Как настроить L2TP VPN Server 2016 с настраиваемым предварительным ключом для аутентификации.

РазноеDec 19, 2021
click fraud protection

В этом руководстве вы найдете пошаговые инструкции по настройке сервера доступа L2TP VPN на Windows Server 2016. Виртуальная частная сеть (VPN) позволяет вам безопасно подключаться к вашей частной сети из Интернета и защищает вас от интернет-атак и перехвата данных. Чтобы установить и настроить доступ L2TP / IPSec VPN на Server 2016, это многоступенчатый процесс, потому что вам необходимо настроить несколько параметров на стороне VPN-сервера для успешного выполнения VPN. операция.

Как установить L2TP / IPSec VPN Server 2016 с настраиваемым предварительным ключом.

В этом пошаговом руководстве мы рассмотрим настройку L2TP VPN Server 2016 с использованием протокола туннелирования второго уровня (L2TP / IPSEC) с настраиваемым ключом PreShared для более безопасного соединения VPN.

Шаг 1. Как добавить роль удаленного доступа (доступ VPN) на сервере 2016.

Первым шагом по настройке Windows Server 2016 в качестве VPN-сервера является установка Удаленный доступ роль {Direct Access & VPN (RAS) services} на вашем сервере 2016. *

* Информация: В этом примере мы собираемся настроить VPN на компьютере под управлением Windows Server 2016 с именем «Srv1» и IP-адресом «192.168.1.8».

1. Чтобы установить роль VPN на Windows Server 2016, откройте «Диспетчер серверов» и нажмите Добавить роли и функции.

Настройка VPN-сервера 2016

2. На первом экране мастера добавления ролей и функций оставьте Ролевая или функциональная установка вариант и нажмите Следующий.

clip_image008

3. На следующем экране оставьте параметр по умолчанию "Выберите сервер из пула серверов"и щелкните Следующий.

изображение

4. Затем выберите Удаленный доступ роль и щелкните Следующий.

установить VPN Server 2016

5. На экране «Функции» оставьте настройки по умолчанию и нажмите Следующий.

изображение

6. На информационном экране «Удаленный доступ» щелкните Следующий.

clip_image016

7. В «Remote Services» выберите Прямой доступ и VPN (RAS) службы ролей, а затем щелкните Следующий.

clip_image020

8. Затем нажмите Добавить функции.

изображение

9. Нажмите Следующий снова.

изображение

10. Оставьте настройки по умолчанию и нажмите Следующий (дважды) на экранах «Роль веб-сервера (IIS)» и «Службы ролей».

изображение

11. На экране «Подтверждение» выберите Автоматический перезапуск целевого сервера (при необходимости) и нажмите Установить.

clip_image022

12. На последнем экране убедитесь, что установка роли удаленного доступа прошла успешно и Закрывать Мастер.

clip_image024

13. Затем (из диспетчера сервера) Инструменты меню нажмите на Управление удаленным доступом.
14. Выбирать Прямой доступ и VPN слева, а затем нажмите, чтобы Запустите мастер начала работы.

изображение

15. Затем нажмите Развернуть VPN Только.

изображение

16. Продолжать шаг 2 ниже, чтобы настроить маршрутизацию и удаленный доступ.

Шаг 2. Как настроить и включить маршрутизацию и удаленный доступ на сервере 2016.

Следующим шагом будет включение и настройка доступа VPN на нашем сервере 2016. Для этого:

1. Щелкните правой кнопкой мыши имя сервера и выберите Настроить и включить маршрутизацию и удаленный доступ. *

изображение

* Примечание: Вы также можете запустить настройки маршрутизации и удаленного доступа следующим образом:

1. Откройте диспетчер серверов и из Инструменты меню выберите Компьютерное управление.
2. Расширять Услуги и приложения
3. Щелкните правой кнопкой мыши на Маршрутизация и удаленный доступ и выберите Настроить и включить маршрутизацию и удаленный доступ.

изображение

2. Нажмите Следующий в «Мастере настройки сервера маршрутизации и удаленного доступа».

изображение

3. Выбирать Индивидуальная конфигурация и нажмите Следующий.

clip_image030

4. Выбирать Доступ к VPN только в этом случае и нажмите Следующий.

clip_image032

5. Наконец нажмите Заканчивать.

clip_image034

6. Когда будет предложено запустить службу, нажмите Начинать.

изображение

7. Теперь вы увидите зеленую стрелку рядом с именем вашего сервера (например, «Svr1» в этом примере).

Шаг 3. Как включить настраиваемую политику IPsec для подключений L2TP / IKEv2.

Пришло время разрешить настраиваемую политику IPsec на сервере маршрутизации и удаленного доступа и указать настраиваемый предварительный ключ.

1. В Маршрутизация и удаленный доступ панели, щелкните правой кнопкой мыши имя вашего сервера и выберите Характеристики.

изображение

2. В Безопасность вкладка, выберите Разрешить настраиваемую политику IPsec для подключения L2TP / IKEv2 а затем введите Предварительный ключ (в этом примере я набираю: «TestVPN @ 1234»).

clip_image038

3. Затем нажмите кнопку Методы аутентификации кнопку (вверху) и убедитесь, что Шифрованная проверка подлинности Microsoft версии 2 (MS-CHAP v2) выбран, а затем щелкните В ПОРЯДКЕ.

clip_image040

4. Теперь выберите IPv4 вкладка, выберите Пул статических адресов и нажмите Добавлять.
5. Здесь введите диапазон IP-адресов, который будет назначен клиентам, подключенным к VPN, и нажмите В ПОРЯДКЕ (дважды), чтобы закрыть все окна.

например В этом примере мы собираемся использовать диапазон IP-адресов: 192.168.1.200 - 192.168.1.202.

clip_image042

6. Когда появится всплывающее сообщение: «Чтобы включить настраиваемую политику IPsec для подключений L2TP / IKEv2, необходимо перезапустить маршрутизацию и удаленный доступ», нажмите В ПОРЯДКЕ.

изображение

7. Наконец, щелкните правой кнопкой мыши свой сервер (например, «Svr1») и выберите Все задачи> Перезагрузить.

Шаг 4. Откройте необходимые порты в брандмауэре Windows.

1. Перейти к Панель управления > Все элементы панели управления > Брандмауэр Windows.
2. Нажмите Расширенные настройки слева.

image_thumb [11]

3. Слева выберите Входящие правила.
4а. Дважды щелкните на Маршрутизация и удаленный доступ (L2TP-In)

изображение

4b. На вкладке "Общие" выберите Включено, Разрешить соединение и нажмите В ПОРЯДКЕ.

изображение

5. Теперь щелкните правой кнопкой мыши на Входящие правила слева и выберите Новое правило.

изображение

6. На первом экране выберите Порт и нажмите Следующий.

изображение

7. Теперь выберите UDP тип протокола и в поле «Определенные локальные порты» введите: 50, 500, 4500.
Когда закончите, нажмите Далее.

изображение

8. Оставьте настройку по умолчанию «Разрешить подключение» и нажмите Следующий.

изображение

9. На следующем экране щелкните Следующий снова.

изображение

10. Теперь введите имя нового правила (например, «Разрешить L2PT VPN») и нажмите Заканчивать.

изображение

11. Закрывать настройки брандмауэра.

Шаг 5. Как настроить сервер сетевой политики для разрешения доступа к сети.

Чтобы разрешить пользователям VPN доступ к сети через VPN-соединение, измените сервер сетевой политики следующим образом:

1. Щелкните правой кнопкой мыши на Ведение журнала и политики удаленного доступа и выберите Запустить NPS

изображение

2. На вкладке "Обзор" выберите следующие настройки и нажмите В ПОРЯДКЕ:

    • Предоставить доступ: если запрос на подключение соответствует этой политике.
    • Сервер удаленного доступа (VPN-Dial up)
изображение

3. Теперь откройте Подключения к другим серверам доступа политика, выберите те же настройки и нажмите В ПОРЯДКЕ.

    • Предоставить доступ: если запрос на подключение соответствует этому
      политика.
    • Сервер удаленного доступа (VPN-Dial
      вверх)
изображение

4. Закройте настройки сервера сетевой политики.

изображение
Шаг 6. Как включить соединения L2TP / IPsec за NAT.

По умолчанию современные клиенты Windows (Windows 10, 8, 7 или Vista) и Windows Server 2016, 2012 и 2008 операционные системы не поддерживают подключения L2TP / IPsec, если компьютер Windows или сервер VPN расположены за NAT. Чтобы обойти эту проблему, вам необходимо изменить реестр на VPN-сервере следующим образом: и клиенты:

1. Одновременно нажмите кнопку Окна изображение+ р ключи, чтобы открыть окно команды запуска.
2. Тип regedit и нажмите Входить.

regedit

3. На левой панели перейдите к этой клавише:

  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Sevices \ PolicyAgent

4. Щелкните правой кнопкой мыши на PolicyAgent и выберите Новый –> DWORD (32 бит) Значение.

изображение

5. Для нового типа имени ключа: AssumeUDPEncapsulationContextOnSendRule и нажмите Входить.

* Примечание: Значение необходимо вводить, как показано выше, и без пробелов.

6. Дважды щелкните этот новый ключ DWORD и введите для данных значения: 2

изображение

7.Закрывать Редактор реестра. *

* Важный: Чтобы избежать проблем при подключении к вашему VPN-серверу с клиентского компьютера Windows (Windows Vista, 7, 8, 10 и 2008 Server), вы также должны применить это исправление реестра к клиентам.

8. Перезагрузить машина.

Шаг 7. Убедитесь, что службы агента политики IKE и IPsec работают.

После перезапуска перейдите в панель управления службами и убедитесь, что следующие службы запущены и работают. Для этого:

1. Одновременно нажмите кнопку Окна изображение+ р ключи, чтобы открыть окно команды запуска.
2. В поле команды запуска введите: services.msc и нажмите Входить.

services.msc

3. Убедитесь, что запущены следующие службы: *

    1. Модули ключей IKE и AuthIP IPsec
    2. Агент политики IPsec
изображение

* Примечания:
1. Если указанные выше службы не запущены, дважды щелкните каждую службу и установите Тип запуска к Автоматическая. Затем нажмите В ПОРЯДКЕ и начать сначала сервер.
2. Вы должны убедиться, что указанные выше службы также работают на клиентском компьютере Windows.

изображение
Шаг 8. Как выбрать, у каких пользователей будет доступ к VPN.

Теперь пришло время указать, какие пользователи смогут подключаться к VPN-серверу (права доступа для удаленного доступа).

1. Открытым Диспетчер сервера.
2. От Инструменты меню выберите Пользователи и компьютеры Active Directory. *

* Примечание: Если ваш сервер не принадлежит домену, перейдите на Компьютерное управление -> Локальные пользователи и группы.

Перенести роль хозяев операций на сервер 2016.

3. Выбирать Пользователи и дважды щелкните пользователя, которому вы хотите разрешить доступ к VPN.
4. Выберите Ввести номер вкладка и выберите Разрешить доступ. Затем нажмите В ПОРЯДКЕ.

clip_image002
Шаг 9. Как настроить брандмауэр для разрешения доступа L2TP VPN (перенаправление портов).

Следующим шагом будет разрешение VPN-подключений в вашем брандмауэре.

1. Войдите в веб-интерфейс роутера.
2. Внутри настройки конфигурации маршрутизатора перенаправьте порты 1701, 50, 500 и 4500 на IP-адрес VPN-сервера. (См. Руководство к вашему маршрутизатору о том, как настроить переадресацию портов).

  • Например, если VPN-сервер имеет IP-адрес «192.168.1.8», вам необходимо перенаправить все вышеупомянутые порты на этот IP-адрес.

Дополнительная помощь:

  • Чтобы иметь возможность подключаться к вашему VPN-серверу на расстоянии, вы должны знать общедоступный IP-адрес VPN-сервера. Чтобы найти общедоступный IP-адрес (с ПК с сервером VPN), перейдите по этой ссылке: http://www.whatismyip.com/
  • Чтобы вы всегда могли подключиться к своему VPN-серверу, лучше иметь статический общедоступный IP-адрес. Чтобы получить статический общедоступный IP-адрес, обратитесь к своему интернет-провайдеру. Если вы не хотите платить за статический IP-адрес, вы можете настроить бесплатную службу динамического DNS (например, без IP.) на стороне вашего маршрутизатора (VPN-сервера).
Шаг 10. Как настроить подключение L2TP VPN на клиентском компьютере Windows.

Последним шагом является создание нового L2TP / IPSec VPN-подключения к нашему VPN-серверу 2016 на клиентском компьютере, следуя инструкциям ниже:

  • Статья по теме:Как настроить соединение PPTP VPN в Windows 10.

ВНИМАНИЕ: Прежде чем продолжить создание VPN-подключения, продолжите и примените исправление реестра в шаг-6 выше, на клиентском компьютере тоже.

1. Откройте Центр управления сетями и общим доступом.
2. Нажмите Создать новое подключение или сеть

изображение

3. Выбирать Подключиться к рабочему месту и нажмите Следующий.

изображение

4. Затем выберите Используйте мое подключение к Интернету (VPN).

изображение

5. На следующем экране введите Общедоступный IP-адрес сервера VPN и порт VPN, который вы назначили на стороне маршрутизатора, а затем нажмите Создавать.

например Если внешний IP-адрес: 108.200.135.144, введите: «108.200.135.144» в поле «Интернет-адрес», а в поле «Имя пункта назначения» введите любое желаемое имя (например, «L2TP-VPN»).

6. Введите имя пользователя и пароль для VPN-подключения и нажмите Соединять.

изображение

7. Если вы настроите VPN на клиентском компьютере с Windows 7, он попытается подключиться. Нажмите Пропускать а затем щелкните Закрывать, потому что вам нужно указать некоторые дополнительные настройки для VPN-подключения.

8. В центре управления сетями и общим доступом нажмите Измените настройки адаптера слева.
9. Щелкните правой кнопкой мыши новое VPN-соединение (например, «L2TP-VPN») и выберите Характеристики.
10. Выберите Безопасность вкладка и выберите Уровень 2 (протокол туннелирования с IPsec (L2TP / IPsec) а затем нажмите на Расширенные настройки.

clip_image078

11. В "Расширенных настройках" введите Предварительный ключ (например, "TestVPN @ 1234" в этом примере) и нажмите В ПОРЯДКЕ

clip_image080

12. Затем нажмите на Разрешить эти протоколы и выберите Microsoft CHAP версии 2 (MS-CHAP v2)

clip_image082

13. Затем выберите Сети таб. Мы дважды щелкнем по Интернет-протокол версии 4 (TCP / IPv4) открыть свой Характеристики.
14. За Предпочтительный DNS-сервер введите локальный IP-адрес VPN-сервера (например, «192.168.1.8» в этом примере). *

* Примечание: Этот параметр не является обязательным, поэтому применяйте его только в случае необходимости.

clip_image084

15. Затем нажмите кнопку «Дополнительно» и снимите отметку в Использовать шлюз по умолчанию в удаленной сети потому что мы хотим отделить просмотр Интернета на нашем ПК от подключения к VPN.
16. Наконец нажмите В ПОРЯДКЕ постоянно закрывать все окна.

clip_image086

17. Теперь дважды щелкните новое VPN-соединение и нажмите Соединять, чтобы подключиться к вашему рабочему месту.

clip_image088

Вот и все! Сообщите мне, помогло ли вам это руководство, оставив свой комментарий о своем опыте. Пожалуйста, поставьте лайк и поделитесь этим руководством, чтобы помочь другим.