ในบทช่วยสอนนี้ คุณจะพบคำแนะนำทีละขั้นตอนในการตั้งค่าเซิร์ฟเวอร์การเข้าถึง L2TP VPN บน Windows Server 2016 เครือข่ายส่วนตัวเสมือน (VPN) ช่วยให้คุณเชื่อมต่อกับเครือข่ายส่วนตัวของคุณได้อย่างปลอดภัยจากตำแหน่งอินเทอร์เน็ต และปกป้องคุณจากการโจมตีทางอินเทอร์เน็ตและการสกัดกั้นข้อมูล ในการติดตั้งและกำหนดค่าการเข้าถึง L2TP/IPSec VPN บนเซิร์ฟเวอร์ 2016 เป็นกระบวนการที่มีหลายขั้นตอนเพราะ คุณต้องกำหนดการตั้งค่าต่างๆ ที่ฝั่งเซิร์ฟเวอร์ VPN เพื่อให้ VPN สำเร็จ การดำเนินการ.
วิธีการติดตั้ง L2TP/IPSec VPN Server 2016 ด้วย Preshared Key แบบกำหนดเอง
ในคำแนะนำทีละขั้นตอนนี้ เราจะดำเนินการตั้งค่า L2TP VPN Server 2016 โดยใช้ Layer Two Tunneling Protocol (L2TP/IPSEC) พร้อมคีย์ PreShared ที่กำหนดเอง เพื่อการเชื่อมต่อ VPN ที่ปลอดภัยยิ่งขึ้น
ขั้นตอนที่ 1. วิธีเพิ่มบทบาทการเข้าถึงระยะไกล (การเข้าถึง VPN) บนเซิร์ฟเวอร์ 2016
ขั้นตอนแรกในการตั้งค่า Windows Server 2016 เนื่องจากเซิร์ฟเวอร์ VPN คือการติดตั้ง การเข้าถึงระยะไกล บทบาท {บริการการเข้าถึงโดยตรง & VPN (RAS)} กับเซิร์ฟเวอร์ 2016 ของคุณ *
* ข้อมูล: สำหรับตัวอย่างนี้ เราจะตั้งค่า VPN บนเครื่อง Windows Server 2016 ชื่อ "Srv1" และด้วย IP Address "192.168.1.8"
1. ในการติดตั้งบทบาท VPN บน Windows Server 2016 ให้เปิด 'ตัวจัดการเซิร์ฟเวอร์' และคลิกที่ เพิ่มบทบาทและคุณสมบัติ.
2. ที่หน้าจอแรกของ 'ตัวช่วยสร้างเพิ่มบทบาทและคุณลักษณะ' ให้ปล่อย การติดตั้งตามบทบาทหรือตามคุณสมบัติ ตัวเลือกและคลิก ถัดไป.
3. ในหน้าจอถัดไป ปล่อยให้ตัวเลือกเริ่มต้น "เลือกเซิร์ฟเวอร์จากพูลเซิร์ฟเวอร์" และคลิก ถัดไป.
4. จากนั้นเลือก การเข้าถึงระยะไกล บทบาทและคลิก ถัดไป.
5. ที่หน้าจอ 'คุณสมบัติ' ปล่อยให้การตั้งค่าเริ่มต้นและคลิก ถัดไป.
6. ที่หน้าจอข้อมูล 'การเข้าถึงระยะไกล' คลิก ถัดไป.
7. ที่ 'บริการระยะไกล' เลือก การเข้าถึงโดยตรงและ VPN (RAS) บริการบทบาทแล้วคลิก ถัดไป.
8. จากนั้นคลิก เพิ่มคุณสมบัติ
9. คลิก ถัดไป อีกครั้ง.
10. ปล่อยให้การตั้งค่าเริ่มต้นและคลิก ถัดไป (สองครั้ง) ที่หน้าจอ 'Web Server Role (IIS)' และ 'Role Services'
11. ที่หน้าจอ 'ยืนยัน' เลือก รีสตาร์ทเซิร์ฟเวอร์ปลายทางโดยอัตโนมัติ (ถ้าจำเป็น) และคลิก ติดตั้ง.
12. ที่หน้าจอสุดท้าย ตรวจสอบให้แน่ใจว่าการติดตั้งบทบาทการเข้าถึงระยะไกลนั้นสำเร็จและ ปิด พ่อมด.
13. จากนั้น (จากตัวจัดการเซิร์ฟเวอร์) เครื่องมือ เมนูคลิกที่ การจัดการการเข้าถึงระยะไกล
14. เลือก การเข้าถึงโดยตรงและ VPN ทางด้านซ้ายแล้วคลิกไปที่ เรียกใช้ตัวช่วยสร้างการเริ่มต้นใช้งาน
15. จากนั้นคลิก ปรับใช้ VPN เท่านั้น.
16. ไปต่อ ขั้นตอนที่ 2 ด้านล่างเพื่อกำหนดค่าการกำหนดเส้นทางและการเข้าถึงระยะไกล
ขั้นตอนที่ 2. วิธีกำหนดค่าและเปิดใช้งานการกำหนดเส้นทางและการเข้าถึงระยะไกลบนเซิร์ฟเวอร์ 2016
ขั้นตอนต่อไปคือการเปิดใช้งานและกำหนดค่าการเข้าถึง VPN บนเซิร์ฟเวอร์ 2016 ของเรา ในการทำเช่นนั้น:
1. คลิกขวาที่ชื่อเซิร์ฟเวอร์และเลือก กำหนดค่าและเปิดใช้งานการกำหนดเส้นทางและการเข้าถึงระยะไกล *
* บันทึก: คุณยังสามารถเปิดการตั้งค่าการกำหนดเส้นทางและการเข้าถึงระยะไกลโดยใช้วิธีต่อไปนี้:
1.เปิด Server Manager และจาก เครื่องมือ เมนู เลือก การจัดการคอมพิวเตอร์.
2. ขยาย บริการและแอพพลิเคชั่น
3. คลิกขวาที่ การกำหนดเส้นทางและการเข้าถึงระยะไกล และเลือก กำหนดค่าและเปิดใช้งานการกำหนดเส้นทางและการเข้าถึงระยะไกล
2. คลิก ถัดไป ที่ 'วิซาร์ดการตั้งค่าเซิร์ฟเวอร์การกำหนดเส้นทางและการเข้าถึงระยะไกล'
3. เลือก การกำหนดค่าเอง และคลิก ถัดไป.
4. เลือก การเข้าถึง VPN เฉพาะในกรณีนี้และคลิก ถัดไป.
5. สุดท้ายคลิก เสร็จ.
6. เมื่อได้รับแจ้งให้เริ่มบริการ ให้คลิก เริ่ม.
7. ตอนนี้ คุณจะเห็นลูกศรสีเขียวข้างชื่อเซิร์ฟเวอร์ของคุณ (เช่น "Svr1" ในตัวอย่างนี้)
ขั้นตอนที่ 3 วิธีเปิดใช้งานนโยบาย IPsec แบบกำหนดเองสำหรับการเชื่อมต่อ L2TP/IKEv2
ถึงเวลาแล้วที่จะอนุญาตให้ใช้นโยบาย IPsec แบบกำหนดเองในเซิร์ฟเวอร์การกำหนดเส้นทางและการเข้าถึงระยะไกล และเพื่อระบุคีย์ที่แชร์ล่วงหน้าแบบกำหนดเอง
1. ที่ การกำหนดเส้นทางและการเข้าถึงระยะไกล ให้คลิกขวาที่ชื่อเซิร์ฟเวอร์ของคุณแล้วเลือก คุณสมบัติ.
2. ที่ ความปลอดภัย แทป เลือก อนุญาตนโยบาย IPsec ที่กำหนดเองสำหรับการเชื่อมต่อ L2TP/IKEv2 แล้วพิมพ์คีย์ Preshared (สำหรับตัวอย่างนี้ ฉันพิมพ์: "TestVPN@1234")
3. จากนั้นคลิกที่ วิธีการตรวจสอบสิทธิ์ ปุ่ม (ด้านบน) และตรวจสอบให้แน่ใจว่า การรับรองความถูกต้องที่เข้ารหัสของ Microsoft เวอร์ชัน 2 (MS-CHAP v2) ถูกเลือกแล้วคลิก ตกลง.
4. ตอนนี้เลือก IPv4 แทป เลือก กลุ่มที่อยู่คงที่ และคลิก เพิ่ม.
5. ที่นี่พิมพ์ช่วงที่อยู่ IP ที่จะกำหนดให้กับไคลเอนต์ที่เชื่อมต่อ VPN และคลิก ตกลง (สองครั้ง) เพื่อปิดหน้าต่างทั้งหมด
เช่น. สำหรับตัวอย่างนี้ เราจะใช้ช่วงที่อยู่ IP: 192.168.1.200 – 192.168.1.202
6. เมื่อคุณได้รับข้อความป๊อปอัป: "หากต้องการเปิดใช้งานนโยบาย IPsec แบบกำหนดเองสำหรับการเชื่อมต่อ L2TP/IKEv2 คุณต้องเริ่มการกำหนดเส้นทางและการเข้าถึงระยะไกลใหม่" คลิก ตกลง.
7. สุดท้ายให้คลิกขวาที่เซิร์ฟเวอร์ของคุณ (เช่น "Svr1") แล้วเลือก งานทั้งหมด > เริ่มต้นใหม่
ขั้นตอนที่ 4 เปิดพอร์ตที่จำเป็นในไฟร์วอลล์ Windows
1. ไปที่ แผงควบคุม > รายการแผงควบคุมทั้งหมด > ไฟร์วอลล์หน้าต่าง.
2. คลิก ตั้งค่าขั้นสูง ด้านซ้าย.
![image_thumb[11]](/f/8fdd322bee9adcc07e0f5cf1564c5791.png "image_thumb[11]")
3. ทางด้านซ้าย ให้เลือก กฎขาเข้า.
4ก. ดับเบิ้ลคลิกที่ การกำหนดเส้นทางและการเข้าถึงระยะไกล (L2TP-In)
4b. ที่แท็บ 'ทั่วไป' เลือก เปิดใช้งาน อนุญาตการเชื่อมต่อ และคลิก ตกลง.
5. ตอนนี้ให้คลิกขวาที่ กฎขาเข้า ทางด้านซ้ายและเลือก กฎใหม่
6. ที่หน้าจอแรก เลือก ท่าเรือ และคลิก ถัดไป.
7. ตอนนี้เลือก UDP ประเภทโปรโตคอลและที่ช่อง 'พอร์ตเฉพาะในเครื่อง' พิมพ์: 50, 500, 4500.
เมื่อเสร็จแล้วให้คลิกถัดไป
8. ปล่อยให้การตั้งค่าเริ่มต้นเป็น "อนุญาตการเชื่อมต่อ" แล้วคลิก ถัดไป.
9. ในหน้าจอถัดไป ให้คลิก ถัดไป อีกครั้ง.
10. ตอนนี้ ให้พิมพ์ชื่อกฎใหม่ (เช่น "Allow L2PT VPN") แล้วคลิก เสร็จ.
11. ปิด การตั้งค่าไฟร์วอลล์
ขั้นตอนที่ 5 วิธีกำหนดค่าเซิร์ฟเวอร์นโยบายเครือข่ายเพื่ออนุญาตการเข้าถึงเครือข่าย
เพื่อให้ผู้ใช้ VPN สามารถเข้าถึงเครือข่ายผ่านการเชื่อมต่อ VPN ให้ดำเนินการและแก้ไข Network Policy Server ดังต่อไปนี้:
1. คลิกขวาที่ การบันทึกและนโยบายการเข้าถึงระยะไกล และเลือก เปิดตัว NPS
2. ที่แท็บ 'ภาพรวม' เลือกการตั้งค่าต่อไปนี้แล้วคลิก ตกลง:
- ให้สิทธิ์การเข้าถึง: หากคำขอเชื่อมต่อตรงกับนโยบายนี้
- เซิร์ฟเวอร์การเข้าถึงระยะไกล (VPN-Dial up)
3. ตอนนี้เปิด การเชื่อมต่อกับเซิร์ฟเวอร์การเข้าถึงอื่น นโยบายเลือกการตั้งค่าเดียวกันและคลิก ตกลง.
- ให้สิทธิ์การเข้าถึง: หากคำขอเชื่อมต่อตรงกับสิ่งนี้
นโยบาย. - เซิร์ฟเวอร์การเข้าถึงระยะไกล (VPN-Dial
ขึ้น)
- ให้สิทธิ์การเข้าถึง: หากคำขอเชื่อมต่อตรงกับสิ่งนี้
4. ปิดการตั้งค่าเซิร์ฟเวอร์นโยบายเครือข่าย
ขั้นตอนที่ 6 วิธีเปิดใช้งานการเชื่อมต่อ L2TP/IPsec หลัง NAT
ตามค่าเริ่มต้น ไคลเอนต์ Windows สมัยใหม่ (Windows 10, 8, 7 หรือ Vista) และ Windows Server 2016, 2012 & 2008 ระบบปฏิบัติการไม่รองรับการเชื่อมต่อ L2TP/IPsec หากคอมพิวเตอร์ Windows หรือเซิร์ฟเวอร์ VPN อยู่ หลัง NAT เพื่อหลีกเลี่ยงปัญหานี้ คุณต้องแก้ไขรีจิสตรีดังนี้ใน VPN Server และลูกค้า:
1. พร้อมกันกด Windows 
+ R ปุ่มเพื่อเปิดกล่องคำสั่งเรียกใช้
2. พิมพ์ regedit แล้วกด เข้า.
3. ที่บานหน้าต่างด้านซ้าย ให้ไปที่คีย์นี้:
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Sevices\PolicyAgent
4. คลิกขวาที่ นโยบายตัวแทน และเลือก ใหม่ –> DWORD (32 บิต) ค่า.
5. สำหรับประเภทชื่อคีย์ใหม่: สมมติUDPEEncapsulationContextOnSendRule แล้วกด เข้า.
* บันทึก: ต้องป้อนค่าตามที่แสดงด้านบนและไม่มีช่องว่าง
6. ดับเบิลคลิกที่คีย์ DWORD ใหม่นี้และป้อนข้อมูลค่า: 2
7.ปิด ตัวแก้ไขรีจิสทรี *
* สำคัญ: เพื่อหลีกเลี่ยงปัญหาเมื่อเชื่อมต่อกับเซิร์ฟเวอร์ VPN ของคุณจากคอมพิวเตอร์ไคลเอนต์ Windows (Windows Vista, 7, 8, 10 และ 2008 Server) คุณต้องใช้การแก้ไขรีจิสทรีนี้กับไคลเอนต์ด้วย
8. รีบูต เครื่องจักร.
ขั้นตอนที่ 7 ตรวจสอบว่าบริการตัวแทนนโยบาย IKE & IPsec กำลังทำงานอยู่
หลังจากรีสตาร์ทแล้ว ให้ไปที่แผงควบคุมบริการและตรวจสอบว่าบริการต่อไปนี้ทำงานอยู่ ในการทำเช่นนั้น:
1. พร้อมกันกด Windows + R ปุ่มเพื่อเปิดกล่องคำสั่งเรียกใช้
2. ในกล่องคำสั่ง run พิมพ์: services.msc แล้วกด เข้า.
3. ตรวจสอบให้แน่ใจว่าบริการต่อไปนี้กำลังทำงานอยู่: *
- IKE และ AuthIP IPsec Keying Modules
- ตัวแทนนโยบาย IPsec
* หมายเหตุ:
1. หากบริการข้างต้นไม่ทำงาน ให้ดับเบิลคลิกที่แต่ละบริการและตั้งค่า ประเภทการเริ่มต้น ถึง อัตโนมัติ. จากนั้นคลิก ตกลง และ เริ่มต้นใหม่ เซิฟเวอร์.
2. คุณต้องตรวจสอบให้แน่ใจว่าบริการข้างต้นทำงานในเครื่องไคลเอนต์ Windows ด้วย
ขั้นตอนที่ 8 วิธีเลือกผู้ใช้ที่จะมีสิทธิ์เข้าถึง VPN
ตอนนี้ได้เวลาระบุว่าผู้ใช้รายใดจะสามารถเชื่อมต่อกับเซิร์ฟเวอร์ VPN ได้ (การอนุญาตแบบ Dial-IN)
1. เปิด ตัวจัดการเซิร์ฟเวอร์.
2. จาก เครื่องมือ เมนู เลือก ผู้ใช้ Active Directory และคอมพิวเตอร์. *
* บันทึก: หากเซิร์ฟเวอร์ของคุณไม่ได้อยู่ในโดเมน ให้ไปที่ การจัดการคอมพิวเตอร์ -> ผู้ใช้และกลุ่มในเครื่อง.
3. เลือก ผู้ใช้ และดับเบิลคลิกที่ผู้ใช้ที่คุณต้องการอนุญาตการเข้าถึง VPN
4. เลือก โทร แท็บและเลือก อนุญาตการเข้าถึง. จากนั้นคลิก ตกลง.
ขั้นตอนที่ 9 วิธีกำหนดค่าไฟร์วอลล์เพื่ออนุญาตการเข้าถึง L2TP VPN (การส่งต่อพอร์ต)
ขั้นตอนต่อไปคืออนุญาตการเชื่อมต่อ VPN ในไฟร์วอลล์ของคุณ
1. ล็อกอินเข้าสู่เว็บอินเตอร์เฟสของเราเตอร์
2. ภายในการตั้งค่าการกำหนดค่าเราเตอร์ ให้ส่งต่อพอร์ต 1701, 50, 500 & 4500 ไปยังที่อยู่ IP ของเซิร์ฟเวอร์ VPN (ดูคู่มือเราเตอร์ของคุณเกี่ยวกับวิธีกำหนดค่า Port Forward)
- ตัวอย่างเช่น หากเซิร์ฟเวอร์ VPN มีที่อยู่ IP "192.168.1.8" คุณจะต้องส่งต่อพอร์ตที่กล่าวถึงข้างต้นทั้งหมดไปยัง IP นั้น
ความช่วยเหลือเพิ่มเติม:
- เพื่อให้สามารถเชื่อมต่อกับเซิร์ฟเวอร์ VPN ของคุณจากระยะไกล คุณต้องทราบที่อยู่ IP สาธารณะของเซิร์ฟเวอร์ VPN หากต้องการค้นหาที่อยู่ IP สาธารณะ (จากพีซีเซิร์ฟเวอร์ VPN) ให้ไปที่ลิงก์นี้: http://www.whatismyip.com/
- เพื่อให้แน่ใจว่าคุณสามารถเชื่อมต่อกับเซิร์ฟเวอร์ VPN ของคุณได้ตลอดเวลา ควรมีที่อยู่ IP สาธารณะแบบคงที่ ในการรับที่อยู่ IP สาธารณะแบบคงที่ คุณต้องติดต่อผู้ให้บริการอินเทอร์เน็ตของคุณ หากคุณไม่ต้องการจ่ายสำหรับที่อยู่ IP แบบคงที่ คุณสามารถตั้งค่าบริการ Dynamic DNS ได้ฟรี (เช่น ไม่มีไอพี.) ที่ด้านเราเตอร์ของคุณ (เซิร์ฟเวอร์ VPN)
ขั้นตอนที่ 10 วิธีตั้งค่าการเชื่อมต่อ L2TP VPN บนคอมพิวเตอร์ไคลเอนต์ Windows
ขั้นตอนสุดท้ายคือการสร้างการเชื่อมต่อ L2TP/IPSec VPN ใหม่กับ VPN Server 2016 บนคอมพิวเตอร์ไคลเอนต์ โดยทำตามคำแนะนำด้านล่าง:
- บทความที่เกี่ยวข้อง:วิธีตั้งค่าการเชื่อมต่อ PPTP VPN บน Windows 10
ความสนใจ: ก่อนที่คุณจะสร้างการเชื่อมต่อ VPN ต่อไป ให้ดำเนินการและใช้การแก้ไขรีจิสทรีใน ขั้นตอนที่ 6 ข้างต้นบนคอมพิวเตอร์ไคลเอนต์ด้วย
1. เปิดศูนย์เครือข่ายและการแบ่งปัน
2. คลิก ตั้งค่าการเชื่อมต่อหรือเครือข่ายใหม่
3. เลือก เชื่อมต่อกับที่ทำงาน และคลิก ถัดไป.
4. จากนั้นเลือก ใช้การเชื่อมต่ออินเทอร์เน็ตของฉัน (VPN)
5. ในหน้าจอถัดไปให้พิมพ์ ที่อยู่ IP สาธารณะของเซิร์ฟเวอร์ VPN และพอร์ต VPN ที่คุณกำหนดไว้ที่ฝั่งเราเตอร์แล้วคลิก สร้าง.
เช่น. หากที่อยู่ IP ภายนอกคือ: 108.200.135.144 ให้พิมพ์: "108.200.135.144" ที่ช่องที่อยู่อินเทอร์เน็ตและที่ไฟล์ 'ชื่อปลายทาง' ให้พิมพ์ชื่อใดๆ ที่คุณต้องการ (เช่น "L2TP-VPN")
6. พิมพ์ชื่อผู้ใช้และรหัสผ่านสำหรับการเชื่อมต่อ VPN แล้วคลิก เชื่อมต่อ.
7. หากคุณตั้งค่า VPN บนเครื่องไคลเอนต์ Windows 7 เครื่องจะพยายามเชื่อมต่อ กด ข้าม แล้วคลิก ปิดเนื่องจากคุณต้องระบุการตั้งค่าเพิ่มเติมบางอย่างสำหรับการเชื่อมต่อ VPN
8. บนศูนย์เครือข่ายและการแบ่งปัน คลิกที่ เปลี่ยนการตั้งค่าอแด็ปเตอร์ทางด้านซ้าย
9. คลิกขวาที่การเชื่อมต่อ VPN ใหม่ (เช่น "L2TP-VPN") แล้วเลือก คุณสมบัติ.
10. เลือก ความปลอดภัย แท็บและเลือก เลเยอร์ 2 (Tunneling Protocol พร้อม IPsec (L2TP/IPsec) แล้วคลิกที่ ตั้งค่าขั้นสูง.
11. ใน 'การตั้งค่าขั้นสูง' ให้พิมพ์คีย์ Preshared (เช่น "TestVPN@1234" ในตัวอย่างนี้) แล้วคลิก ตกลง
12. จากนั้นคลิกที่ อนุญาตโปรโตคอลเหล่านี้ และเลือก Microsoft CHAP เวอร์ชัน 2 (MS-CHAP v2)
13. จากนั้นเลือก ระบบเครือข่าย แท็บ เราจะดับเบิ้ลคลิกที่ อินเทอร์เน็ตโปรโตคอลเวอร์ชัน 4 (TCP/IPv4) เพื่อเปิด คุณสมบัติ.
14. สำหรับ เซิร์ฟเวอร์ DNS ที่ต้องการ พิมพ์ Local IP Address ของเซิร์ฟเวอร์ VPN (เช่น "192.168.1.8" ในตัวอย่างนี้) *
* บันทึก: การตั้งค่านี้เป็นทางเลือก ดังนั้นให้ใช้เฉพาะเมื่อจำเป็นเท่านั้น
15. จากนั้นคลิกปุ่มขั้นสูงและ ยกเลิกการเลือก ที่ ใช้เกตเวย์เริ่มต้นบนเครือข่ายระยะไกล เพราะเราต้องการแยกการท่องอินเทอร์เน็ต PC ของเราออกจากการเชื่อมต่อ VPN
16. สุดท้ายคลิก ตกลง อย่างต่อเนื่องเพื่อปิดหน้าต่างทั้งหมด
17. ตอนนี้ดับเบิลคลิกที่การเชื่อมต่อ VPN ใหม่และคลิก เชื่อมต่อเพื่อเชื่อมต่อกับที่ทำงานของคุณ
แค่นั้นแหละ! แจ้งให้เราทราบหากคู่มือนี้ช่วยคุณโดยแสดงความคิดเห็นเกี่ยวกับประสบการณ์ของคุณ กรุณากดไลค์และแชร์คู่มือนี้เพื่อช่วยเหลือผู้อื่น