Как поднять vpn сервер на windows server 2016

Установка удаленного доступа в качестве VPN-сервера

В этом руководстве по началу работы мы покажем, как установить и настроить удаленный доступ (RAS) в качестве VPN-сервера.

Необходимые компоненты

Выполнить эти операции может только член группы «Администраторы» или пользователь с аналогичными правами. Однако если сервер RAS присоединен к домену, то процедуры должны выполняться администратором домена.

Установка роли удаленного доступа

• PowerShell
• Диспетчер сервера

Чтобы установить роль удаленного доступа с помощью Windows PowerShell, выполните следующие действия.

1. Откройте Windows PowerShell как Администратор istrator.
2. Введите и выполните следующий командлет:

Install-WindowsFeature DirectAccess-VPN -IncludeManagementTools 

После завершения установки в Windows PowerShell появится следующее сообщение.

| Success | Restart Needed | Exit Code | Feature Result | |---------|----------------|-----------|--------------------------------------------| | True | No | Success | RAS Connection Manager Administration Kit | 

Чтобы установить роль удаленного доступа с помощью диспетчер сервера, выполните следующее:

1. На сервере Windows в диспетчер сервера выберите «Управление» и выберите «Добавить роли и компоненты», чтобы открыть мастер добавления ролей и компонентов.
2. На странице «Перед началом работы» нажмите кнопку «Далее«.
3. На странице «Выбор типа установки» выберите установку на основе ролей или компонентов и нажмите кнопку «Далее«.
4. На странице Выбор целевого сервера (Select destination server) выберите «Выбор сервера из пула серверов» (Select a server from the server pool)
5. В разделе Пул серверов выберите локальный компьютер и нажмите кнопку «Далее«.
6. На странице «Выбор ролей сервера» в разделе «Роли» выберите «Удаленный доступ» и » Далее«.
7. На странице «Выбор функций» нажмите кнопку «Далее«.
8. На странице удаленного доступа нажмите кнопку «Далее«.
9. На странице «Выбор службы ролей» в службах ролей выберите DirectAccess и VPN (RAS).
10. На странице выбора «Подтверждение установки» просмотрите выбранные варианты, а затем нажмите кнопку «Установить«.
11. После завершения установки нажмите кнопку Закрыть.

Настройка удаленного доступа в качестве VPN-сервера

В этом разделе мы настроим удаленный доступ, чтобы разрешить VPN-подключения IKEv2 и запретить подключения из других VPN-протоколов. Мы также назначим пул статических IP-адресов для выдачи IP-адресов для подключения авторизованных VPN-клиентов.

Вместо IKEv2 можно также использовать SSTP. Мы не рекомендуем использовать PPTP из-за отсутствия функций безопасности.

1. Убедитесь, что правила брандмауэра разрешают порты UDP 500 и 4500 входящего трафика во внешний IP-адрес, примененный к общедоступному интерфейсу на VPN-сервере.
2. На VPN-сервере в диспетчер сервера выберите флаг уведомлений. Возможно, вам придется подождать минуту или два, чтобы увидеть флаг уведомлений.
3. В меню «Задачи» выберите «Открыть мастер начала работы», чтобы открыть мастер настройки удаленного доступа.

Примечание. Мастер настройки удаленного доступа может открыться за диспетчер сервера. Если вы считаете, что мастер занимает слишком много времени, чтобы открыть, переместить или свести к минимуму диспетчер сервера, чтобы узнать, находится ли мастер за ним. Если нет, дождитесь инициализации мастера.

1. Выберите пул статических адресов.
2. Нажмите кнопку «Добавить «, чтобы настроить пул IP-адресов.
3. В поле «Начальный IP-адрес» введите начальный IP-адрес в диапазоне, который вы хотите назначить VPN-клиентам.
4. В поле «Конечный IP-адрес» введите конечный IP-адрес в диапазоне, который вы хотите назначить VPN-клиентам, или в поле «Число адресов«, введите номер адреса, который нужно сделать доступным.

1. Очистите подключения удаленного доступа (только для входящего трафика) и подключения маршрутизации по запросу (входящий и исходящий трафик).
2. Нажмите ОК.

1. Убедитесь, что выбраны подключения удаленного доступа (только для входящего трафика) и подключения маршрутизации по запросу (входящий и исходящий трафик).
2. В максимальном количестве портов введите число портов, чтобы соответствовать максимальному количеству одновременных VPN-подключений, которые требуется поддерживать.
3. Нажмите ОК.

1. Очистите подключения удаленного доступа (только для входящего трафика) и подключения маршрутизации по запросу (входящий и исходящий трафик).
2. Нажмите ОК.

1. Очистите подключения удаленного доступа (только для входящего трафика) и подключения маршрутизации по запросу (входящий и исходящий трафик).
2. Нажмите ОК.

Следующие шаги

Шаг 2. Настройка сервера DirectAccess-VPN

В этом разделе описывается настройка клиентов и сервера при развертывании базового удаленного доступа с помощью мастера установки DirectAccess.

В следующей таблице приведен обзор шагов, которые можно выполнить с помощью этого раздела.

Задача	Description
Настройка клиентов DirectAccess	Настройте сервер удаленного доступа с группами безопасности, в которые входят клиенты DirectAccess.
Настройка топологии сети	Настройте параметры сервера удаленного доступа.
Настройка списка DNS-суффиксов	Измените список суффиксов, если требуется.
Настройка объектов групповой политики	Измените объекты групповой политики, если требуется.

Запуск мастера установки DirectAcces

1. В диспетчер сервера щелкните «Сервис» и выберите пункт «Удаленный доступ«. Мастер включения DirectAccess запускается автоматически, если вы не выбрали этот экран еще раз.
2. Если мастер не запускается автоматически, щелкните правой кнопкой мыши узел сервера в дереве маршрутизации и удаленного доступа и нажмите кнопку «Включить DirectAccess«.
3. Нажмите кнопку Далее.

Настройка клиентов DirectAccess

Чтобы использовать DirectAccess, клиентский компьютер должен входить в выбранную группу безопасности. После настройки DirectAccess клиентские компьютеры из группы безопасности получают групповую политику DirectAccess.

1. На странице Выбор групп щелкните Добавить.
2. В диалоговом окне Выбор групп выберите группы безопасности, в которые входят компьютеры клиентов DirectAccess.
3. Отметьте флажком пункт Разрешить DirectAccess только для мобильных компьютеров, чтобы открыть доступ к внутренней сети только для мобильных устройств.
4. Отметьте флажком пункт Использовать принудительное туннелирование, чтобы направить весь трафик клиентов (внутренний и внешний) через сервер удаленного доступа.
5. Нажмите кнопку Далее.

Настройка топологии сети

Чтобы развернуть удаленный доступ, вам потребуется настроить на сервере удаленного доступа правильную конфигурацию сетевых адаптеров, установить общедоступный URL (адрес подключения), а также сертификат IP-HTTPS с именем субъекта, совпадающим с адресом подключения.

1. На странице Топология сети выберите топологию, которая будет использоваться в вашей организации. В поле Введите общедоступное имя или IPv4-адрес, используемые клиентами для подключения к серверу удаленного доступа введите общедоступное имя развертывания (оно совпадает с именем субъекта сертификата IP-HTTPS, например edge1.contoso.com), а затем нажмите кнопку Далее.

Настройка списка DNS-суффиксов

Для клиентов DNS вы можете настроить список DNS-суффиксов домена, расширяющий или преобразующий их возможности поиска DNS. Добавляя в список дополнительные суффиксы, вы можете искать компьютеры по коротким или неполным именам в более чем одном домене DNS. Затем, если запрос DNS завершается ошибкой, служба DNS-клиента может использовать этот список для добавления других окончаний суффикса имени к исходному имени и повторения DNS-запросов к DNS-серверу для этих альтернативных полных доменных имен.

1. Щелкните Настроить для клиентов DirectAccess список поиска суффиксов DNS-клиента, чтобы указать дополнительные суффиксы для поиска клиентов по именам.
2. Введите новое имя суффикса в New Suffix и нажмите кнопку «Добавить«. Кроме того, можно изменить порядок поиска и удалить суффиксы из Суффиксов домена для использования.

[ПРИМЕЧАНИЕ] В сценарии несвязанного пространства имен (где один или несколько компьютеров домена имеет DNS-суффикс, который не соответствует домену Active Directory, к которому принадлежат компьютеры), необходимо убедиться, что список поиска настроен для включения всех необходимых суффиксов. Мастер удаленного доступа по умолчанию назначит имя DNS Active Directory основным DNS-суффиксом клиента. Администратору следует убедиться, что он добавляет DNS-суффикс, используемый клиентами для разрешения имен.

Для компьютеров и серверов поведение поиска DNS по умолчанию предопределено и используется при выполнении и разрешении коротких неквалифицированных имен. Если список поиска суффикса пуст или не указан, основной DNS-суффикс компьютера добавляется к коротким неквалифицированным именам, а DNS-запрос используется для разрешения результирующих полных доменных имен.

Если этот запрос завершается ошибкой, компьютер может попробовать дополнительные запросы для альтернативных полных доменных имен, добавив любой DNS-суффикс, настроенный для сетевых подключений. Если суффиксы, относящиеся к подключению, не настроены или запросы для этих результирующих полных доменных имен, клиент может начать повторять запросы на основе систематического сокращения основного суффикса (также известного как деволюция).

Например, если основной суффикс имеет значение «example.microsoft.com», процесс деволюции может повторить запросы на короткое имя, выполнив поиск в доменах «microsoft.com» и «com».

Если список поиска суффикса не пуст и имеет по крайней мере один DNS-суффикс, попытки квалифицировать и разрешать короткие DNS-имена ограничены поиском только тех полных доменных имен, которые были возможны указанным списком суффиксов.

Если запросы для всех полных доменных имен, выполненные в результате подстановки всех суффиксов из списка, не дают результата, запрос считается неудачным и выводится сообщение «имя не найдено».

Если используется список суффиксов домена и ответ на запрос или разрешение не получается, клиенты продолжают посылать дополнительные альтернативные запросы на основе различных имен доменов DNS. Если имя домена разрешается с помощью записи в списке суффиксов, остальные записи не используются для поиска. По этой причине для наиболее эффективного поиска рекомендуется поместить в начало списка наиболее часто используемые суффиксы доменов.

Поиск по суффиксам доменного имени выполняется лишь в случае указания неполного имени DNS. В конце полного имени DNS добавляется точка (.).

Настройка объектов групповой политики

При настройке удаленного доступа параметры DirectAccess собираются в объекты групповой политики (GPO).

В Параметры групповой политики перечислены имя сервера DirectAccess и имя групповой политики клиента. Кроме того, вы можете изменить параметры выбора объектов групповой политики.

Два объекта групповой политики заполняются автоматически параметрами DirectAccess и распределяются таким образом:

1. Объект групповой политики клиента DirectAccess. Этот GPO содержит параметры клиента, в том числе параметры технологии туннелирования IPv6, записи NRPT и правила безопасности подключений брандмауэра Windows в режиме повышенной безопасности. Объекты групповой политики применяются к группам безопасности, указанным для клиентских компьютеров.
2. Объект групповой политики сервера DirectAccess. Этот объект групповой политики содержит параметры конфигурации DirectAccess, применяемые к любому серверу, настроенного как сервер удаленного доступа в развертывании. Кроме того, в них записываются правила брандмауэра Windows в режиме повышенной безопасности.

Итоги

После завершения настройки удаленного доступа отобразится сводка . Вы можете изменить настроенные параметры или нажать кнопку «Готово «, чтобы применить конфигурацию.

Как настроить VPN в операционной системе Windows Server

Сейчас много владельцев бизнеса хранят данные на Windows Server – это безопасно и удобно. Однако чтобы обезопасить себя еще больше, можно воспользоваться виртуальной частной сетью (VPN). Как же осуществляется настройка vpn сервера на базе windows? Интерфейс вашей ОС может отличаться, но в целом для подключения VPN нужно выполнить одинаковые простые шаги.

Кстати говоря, многие сейчас используют подключение сайт-ту-сайт с впн настройками (Site-to-site VPN). Это может быть очень удобно, если вам нужно безопасно объединить VPN-сетью несколько филиалов вашей компании.

Как пользоваться настройками vpn соединением

• Зайдите в Пуск и выберите Центр управления сетями и общим доступом.

• Далее в Изменение сетевых параметров кликните на пункт Создание и настройка нового подключения или сети.

• В вариантах подключения выберите опцию Подключение к рабочему месту.

• Далее кликните на опцию Использовать мое подключение к Интернету (VPN).

• Следующий шаг – вписать Адрес в Интернете. Это имя узла DDNS или ваш IP-адрес. Его можно спросить у сетевого администратора.

• Далее снова перейдите в Центр управления сетями и общим доступом, далее – в Изменение параметров адаптера. Кликните на только что созданное VPN-подключение, далее – Свойства, а там перейдите на вкладку Безопасность. В поле Тип VPN выберите опцию Протокол L2TP с IPsec (L2TP/IPsec) – это vpn туннель windows server, который и обеспечивает шифрование ваших данных. В блоке Шифрование данных выбираете обязательное или необязательное. Первое будет, конечно же, безопаснее.

• Нажмите Дополнительные параметры и выберите вариант Для проверки подлинности использовать общий ключ. В поле введите ключ, который вам предоставил администратор. Нажмите ОК.

• Далее в Свойствах подключения, в блоке Проверка подлинности выберите опцию Разрешить следующие протоколы. Поставьте галочки напротив вариантов Протокол проверки пароля (CHAP) и Протокол Microsoft CHAP версии 2 (MS-CHAP v2). Нажмите ОК.

Теперь вы можете подключаться к своему VPN.

Как пользоваться vpn клиентом?

На панели задач кликните по значку Сеть, кликните на VPN-подключение. Теперь ваш трафик будет проходить через VPN-клиент в ОС Windows Server.

Установка VPN сервера на Windows Server 2016

В этом кратком руководстве мы опишем процесс установки и настройке VPN-сервера на базе Windows Server. Все действия, описанные в этой статье, были выполнены на Windows Server 2016, но эта инструкция подходит для любой современной серверной операционной системы Windows, начиная с Windows Server 2008 R2 и заканчивая Windows Server 2016.

Итак, давайте начнем. Прежде всего нам нужно настроить роль удаленного доступа (Remote Access). Для этого в оснастке Server Manager запустите мастер добавления ролей и выберите роль Remote Access.

Затем, в списке служб роли выберите опцию «DirectAccess and VPN (RAS)«.

В дополнение к роли удаленного доступа и средствам управления, также автоматически будут установлены веб-сервер IIS и внутренняя база данных Windows (WID). Полный список установленных функций можно просмотреть в окончательном окне мастера, появляющимся перед тем, как вы подтвердите установку.

Установить роль Remote Access вместе со всеми необходимыми опциями можно всего одной командой PowerShell:

Install-WindowsFeature -Name DirectAccess-VPN -IncludeAllSubFeature -IncludeManagementTools

После установки роли вам необходимо включить и настроить службу с помощью оснастки «Маршрутизация и удаленный доступ» (Routing and Remote Access) — rrasmgmt.msc.

В оснастке RRAS выберите имя сервера, щелкните правой кнопкой мыши и выберите «Настроить и включить маршрутизацию и удаленный доступ» (Configure and Enable Routing and Remote Access) в открывшемся меню.

В мастере настройки выберите пункт Custom configuration.

В списке служб выберите опцию VPN access.

После этого система предложит вам запустить службу Маршрутизации и удаленного доступа.

Служба VPN установлена и включена, теперь ее необходимо настроить. Снова откройте меню сервера и выберите пункт «Свойства».

Перейдите на вкладку IPv4. Если у вас нет DHCP-серверов в сети, вам необходимо указать диапазон IP-адресов, которые будут получать клиенты при подключении к VPN-серверу.

Кроме того, на вкладке Security вы можете настроить параметры безопасности — выбрать тип проверки подлинности, установить предварительный общий ключ для L2TP или выбрать сертификат для SSTP.

И еще пара нужных моментов, которые следует иметь в виду при настройке VPN-сервера.

Во-первых, вам нужно указать пользователей, которых будет разрешено подключаться к этому VPN-серверу. Для автономного сервера настройка выполняется локально, в оснастке «Управление компьютером». Чтобы запустить оснастку, вам нужно выполнить команду compmgmt.msc, затем перейдите в раздел «Локальные пользователи и группы». Затем вам нужно выбрать пользователя, открыть его свойства, а на вкладке «Dial-In» отметьте пункт «Разрешить доступ» (Allow access). Если компьютер является членом домена Active Directory, те же настройки можно сделать из оснастки ADUC.

Во-вторых, проверьте, открыты ли все необходимые порты на брандмауэре Windows и межсетевом экране, осуществляющим NAT-трансляцию. Теоретически, когда вы устанавливаете роль RRAS, соответствующие правила автоматически включаются, но на всякий случай проверьте их самостоятельно. Список разрешенных правил для входящего трафика:

• Routing and Remote Access (GRE-In) — протокол 47 (GRE)
• Routing and Remote Access (L2TP-In) – TCP/1701, UDP/500, UDP/4500 и протокол 50 (ESP)
• Routing and Remote Access (PPTP-In) — TCP/1723
• Secure Socket Tunneling protocol (SSTP-in) – TCP/443

Если ваш VPN-сервер находится за NAT, для корректной установки VPN-соединения по протоколу L2TP/ipsec, на стороне клиента необходимо в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent создать ключ с именем AssumeUDPEncapsulationContextOnSendRule и значением 2.

На этом все. Теперь, когда у вас имеется настроенный VPN-сервер, вы можете подключиться к нему с помощью VPN-клиента.