Як налаштувати L2TP VPN Server 2016 за допомогою спеціального попереднього спільного ключа для аутентифікації.

РізнеDec 19, 2021
click fraud protection

У цьому посібнику ви знайдете покрокові інструкції з налаштування сервера доступу L2TP VPN на Windows Server 2016. Віртуальна приватна мережа (VPN) дозволяє безпечно підключатися до вашої приватної мережі з Інтернет-розташування і захищає вас від інтернет-атак і перехоплення даних. Для встановлення та налаштування доступу L2TP/IPSec VPN на Server 2016 це багатоетапний процес, тому що вам потрібно налаштувати кілька параметрів на стороні сервера VPN, щоб завершити успішне виконання VPN операція.

Як встановити L2TP/IPSec VPN-сервер 2016 із користувацьким попередньо спільним ключем.

У цьому покроковому посібнику ми розглянемо налаштування L2TP VPN Server 2016 з використанням протоколу тунелювання другого рівня (L2TP/IPSEC) зі спеціальним ключем PreShared для більш безпечного VPN-з’єднання.

Крок 1. Як додати роль віддаленого доступу (доступ VPN) на сервер 2016.

Першим кроком для налаштування Windows Server 2016 як сервера VPN є встановлення Віддалений доступ роль {Прямий доступ і послуги VPN (RAS)} до вашого сервера 2016. *

* Інформація: Для цього прикладу ми збираємося налаштувати VPN на комп’ютері з Windows Server 2016 під назвою «Srv1» та IP-адресою «192.168.1.8».

1. Щоб встановити роль VPN на Windows Server 2016, відкрийте «Диспетчер сервера» та натисніть на Додайте ролі та функції.

Налаштування VPN-сервера 2016

2. На першому екрані «Майстра додавання ролей та функцій» залиште Установка на основі ролей або функцій і натисніть Далі.

clip_image008

3. На наступному екрані залиште параметр за замовчуванням "Виберіть сервер із пулу серверів" і клацніть Далі.

зображення

4. Потім виберіть Віддалений доступ роль і натисніть Далі.

встановити VPN Server 2016

5. На екрані «Функції» залиште налаштування за замовчуванням і натисніть Далі.

зображення

6. На інформаційному екрані «Віддалений доступ» натисніть Далі.

clip_image016

7. У розділі "Віддалені служби" виберіть Прямий доступ і VPN (RAS) роль служби, а потім натисніть Далі.

clip_image020

8. Потім натисніть Додати функції.

зображення

9. Натисніть Далі знову.

зображення

10. Залиште налаштування за замовчуванням і натисніть Далі (двічі) на екранах «Роль веб-сервера (IIS)» і «Служби ролей».

зображення

11. На екрані «Підтвердження» виберіть Автоматично перезавантажте цільовий сервер (якщо потрібно) і натисніть Встановити.

clip_image022

12. На останньому екрані переконайтеся, що інсталяція ролі віддаленого доступу пройшла успішно Закрити чарівника.

clip_image024

13. Потім (з Диспетчера серверів) Інструменти меню, натисніть на Управління віддаленим доступом.
14. Виберіть Прямий доступ і VPN ліворуч, а потім натисніть на Запустіть майстер початку роботи.

зображення

15. Потім натисніть Розгорніть VPN тільки

зображення

16. Продовжувати крок-2 нижче, щоб налаштувати маршрутизацію та віддалений доступ.

Крок 2. Як налаштувати та увімкнути маршрутизацію та віддалений доступ на сервері 2016.

Наступний крок – увімкнути та налаштувати доступ до VPN на нашому сервері 2016. Щоб зробити це:

1. Клацніть правою кнопкою миші на імені сервера та виберіть Налаштуйте та увімкніть маршрутизацію та віддалений доступ. *

зображення

* Примітка: Ви також можете запустити налаштування маршрутизації та віддаленого доступу, скориставшись таким способом:

1. Відкрийте диспетчер серверів і з Інструменти меню, виберіть Управління комп'ютером.
2. Розгорнути Сервіси та додатки
3. Клацніть правою кнопкою миші Маршрутизація та віддалений доступ і виберіть Налаштуйте та увімкніть маршрутизацію та віддалений доступ.

зображення

2. Натисніть Далі у «Майстері налаштування сервера маршрутизації та віддаленого доступу».

зображення

3. Виберіть Спеціальна конфігурація і натисніть Далі.

clip_image030

4. Виберіть Доступ до VPN тільки в цьому випадку і натисніть Далі.

clip_image032

5. Нарешті натисніть Закінчити.

clip_image034

6. Коли буде запропоновано Запустити службу, натисніть Почніть.

зображення

7. Тепер ви побачите зелену стрілку біля імені вашого сервера (наприклад, «Svr1» у цьому прикладі).

Крок 3. Як увімкнути користувацьку політику IPsec для підключень L2TP/IKEv2.

Тепер настав час дозволити користувацьку політику IPsec на сервері маршрутизації та віддаленого доступу та вказати спеціальний попередньо спільний ключ.

1. В Маршрутизація та віддалений доступ на панелі, клацніть правою кнопкою миші на імені вашого сервера та виберіть Властивості.

зображення

2. В Безпека вкладку, виберіть Дозволити спеціальну політику IPsec для підключення L2TP/IKEv2 а потім введіть попередньо спільний ключ (для цього прикладу я вводжу: "TestVPN@1234").

clip_image038

3. Потім натисніть кнопку Методи аутентифікації кнопку (вгорі) і переконайтеся, що Зашифрована аутентифікація Microsoft версії 2 (MS-CHAP v2) вибрано, а потім клацніть ДОБРЕ.

clip_image040

4. Тепер виберіть IPv4 вкладку, виберіть Пул статичних адрес і натисніть Додати.
5. Тут введіть діапазон IP-адрес, який буде призначено клієнтам, підключеним до VPN, і натисніть добре (двічі), щоб закрити всі вікна.

напр. Для цього прикладу ми будемо використовувати діапазон IP-адрес: 192.168.1.200 – 192.168.1.202.

clip_image042

6. Коли з’явиться спливаюче повідомлення: «Щоб увімкнути користувацьку політику IPsec для з’єднань L2TP/IKEv2, потрібно перезапустити маршрутизацію та віддалений доступ», натисніть добре.

зображення

7. Нарешті клацніть правою кнопкою миші на вашому сервері (наприклад, "Svr1") і виберіть Усі завдання > Перезавантажити.

Крок 4. Відкрийте потрібні порти в брандмауері Windows.

1. Йти до Панель управління > Усі елементи панелі керування > Брандмауер Windows.
2. Натисніть Розширені налаштування ліворуч.

image_thumb[11]

3. Ліворуч виберіть Вхідні правила.
4а. Двічі клацніть на Маршрутизація та віддалений доступ (L2TP-In)

зображення

4б. На вкладці «Загальні» виберіть Увімкнено, дозволити підключення і натисніть ДОБРЕ.

зображення

5. Тепер клацніть правою кнопкою миші на Вхідні правила ліворуч і виберіть Нове правило.

зображення

6. На першому екрані виберіть порт і натисніть Далі.

зображення

7. Тепер виберіть UDP тип протоколу та в полі "Спеціальні локальні порти" введіть: 50, 500, 4500.
Коли закінчите, натисніть Далі.

зображення

8. Залиште налаштування за замовчуванням «Дозволити підключення» і натисніть Далі.

зображення

9. На наступному екрані натисніть Далі знову.

зображення

10. Тепер введіть назву нового правила (наприклад, «Дозволити L2PT VPN») і натисніть Закінчити.

зображення

11. Закрити налаштування брандмауера.

Крок 5. Як налаштувати сервер мережевої політики, щоб дозволити доступ до мережі.

Щоб дозволити користувачам VPN отримати доступ до мережі через VPN-з’єднання, виконайте та змініть сервер мережевої політики таким чином:

1. Клацніть правою кнопкою миші Журнал і політика віддаленого доступу і виберіть Запустіть NPS

зображення

2. На вкладці «Огляд» виберіть наступні параметри та натисніть добре:

    • Надати доступ: якщо запит на підключення відповідає цій політиці.
    • Сервер віддаленого доступу (VPN-Dial up)
зображення

3. Тепер відкрийте Підключення до інших серверів доступу політики, виберіть ті самі налаштування та натисніть ДОБРЕ.

    • Надати доступ: якщо запит на підключення відповідає цьому
      політика.
    • Сервер віддаленого доступу (VPN-Dial
      вгору)
зображення

4. Закрийте налаштування сервера мережевої політики.

зображення
Крок 6. Як увімкнути підключення L2TP/IPsec за NAT.

За замовчуванням сучасні клієнти Windows (Windows 10, 8, 7 або Vista) і Windows Server 2016, 2012 і 2008 операційні системи не підтримують з'єднання L2TP/IPsec, якщо комп'ютер Windows або сервер VPN розташовані за NAT. Щоб обійти цю проблему, вам потрібно змінити реєстр на сервері VPN, як показано нижче та Клієнти:

1. Одночасно натисніть кнопку Windows зображення+ Р клавіші для відкриття командного вікна запуску.
2. Тип regedit і натисніть Введіть.

regedit

3. На панелі ліворуч перейдіть до цієї клавіші:

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Sevices\PolicyAgent

4. Клацніть правою кнопкою миші PolicyAgent і виберіть Новий –> DWORD (32 біт) Значення.

зображення

5. Для нового типу імені ключа: Припустимо, щоUDPEncapsulationContextOnSendRule і натисніть Введіть.

* Примітка: Значення потрібно ввести, як показано вище, без пробілу.

6. Двічі клацніть цей новий ключ DWORD і введіть дані значення: 2

зображення

7.Закрити Редактор реєстру. *

* Важливо: Щоб уникнути проблем під час підключення до вашого VPN-сервера з клієнтського комп’ютера Windows (Windows Vista, 7, 8, 10 і 2008 Server), ви також повинні застосувати це виправлення реєстру до клієнтів.

8. Перезавантажте машина.

Крок 7. Переконайтеся, що служби IKE & IPsec Policy Agent запущені.

Після перезавантаження перейдіть до панелі керування службами та переконайтеся, що наведені нижче служби запущені та запущені. Щоб зробити це:

1. Одночасно натисніть кнопку Windows зображення+ Р клавіші для відкриття командного вікна запуску.
2. У командному полі «Виконати» введіть: services.msc і натисніть Введіть.

services.msc

3. Переконайтеся, що запущені такі служби: *

    1. Модулі ключів IKE та AuthIP IPsec
    2. Агент політики IPsec
зображення

* Примітки:
1. Якщо вищезгадані служби не запущені, двічі клацніть кожну службу та встановіть Тип запуску до Автоматичний. Потім натисніть добре і перезапустити сервер.
2. Ви повинні переконатися, що вищезгадані служби також працюють на клієнтській машині Windows.

зображення
Крок 8. Як вибрати користувачів, які матимуть доступ до VPN.

Тепер настав час вказати, які користувачі зможуть підключатися до сервера VPN (дозволи набору).

1. відчинено Менеджер сервера.
2. Від Інструменти меню, виберіть Користувачі та комп’ютери Active Directory. *

* Примітка: Якщо ваш сервер не належить до домену, перейдіть до Управління комп'ютером -> Локальні користувачі та групи.

Передайте роль Masters Operation на Server 2016.

3. Виберіть Користувачі і двічі клацніть на користувача, якому ви хочете надати доступ до VPN.
4. Виберіть Підключення вкладку та виберіть Дозволити доступ. Потім натисніть добре.

clip_image002
Крок 9. Як налаштувати брандмауер, щоб дозволити доступ L2TP VPN (переадресація портів).

Наступний крок - дозволити підключення VPN у вашому брандмауері.

1. Увійдіть у веб-інтерфейс маршрутизатора.
2. Усередині налаштування конфігурації маршрутизатора переадресуйте порти 1701, 50, 500 і 4500 на IP-адресу VPN-сервера. (Див. посібник вашого маршрутизатора про те, як налаштувати переадресацію портів).

  • Наприклад, якщо VPN-сервер має IP-адресу «192.168.1.8», тоді вам доведеться переадресувати всі вищезгадані порти на цей IP.

Додаткова допомога:

  • Щоб мати можливість під’єднатися до свого VPN-сервера на відстані, ви повинні знати публічну IP-адресу VPN-сервера. Щоб знайти публічну IP-адресу (з ПК сервера VPN), перейдіть за цим посиланням: http://www.whatismyip.com/
  • Щоб ви завжди могли підключитися до свого VPN-сервера, краще мати статичну публічну IP-адресу. Щоб отримати статичну публічну IP-адресу, необхідно зв’язатися зі своїм постачальником послуг Інтернету. Якщо ви не хочете платити за статичну IP-адресу, ви можете налаштувати безкоштовну службу Dynamic DNS (напр. no-ip.) на стороні вашого маршрутизатора (VPN-сервер).
Крок 10. Як налаштувати підключення L2TP VPN на клієнтському комп’ютері Windows.

Останнім кроком є ​​створення нового підключення L2TP/IPSec VPN до нашого VPN Server 2016 на клієнтському комп’ютері, дотримуючись наведених нижче інструкцій:

  • Пов'язана стаття:Як налаштувати підключення PPTP VPN у Windows 10.

УВАГА: Перш ніж продовжити створення VPN-з’єднання, пройдіть і застосуйте виправлення реєстру крок-6 вище, також на клієнтському комп’ютері.

1. Відкрийте Центр мережі та спільного доступу.
2. Натисніть Налаштуйте нове підключення або мережу

зображення

3. Виберіть Підключитися до робочого місця і натисніть Далі.

зображення

4. Потім виберіть Використовувати моє підключення до Інтернету (VPN).

зображення

5. На наступному екрані введіть Публічна IP-адреса сервера VPN і порт VPN, який ви призначили на стороні маршрутизатора, а потім клацніть Створюйте.

напр. Якщо зовнішня IP-адреса: 108.200.135.144, то введіть: «108.200.135.144» у полі «Адреса в Інтернеті», а в поле «Ім’я призначення» введіть будь-яке ім’я, яке ви хочете (наприклад, «L2TP-VPN»).

6. Введіть ім’я користувача та пароль для VPN-з’єднання та натисніть Підключити.

зображення

7. Якщо ви налаштуєте VPN на клієнтській машині Windows 7, вона спробує підключитися. Натисніть Пропустити а потім клацніть Закрити, оскільки вам потрібно вказати деякі додаткові налаштування для VPN-з’єднання.

8. У центрі мережі та спільного доступу натисніть на Змініть налаштування адаптера зліва.
9. Клацніть правою кнопкою миші на новому VPN-з’єднанні (наприклад, «L2TP-VPN») і виберіть Властивості.
10. Виберіть Безпека вкладку та виберіть Рівень 2 (протокол тунелювання з IPsec (L2TP/IPsec) а потім натисніть на Розширені налаштування.

clip_image078

11. У розділі «Додаткові налаштування» введіть попередньо спільний ключ (наприклад, «TestVPN@1234» у цьому прикладі) і натисніть добре

clip_image080

12. Потім натисніть на Дозволити ці протоколи і виберіть Microsoft CHAP версія 2 (MS-CHAP v2)

clip_image082

13. Потім виберіть Мережа табл. Ми двічі клацнемо на Інтернет-протокол версії 4 (TCP/IPv4) щоб відкрити його Властивості.
14. Для Бажаний DNS-сервер введіть локальну IP-адресу сервера VPN (наприклад, «192.168.1.8» у цьому прикладі). *

* Примітка: Цей параметр необов’язковий, тому застосовуйте його лише в разі потреби.

clip_image084

15. Потім натисніть кнопку Додатково і зніміть прапорець в Використовуйте шлюз за замовчуванням у віддаленій мережі тому що ми хочемо відокремити наш комп’ютерний перегляд Інтернету від VPN-з’єднання.
16. Нарешті натисніть добре постійно закривати всі вікна.

clip_image086

17. Тепер двічі клацніть на новому VPN-з’єднанні та натисніть Підключити, щоб підключитися до свого робочого місця.

clip_image088

Це воно! Дайте мені знати, чи допоміг вам цей посібник, залишивши свій коментар про свій досвід. Будь ласка, поставте лайк і поділіться цим посібником, щоб допомогти іншим.