Kako nastaviti strežnik L2TP VPN 2016 s ključem po meri za preverjanje pristnosti.

MiscellaneaDec 19, 2021

V tej vadnici boste našli navodila po korakih za nastavitev strežnika za dostop L2TP VPN na Windows Server 2016. Virtualno zasebno omrežje (VPN) vam omogoča varno povezavo z zasebnim omrežjem z internetnih lokacij in vas ščiti pred internetnimi napadi in prestrezanjem podatkov. Za namestitev in konfiguracijo dostopa L2TP/IPSec VPN na strežniku 2016 je postopek v več korakih, ker morate konfigurirati več nastavitev na strani strežnika VPN, da dosežete uspešen VPN delovanje.

Kako namestiti strežnik L2TP/IPSec VPN 2016 s predhodno skupnim ključem po meri.

V tem vodniku po korakih gremo skozi nastavitev strežnika L2TP VPN Server 2016 z uporabo protokola za tuneliranje nivoja 2 (L2TP/IPSEC) s ključem po meri za predhodno skupno rabo, za varnejšo povezavo VPN.

Korak 1. Kako dodati vlogo oddaljenega dostopa (VPN Access) v strežnik 2016.

Prvi korak pri nastavitvi strežnika Windows Server 2016 kot strežnika VPN je namestitev Oddaljen dostop vlogo {Storitve neposrednega dostopa in VPN (RAS)} za vaš strežnik 2016. *

* Info: Za ta primer bomo nastavili VPN na računalniku Windows Server 2016, imenovanem "Srv1" in z naslovom IP "192.168.1.8".

1. Če želite namestiti vlogo VPN na Windows Server 2016, odprite »Upravitelj strežnikov« in kliknite na Dodajte vloge in funkcije.

Namestitev strežnika VPN 2016

2. Na prvem zaslonu 'Čarovnika za dodajanje vlog in funkcij' zapustite Namestitev na podlagi vlog ali funkcij možnost in kliknite Naslednji.

clip_image008

3. Na naslednjem zaslonu pustite privzeto možnost "Izberite strežnik iz področja strežnikov« in kliknite Naslednji.

slika

4. Nato izberite Oddaljen dostop vlogo in kliknite Naslednji.

namestite strežnik VPN 2016

5. Na zaslonu »Funkcije« pustite privzete nastavitve in kliknite Naslednji.

slika

6. Na informacijskem zaslonu »Oddaljeni dostop« kliknite Naslednji.

clip_image016

7. V razdelku »Oddaljene storitve« izberite Neposredni dostop in VPN (RAS) storitve vlog in nato kliknite Naslednji.

clip_image020

8. Nato kliknite Dodaj funkcije.

slika

9. Kliknite Naslednji ponovno.

slika

10. Pustite privzete nastavitve in kliknite Naslednji (dvakrat) na zaslonih »Vloga spletnega strežnika (IIS)« in »Storitve vlog«.

slika

11. Na zaslonu »Potrditev« izberite Samodejno znova zaženi ciljni strežnik (če je potrebno) in kliknite Namestite.

clip_image022

12. Na zadnjem zaslonu se prepričajte, da je namestitev vloge oddaljenega dostopa uspešna in Zapri čarovnik.

clip_image024

13. Nato (iz upravitelja strežnikov) Orodja meni, kliknite na Upravljanje oddaljenega dostopa.
14. Izberite Neposredni dostop in VPN na levi in ​​nato kliknite na Zaženite čarovnika za začetek.

slika

15. Nato kliknite Namestite VPN samo.

slika

16. Nadaljevati korak-2 spodaj, da konfigurirate usmerjanje in oddaljeni dostop.

2. korak. Kako konfigurirati in omogočiti usmerjanje in oddaljeni dostop na strežniku 2016.

Naslednji korak je omogočiti in konfigurirati dostop VPN na našem strežniku 2016. Če želite to narediti:

1. Z desno miškino tipko kliknite ime strežnika in izberite Konfigurirajte in omogočite usmerjanje in oddaljeni dostop. *

slika

* Opomba: Nastavitve usmerjanja in oddaljenega dostopa lahko zaženete tudi na naslednji način:

1. Odprite upravitelja strežnikov in iz Orodja meni, izberite Računalniško upravljanje.
2. Razširi Storitve in aplikacije
3. Desni klik na Usmerjanje in oddaljeni dostop in izberite Konfigurirajte in omogočite usmerjanje in oddaljeni dostop.

slika

2. Kliknite Naslednji v 'Čarovniku za nastavitev strežnika za usmerjanje in oddaljeni dostop'.

slika

3. Izberite Konfiguracija po meri in kliknite Naslednji.

clip_image030

4. Izberite dostop do VPN samo v tem primeru in kliknite Naslednji.

clip_image032

5. Končno kliknite Končaj.

clip_image034

6. Ko ste pozvani, da zaženete storitev, kliknite Začni.

slika

7. Zdaj boste poleg imena strežnika videli zeleno puščico (npr. "Svr1" v tem primeru).

3. korak. Kako omogočiti pravilnik IPsec po meri za povezave L2TP/IKEv2.

Zdaj je čas, da dovolite pravilnik IPsec po meri na strežniku za usmerjanje in oddaljeni dostop ter določite ključ za vnaprejšnjo skupno rabo po meri.

1. Pri Usmerjanje in oddaljeni dostop plošči, z desno miškino tipko kliknite ime strežnika in izberite Lastnosti.

slika

2. Pri Varnost zavihek, izberite Dovoli pravilnik IPsec po meri za povezavo L2TP/IKEv2 in nato vnesite ključ v predhodno skupni rabi (za ta primer vnesem: "TestVPN@1234").

clip_image038

3. Nato kliknite na Metode preverjanja pristnosti gumb (zgoraj) in se prepričajte, da je Microsoftovo šifrirano preverjanje pristnosti različica 2 (MS-CHAP v2) je izbran in nato kliknite V REDU.

clip_image040

4. Zdaj izberite IPv4 zavihek, izberite Statični bazen naslovov in kliknite Dodaj.
5. Tukaj vnesite obseg IP naslovov, ki bo dodeljen odjemalcem, povezanim z VPN, in kliknite v redu (dvakrat), da zaprete vsa okna.

npr. Za ta primer bomo uporabili obseg naslovov IP: 192.168.1.200 – 192.168.1.202.

posnetek_image042

6. Ko se prikaže pojavno sporočilo: "Če želite omogočiti pravilnik IPsec po meri za povezave L2TP/IKEv2, morate znova zagnati usmerjanje in oddaljeni dostop", kliknite v redu.

slika

7. Na koncu z desno miškino tipko kliknite svoj strežnik (npr. "Svr1") in izberite Vsa opravila > Ponovni zagon.

4. korak. Odprite zahtevana vrata v požarnem zidu Windows.

1. Pojdi do Nadzorna plošča > Vsi elementi nadzorne plošče > Požarni zid Windows.
2. Kliknite Napredne nastavitve na levi strani.

image_thumb[11]

3. Na levi izberite Vhodna pravila.
4a. Dvokliknite na Usmerjanje in oddaljeni dostop (L2TP-In)

slika

4b. Na zavihku »Splošno« izberite Omogočeno, Dovoli povezavo in kliknite V REDU.

slika

5. Zdaj z desno miškino tipko kliknite na Vhodna pravila na levi in ​​izberite Novo pravilo.

slika

6. Na prvem zaslonu izberite pristanišče in kliknite Naslednji.

slika

7. Zdaj izberite UDP tip protokola in v polje »Posebna lokalna vrata« vnesite: 50, 500, 4500.
Ko končate, kliknite Naprej.

slika

8. Pustite privzeto nastavitev »Dovoli povezavo« in kliknite Naslednji.

slika

9. Na naslednjem zaslonu kliknite Naslednji ponovno.

slika

10. Zdaj vnesite ime za novo pravilo (npr. »Dovoli L2PT VPN«) in kliknite Končaj.

slika

11. Zapri nastavitve požarnega zidu.

5. korak. Kako konfigurirati strežnik omrežne politike, da dovoli dostop do omrežja.

Če želite uporabnikom VPN omogočiti dostop do omrežja prek povezave VPN, nadaljujte in spremenite strežnik omrežne politike na naslednji način:

1. Desni klik na Beleženje in pravilniki za oddaljeni dostop in izberite Zaženite NPS

slika

2. Na zavihku »Pregled« izberite naslednje nastavitve in kliknite v redu:

    • Dovoli dostop: če se zahteva za povezavo ujema s tem pravilnikom.
    • Strežnik za oddaljeni dostop (VPN-Dial up)
slika

3. Zdaj odprite Povezave z drugimi dostopnimi strežniki pravilnik, izberite enake nastavitve in kliknite V REDU.

    • Dovoli dostop: če se zahteva za povezavo ujema s tem
      politiko.
    • Strežnik za oddaljeni dostop (VPN-Dial
      gor)
slika

4. Zaprite nastavitve strežnika omrežne politike.

slika
6. korak. Kako omogočiti povezave L2TP/IPsec za NAT.

Privzeto so sodobni odjemalci Windows (Windows 10, 8, 7 ali Vista) in Windows Server 2016, 2012 in 2008 operacijski sistemi ne podpirajo povezav L2TP/IPsec, če se nahaja računalnik Windows ali strežnik VPN za NAT. Če želite zaobiti to težavo, morate v strežniku VPN spremeniti register na naslednji način in stranke:

1. Hkrati pritisnite na Windows slika+ R tipke za odpiranje ukaznega polja za zagon.
2. Vrsta regedit in pritisnite Vnesite.

regedit

3. V levem podoknu se pomaknite do tega ključa:

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Sevices\PolicyAgent

4. Desni klik na PolicyAgent in izberite Novo –> DWORD (32-bitna) vrednost.

slika

5. Za novo vrsto imena ključa: Predpostavi, daUDPEncapsulationContextOnSendRule in pritisnite Vnesite.

* Opomba: Vrednost je treba vnesti, kot je prikazano zgoraj in brez presledka.

6. Dvokliknite ta novi ključ DWORD in vnesite podatke o vrednosti: 2

slika

7.Zapri urejevalnik registra. *

* Pomembno: Če se želite izogniti težavam pri povezovanju s strežnikom VPN iz odjemalskega računalnika Windows (Windows Vista, 7, 8, 10 in 2008 Server), morate ta popravek registra uporabiti tudi za odjemalce.

8. Ponovno zaženite stroj.

7. korak. Preverite, ali se izvajajo storitve agenta politike IKE in IPsec.

Po ponovnem zagonu pojdite na nadzorno ploščo storitev in se prepričajte, da so naslednje storitve vzpostavljene in delujejo. Če želite to narediti:

1. Hkrati pritisnite na Windows slika+ R tipke za odpiranje ukaznega polja za zagon.
2. V ukazno polje za zagon vnesite: storitve.msc in pritisnite Vnesite.

storitve.msc

3. Prepričajte se, da se izvajajo naslednje storitve: *

    1. Moduli za ključe IKE in AuthIP IPsec
    2. IPsec Policy Agent
slika

* Opombe:
1. Če se zgornje storitve ne izvajajo, dvokliknite vsako storitev in nastavite Vrsta zagona do Samodejno. Nato kliknite v redu in ponovni zagon strežnik.
2. Zagotoviti morate, da se zgornje storitve izvajajo tudi v odjemalskem računalniku Windows.

slika
8. korak. Kako izbrati, kateri uporabniki bodo imeli dostop do VPN.

Zdaj je čas, da določite, kateri uporabniki se bodo lahko povezali s strežnikom VPN (Dial-IN dovoljenja).

1. Odprto Upravitelj strežnikov.
2. Od Orodja meni, izberite Uporabniki in računalniki Active Directory. *

* Opomba: Če vaš strežnik ne pripada domeni, pojdite na Računalniško upravljanje -> Lokalni uporabniki in skupine.

Prenesite vlogo glavnega operaterja v strežnik 2016.

3. Izberite Uporabniki in dvokliknite uporabnika, ki mu želite omogočiti dostop do VPN.
4. Izberite Dial-in zavihek in izberite Dovoli dostop. Nato kliknite v redu.

clip_image002
9. korak. Kako konfigurirati požarni zid, da omogoči dostop L2TP VPN (posredovanje vrat).

Naslednji korak je omogočiti povezave VPN v vašem požarnem zidu.

1. Prijavite se v spletni vmesnik usmerjevalnika.
2. V nastavitvah konfiguracije usmerjevalnika posredujte vrata 1701, 50, 500 in 4500 na naslov IP strežnika VPN. (Glejte priročnik vašega usmerjevalnika, kako konfigurirati Port Forward).

  • Na primer, če ima strežnik VPN naslov IP "192.168.1.8", potem morate vsa zgoraj omenjena vrata posredovati na ta IP.

Dodatna pomoč:

  • Da se lahko na daljavo povežete s svojim strežnikom VPN, morate poznati javni IP naslov strežnika VPN. Če želite poiskati javni IP naslov (iz računalnika strežnika VPN), se pomaknite na to povezavo: http://www.whatismyip.com/
  • Za zagotovitev, da se lahko vedno povežete s svojim strežnikom VPN, je bolje imeti statični javni IP naslov. Za pridobitev statičnega javnega IP naslova se morate obrniti na svojega ponudnika internetnih storitev. Če ne želite plačati za statični naslov IP, lahko nastavite brezplačno storitev Dynamic DNS (npr. ne-ip.) na strani vašega usmerjevalnika (VPN strežnik).
10. korak. Kako nastaviti povezavo L2TP VPN na odjemalskem računalniku Windows.

Zadnji korak je ustvariti novo povezavo L2TP/IPSec VPN z našim strežnikom VPN 2016 na odjemalskem računalniku, tako da sledite spodnjim navodilom:

  • Povezani članek:Kako nastaviti povezavo PPTP VPN v sistemu Windows 10.

POZOR: Preden nadaljujete z ustvarjanjem povezave VPN, nadaljujte in uporabite popravek registra korak-6 zgoraj, tudi na odjemalskem računalniku.

1. Odprite Center za omrežje in skupno rabo.
2. Kliknite Nastavite novo povezavo ali omrežje

slika

3. Izberite Povežite se z delovnim mestom in kliknite Naslednji.

slika

4. Nato izberite Uporabi mojo internetno povezavo (VPN).

slika

5. Na naslednjem zaslonu vnesite Javni naslov IP strežnika VPN in vrata VPN, ki ste jih dodelili na strani usmerjevalnika, nato kliknite Ustvari.

npr. Če je zunanji naslov IP: 108.200.135.144, v polje za internetni naslov vnesite: "108.200.135.144" in v polje "Ime cilja" vnesite poljubno ime (npr. "L2TP-VPN").

6. Vnesite uporabniško ime in geslo za povezavo VPN in kliknite Povežite se.

slika

7. Če nastavite VPN na odjemalskem računalniku Windows 7, se bo poskusil povezati. Pritisnite Preskoči in nato kliknite Zapri, ker morate določiti nekaj dodatnih nastavitev za povezavo VPN.

8. V središču za omrežje in skupno rabo kliknite na Spremenite nastavitve adapterja na levi.
9. Z desno miškino tipko kliknite novo povezavo VPN (npr. "L2TP-VPN") in izberite Lastnosti.
10. Izberite Varnost zavihek in izberite 2. sloj (protokol tuneliranja z IPsec (L2TP/IPsec) in nato kliknite na Napredne nastavitve.

clip_image078

11. V 'Napredne nastavitve' vnesite ključ za predhodno skupno rabo (npr. "TestVPN@1234" v tem primeru) in kliknite v redu

clip_image080

12. Nato kliknite na Dovolite te protokole in izberite Microsoft CHAP različica 2 (MS-CHAP v2)

posnetek_image082

13. Nato izberite Mreženje zavihek. Dvokliknimo na Internetni protokol različice 4 (TCP/IPv4) da ga odprem Lastnosti.
14. Za Prednostni strežnik DNS vnesite lokalni naslov IP strežnika VPN (npr. "192.168.1.8" v tem primeru). *

* Opomba: Ta nastavitev ni obvezna, zato jo uporabite le, če jo potrebujete.

posnetek_image084

15. Nato kliknite gumb Napredno in počistite potrditveno polje the Uporabite privzeti prehod v oddaljenem omrežju ker želimo ločiti brskanje po internetu od povezave VPN.
16. Končno kliknite v redu nenehno zapirati vsa okna.

posnetek_slika086

17. Zdaj dvokliknite novo povezavo VPN in kliknite Povežite se, da se povežete s svojim delovnim mestom.

posnetek_image088

To je to! Sporočite mi, ali vam je ta vodnik pomagal, tako da pustite komentar o svoji izkušnji. Všečkajte in delite ta vodnik, da pomagate drugim.