (MS-CHAP v2) is geselecteerd en klik vervolgens op OKE.
4. Selecteer nu de IPv4 tabblad, selecteer Statische adrespool en klik Toevoegen.
5. Typ hier het IP-adresbereik dat wordt toegewezen aan VPN-verbonden clients en klik op oke (tweemaal) om alle vensters te sluiten.
bijv. Voor dit voorbeeld gaan we het IP-adresbereik gebruiken: 192.168.1.200 – 192.168.1.202.
6. Wanneer u wordt gevraagd met het pop-upbericht: "Om aangepast IPsec-beleid voor L2TP/IKEv2-verbindingen in te schakelen, moet u Routing and Remote Access opnieuw starten", klikt u op oke.
7. Klik ten slotte met de rechtermuisknop op uw server (bijv. "Svr1") en selecteer Alle taken > Opnieuw opstarten.
Stap 4. Open de vereiste poorten in Windows Firewall.
1. Ga naar Controlepaneel > Alle controlepaneel-onderdelen > Windows Firewall.
2. Klik Geavanceerde instellingen aan je linker kant.
3. Selecteer aan de linkerkant de Inkomende regels.
4a. Dubbelklik op Routering en toegang op afstand (L2TP-In)
4b. Kies op het tabblad 'Algemeen' Ingeschakeld, verbinding toestaan en klik OKE.
5. Klik nu met de rechtermuisknop op Inkomende regels aan de linkerkant en selecteer Nieuwe regel.
6. Selecteer in het eerste scherm Haven en klik Volgende.
7. Selecteer nu de UDP protocoltype en typ bij 'Specifieke lokale poorten': 50, 500, 4500.
Als u klaar bent, klikt u op Volgende.
8. Laat de standaardinstelling "Allow the Connection" staan en klik op Volgende.
9. Klik in het volgende scherm op Volgende nog een keer.
10. Typ nu een naam voor de nieuwe regel (bijv. "L2PT VPN toestaan") en klik op Finish.
11. Dichtbij de Firewall-instellingen.
Stap 5. De netwerkbeleidsserver configureren om netwerktoegang toe te staan.
Om de VPN-gebruikers toegang te geven tot het netwerk via de VPN-verbinding, gaat u verder en wijzigt u de Network Policy Server als volgt:
1. Klik met de rechtermuisknop op Logboekregistratie en beleid voor toegang op afstand en selecteer NPS starten
2. Selecteer op het tabblad 'Overzicht' de volgende instellingen en klik op oke:
- Toegang verlenen: als het verbindingsverzoek overeenkomt met dit beleid.
- Remote Access Server (VPN-inbelverbinding)
3. Open nu de Verbindingen met andere toegangsservers beleid, selecteer dezelfde instellingen en klik op OKE.
- Toegang verlenen: als het verbindingsverzoek hiermee overeenkomt
het beleid. - Remote Access Server (VPN-Dial)
omhoog)
- Toegang verlenen: als het verbindingsverzoek hiermee overeenkomt
4. Sluit de instellingen van de Network Policy Server.
Stap 6. L2TP/IPsec-verbindingen inschakelen achter NAT.
Standaard moderne Windows Clients (Windows 10, 8, 7 of Vista) en de Windows Server 2016, 2012 & 2008 besturingssystemen ondersteunen geen L2TP/IPsec-verbindingen als de Windows-computer of de VPN-server zich bevindt achter een NAT. Om dit probleem te omzeilen, moet u het register als volgt wijzigen in de VPN-server: en de klanten:
1. Druk tegelijkertijd op de ramen + R toetsen om het opdrachtvenster voor uitvoeren te openen.
2. Type regedit en druk op Binnenkomen.
3. Navigeer in het linkerdeelvenster naar deze sleutel:
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
4. Klik met de rechtermuisknop op Beleidsagent en selecteer Nieuw –> DWORD (32 bit) Waarde.
5. Voor het nieuwe type sleutelnaam: AannemenUDPEncapsulationContextOnSendRule en druk op Binnenkomen.
* Opmerking: De waarde moet worden ingevoerd zoals hierboven weergegeven en zonder spatie.
6. Dubbelklik op deze nieuwe DWORD-sleutel en voer in voor Waardegegevens: 2
7.Dichtbij Register-editor. *
* Belangrijk: Om problemen te voorkomen bij het verbinden met uw VPN-server vanaf een Windows-clientcomputer (Windows Vista, 7, 8, 10 en 2008 Server), moet u deze registercorrectie ook op clients toepassen.
8. Opnieuw opstarten het apparaat.
Stap 7. Controleer of de IKE & IPsec Policy Agent-services actief zijn.
Ga na het opnieuw opstarten naar het configuratiescherm voor services en zorg ervoor dat de volgende services actief zijn. Om dat te doen:
1. Druk tegelijkertijd op de ramen + R toetsen om het opdrachtvenster voor uitvoeren te openen.
2. Typ in het opdrachtvenster Uitvoeren: services.msc en druk op Binnenkomen.
3. Zorg ervoor dat de volgende services actief zijn: *
- IKE- en AuthIP IPsec-sleutelmodules
- IPsec-beleidsagent
* Opmerkingen:
1. Als de bovenstaande services niet actief zijn, dubbelklik dan op elke service en stel de Opstarttype naar automatisch. Dan klikken oke en herstarten de server.
2. U moet ervoor zorgen dat de bovenstaande services ook op de Windows-clientcomputer worden uitgevoerd.
Stap 8. Hoe te selecteren welke gebruikers VPN-toegang hebben.
Nu is het tijd om aan te geven welke gebruikers verbinding kunnen maken met de VPN-server (Dial-IN-rechten).
1. Open Serverbeheer.
2. Van Hulpmiddelen menu, selecteer Active Directory-gebruikers en computers. *
* Opmerking: Als uw server niet bij een domein hoort, ga dan naar Computer management -> Lokale gebruikers en groepen.
3. Selecteer Gebruikers en dubbelklik op de gebruiker die u de VPN-toegang wilt toestaan.
4. Selecteer de Inbellen tabblad en selecteer Toegang te verlenen. Dan klikken oke.
Stap 9. Firewall configureren om L2TP VPN-toegang toe te staan (Port Forwarding).
De volgende stap is het toestaan van de VPN-verbindingen in uw firewall.
1. Log in op de webinterface van de router.
2. Stuur in de configuratie van de router de poorten 1701, 50, 500 & 4500 door naar het IP-adres van de VPN-server. (Zie de handleiding van uw router voor informatie over het configureren van Port Forward).
- Als de VPN-server bijvoorbeeld het IP-adres "192.168.1.8" heeft, moet u alle bovengenoemde poorten naar dat IP-adres doorsturen.
Extra hulp:
- Om op afstand verbinding te kunnen maken met uw VPN-server moet u het openbare IP-adres van de VPN-server kennen. Ga naar deze link om het openbare IP-adres (van de VPN-server-pc) te vinden: http://www.whatismyip.com/
- Om ervoor te zorgen dat je altijd verbinding kunt maken met je VPN-server is het beter om een Statisch Openbaar IP-adres te hebben. Om een statisch openbaar IP-adres te verkrijgen, moet u contact opnemen met uw internetprovider. Als u niet wilt betalen voor een statisch IP-adres, kunt u een gratis Dynamic DNS-service instellen (bijv. geen IP.) aan de kant van uw router (VPN-server).
Stap 10. De L2TP VPN-verbinding instellen op een Windows-clientcomputer.
De laatste stap is het maken van een nieuwe L2TP/IPSec VPN-verbinding met onze VPN Server 2016 op de clientcomputer door de onderstaande instructies te volgen:
- Gerelateerd artikel:Een PPTP VPN-verbinding instellen op Windows 10.
AANDACHT: Voordat u doorgaat met het maken van de VPN-verbinding, gaat u verder en past u de registerfix toe in stap-6 hierboven, ook op de clientcomputer.
1. Open netwerk en deelcentrum.
2. Klik Een nieuwe connectie of netwerk opzetten
3. Selecteer Verbinding maken met werkplek en klik Volgende.
4. Selecteer vervolgens Gebruik mijn internetverbinding (VPN).
5. Typ op het volgende scherm de Het openbare IP-adres van de VPN-server en de VPN-poort die u aan de routerzijde hebt toegewezen en klik vervolgens op Creëren.
bijv. Als het externe IP-adres is: 108.200.135.144, typ dan: "108.200.135.144" in het vak Internetadres en typ bij 'Bestemmingsnaam' elke gewenste naam (bijv. "L2TP-VPN").
6. Typ de gebruikersnaam en het wachtwoord voor de VPN-verbinding en klik op Aansluiten.
7. Als u de VPN instelt op een Windows 7-clientcomputer, zal deze proberen verbinding te maken. druk op Overslaan en klik vervolgens op Dichtbij, omdat u enkele aanvullende instellingen voor de VPN-verbinding moet opgeven.
8. Klik in Netwerkcentrum op Wijzig de adapterinstellingen aan de linkerkant.
9. Klik met de rechtermuisknop op de nieuwe VPN-verbinding (bijv. "L2TP-VPN") en selecteer Eigenschappen.
10. Selecteer de Veiligheid tabblad en kies Laag 2 (Tunneling Protocol met IPsec (L2TP/IPsec) en klik vervolgens op Geavanceerde instellingen.
11. Typ in 'Geavanceerde instellingen' de vooraf gedeelde sleutel (bijvoorbeeld "TestVPN@1234" in dit voorbeeld) en klik op oke
12. Klik dan op Sta deze protocollen toe en selecteer de Microsoft CHAP versie 2 (MS-CHAP v2)
13. Selecteer vervolgens de Netwerken tabblad. We dubbelklikken op Internetprotocol versie 4 (TCP/IPv4) om het te openen Eigenschappen.
14. Voor Voorkeur DNS-server typ het lokale IP-adres van de VPN-server (bijvoorbeeld "192.168.1.8" in dit voorbeeld). *
* Opmerking: Deze instelling is optioneel, dus pas deze alleen toe als dat nodig is.
15. Klik vervolgens op de knop Geavanceerd en uitvinken de Gebruik standaard gateway op extern netwerk omdat we onze pc-internetbrowser willen scheiden van een VPN-verbinding.
16. Klik ten slotte op oke voortdurend om alle vensters te sluiten.
17. Dubbelklik nu op de nieuwe VPN-verbinding en klik op Aansluiten, om verbinding te maken met uw werkplek.
Dat is het! Laat me weten of deze gids je heeft geholpen door een opmerking over je ervaring achter te laten. Like en deel deze gids om anderen te helpen.