Obsah
V tomto návodu najdete postupné pokyny k nastavení serveru pro přístup k síti VPN L2TP na serveru Windows Server 2016. Virtuální privátní síť (VPN) umožňuje bezpečné připojení k soukromé síti z míst na internetu a chrání vás před internetovými útoky a zachytáváním dat.Instalace a konfigurace přístupu k síti VPN L2TP/IPSec na serveru Server 2016 je procesem o několika krocích, protože musíteje třeba nakonfigurovat několik nastavení na straně serveru VPN, aby bylo možné úspěšně provozovat VPN.
Jak nainstalovat server VPN L2TP/IPSec 2016 s vlastním předsdíleným klíčem.
V tomto průvodci krok za krokem projdeme nastavení serveru L2TP VPN 2016 pomocí protokolu Layer Two Tunneling Protocol (L2TP/IPSEC) s vlastním předsdíleným klíčem pro bezpečnější připojení VPN.
Krok 1. Nainstalujte roli Směrování a vzdálený přístup na serveru 2016.Krok 2. Nakonfigurujte a povolte směrování a vzdálený přístup na serveru 2016.Krok 3. Nakonfigurujte předsdílený klíč pro připojení L2TP/IKEv2.Krok 4. Otevřete požadované porty ve bráně Windows Firewall.Krok 5. Nakonfigurujte server VPN tak, aby umožňoval přístup k síti.Krok 6. Povolte připojení L2TP/IPsec za NAT.Krok 7. Zkontrolujte, zda jsou požadovaná připojení L2TP/IPsec za NAT.Jsou spuštěny služby L2TP.Krok 8. Vyberte uživatele VPN.Krok 9. Nakonfigurujte bránu firewall poskytovatele internetových služeb tak, aby umožňovala přístup k síti L2TP VPN.Krok 10. Nastavte připojení L2TP/IPSec VPN na klientech. Krok 1. Jak přidat roli Vzdálený přístup (přístup VPN) na server 2016.
Prvním krokem k nastavení systému Windows Server 2016 jako serveru VPN je nainstalování aplikace Vzdálený přístup role {Služby přímého přístupu a VPN (RAS)} na serveru 2016. *
Informace: V tomto příkladu nastavíme VPN na počítači se systémem Windows Server 2016 s názvem "Srv1" a IP adresou "192.168.1.8".
1. Chcete-li nainstalovat roli VPN v systému Windows Server 2016, otevřete Správce serveru a klikněte na možnost Přidání rolí a funkcí .
2. Na první obrazovce průvodce přidáním rolí a funkcí ponechte pole Instalace na základě rolí nebo funkcí a klikněte na možnost Další.
3. Na další obrazovce ponechte výchozí možnost " Výběr serveru z fondu serverů " a klikněte na tlačítko Další.
4. Poté vyberte Vzdálený přístup roli a klikněte na Další .
5. Na obrazovce "Funkce" ponechte výchozí nastavení a klikněte na tlačítko Další .
6. Na informační obrazovce "Vzdálený přístup" klikněte na Další .
7. V části "Vzdálené služby" vyberte Přímý přístup a VPN (RAS) služby rolí a poté klikněte na tlačítko Další .
8. Pak klikněte na Přidat funkce.
9. Klikněte na Další znovu.
10. Ponechte výchozí nastavení a klikněte na tlačítko Další (dvakrát) na obrazovkách "Role webového serveru (IIS)" a "Služby rolí".
11. Na obrazovce "Potvrzení" vyberte Automatický restart cílového serveru (pokud je vyžadován) a klikněte na Instalace.
12. Na závěrečné obrazovce se ujistěte, že instalace role Vzdálený přístup proběhla úspěšně, a... Zavřít čaroděj.
13. Potom (ze Správce serveru) Nástroje klikněte na Správa vzdáleného přístupu.
14. Vyberte Přímý přístup a VPN vlevo a klikněte na Spusťte Průvodce zahájením.
15. Pak klikněte na Nasazení sítě VPN pouze.
16. Pokračovat na krok-2 níže pro konfiguraci směrování a vzdáleného přístupu.
Krok 2. Jak nakonfigurovat a povolit směrování a vzdálený přístup na serveru 2016.
Dalším krokem je povolit a nakonfigurovat přístup k síti VPN na našem serveru Server 2016:
1. Klikněte pravým tlačítkem myši na název serveru a vyberte možnost Konfigurace a povolení směrování a vzdáleného přístupu. *
Poznámka: Nastavení směrování a vzdáleného přístupu můžete spustit také následujícím způsobem:
1. Otevřete Správce serveru a z Nástroje v nabídce vyberte možnost Správa počítačů.
2. Rozšířit Služby a aplikace
3. Klikněte pravým tlačítkem myši na Směrování a vzdálený přístup a vyberte Konfigurace a povolení směrování a vzdáleného přístupu.
2. Klikněte na Další na stránce "Průvodce nastavením serveru pro směrování a vzdálený přístup".
3. Vyberte si Vlastní konfigurace a klikněte na Další.
4. Vyberte Přístup do sítě VPN pouze v tomto případě a klikněte na Další.
5. Nakonec klikněte na Dokončení .
6. Po výzvě ke spuštění služby klikněte na tlačítko Start .
7. Nyní se vedle názvu vašeho serveru zobrazí zelená šipka (např. "Svr1" v tomto příkladu).
Krok 3. Jak povolit vlastní zásady IPsec pro připojení L2TP/IKEv2.
Nyní je čas povolit vlastní zásady IPsec na serveru Směrování a vzdálený přístup a zadat vlastní předsdílený klíč.
1. Na adrese Směrování a vzdálený přístup klikněte pravým tlačítkem myši na název serveru a vyberte možnost Vlastnosti.
2. Na adrese Zabezpečení vyberte kartu Povolení vlastní zásady IPsec pro připojení L2TP/IKEv2 a poté zadejte předsdílený klíč (v tomto příkladu zadám: "TestVPN@1234").
3. Pak klikněte na Metody ověřování (výše) a ujistěte se, že Šifrované ověřování Microsoft verze 2 (MS-CHAP v2) a pak klikněte na tlačítko DOBŘE.
4. Nyní vyberte IPv4 vyberte kartu Statický fond adres a klikněte na Přidat .
5. Zde zadejte rozsah IP adres, které budou přiřazeny klientům připojeným k síti VPN, a klikněte na tlačítko. OK (dvakrát) zavřete všechna okna.
Pro tento příklad použijeme rozsah IP adres: 192.168.1.200 - 192.168.1.202.
6. Až se zobrazí vyskakovací zpráva: "Chcete-li povolit vlastní zásady IPsec pro připojení L2TP/IKEv2, musíte restartovat Směrování a vzdálený přístup", klikněte na tlačítko . OK .
7. Nakonec klikněte pravým tlačítkem myši na svůj server (např. "Svr1") a vyberte možnost Všechny úlohy > Restartovat.
Krok 4. Otevřete požadované porty v bráně Windows Firewall.
1. Přejít na Ovládací panel > Všechny položky ovládacího panelu > Brána Windows Firewall .
2. Klikněte na Rozšířená nastavení vlevo.
3. Vlevo vyberte Pravidla pro příchozí .
4a. Dvakrát klikněte na Směrování a vzdálený přístup (L2TP-In)
4b. Na kartě "Obecné" vyberte Povoleno, Povolit připojení a klikněte na DOBŘE.
5. Nyní klikněte pravým tlačítkem myši na Pravidla pro příchozí vlevo a vyberte Nové pravidlo.
6. Na první obrazovce vyberte Přístav a klikněte na Další.
7. Nyní vyberte UDP typ protokolu a do pole "Specifické místní porty" zadejte: 50, 500, 4500.
Po dokončení klikněte na tlačítko Další.
8. Ponechte výchozí nastavení "Povolit připojení" a klikněte na tlačítko Další .
9. Na další obrazovce klikněte na Další znovu.
10. Nyní zadejte název nového pravidla (např. "Povolit L2PT VPN") a klikněte na tlačítko. Dokončení .
11. Zavřít nastavení brány firewall.
Krok 5. Jak nakonfigurovat server síťových zásad pro povolení přístupu k síti.
Chcete-li uživatelům VPN povolit přístup k síti prostřednictvím připojení VPN, postupujte a upravte server síťových zásad následujícím způsobem:
1. Klikněte pravým tlačítkem myši na Protokolování a zásady vzdáleného přístupu a vyberte Spuštění NPS
2. Na kartě "Přehled" vyberte následující nastavení a klikněte na tlačítko. OK :
-
- Udělit přístup: Pokud požadavek na připojení odpovídá této zásadě. Server vzdáleného přístupu (VPN-Dial up)
3. Nyní otevřete Připojení k jiným přístupovým serverům zásady, vyberte stejné nastavení a klikněte na tlačítko DOBŘE.
-
- Udělení přístupu: Pokud požadavek na připojení odpovídá tomuto
zásady. server pro vzdálený přístup (VPN-Dial
nahoru)
- Udělení přístupu: Pokud požadavek na připojení odpovídá tomuto
4. Zavřete nastavení serveru síťových zásad.
Krok 6. Jak povolit připojení L2TP/IPsec za NAT.
Moderní klienti systému Windows (Windows 10, 8, 7 nebo Vista) a operační systémy Windows Server 2016, 2012 a 2008 ve výchozím nastavení nepodporují připojení L2TP/IPsec, pokud se počítač se systémem Windows nebo server VPN nachází za NAT. Chcete-li tento problém obejít, musíte v serveru VPN upravit registr následujícím způsobem. a klienty:
1. Současně stiskněte tlačítko Windows 
+ R otevřít příkazové pole pro spuštění.
2. Typ regedit a stiskněte Vstupte na .
3. V levém podokně přejděte na tento klíč:
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Sevices\PolicyAgent
4. Klikněte pravým tlačítkem myši na PolicyAgent a vyberte Nový -> DWORD (32 bitů) Hodnota .
5. Pro nový typ názvu klíče: AssumeUDPEncapsulationContextOnSendRule a stiskněte Vstupte na .
Poznámka: Hodnota musí být zadána tak, jak je uvedeno výše, a bez mezery.
6. Dvakrát klikněte na tento nový klíč DWORD a zadejte údaje Value: 2
7. Zavřít Editor registru. *
* Důležité: Chcete-li se vyhnout problémům při připojování k serveru VPN z klientského počítače se systémem Windows (Windows Vista, 7, 8, 10 a 2008 Server), musíte tuto opravu registru použít i na klienty.
8. Restart stroj.
Krok 7. Ověřte, zda jsou spuštěny služby IKE a IPsec Policy Agent.
Po restartu přejděte do ovládacího panelu služeb a zkontrolujte, zda jsou spuštěny následující služby. Za tímto účelem:
1. Současně stiskněte tlačítko Windows 
+ R otevřít příkazové pole pro spuštění.
2 . Do příkazového řádku pro spuštění zadejte: services.msc a stiskněte Vstupte.
3. Ujistěte se, že jsou spuštěny následující služby: *
-
- IKE a AuthIP Klíčové moduly IPsec Agent zásad IPsec
Poznámky:
1. Pokud výše uvedené služby nejsou spuštěny, dvakrát klikněte na každou službu a nastavte Typ spuštění na Automatické Pak klikněte na tlačítko OK a restartovat serveru.
2. Je třeba zajistit, aby výše uvedené služby byly spuštěny také v klientském počítači se systémem Windows.
Krok 8. Jak vybrat uživatele, kteří budou mít přístup k síti VPN.
Nyní je třeba určit, kteří uživatelé se budou moci připojit k serveru VPN (oprávnění Dial-IN).
1. Otevřít Správce serveru .
2. Z Nástroje v nabídce vyberte možnost Uživatelé a počítače služby Active Directory . *
Poznámka: Pokud váš server nepatří do žádné domény, přejděte na stránku Správa počítačů -> Místní uživatelé a skupiny .
3. Vyberte Uživatelé a dvakrát klikněte na uživatele, kterému chcete povolit přístup do sítě VPN.
4. Vyberte Vytáčení adresy a vyberte možnost Povolit přístup Pak klikněte na tlačítko OK .
Krok 9. Jak nakonfigurovat bránu firewall pro povolení přístupu k síti L2TP VPN (přesměrování portů).
Dalším krokem je povolení připojení VPN v bráně firewall.
1. Přihlaste se do webového rozhraní směrovače.
2. V konfiguraci směrovače přesměrujte porty 1701, 50, 500 a 4500 na IP adresu serveru VPN (viz příručka ke směrovači, jak konfigurovat přesměrování portů).
- Pokud má například server VPN IP adresu "192.168.1.8", musíte na ni přesměrovat všechny výše uvedené porty.
Další nápověda:
- Abyste se mohli připojit k serveru VPN na dálku, musíte znát veřejnou IP adresu serveru VPN. Chcete-li zjistit veřejnou IP adresu (z počítače serveru VPN), přejděte na tento odkaz: http://www.whatismyip.com/. Abyste měli jistotu, že se můžete vždy připojit k serveru VPN, je lepší mít statickou veřejnou IP adresu. Chcete-li získat statickou veřejnou IP adresu, musíte se obrátit na svůj server VPN.Pokud nechcete platit za statickou IP adresu, můžete si nastavit bezplatnou službu dynamického DNS (např. no-ip .) na straně směrovače (serveru VPN).
Krok 10. Jak nastavit připojení L2TP VPN v klientském počítači se systémem Windows.
Posledním krokem je vytvoření nového připojení L2TP/IPSec VPN k našemu serveru VPN 2016 v klientském počítači podle níže uvedených pokynů:
- Související článek: Jak nastavit připojení PPTP VPN v systému Windows 10.
POZOR: Než budete pokračovat ve vytváření připojení VPN, pokračujte a použijte opravu registru podle kroku 6 výše také v klientském počítači.
1. Otevřete Centrum síťových připojení a sdílení.
2. Klikněte na Nastavení nového připojení nebo sítě
3. Vyberte Připojení k pracovišti a klikněte na Další.
4. Pak vyberte Použijte mé internetové připojení (VPN).
5. Na další obrazovce zadejte Veřejná IP adresa serveru VPN a port VPN, který jste přiřadili na straně směrovače, a poté klikněte na tlačítko Vytvořit .
Např. pokud je externí IP adresa: 108.200.135.144, zadejte do pole Internetová adresa: "108.200.135.144" a do pole Název cíle zadejte libovolný název (např. "L2TP-VPN").
6. Zadejte uživatelské jméno a heslo pro připojení k síti VPN a klikněte na tlačítko Připojte se.
7. Pokud VPN nastavíte v klientském počítači se systémem Windows 7, pokusí se připojit. Přeskočit a pak klikněte na Zavřít , protože je třeba zadat některá další nastavení pro připojení VPN.
8. V centru Síť a sdílení klikněte na Změňte nastavení adaptéru vlevo.
9. Klikněte pravým tlačítkem myši na nové připojení VPN (např. "L2TP-VPN") a vyberte možnost Vlastnosti .
10. Vyberte Zabezpečení a vyberte možnost Tunelovací protokol 2. vrstvy s IPsec (L2TP/IPsec) a pak klikněte na Rozšířená nastavení.
11. V části "Rozšířená nastavení" zadejte předsdílený klíč (např. "TestVPN@1234" v tomto příkladu) a klikněte na tlačítko. OK
12. Pak klikněte na Povolit tyto protokoly a vyberte Microsoft CHAP verze 2 (MS-CHAP v2)
13. Poté vyberte Vytváření sítí dvakrát klikneme na kartu Internetový protokol verze 4 (TCP/IPv4) otevřít svůj Vlastnosti .
14. Pro Preferovaný server DNS zadejte místní IP adresu serveru VPN (např. "192.168.1.8" v tomto příkladu). *
Poznámka: Toto nastavení je nepovinné, proto jej použijte pouze v případě potřeby.
15. Poté klikněte na tlačítko Upřesnit a zrušte zaškrtnutí na Použití výchozí brány ve vzdálené síti protože chceme oddělit prohlížení internetu na počítači od připojení k síti VPN.
16. Nakonec klikněte na OK neustále zavírat všechna okna.
17. Nyní dvakrát klikněte na nové připojení VPN a klikněte na tlačítko Připojení , abyste se mohli připojit ke svému pracovišti.
To je vše! Dejte mi vědět, zda vám tento návod pomohl, a zanechte komentář o svých zkušenostech. Prosím, lajkujte a sdílejte tento návod, abyste pomohli ostatním.
Andy Davis
Blog správce systému o Windows
