Как да конфигурирате L2TP VPN сървър 2016 с потребителски предварителен ключ за удостоверяване.

В този урок ще намерите инструкции стъпка по стъпка за настройка на L2TP VPN сървър за достъп в Windows Server 2016. Виртуалната частна мрежа (VPN) ви позволява да се свързвате сигурно с вашата частна мрежа от интернет места и ви предпазва от интернет атаки и прихващане на данни.Инсталирането и конфигурирането на L2TP/IPSec VPN достъп в Server 2016 е процес от няколко стъпки, защототрябва да конфигурирате няколко настройки от страна на VPN сървъра, за да постигнете успешна работа с VPN.

Как да инсталирате L2TP/IPSec VPN сървър 2016 с потребителски предварителен ключ.

В това ръководство стъпка по стъпка ще разгледаме настройката на L2TP VPN Server 2016, като използваме протокола за тунелиране на втори слой (L2TP/IPSEC) с потребителски ключ PreShared за по-сигурна VPN връзка.

Стъпка 1. Инсталиране на ролята Маршрутизация и отдалечен достъп на сървъра 2016.Стъпка 2. Конфигуриране и активиране на Маршрутизация и отдалечен достъп на сървъра 2016.Стъпка 3. Конфигуриране на предварително споделения ключ за L2TP/IKEv2 връзките.Стъпка 4. Отваряне на необходимите портове в защитната стена на Windows.Стъпка 5. Конфигуриране на VPN сървъра за разрешаване на достъпа до мрежата.Стъпка 6. Разрешаване на L2TP/IPsec връзките зад NAT.Стъпка 7.Услугите L2TP са стартирани.Стъпка 8. Изберете потребителите на VPN.Стъпка 9. Конфигурирайте защитната стена на доставчика на интернет услуги, за да разрешава достъпа до L2TP VPN.Стъпка 10. Настройте L2TP/IPSec VPN връзката на клиентите. Стъпка 1. Как да добавите роля за отдалечен достъп (VPN достъп) на сървър 2016.

Първата стъпка за настройка на Windows Server 2016 като VPN сървър е да инсталирате Отдалечен достъп роля {Служби за директен достъп и VPN (RAS)} към вашия Server 2016. *

Информация: В този пример ще настроим VPN на машина с Windows Server 2016, наречена "Srv1" и с IP адрес "192.168.1.8".

1. За да инсталирате VPN ролята в Windows Server 2016, отворете "Server Manager" и щракнете върху Добавяне на роли и функции .

2. На първия екран на "Съветник за добавяне на роли и функции" оставете Инсталиране на базата на роли или функции и щракнете върху Следващия.

3. На следващия екран оставете опцията по подразбиране " Изберете сървър от пула от сървъри " и щракнете върху Следващия.

4. След това изберете Отдалечен достъп роля и щракнете върху Следваща .

5. В екрана "Функции" оставете настройките по подразбиране и щракнете върху Следваща .

6. В информационния екран "Отдалечен достъп" щракнете върху Следваща .

7. В "Отдалечени услуги" изберете Директен достъп и VPN (RAS) ролеви услуги и след това щракнете върху Следваща .

8. След това щракнете върху Добавяне на функции.

9. Кликнете върху Следваща отново.

10. Оставете настройките по подразбиране и щракнете върху Следваща (два пъти) на екраните "Роля на уеб сървъра (IIS)" и "Услуги на ролите".

11. На екрана "Потвърждение" изберете Автоматично рестартиране на сървъра на местоназначението (ако е необходимо) и щракнете върху Инсталиране.

12. На последния екран се уверете, че инсталацията на ролята за отдалечен достъп е успешна и Затвори магьосникът.

13. След това (от Server Manager) Инструменти щракнете върху Управление на отдалечен достъп.
14. Изберете Директен достъп и VPN вляво и след това щракнете върху Стартирайте съветника за започване на работа.

15. След това щракнете върху Внедряване на VPN само.

16. Продължете да стъпка-2 по-долу, за да конфигурирате маршрутизиране и отдалечен достъп.

Стъпка 2. как да конфигурирате и активирате маршрутизиране и отдалечен достъп в Server 2016.

Следващата стъпка е да разрешите и конфигурирате VPN достъпа в нашия Server 2016. За да направите това:

1. Щракнете с десния бутон върху името на сървъра и изберете Конфигуриране и активиране на маршрутизиране и отдалечен достъп. *

Забележка: Можете да стартирате настройките за маршрутизиране и отдалечен достъп и по следния начин:

1. Отворете Server Manager и от Инструменти меню, изберете Компютърно управление.
2. Разширяване Услуги и приложения
3. Кликнете с десния бутон на мишката върху Маршрутизиране и отдалечен достъп и изберете Конфигуриране и активиране на маршрутизиране и отдалечен достъп.

2. Кликнете върху Следваща в "Съветник за настройка на сървър за маршрутизиране и отдалечен достъп".

3. Изберете Потребителска конфигурация и щракнете върху Следващия.

4. Изберете VPN достъп само в този случай и щракнете върху Следващия.

5. Накрая щракнете върху Завършете .

6. Когато бъдете подканени да стартирате услугата, щракнете върху Начало .

7. Сега ще видите зелена стрелка до името на вашия сървър (например "Svr1" в този пример).

Стъпка 3. Как да активирате потребителска IPsec политика за L2TP/IKEv2 връзки.

Сега е време да разрешите потребителска политика IPsec на сървъра за маршрутизиране и отдалечен достъп и да зададете потребителския предварително съгласуван ключ.

1. На адрес Маршрутизиране и отдалечен достъп щракнете с десния бутон на мишката върху името на вашия сървър и изберете Свойства.

2. На адрес Защита таб, изберете Разрешаване на потребителска политика IPsec за връзка L2TP/IKEv2 и след това въведете предварително потвърден ключ (в този пример въвеждам: "TestVPN@1234").

3. След това щракнете върху Методи за удостоверяване на автентичността (по-горе) и се уверете, че бутонът Криптирано удостоверяване на Microsoft версия 2 (MS-CHAP v2) е избрана и след това щракнете върху ДОБРЕ.

4. Сега изберете IPv4 таб, изберете Пул от статични адреси и щракнете върху Добавяне на .
5. Тук въведете обхвата на IP адресите, които ще бъдат присвоени на свързаните с VPN клиенти, и щракнете върху OK (два пъти), за да затворите всички прозорци.

Например за този пример ще използваме диапазона от IP адреси: 192.168.1.200 - 192.168.1.202.

6. Когато се появи изскачащо съобщение: "За да активирате потребителска политика IPsec за L2TP/IKEv2 връзки, трябва да рестартирате Маршрутизация и отдалечен достъп", щракнете върху OK .

7. Накрая щракнете с десния бутон на мишката върху сървъра (напр. "Svr1") и изберете Всички задачи > Рестартиране.

Стъпка 4. Отворете необходимите портове в защитната стена на Windows.

1. Отидете на Контролен панел > Всички елементи на контролния панел > Защитна стена на Windows .
2. Кликнете върху Разширени настройки вляво.

3. Вляво изберете Входящи правила .
4a. Кликнете два пъти върху Маршрутизиране и отдалечен достъп (L2TP-In)

4b. В раздела "Общи" изберете Разрешено, Разрешете връзката и щракнете върху ДОБРЕ.

5. Сега щракнете с десния бутон на мишката върху Входящи правила вляво и изберете Ново правило.

6. На първия екран изберете Пристанище и щракнете върху Следващия.

7. Сега изберете UDP тип протокол и в полето "Специфични локални портове" въведете: 50, 500, 4500.
След като приключите, щракнете върху Напред.

8. Оставете настройката по подразбиране "Allow the Connection" и щракнете върху Следваща .

9. На следващия екран щракнете върху Следваща отново.

10. Сега въведете име на новото правило (например "Allow L2PT VPN") и щракнете върху Завършете .

11. Затвори настройките на защитната стена.

Стъпка 5. Как да конфигурирате сървъра за мрежова политика, за да разрешите достъпа до мрежата.

За да разрешите на VPN потребителите да имат достъп до мрежата чрез VPN връзката, продължете и модифицирайте сървъра за мрежова политика, както следва:

1. Кликнете с десния бутон на мишката върху Регистриране и политики за отдалечен достъп и изберете Стартиране на NPS

2. В раздела "Преглед" изберете следните настройки и щракнете върху OK :

• • Предоставяне на достъп: Ако заявката за връзка отговаря на тази политика. Сървър за отдалечен достъп (VPN-Dial up)

3. Сега отворете Връзки с други сървъри за достъп политика, изберете същите настройки и щракнете върху ДОБРЕ.

• • Предоставяне на достъп: Ако заявката за връзка отговаря на тази
    политика. сървър за отдалечен достъп (VPN-Dial
    нагоре)

4. Затворете настройките на сървъра за мрежова политика.

Стъпка 6. Как да разрешите L2TP/IPsec връзки зад NAT.

По подразбиране съвременните клиенти на Windows (Windows 10, 8, 7 или Vista) и операционните системи Windows Server 2016, 2012 и 2008 не поддържат L2TP/IPsec връзки, ако компютърът с Windows или VPN сървърът се намират зад NAT. За да заобиколите този проблем, трябва да промените регистъра в VPN сървъра, както следва и клиентите:

1. Едновременно натиснете Windows + R да отворите командното поле за изпълнение.
2. Тип regedit и натиснете Въведете .

3. В левия прозорец отидете до този ключ:

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Sevices\PolicyAgent

4. Кликнете с десния бутон на мишката върху PolicyAgent и изберете Нов -> DWORD (32 бита) Стойност .

5. За новия тип име на ключ: AssumeUDPEncapsulationContextOnSendRule и натиснете Въведете .

Забележка: Стойността трябва да бъде въведена, както е показано по-горе, без интервал.

6. Щракнете два пъти върху този нов ключ DWORD и въведете данни за стойност: 2

7. Затвори Редактор на регистъра. *

* Важно: За да избегнете проблеми при свързване към вашия VPN сървър от клиентски компютър с Windows (Windows Vista, 7, 8, 10 и 2008 Server), трябва да приложите тази поправка в регистъра и за клиентите.

8. Рестартиране машината.

Стъпка 7. Уверете се, че услугите IKE и IPsec Policy Agent са стартирани.

След рестартирането отидете в контролния панел за услуги и се уверете, че следните услуги са пуснати в действие. За да направите това:

1. Едновременно натиснете Windows + R да отворите командното поле за изпълнение.
2 . В командното поле за изпълнение въведете: services.msc и натиснете Въведете.

3. Уверете се, че са стартирани следните услуги: *

1. 1. IKE и AuthIP IPsec ключови модули IPsec Policy Agent

Бележки:
1. Ако горепосочените услуги не са стартирани, щракнете два пъти върху всяка услуга и задайте Тип стартиране към Автоматичен . След това щракнете върху OK и рестартиране на сървъра.
2. Трябва да се уверите, че горепосочените услуги са стартирани и в клиентската машина на Windows.

Стъпка 8. Как да изберете кои потребители ще имат VPN достъп.

Сега е време да посочите кои потребители ще могат да се свързват с VPN сървъра (разрешения за набиране на вход).

1. Отворете Мениджър на сървъри .
2. От Инструменти меню, изберете Потребители и компютри на Active Directory . *

Забележка: Ако сървърът ви не принадлежи към домейн, отидете в Управление на компютри -> Местни потребители и групи .

3. Изберете Потребители и щракнете двукратно върху потребителя, на когото искате да разрешите VPN достъп.
4. Изберете Набиране на адрес и изберете Разрешаване на достъпа . След това щракнете върху OK .

Стъпка 9. Как да конфигурирате защитната стена, за да разрешите достъпа до L2TP VPN (пренасочване на портове).

Следващата стъпка е да разрешите VPN връзките в защитната стена.

1. Влезте в уеб интерфейса на маршрутизатора.
2. В конфигурацията на маршрутизатора пренасочете портовете 1701, 50, 500 и 4500 към IP адреса на VPN сървъра (вижте ръководството на маршрутизатора за това как да конфигурирате пренасочването на портовете).

• Например, ако VPN сървърът има IP адрес "192.168.1.8", тогава трябва да препратите всички гореспоменати портове към този IP адрес.

Допълнителна помощ:

• За да можете да се свържете с вашия VPN сървър от разстояние, трябва да знаете публичния IP адрес на VPN сървъра. За да намерите публичния IP адрес (от компютъра на VPN сървъра), отидете на тази връзка: http://www.whatismyip.com/. За да сте сигурни, че винаги можете да се свържете с вашия VPN сървър, е по-добре да имате статичен публичен IP адрес.Ако не искате да плащате за статичен IP адрес, можете да настроите безплатна услуга за динамичен DNS (напр. no-ip .) от страна на рутера (VPN сървъра).

Стъпка 10. Как да настроите L2TP VPN връзката на клиентски компютър с Windows.

Последната стъпка е да създадете нова L2TP/IPSec VPN връзка към нашия VPN Server 2016 на клиентския компютър, като следвате инструкциите по-долу:

• Свързана статия: Как да настроите PPTP VPN връзка в Windows 10.

ВНИМАНИЕ: Преди да продължите да създавате VPN връзката, продължете и приложете поправката в регистъра от стъпка 6 по-горе и на клиентския компютър.

1. Отворете Центъра за мрежи и споделяне.
2. Кликнете върху Създаване на нова връзка или мрежа

3. Изберете Свързване с работното място и щракнете върху Следващия.

4. След това изберете Използвайте моята интернет връзка (VPN).

5. На следващия екран въведете Публичен IP адрес на сървъра на VPN и VPN порта, който сте задали от страната на маршрутизатора, и след това щракнете върху Създаване на .

Например, ако външният IP адрес е: 108.200.135.144, въведете: "108.200.135.144" в полето "Интернет адрес" и в полето "Име на дестинацията" въведете желаното име (например "L2TP-VPN").

6. Въведете потребителското име и паролата за VPN връзката и щракнете върху Свържете се.

7. Ако настроите VPN услугата на клиентска машина с Windows 7, тя ще се опита да се свърже. Пропуснете и след това щракнете върху Затвори , тъй като трябва да зададете някои допълнителни настройки за VPN връзката.

8. В Центъра за мрежи и споделяне щракнете върху Променете настройките на адаптера вляво.
9. Щракнете с десния бутон на мишката върху новата VPN връзка (напр. "L2TP-VPN") и изберете Имоти .
10. Изберете Защита и изберете Layer 2 (Протокол за тунелиране с IPsec (L2TP/IPsec) и след това щракнете върху Разширени настройки.

11. В "Разширени настройки" въведете предварително потвърдения ключ (напр. "TestVPN@1234" в този пример) и щракнете върху OK

12. След това кликнете върху Разрешете тези протоколи и изберете Microsoft CHAP версия 2 (MS-CHAP v2)

13. След това изберете Работа в мрежа ще кликнем два пъти върху Интернет протокол версия 4 (TCP/IPv4) да отворите своя Имоти .
14. За Предпочитан DNS сървър въведете локалния IP адрес на VPN сървъра (напр. "192.168.1.8" в този пример). *

Забележка: Тази настройка не е задължителна, затова я прилагайте само ако е необходимо.

15. След това щракнете върху бутона Advanced и премахнете отметката от на Използване на шлюз по подразбиране в отдалечена мрежа защото искаме да разделим сърфирането в интернет на компютъра си от VPN връзката.
16. Накрая щракнете върху OK непрекъснато да затваряте всички прозорци.

17. Сега щракнете два пъти върху новата VPN връзка и щракнете върху Свържете , за да се свържете с работното си място.

Това е! Уведомете ме дали това ръководство ви е помогнало, като оставите коментар за опита си. Моля, харесайте и споделете това ръководство, за да помогнете на другите.