Ako nastaviť L2TP VPN Server 2016 s vlastným predzdieľaným kľúčom na overenie.

RôzneDec 19, 2021

V tomto návode nájdete podrobné pokyny na nastavenie L2TP VPN Access Server na Windows Server 2016. Virtuálna privátna sieť (VPN) vám umožňuje bezpečne sa pripojiť k vašej súkromnej sieti z internetových lokalít a chráni vás pred útokmi z internetu a zachytávaním údajov. Inštalácia a konfigurácia L2TP/IPSec VPN prístupu na Server 2016 je viackrokový proces, pretože musíte nakonfigurovať niekoľko nastavení na strane servera VPN, aby ste dosiahli úspešnú sieť VPN prevádzka.

Ako nainštalovať L2TP/IPSec VPN Server 2016 s vlastným predzdieľaným kľúčom.

V tejto príručke krok za krokom prejdeme nastavením servera L2TP VPN Server 2016 pomocou protokolu Layer Two Tunneling Protocol (L2TP/IPSEC) s vlastným predzdieľaným kľúčom pre bezpečnejšie pripojenie VPN.

Krok 1. Ako pridať rolu vzdialeného prístupu (VPN Access) na server 2016.

Prvým krokom na nastavenie Windows Server 2016 ako servera VPN je inštalácia Vzdialený prístup role {Priamy prístup a služby VPN (RAS)} na váš Server 2016. *

* Info: V tomto príklade nastavíme VPN na počítači so systémom Windows Server 2016 s názvom „Srv1“ a s adresou IP „192.168.1.8“.

1. Ak chcete nainštalovať rolu VPN na Windows Server 2016, otvorte „Správca servera“ a kliknite na Pridať roly a funkcie.

Nastavte VPN Server 2016

2. Na prvej obrazovke „Sprievodcu pridaním rolí a funkcií“ opustite Inštalácia na základe rolí alebo funkcií možnosť a kliknite Ďalšie.

clip_image008

3. Na ďalšej obrazovke ponechajte predvolenú možnosť "Vyberte server z oblasti serverov“ a kliknite Ďalšie.

obrázok

4. Potom vyberte Vzdialený prístup rolu a kliknite Ďalšie.

nainštalujte VPN Server 2016

5. Na obrazovke „Features“ ponechajte predvolené nastavenia a kliknite Ďalšie.

obrázok

6. Na informačnej obrazovke „Vzdialený prístup“ kliknite na Ďalšie.

clip_image016

7. V časti „Služby na diaľku“ vyberte možnosť Priamy prístup a VPN (RAS) služby rolí a potom kliknite na Ďalšie.

clip_image020

8. Potom kliknite Pridať funkcie.

obrázok

9. Kliknite Ďalšie znova.

obrázok

10. Ponechajte predvolené nastavenia a kliknite Ďalšie (dvakrát) na obrazovkách „Role webového servera (IIS)“ a „Služby rolí“.

obrázok

11. Na obrazovke „Potvrdenie“ vyberte Automaticky reštartujte cieľový server (ak je to potrebné) a kliknite Inštalácia.

clip_image022

12. Na poslednej obrazovke skontrolujte, či je inštalácia role vzdialeného prístupu úspešná a Zavrieť Kúzelník.

clip_image024

13. Potom (zo správcu servera) Nástroje v ponuke kliknite na Správa vzdialeného prístupu.
14. Vyberte Priamy prístup a VPN vľavo a potom kliknite na Spustite sprievodcu Getting Started Wizard.

obrázok

15. Potom kliknite Nasaďte VPN iba.

obrázok

16. Pokračuj k Krok 2 nižšie na konfiguráciu smerovania a vzdialeného prístupu.

Krok 2. Ako nakonfigurovať a povoliť smerovanie a vzdialený prístup na serveri 2016.

Ďalším krokom je povoliť a nakonfigurovať prístup VPN na našom serveri 2016. Urobiť to:

1. Kliknite pravým tlačidlom myši na názov servera a vyberte Nakonfigurujte a povoľte smerovanie a vzdialený prístup. *

obrázok

* Poznámka: Nastavenia smerovania a vzdialeného prístupu môžete spustiť aj nasledujúcim spôsobom:

1. Otvorte Správcu servera a z Nástroje menu, vyberte Počítačový manažment.
2. Rozbaliť Služby a aplikácie
3. Kliknite pravým tlačidlom myši Smerovanie a vzdialený prístup a vyberte Nakonfigurujte a povoľte smerovanie a vzdialený prístup.

obrázok

2. Kliknite Ďalšie v časti „Sprievodca nastavením servera smerovania a vzdialeného prístupu“.

obrázok

3. Vyberte si Vlastná konfigurácia a kliknite Ďalšie.

clip_image030

4. Vyberte VPN prístup iba v tomto prípade a kliknite Ďalšie.

clip_image032

5. Nakoniec kliknite Skončiť.

clip_image034

6. Po zobrazení výzvy na spustenie služby kliknite na Štart.

obrázok

7. Teraz uvidíte zelenú šípku vedľa názvu vášho servera (napr. "Svr1" v tomto príklade).

Krok 3 Ako povoliť vlastnú politiku IPsec pre pripojenia L2TP/IKEv2.

Teraz je čas povoliť vlastnú politiku IPsec na serveri smerovania a vzdialeného prístupu a zadať vlastný vopred zdieľaný kľúč.

1. o Smerovanie a vzdialený prístup kliknite pravým tlačidlom myši na názov servera a vyberte Vlastnosti.

obrázok

2. o Bezpečnosť kartu, vyberte Povoliť vlastnú politiku IPsec pre pripojenie L2TP/IKEv2 a potom zadajte predzdieľaný kľúč (pre tento príklad napíšem: "TestVPN@1234").

clip_image038

3. Potom kliknite na Autentifikačné metódy tlačidlo (vyššie) a uistite sa, že Šifrovaná autentifikácia od spoločnosti Microsoft verzia 2 (MS-CHAP v2) je vybraté a potom kliknite OK

clip_image040

4. Teraz vyberte IPv4 kartu, vyberte Fond statických adries a kliknite Pridať.
5. Tu zadajte rozsah IP adries, ktorý bude priradený klientom pripojeným k VPN, a kliknite OK (dvakrát) zatvorte všetky okná.

napr. V tomto príklade použijeme rozsah adries IP: 192.168.1.200 – 192.168.1.202.

clip_image042

6. Keď sa zobrazí výzva s kontextovou správou: „Ak chcete povoliť vlastnú politiku IPsec pre pripojenia L2TP/IKEv2, musíte reštartovať smerovanie a vzdialený prístup“, kliknite OK.

obrázok

7. Nakoniec kliknite pravým tlačidlom myši na váš server (napr. "Svr1") a vyberte Všetky úlohy > Reštartovať.

Krok 4 Otvorte požadované porty v bráne Windows Firewall.

1. Ísť do Ovládací panel > Všetky položky ovládacieho panela > Brána firewall systému Windows.
2. Kliknite Pokročilé nastavenia naľavo.

image_thumb[11]

3. Vľavo vyberte položku Prichádzajúce pravidlá.
4a. Dvakrát kliknite na Smerovanie a vzdialený prístup (L2TP-In)

obrázok

4b. Na karte „Všeobecné“ vyberte Povolené, Povoliť pripojenie a kliknite OK

obrázok

5. Teraz kliknite pravým tlačidlom myši na Prichádzajúce pravidlá vľavo a vyberte Nové pravidlo.

obrázok

6. Na prvej obrazovke vyberte Port a kliknite Ďalšie.

obrázok

7. Teraz vyberte UDP typ protokolu a do poľa „Špecifické miestne porty“ zadajte: 50, 500, 4500.
Po dokončení kliknite na Ďalej.

obrázok

8. Ponechajte predvolené nastavenie „Povoliť pripojenie“ a kliknite Ďalšie.

obrázok

9. Na ďalšej obrazovke kliknite Ďalšie znova.

obrázok

10. Teraz zadajte názov nového pravidla (napr. „Povoliť L2PT VPN“) a kliknite Skončiť.

obrázok

11. Zavrieť nastavenia brány firewall.

Krok 5. Ako nakonfigurovať server sieťových zásad, aby umožnil sieťový prístup.

Aby ste používateľom VPN umožnili prístup k sieti prostredníctvom pripojenia VPN, postupujte a upravte server sieťových zásad takto:

1. Kliknite pravým tlačidlom myši Protokolovanie a zásady vzdialeného prístupu a vyberte Spustite NPS

obrázok

2. Na karte „Prehľad“ vyberte nasledujúce nastavenia a kliknite OK:

    • Udeliť prístup: Ak sa žiadosť o pripojenie zhoduje s týmto pravidlom.
    • Server vzdialeného prístupu (VPN-vytáčanie)
obrázok

3. Teraz otvorte Pripojenia k iným prístupovým serverom zásady, vyberte rovnaké nastavenia a kliknite OK

    • Udeliť prístup: Ak sa žiadosť o pripojenie zhoduje s týmto
      politika.
    • Server vzdialeného prístupu (VPN-Dial
      hore)
obrázok

4. Zatvorte nastavenia servera sieťových zásad.

obrázok
Krok 6. Ako povoliť pripojenia L2TP/IPsec za NAT.

V predvolenom nastavení sú moderní klienti Windows (Windows 10, 8, 7 alebo Vista) a Windows Server 2016, 2012 a 2008 operačné systémy nepodporujú pripojenia L2TP/IPsec, ak sa nachádza počítač so systémom Windows alebo server VPN za NAT. Ak chcete tento problém obísť, musíte na serveri VPN upraviť register nasledovne a klienti:

1. Súčasne stlačte tlačidlo Windows obrázok+ R klávesy na otvorenie príkazového poľa spustiť.
2. Typ regedit a stlačte Zadajte.

regedit

3. Na ľavej table prejdite na tento kľúč:

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Sevices\PolicyAgent

4. Kliknite pravým tlačidlom myši PolicyAgent a vyberte Nový –> Hodnota DWORD (32 bitov)..

obrázok

5. Pre nový typ názvu kľúča: Predpokladajme, žeUDPEncapsulationContextOnSendRule a stlačte Zadajte.

* Poznámka: Hodnotu je potrebné zadať tak, ako je uvedené vyššie, bez medzier.

6. Dvakrát kliknite na tento nový kľúč DWORD a zadajte údaj hodnoty: 2

obrázok

7.Zavrieť Editor databázy Registry. *

* Dôležité: Aby ste sa vyhli problémom pri pripájaní k vášmu VPN serveru z Windows klientskeho počítača (Windows Vista, 7, 8, 10 a 2008 Server), musíte túto opravu registra použiť aj na klientov.

8. Reštartovať stroj.

Krok 7. Skontrolujte, či sú spustené služby agenta zásad IKE a IPsec.

Po reštarte prejdite na ovládací panel služieb a uistite sa, že nasledujúce služby sú v prevádzke. Urobiť to:

1. Súčasne stlačte tlačidlo Windows obrázok+ R klávesy na otvorenie príkazového poľa spustiť.
2. Do poľa príkazu spustiť zadajte: services.msc a stlačte Zadajte.

services.msc

3. Uistite sa, že sú spustené nasledujúce služby: *

    1. IKE a AuthIP IPsec kľúčovacie moduly
    2. Agent politiky IPsec
obrázok

* Poznámky:
1. Ak vyššie uvedené služby nie sú spustené, dvakrát kliknite na každú službu a nastavte Typ spustenia do Automaticky. Potom kliknite OK a reštart server.
2. Musíte zabezpečiť, aby vyššie uvedené služby boli spustené aj na klientskom počítači Windows.

obrázok
Krok 8. Ako vybrať, ktorí používatelia budú mať prístup VPN.

Teraz je čas určiť, ktorí používatelia sa budú môcť pripojiť k serveru VPN (povolenia na telefonické pripojenie).

1. Otvorené Správca servera.
2. Od Nástroje menu, vyberte Používatelia a počítače služby Active Directory. *

* Poznámka: Ak váš server nepatrí do domény, prejdite na Počítačový manažment -> Lokálni používatelia a skupiny.

Preneste hlavnú rolu operácií na server 2016.

3. Vyberte Používatelia a dvakrát kliknite na používateľa, ktorému chcete povoliť prístup k sieti VPN.
4. Vyberte Vytočiť číslo kartu a vyberte Povoliť prístup. Potom kliknite OK.

clip_image002
Krok 9. Ako nakonfigurovať bránu firewall na povolenie prístupu L2TP VPN (preposielanie portov).

Ďalším krokom je povoliť pripojenia VPN vo vašej bráne firewall.

1. Prihláste sa do webového rozhrania smerovača.
2. V rámci nastavenia konfigurácie smerovača prepošlite porty 1701, 50, 500 a 4500 na IP adresu servera VPN. (Pozrite si príručku k smerovaču, ako nakonfigurovať presmerovanie portu).

  • Napríklad, ak má server VPN adresu IP „192.168.1.8“, musíte na túto adresu IP presmerovať všetky vyššie uvedené porty.

Ďalšia pomoc:

  • Aby ste sa mohli na diaľku pripojiť k vášmu VPN serveru, musíte poznať verejnú IP adresu VPN servera. Ak chcete nájsť verejnú IP adresu (z počítača VPN servera), prejdite na tento odkaz: http://www.whatismyip.com/
  • Aby ste sa uistili, že sa môžete vždy pripojiť k svojmu serveru VPN, je lepšie mať statickú verejnú IP adresu. Ak chcete získať statickú verejnú IP adresu, musíte kontaktovať svojho poskytovateľa internetových služieb. Ak nechcete platiť za statickú IP adresu, môžete si nastaviť bezplatnú službu Dynamic DNS (napr. bez IP adresy.) na strane vášho smerovača (VPN server).
Krok 10. Ako nastaviť pripojenie L2TP VPN na klientskom počítači so systémom Windows.

Posledným krokom je vytvorenie nového pripojenia L2TP/IPSec VPN k nášmu serveru VPN Server 2016 na klientskom počítači podľa nasledujúcich pokynov:

  • Súvisiaci článok:Ako nastaviť pripojenie PPTP VPN v systéme Windows 10.

POZOR: Skôr než budete pokračovať vo vytváraní pripojenia VPN, pokračujte a použite opravu registra krok-6 vyššie aj na klientskom počítači.

1. Otvorte Centrum sietí a zdieľania.
2. Kliknite Nastavte nové pripojenie alebo sieť

obrázok

3. Vyberte Pripojte sa k pracovisku a kliknite Ďalšie.

obrázok

4. Potom vyberte Použiť moje internetové pripojenie (VPN).

obrázok

5. Na ďalšej obrazovke zadajte Verejná IP adresa servera VPN a port VPN, ktorý ste priradili na strane smerovača, a potom kliknite Vytvorte.

napr. Ak je externá IP adresa: 108.200.135.144, potom do poľa Internetová adresa zadajte: „108.200.135.144“ a do poľa „Názov cieľa“ zadajte ľubovoľný požadovaný názov (napr. „L2TP-VPN“).

6. Zadajte používateľské meno a heslo pre pripojenie VPN a kliknite Pripojte sa.

obrázok

7. Ak nastavíte VPN na klientskom počítači so systémom Windows 7, pokúsi sa pripojiť. Stlačte tlačidlo Preskočiť a potom kliknite Zavrieť, pretože musíte zadať niektoré ďalšie nastavenia pre pripojenie VPN.

8. V Centre sietí a zdieľania kliknite na Zmeňte nastavenia adaptéra vľavo.
9. Kliknite pravým tlačidlom myši na nové pripojenie VPN (napr. „L2TP-VPN“) a vyberte Vlastnosti.
10. Vyberte Bezpečnosť kartu a vyberte si Vrstva 2 (Tunneling Protocol with IPsec (L2TP/IPsec) a potom kliknite na Pokročilé nastavenia.

clip_image078

11. V časti „Rozšírené nastavenia“ zadajte vopred zdieľaný kľúč (napr. „TestVPN@1234“ v tomto príklade) a kliknite na OK

clip_image080

12. Potom kliknite na Povoliť tieto protokoly a vyberte Microsoft CHAP verzia 2 (MS-CHAP v2)

clip_image082

13. Potom vyberte vytváranie sietí tab. Dvakrát klikneme na Internetový protokol verzie 4 (TCP/IPv4) na otvorenie jeho Vlastnosti.
14. Pre Preferovaný server DNS zadajte lokálnu IP adresu servera VPN (napr. „192.168.1.8“ v tomto príklade). *

* Poznámka: Toto nastavenie je voliteľné, takže ho použite iba v prípade potreby.

clip_image084

15. Potom kliknite na tlačidlo Rozšírené a zrušiť začiarknutie a Použiť predvolenú bránu vo vzdialenej sieti pretože chceme oddeliť naše PC prehliadanie internetu od VPN pripojenia.
16. Nakoniec kliknite OK neustále zatvárať všetky okná.

clip_image086

17. Teraz dvakrát kliknite na nové pripojenie VPN a kliknite Pripojte sa, na pripojenie k vášmu pracovisku.

clip_image088

To je všetko! Dajte mi vedieť, či vám táto príručka pomohla, a zanechajte komentár o svojej skúsenosti. Prosím, lajkujte a zdieľajte tento návod, aby ste pomohli ostatným.