Sisällysluettelo
Tässä opetusohjelmassa löydät vaiheittaiset ohjeet L2TP VPN Access Server -palvelimen asentamiseen Windows Server 2016 -käyttöjärjestelmässä. Virtuaalisen yksityisverkon (VPN) avulla voit muodostaa turvallisen yhteyden yksityiseen verkkoosi Internet-sijainnit ja se suojaa sinua Internet-hyökkäyksiltä ja tietojen sieppaamiselta.L2TP/IPSec VPN-yhteyden asentaminen ja konfigurointi Server 2016 -käyttöjärjestelmään on monivaiheinen prosessi.on määritettävä useita asetuksia VPN-palvelimen puolella onnistuneen VPN-toiminnan aikaansaamiseksi.
L2TP/IPSec VPN Server 2016 -palvelimen asentaminen mukautetulla jaetulla avaimella.
Tässä vaiheittaisessa oppaassa käymme läpi L2TP VPN Server 2016 -asennuksen, jossa käytetään Layer Two Tunneling Protocol -protokollaa (L2TP/IPSEC) ja mukautettua PreShared-avainta turvallisemman VPN-yhteyden luomiseksi.
Vaihe 1. Asenna reititys- ja etäyhteysrooli palvelimelle 2016.Vaihe 2. Määritä ja ota reititys- ja etäyhteys käyttöön palvelimella 2016.Vaihe 3. Määritä Preshared Key L2TP/IKEv2-yhteyksiä varten.Vaihe 4. Avaa tarvittavat portit Windowsin palomuurissa.Vaihe 5. Määritä VPN-palvelin sallimaan verkkokäyttö.Vaihe 6. Ota L2TP/IPsec-yhteydet käyttöön NAT:n takana.Vaihe 7. Tarkista, että tarvittavatL2TP-palvelut ovat käynnissä.Vaihe 8. Valitse VPN-käyttäjät.Vaihe 9. Määritä ISP:n palomuuri sallimaan L2TP VPN -yhteys.Vaihe 10. Määritä L2TP/IPSec VPN-yhteys asiakkaisiin. Vaihe 1. Miten etäkäyttö (VPN-yhteys) -roolin lisääminen palvelimelle 2016.
Ensimmäinen askel Windows Server 2016 -palvelimen asentamiseksi VPN-palvelimeksi on asentaa Etäkäyttö rooli {Direct Access & VPN (RAS) -palvelut} Server 2016 -palvelimellesi. *.
Info: Tässä esimerkissä VPN asennetaan Windows Server 2016 -koneeseen, jonka nimi on "Srv1" ja IP-osoite "192.168.1.8".
1. Asenna VPN-rooli Windows Server 2016:een avaamalla 'Server Manager' ja napsauttamalla kohtaa Lisää rooleja ja ominaisuuksia .
2. Ohjatun toiminnon 'Add Roles and Features wizard' ensimmäisellä näytöllä jätä kenttä Rooli- tai ominaisuuspohjainen asennus ja napsauta Seuraava.
3. Jätä seuraavassa näytössä oletusasetukseksi " Valitse palvelin palvelinpoolista " ja klikkaa Seuraava.
4. Valitse sitten Etäkäyttö rooli ja klikkaa Seuraava .
5. Jätä oletusasetukset 'Ominaisuudet' -näytössä ja napsauta sitten Seuraava .
6. Valitse 'Etäkäyttö' -tietonäytössä Seuraava .
7. Valitse 'Remote Services' -kohdasta Suora pääsy ja VPN (RAS) roolipalvelut ja valitse sitten Seuraava .
8. Napsauta sitten Lisää ominaisuuksia.
9. Klikkaa Seuraava jälleen.
10. Jätä oletusasetukset ja napsauta Seuraava (kahdesti) 'Web Server Role (IIS)' ja 'Role Services' -näytöissä.
11. Valitse 'Vahvistus'-näytössä Käynnistä kohdepalvelin uudelleen automaattisesti (tarvittaessa). ja klikkaa Asenna.
12. Varmista viimeisessä näytössä, että Remote Access -roolin asennus on onnistunut ja että Sulje velho.
13. Sitten (palvelimen hallinnasta) Työkalut valikosta, napsauta Etäkäytön hallinta.
14. Valitse Suora pääsy ja VPN vasemmalla ja napsauta sitten Suorita Ohjattu aloitus.
15. Napsauta sitten VPN:n käyttöönotto vain.
16. Jatka askel-2 alla reitityksen ja etäkäytön määrittäminen.
Vaihe 2. Reitityksen ja etäkäytön määrittäminen ja käyttöönotto Server 2016:ssa.
Seuraava vaihe on VPN-yhteyden ottaminen käyttöön ja määrittäminen Server 2016 -palvelimessa. Tätä varten:
1. Napsauta palvelimen nimeä hiiren oikealla painikkeella ja valitse Reitityksen ja etäkäytön määrittäminen ja käyttöönotto. *
Huomautus: Voit käynnistää Reititys- ja etäyhteysasetukset myös seuraavalla tavalla:
1. Avaa Server Manager ja valitse Työkalut valikko, valitse Tietokoneiden hallinta.
2. Laajenna Palvelut ja sovellukset
3. Klikkaa hiiren oikealla painikkeella Reititys ja etäkäyttö ja valitse Reitityksen ja etäkäytön määrittäminen ja käyttöönotto.
2. Klikkaa Seuraava kohdassa 'Ohjattu reititys- ja etäyhteyspalvelimen asennus'.
3. Valitse Mukautettu kokoonpano ja klikkaa Seuraava.
4. Valitse VPN-yhteys vain tässä tapauksessa ja napsauta Seuraava.
5. Klikkaa lopuksi Viimeistely .
6. Kun sinua pyydetään käynnistämään palvelu, napsauta Aloita .
7. Nyt näet vihreän nuolen palvelimesi nimen vieressä (esim. "Svr1" tässä esimerkissä).
Vaihe 3. Mukautetun IPsec-käytännön ottaminen käyttöön L2TP/IKEv2-yhteyksiä varten.
Nyt on aika sallia mukautettu IPsec-käytäntö reititys- ja etäkäyttöpalvelimelle ja määrittää mukautettu jaettu avain.
1. Osoitteessa Reititys ja etäkäyttö paneelissa, napsauta hiiren oikealla palvelimen nimeä ja valitse Ominaisuudet.
2. Osoitteessa Turvallisuus välilehti, valitse Salli mukautettu IPsec-käytäntö L2TP/IKEv2-yhteyttä varten. ja kirjoita sitten Preshared-avain (tässä esimerkissä kirjoitan: "TestVPN@1234").
3. Napsauta sitten Tunnistusmenetelmät painiketta (yllä) ja varmista, että Microsoftin salattu todennus versio 2 (MS-CHAP v2) on valittu ja napsauta sitten SELVÄ.
4. Valitse nyt IPv4 välilehti, valitse Staattinen osoitepooli ja klikkaa Lisää .
5. Kirjoita tähän IP-osoitealue, joka osoitetaan VPN-yhteyden muodostaneille asiakkaille, ja napsauta sitten kohtaa OK (kahdesti) sulkeaksesi kaikki ikkunat.
Esim. Tässä esimerkissä käytämme IP-osoitealuetta: 192.168.1.200 - 192.168.1.202.
6. Kun näyttöön tulee ponnahdusviesti: "Jos haluat ottaa käyttöön mukautetun IPsec-käytännön L2TP/IKEv2-yhteyksiä varten, sinun on käynnistettävä Reititys ja etäkäyttö uudelleen", valitse OK .
7. Klikkaa lopuksi hiiren kakkospainikkeella palvelintasi (esim. "Svr1") ja valitse sitten Kaikki tehtävät > Käynnistä uudelleen.
Vaihe 4. Avaa tarvittavat portit Windowsin palomuurissa.
1. Siirry osoitteeseen Ohjauspaneeli > Kaikki ohjauspaneelin kohteet > Windowsin palomuuri .
2. Klikkaa Lisäasetukset vasemmalla.
3. Valitse vasemmalla puolella Saapuvat säännöt .
4a. Kaksoisnapsauta kohtaa Reititys ja etäkäyttö (L2TP-In)
4b. Valitse välilehdeltä 'Yleistä' Käytössä, Salli yhteys ja klikkaa SELVÄ.
5. Klikkaa nyt hiiren oikealla painikkeella Saapuvat säännöt vasemmalla ja valitse Uusi sääntö.
6. Valitse ensimmäisessä näytössä Satama ja klikkaa Seuraava.
7. Valitse nyt UDP protokollatyyppi ja kirjoita kenttään 'Specific local ports': 50, 500, 4500.
Kun olet valmis, napsauta Seuraava.
8. Jätä oletusasetus "Salli yhteys" ja napsauta "Salli yhteys". Seuraava .
9. Valitse seuraavassa näytössä Seuraava jälleen.
10. Kirjoita nyt uudelle säännölle nimi (esim. "Allow L2PT VPN") ja napsauta painiketta Viimeistely .
11. Sulje palomuurin asetukset.
Vaihe 5. Verkkokäytäntöpalvelimen määrittäminen verkkokäytön sallimiseksi.
Jotta VPN-käyttäjät voivat käyttää verkkoa VPN-yhteyden kautta, jatka ja muuta Network Policy Server -palvelinta seuraavasti:
1. Klikkaa hiiren oikealla painikkeella Etäkäytön kirjaaminen ja käytännöt ja valitse NPS:n käynnistäminen
2. Valitse Yleiskatsaus-välilehdeltä seuraavat asetukset ja napsauta sitten OK :
-
- Pääsyn myöntäminen: Jos yhteyspyyntö vastaa tätä käytäntöä. Etäkäyttöpalvelin (VPN-soitto).
3. Avaa nyt Yhteydet muihin yhteyspalvelimiin käytäntö, valitse samat asetukset ja napsauta SELVÄ.
-
- Pääsyn myöntäminen: Jos yhteyspyyntö vastaa tätä
käytäntö. Etäkäyttöpalvelin (VPN-Dial
ylös)
- Pääsyn myöntäminen: Jos yhteyspyyntö vastaa tätä
4. Sulje Network Policy Server -asetukset.
Vaihe 6. L2TP/IPsec-yhteyksien ottaminen käyttöön NAT:n takana.
Oletusarvoisesti nykyaikaiset Windows-asiakkaat (Windows 10, 8, 7 tai Vista) ja Windows Server 2016, 2012 ja 2008 -käyttöjärjestelmät eivät tue L2TP/IPsec-yhteyksiä, jos Windows-tietokone tai VPN-palvelin sijaitsevat NAT:n takana. Tämän ongelman ohittamiseksi sinun on muutettava rekisteriä seuraavasti VPN-palvelimessa seuraavasti ja asiakkaat:
1. Paina samanaikaisesti Windows 
+ R näppäimillä voit avata komentoruudun.
2. Tyyppi regedit ja paina Kirjoita .
3. Siirry vasemmanpuoleisessa ruudussa tähän näppäimeen:
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Sevices\PolicyAgent -palvelin
4. Klikkaa hiiren oikealla painikkeella PolicyAgent ja valitse Uusi -> DWORD (32 bittiä) Arvo .
5. Uuden avaimen nimitystyyppi: AssumeUDPEncapsulationContextOnSendRule ja paina Kirjoita .
Huomautus: Arvo on syötettävä edellä esitetyllä tavalla ilman välilyöntejä.
6. Kaksoisnapsauta tätä uutta DWORD-avainta ja syötä arvotiedot: 2
7. Sulje Rekisterieditori. *
* Tärkeää: Jos haluat välttää ongelmat, kun muodostat yhteyden VPN-palvelimeen Windows-asiakastietokoneesta (Windows Vista, 7, 8, 10 ja 2008 Server), sinun on sovellettava tätä rekisterikorjausta myös asiakkaisiin.
8. Käynnistä uudelleen kone.
Vaihe 7. Varmista, että IKE- ja IPsec Policy Agent -palvelut ovat käynnissä.
Uudelleenkäynnistyksen jälkeen siirry palveluiden ohjauspaneeliin ja varmista, että seuraavat palvelut ovat toiminnassa. Voit tehdä sen seuraavasti:
1. Paina samanaikaisesti Windows 
+ R näppäimillä voit avata komentoruudun.
2 . Kirjoita komentoruutuun run: services.msc ja paina Astu sisään.
3. Varmista, että seuraavat palvelut ovat käynnissä: *
-
- IKE ja AuthIP IPsec-avaintimoduulit IPsec Policy Agent IPsec Policy Agent
Huomautuksia:
1. Jos edellä mainitut palvelut eivät ole käynnissä, kaksoisnapsauta kutakin palvelua ja aseta Käynnistystyyppi osoitteeseen Automaattinen Napsauta sitten OK ja Käynnistä uudelleen palvelin.
2. Sinun on varmistettava, että edellä mainitut palvelut ovat käynnissä myös Windows-asiakaskoneessa.
Vaihe 8. Miten valita, mitkä käyttäjät saavat VPN-yhteyden.
Nyt on aika määrittää, ketkä käyttäjät voivat muodostaa yhteyden VPN-palvelimeen (Dial-IN-oikeudet).
1. Avaa Palvelimen johtaja .
2. Osoitteesta Työkalut valikko, valitse Active Directoryn käyttäjät ja tietokoneet . *
Huomautus: Jos palvelimesi ei kuulu toimialueeseen, siirry osoitteeseen Tietokoneiden hallinta -> Paikalliset käyttäjät ja ryhmät .
3. Valitse Käyttäjät ja kaksoisnapsauta käyttäjää, jolle haluat sallia VPN-yhteyden.
4. Valitse Sisäänkirjautuminen välilehti ja valitse Salli pääsy Napsauta sitten OK .
Vaihe 9. Palomuurin konfigurointi L2TP VPN -yhteyden sallimiseksi (porttien edelleenohjaus).
Seuraava vaihe on VPN-yhteyksien salliminen palomuurissa.
1. Kirjaudu sisään reitittimen verkkokäyttöliittymään.
2. Reitittimen määritysasetusten sisällä ohjaa portit 1701, 50, 500 ja 4500 VPN-palvelimen IP-osoitteeseen (katso reitittimesi käyttöoppaasta, miten porttien välitys määritetään).
- Jos VPN-palvelimen IP-osoite on esimerkiksi 192.168.1.8, sinun on ohjattava kaikki edellä mainitut portit kyseiseen IP-osoitteeseen.
Lisäapua:
- Voidaksesi muodostaa yhteyden VPN-palvelimeesi etäältä sinun on tiedettävä VPN-palvelimen julkinen IP-osoite. Löytääksesi julkisen IP-osoitteen (VPN-palvelimen tietokoneelta) siirry tähän linkkiin: http://www.whatismyip.com/ Varmistaaksesi, että voit aina muodostaa yhteyden VPN-palvelimeesi, on parempi käyttää staattista julkista IP-osoitetta. Saadaksesi staattisen julkisen IP-osoitteen sinun on otettava yhteyttä VPN-palvelimeesi.Jos et halua maksaa staattisesta IP-osoitteesta, voit ottaa käyttöön ilmaisen dynaamisen DNS-palvelun (esim. no-ip .) reitittimen (VPN-palvelimen) puolella.
Vaihe 10. L2TP VPN -yhteyden asentaminen Windows-asiakastietokoneeseen.
Viimeinen vaihe on luoda uusi L2TP/IPSec VPN -yhteys VPN Server 2016 -palvelimellemme asiakastietokoneella noudattamalla alla olevia ohjeita:
- Aiheeseen liittyvä artikkeli: PPTP VPN -yhteyden asentaminen Windows 10:ssä.
HUOMIO: Ennen kuin jatkat VPN-yhteyden luomista, jatka ja sovella edellä vaiheessa 6 mainittua rekisterikorjausta myös asiakastietokoneeseen.
1. Avaa Verkko- ja jakamiskeskus.
2. Klikkaa Määritä uusi yhteys tai verkko
3. Valitse Yhteys työpaikkaan ja klikkaa Seuraava.
4. Valitse sitten Käytä Internet-yhteyttäni (VPN).
5. Kirjoita seuraavassa näytössä VPN-palvelimen julkinen IP-osoite ja VPN-portti, jonka olet määrittänyt reitittimen puolella, ja valitse sitten Luo .
Jos ulkoinen IP-osoite on esimerkiksi: 108.200.135.144, kirjoita "108.200.135.144" Internet-osoite-kenttään ja kirjoita 'Kohteen nimi' -kenttään mikä tahansa haluamasi nimi (esim. "L2TP-VPN").
6. Kirjoita VPN-yhteyden käyttäjänimi ja salasana ja napsauta sitten Yhdistä.
7. Jos asennat VPN:n Windows 7 -asiakaskoneeseen, se yrittää muodostaa yhteyden. Paina Ohita ja napsauta sitten Sulje , koska sinun on määritettävä joitakin lisäasetuksia VPN-yhteyttä varten.
8. Napsauta Verkko- ja jakamiskeskuksessa Muuta sovittimen asetuksia vasemmalla.
9. Napsauta hiiren oikealla painikkeella uutta VPN-yhteyttä (esim. "L2TP-VPN") ja valitse sitten Ominaisuudet .
10. Valitse Turvallisuus välilehti ja valitse Layer 2 (Tunnelointiprotokolla IPsec:llä (L2TP/IPsec)) ja napsauta sitten Lisäasetukset.
11. Kirjoita 'Lisäasetukset' -kohtaan Preshared key (esim. "TestVPN@1234" tässä esimerkissä) ja napsauta "Preshared key". OK
12. Napsauta sitten Salli nämä protokollat ja valitse Microsoft CHAP versio 2 (MS-CHAP v2)
13. Valitse sitten Verkostoituminen Kaksoisnapsautamme välilehteä Internet-protokollan versio 4 (TCP/IPv4) avata sen Ominaisuudet .
14. Osoitteessa Suositeltava DNS-palvelin kirjoita VPN-palvelimen paikallinen IP-osoite (esim. "192.168.1.8" tässä esimerkissä). *.
Huomautus: Tämä asetus on valinnainen, joten käytä sitä vain tarvittaessa.
15. Napsauta sitten Lisäasetukset-painiketta ja poista valintaruutu ... Käytä oletusyhdyskäytävää etäverkossa koska haluamme erottaa tietokoneen Internet-selailun VPN-yhteydestä.
16. Klikkaa lopuksi OK jatkuvasti sulkea kaikki ikkunat.
17. Kaksoisnapsauta nyt uutta VPN-yhteyttä ja valitse sitten Yhdistä , jotta saat yhteyden työpaikallesi.
Kerro minulle, onko tämä opas auttanut sinua jättämällä kommentti kokemuksestasi. Tykkää ja jaa tätä opasta auttaaksesi muita.
Andy Davis
Järjestelmänvalvojan blogi Windowsista
