W tym samouczku znajdziesz szczegółowe instrukcje dotyczące konfiguracji serwera dostępu L2TP VPN w systemie Windows Server 2016. Wirtualna sieć prywatna (VPN) umożliwia bezpieczne łączenie się z siecią prywatną z lokalizacji internetowych i chroni przed atakami internetowymi i przechwytywaniem danych. Instalacja i konfiguracja dostępu L2TP/IPSec VPN na serwerze 2016 jest procesem wieloetapowym, ponieważ musisz skonfigurować kilka ustawień po stronie serwera VPN, aby osiągnąć sukces VPN operacja.
Jak zainstalować L2TP/IPSec VPN Server 2016 z niestandardowym kluczem wstępnym.
W tym przewodniku krok po kroku omówimy konfigurację L2TP VPN Server 2016 przy użyciu protokołu Layer Two Tunneling Protocol (L2TP/IPSEC) z niestandardowym kluczem PreShared, aby zapewnić bezpieczniejsze połączenie VPN.
Krok 1. Jak dodać rolę Dostęp zdalny (dostęp VPN) na serwerze 2016.
Pierwszym krokiem do skonfigurowania Windows Server 2016 jako serwera VPN jest zainstalowanie Dostęp zdalny rolę {usługi bezpośredniego dostępu i VPN (RAS)} na serwerze 2016. *
* Informacje: W tym przykładzie skonfigurujemy VPN na komputerze z systemem Windows Server 2016 o nazwie „Srv1” i adresie IP „192.168.1.8”.
1. Aby zainstalować rolę VPN na Windows Server 2016, otwórz „Menedżer serwera” i kliknij Dodaj role i funkcje.
2. Na pierwszym ekranie „Kreatora dodawania ról i funkcji” pozostaw Instalacja oparta na rolach lub funkcjach opcję i kliknij Następny.
3. Na następnym ekranie pozostaw opcję domyślną „Wybierz serwer z puli serwerów" i kliknij Następny.
4. Następnie wybierz Dostęp zdalny rola i kliknięcie Następny.
5. Na ekranie „Funkcje” pozostaw ustawienia domyślne i kliknij Następny.
6. Na ekranie informacyjnym „Zdalny dostęp” kliknij Następny.
7. W „Usługach zdalnych” wybierz Bezpośredni dostęp i VPN (RAS) usługi ról, a następnie kliknij Następny.
8. Następnie kliknij Dodać funkcje.
9. Kliknij Następny Ponownie.
10. Pozostaw ustawienia domyślne i kliknij Następny (dwa razy) na ekranach „Rola serwera sieci Web (IIS)” i „Usługi ról”.
11. Na ekranie „Potwierdzenie” wybierz Automatycznie uruchom ponownie serwer docelowy (jeśli jest to wymagane) i kliknij Zainstalować.
12. Na ostatnim ekranie upewnij się, że instalacja roli zdalnego dostępu przebiegła pomyślnie i Blisko czarodziej.
13. Następnie (z Menedżera serwera) Narzędzia menu, kliknij Zarządzanie dostępem zdalnym.
14. Wybierać Bezpośredni dostęp i VPN po lewej stronie, a następnie kliknij, aby Uruchom Kreatora Rozpoczęcia Pracy.
15. Następnie kliknij Wdróż VPN tylko.
16. Kontynuuj krok 2 poniżej, aby skonfigurować Routing i dostęp zdalny.
Krok 2. Jak skonfigurować i włączyć routing i dostęp zdalny na serwerze 2016.
Następnym krokiem jest włączenie i skonfigurowanie dostępu VPN na naszym serwerze 2016. Aby to zrobić:
1. Kliknij prawym przyciskiem myszy nazwę serwera i wybierz Skonfiguruj i włącz routing i dostęp zdalny. *
* Notatka: Możesz także uruchomić ustawienia Routingu i zdalnego dostępu w następujący sposób:
1. Otwórz Menedżera serwera i z Narzędzia menu, wybierz Zarządzanie komputerem.
2. Zwiększać Usługi i aplikacje
3. Kliknij prawym przyciskiem myszy Routing i zdalny dostęp i wybierz Skonfiguruj i włącz routing i dostęp zdalny.
2. Kliknij Następny w „Kreatorze konfiguracji serwera routingu i dostępu zdalnego”.
3. Wybierać Konfiguracja niestandardowa i kliknij Następny.
4. Wybierać Dostęp VPN tylko w tym przypadku i kliknij Następny.
5. Na koniec kliknij Skończyć.
6. Po wyświetleniu monitu o uruchomienie usługi kliknij Początek.
7. Teraz zobaczysz zieloną strzałkę obok nazwy twojego serwera (np. "Svr1" w tym przykładzie).
Krok 3. Jak włączyć niestandardowe zasady IPsec dla połączeń L2TP/IKEv2.
Teraz nadszedł czas, aby zezwolić na niestandardowe zasady IPsec na serwerze routingu i dostępu zdalnego i określić niestandardowy klucz wstępny.
1. Na Routing i zdalny dostęp panelu, kliknij prawym przyciskiem myszy nazwę swojego serwera i wybierz Nieruchomości.
2. Na Bezpieczeństwo zakładka, wybierz Zezwalaj na niestandardowe zasady IPsec dla połączeń L2TP/IKEv2 a następnie wpisz klucz wstępny (w tym przykładzie wpisuję: „TestVPN@1234”).
3. Następnie kliknij Metody uwierzytelniania (powyżej) i upewnij się, że Szyfrowane uwierzytelnianie firmy Microsoft w wersji 2 (MS-CHAP v2) jest zaznaczony, a następnie kliknij OK.
4. Teraz wybierz IPv4 zakładka, wybierz Statyczna pula adresów i kliknij Dodać.
5. Tutaj wpisz zakres adresów IP, który zostanie przypisany do klientów podłączonych do sieci VPN i kliknij ok (dwa razy), aby zamknąć wszystkie okna.
np. W tym przykładzie użyjemy zakresu adresów IP: 192.168.1.200 – 192.168.1.202.
6. Po wyświetleniu monitu z wyskakującym komunikatem: „Aby włączyć niestandardowe zasady IPsec dla połączeń L2TP/IKEv2, należy ponownie uruchomić usługę Routing i dostęp zdalny”, kliknij ok.
7. Na koniec kliknij prawym przyciskiem myszy swój serwer (np. „Svr1”) i wybierz Wszystkie zadania > Uruchom ponownie.
Krok 4. Otwórz wymagane porty w Zaporze systemu Windows.
1. Iść do Panel sterowania > Wszystkie elementy na panelu sterowania > zapora systemu Windows.
2. Kliknij Zaawansowane ustawienia po lewej.
3. Po lewej stronie wybierz Reguły wewnętrzne.
4a. Kliknij dwukrotnie w Routing i dostęp zdalny (wejście L2TP)
4b. Na karcie „Ogólne” wybierz Włączone, Zezwól na połączenie i kliknij OK.
5. Teraz kliknij prawym przyciskiem myszy na Reguły wewnętrzne po lewej stronie i wybierz Nowa zasada.
6. Na pierwszym ekranie wybierz Port i kliknij Następny.
7. Teraz wybierz UDP typ protokołu i w polu „Określone porty lokalne” wpisz: 50, 500, 4500.
Po zakończeniu kliknij Dalej.
8. Pozostaw domyślne ustawienie „Zezwól na połączenie” i kliknij Następny.
9. Na następnym ekranie kliknij Następny Ponownie.
10. Teraz wpisz nazwę nowej reguły (np. „Zezwól na L2PT VPN”) i kliknij Skończyć.
11. Blisko ustawienia zapory.
Krok 5. Jak skonfigurować serwer zasad sieciowych, aby umożliwić dostęp do sieci.
Aby umożliwić użytkownikom VPN dostęp do sieci za pośrednictwem połączenia VPN, zmodyfikuj serwer zasad sieciowych w następujący sposób:
1. Kliknij prawym przyciskiem myszy Rejestrowanie i zasady dostępu zdalnego i wybierz Uruchom NPS
2. Na karcie „Przegląd” wybierz następujące ustawienia i kliknij ok:
- Przyznaj dostęp: jeśli żądanie połączenia jest zgodne z tą zasadą.
- Serwer dostępu zdalnego (VPN-Dial up)
3. Teraz otwórz Połączenia z innymi serwerami dostępowymi polityki, wybierz te same ustawienia i kliknij OK.
- Przyznaj dostęp: jeśli żądanie połączenia pasuje do tego
polityka. - Serwer dostępu zdalnego (połączenie VPN .)
w górę)
- Przyznaj dostęp: jeśli żądanie połączenia pasuje do tego
4. Zamknij ustawienia serwera zasad sieciowych.
Krok 6. Jak włączyć połączenia L2TP/IPsec za NAT.
Domyślnie nowoczesne klienty Windows (Windows 10, 8, 7 lub Vista) oraz Windows Server 2016, 2012 i 2008 systemy operacyjne nie obsługują połączeń L2TP/IPsec, jeśli znajduje się komputer z systemem Windows lub serwer VPN za NAT. Aby ominąć ten problem, musisz zmodyfikować rejestr w następujący sposób, na serwerze VPN a Klienci:
1. Jednocześnie naciśnij Okna + r klawisze, aby otworzyć okno poleceń uruchamiania.
2. Rodzaj regedit i naciśnij Wchodzić.
3. W lewym okienku przejdź do tego klucza:
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Sevices\PolicyAgent
4. Kliknij prawym przyciskiem myszy Agent ds. Polityki i wybierz Nowy –> DWORD (32-bitowy) Wartość.
5. Dla nowego typu nazwy klucza: Przyjmij UDPencapsulationContextOnSendRule i naciśnij Wchodzić.
* Notatka: Wartość należy wprowadzić w sposób pokazany powyżej i bez spacji.
6. Kliknij dwukrotnie ten nowy klucz DWORD i wprowadź dane wartości: 2
7.Blisko Edytor rejestru. *
* Ważny: Aby uniknąć problemów podczas łączenia się z serwerem VPN z komputera klienckiego z systemem Windows (Windows Vista, 7, 8, 10 i 2008 Server), należy również zastosować tę poprawkę rejestru do klientów.
8. Ponowne uruchomienie maszyna.
Krok 7. Sprawdź, czy usługi agenta zasad IKE i IPsec są uruchomione.
Po ponownym uruchomieniu przejdź do panelu sterowania usługami i upewnij się, że następujące usługi są uruchomione i uruchomione. Aby to zrobić:
1. Jednocześnie naciśnij Okna + r klawisze, aby otworzyć okno poleceń uruchamiania.
2. W polu polecenia Uruchom wpisz: services.msc i naciśnij Wchodzić.
3. Upewnij się, że działają następujące usługi: *
- Moduły kluczy IKE i AuthIP IPsec
- Agent zasad IPsec
* Uwagi:
1. Jeśli powyższe usługi nie są uruchomione, kliknij dwukrotnie każdą usługę i ustaw Typ uruchomienia do Automatyczny. Następnie kliknij ok oraz uruchom ponownie serwer.
2. Musisz upewnić się, że powyższe usługi działają również na komputerze klienckim z systemem Windows.
Krok 8. Jak wybrać, którzy użytkownicy będą mieli dostęp do VPN.
Teraz nadszedł czas, aby określić, którzy użytkownicy będą mogli połączyć się z serwerem VPN (uprawnienia Dial-IN).
1. otwarty Menedżer serwera.
2. Z Narzędzia menu, wybierz Użytkownicy i komputery Active Directory. *
* Notatka: Jeśli Twój serwer nie należy do domeny, przejdź do Zarządzanie komputerem -> Lokalni użytkownicy i grupy.
3. Wybierać Użytkownicy i kliknij dwukrotnie użytkownika, któremu chcesz zezwolić na dostęp VPN.
4. Wybierz Telefoniczne tab i wybierz Umożliwić dostęp. Następnie kliknij ok.
Krok 9. Jak skonfigurować zaporę sieciową, aby zezwolić na dostęp L2TP VPN (przekierowanie portów).
Następnym krokiem jest zezwolenie na połączenia VPN w zaporze.
1. Zaloguj się do interfejsu sieciowego routera.
2. Wewnątrz konfiguracji routera przekieruj porty 1701, 50, 500 i 4500 na adres IP serwera VPN. (Zapoznaj się z instrukcją obsługi routera, aby dowiedzieć się, jak skonfigurować przekierowanie portów).
- Na przykład, jeśli serwer VPN ma adres IP „192.168.1.8”, musisz przekierować wszystkie wyżej wymienione porty na ten adres IP.
Dodatkowa pomoc:
- Aby móc połączyć się z serwerem VPN na odległość, musisz znać publiczny adres IP serwera VPN. Aby znaleźć publiczny adres IP (z komputera VPN Server PC), przejdź do tego łącza: http://www.whatismyip.com/
- Aby mieć pewność, że zawsze możesz połączyć się z serwerem VPN, lepiej mieć statyczny publiczny adres IP. Aby uzyskać statyczny publiczny adres IP, należy skontaktować się z dostawcą usług internetowych. Jeśli nie chcesz płacić za statyczny adres IP, możesz skonfigurować bezpłatną usługę Dynamic DNS (np. brak IP.) po stronie routera (serwera VPN).
Krok 10. Jak skonfigurować połączenie L2TP VPN na komputerze klienckim z systemem Windows.
Ostatnim krokiem jest utworzenie nowego połączenia L2TP/IPSec VPN z naszym serwerem VPN 2016 na komputerze klienckim, postępując zgodnie z poniższymi instrukcjami:
- Powiązany artykuł:Jak skonfigurować połączenie PPTP VPN w systemie Windows 10.
UWAGA: Zanim będziesz kontynuować tworzenie połączenia VPN, kontynuuj i zastosuj poprawkę rejestru w krok-6 powyżej, również na komputerze klienckim.
1. Centrum otwartej sieci i udostępniania.
2. Kliknij Skonfiguruj nowe połączenie lub sieć
3. Wybierać Połącz się z miejscem pracy i kliknij Następny.
4. Następnie wybierz Użyj mojego połączenia internetowego (VPN).
5. Na następnym ekranie wpisz Publiczny adres IP serwera VPN i port VPN, który przypisałeś po stronie routera, a następnie kliknij Tworzyć.
np. Jeśli zewnętrzny adres IP to: 108.200.135.144, wpisz: „108.200.135.144” w polu Adres internetowy i w polu „Nazwa docelowa” wpisz dowolną nazwę (np. „L2TP-VPN”).
6. Wpisz nazwę użytkownika i hasło do połączenia VPN i kliknij Połączyć.
7. Jeśli skonfigurujesz VPN na komputerze klienckim z systemem Windows 7, będzie on próbował się połączyć. naciskać Pomijać a następnie kliknij Blisko, ponieważ musisz określić dodatkowe ustawienia połączenia VPN.
8. W centrum sieci i udostępniania kliknij Zmień ustawienia adaptera po lewej stronie.
9. Kliknij prawym przyciskiem myszy nowe połączenie VPN (np. „L2TP-VPN”) i wybierz Nieruchomości.
10. Wybierz Bezpieczeństwo zakładka i wybierz Warstwa 2 (protokół tunelowania z IPsec (L2TP/IPsec) a następnie kliknij Zaawansowane ustawienia.
11. W „Ustawieniach zaawansowanych” wpisz klucz wstępny (np. „TestVPN@1234” w tym przykładzie) i kliknij ok
12. Następnie kliknij Zezwól na te protokoły i wybierz Microsoft CHAP w wersji 2 (MS-CHAP v2)
13. Następnie wybierz Sieć patka. Dwukrotnie klikniemy Protokół internetowy w wersji 4 (TCP/IPv4) otworzyć to Nieruchomości.
14. Do Preferowany serwer DNS wpisz lokalny adres IP serwera VPN (np. „192.168.1.8” w tym przykładzie). *
* Notatka: To ustawienie jest opcjonalne, więc zastosuj je tylko w razie potrzeby.
15. Następnie kliknij przycisk Zaawansowane i odznacz ten Użyj bramy domyślnej w sieci zdalnej ponieważ chcemy oddzielić przeglądanie Internetu na naszym komputerze od połączenia VPN.
16. Na koniec kliknij ok stale zamykać wszystkie okna.
17. Teraz kliknij dwukrotnie nowe połączenie VPN i kliknij Połączyć, aby połączyć się z miejscem pracy.
Otóż to! Daj mi znać, czy ten przewodnik Ci pomógł, zostawiając komentarz na temat swojego doświadczenia. Polub i udostępnij ten przewodnik, aby pomóc innym.