Spis treści
W tym poradniku znajdziesz instrukcje krok po kroku, jak skonfigurować serwer dostępu L2TP VPN na Windows Server 2016.Wirtualna sieć prywatna (VPN) pozwala bezpiecznie połączyć się z siecią prywatną z lokalizacji internetowych i jest to ochrona przed atakami internetowymi i przechwytywaniem danych.Aby zainstalować i skonfigurować dostęp L2TP/IPSec VPN na Server 2016 jest to proces wieloetapowy, ponieważmuszą skonfigurować kilka ustawień po stronie serwera VPN, aby osiągnąć udaną operację VPN.
How to Install a L2TP/IPSec VPN Server 2016 with Custom Preshared Key.
W tym przewodniku krok po kroku przechodzimy przez konfigurację L2TP VPN Server 2016 przy użyciu protokołu Layer Two Tunneling Protocol (L2TP/IPSEC) z niestandardowym kluczem PreShared, dla bardziej bezpiecznego połączenia VPN.
Krok 1. Zainstaluj rolę Routing and Remote Access na serwerze 2016.Krok 2. Skonfiguruj i włącz Routing and Remote Access na serwerze 2016.Krok 3. Skonfiguruj klucz preszpanowy dla połączeń L2TP/IKEv2.Krok 4. Otwórz wymagane porty w Windows Firewall.Krok 5. Skonfiguruj serwer VPN, aby zezwolić na dostęp do sieci.Krok 6. Włącz połączenia L2TP/IPsec za NAT.Krok 7. Sprawdź, czy wymaganeL2TP Services are running.Step 8. Select the VPN Users.Step 9. Configure ISP's Firewall to Allow the L2TP VPN Access.Step 10. Setup the L2TP/IPSec VPN Connection on Clients.Step 1. How to Add Remote Access (VPN Access) role on a Server 2016.
Pierwszym krokiem do skonfigurowania systemu Windows Server 2016, jako serwera VPN jest zainstalowanie Zdalny dostęp rola {Usługi Direct Access & VPN (RAS)} do serwera 2016 *.
Info: Dla tego przykładu skonfigurujemy VPN na maszynie Windows Server 2016, nazwanej "Srv1" i z adresem IP "192.168.1.8".
1. Aby zainstalować rolę VPN na Windows Server 2016, należy otworzyć 'Server Manager' i kliknąć na Dodaj role i funkcje .
2. Na pierwszym ekranie kreatora "Add Roles and Features wizard" pozostawić Instalacja oparta na rolach lub funkcjach i kliknąć Następny.
3. Na kolejnym ekranie pozostaw domyślną opcję ". Wybierz serwer z puli serwerów " i kliknij Następny.
4. Następnie wybierz Zdalny dostęp rolę i kliknij Następny .
5. Na ekranie "Features" pozostawić ustawienia domyślne i kliknąć Następny .
6. Na ekranie informacyjnym "Remote Access" kliknij Następny .
7. W "Usługach zdalnych" należy wybrać Bezpośredni dostęp i VPN (RAS) usługi roli, a następnie kliknij Następny .
8. Następnie kliknij Add Features.
9. Kliknij Następny ponownie.
10. Pozostaw ustawienia domyślne i kliknij Następny (dwukrotnie) na ekranach "Web Server Role (IIS)" i "Role Services".
11. Na ekranie "Potwierdzenie" należy wybrać Automatycznie zrestartuj serwer docelowy (jeśli jest to wymagane) i kliknąć Zainstaluj.
12. Na ekranie końcowym upewnij się, że instalacja roli Remote Access zakończyła się sukcesem i Zamknij czarodziej.
13. Następnie (z poziomu Server Manager) Narzędzia menu, kliknij na Zdalne zarządzanie dostępem.
14. Wybierz Dostęp bezpośredni i VPN po lewej stronie, a następnie kliknij na Uruchomić kreatora Getting Started Wizard.
15. Następnie kliknij Wdrożenie VPN tylko.
16. Kontynuuj do krok 2 poniżej, aby skonfigurować Routing i Remote Access.
Krok 2. How to Configure and Enable Routing and Remote Access on Server 2016.
Kolejnym krokiem jest włączenie i skonfigurowanie dostępu VPN na naszym serwerze 2016. Aby to zrobić:
1. Kliknij prawym przyciskiem myszy na nazwę serwera i wybierz Configure and Enable Routing and Remote Access *.
Uwaga: Możesz również uruchomić ustawienia Routing i Remote Access, korzystając z następującego sposobu:
1) Otwórz Server Manager i z Narzędzia menu, wybierz Zarządzanie komputerem.
2) Rozwiń Usługi i aplikacje
3. kliknij prawym przyciskiem myszy na Routing i dostęp zdalny i wybrać Configure and Enable Routing and Remote Access.
2. Kliknij Następny w "Kreator konfiguracji serwera routingu i dostępu zdalnego".
3. Wybierz Konfiguracja niestandardowa i kliknąć Następny.
4. Wybierz Dostęp przez VPN tylko w tym przypadku i kliknij Następny.
5. Na koniec kliknij Wykończenie .
6. Po wyświetleniu monitu o uruchomienie usługi kliknij Start .
7. Teraz zobaczysz zieloną strzałkę obok nazwy Twojego serwera (np. "Svr1" w tym przykładzie).
Krok 3. Jak włączyć politykę Custom IPsec dla połączeń L2TP/IKEv2.
Teraz nadszedł czas, aby zezwolić na niestandardową politykę IPsec na serwerze Routing and Remote Access i określić niestandardowy klucz preszpanowy.
1. Na stronie Routing i dostęp zdalny w panelu, kliknij prawym przyciskiem myszy na nazwę swojego serwera i wybierz Właściwości.
2. Na stronie Bezpieczeństwo zakładka, wybierz Zezwalaj na stosowanie własnych zasad IPsec dla połączenia L2TP/IKEv2 a następnie wpisujemy klucz Preshared (dla tego przykładu wpisuję: "TestVPN@1234").
3. Następnie kliknij przycisk Metody uwierzytelniania (powyżej) i upewnij się, że Microsoft encrypted authentication version 2 (MS-CHAP v2) jest zaznaczona, a następnie kliknij OK.
4. Teraz wybierz IPv4 zakładka, wybierz Pula adresów statycznych i kliknąć Dodaj .
5. W tym miejscu należy wpisać zakres adresów IP, które zostaną przypisane klientom podłączonym do sieci VPN i kliknąć OK (dwukrotnie), aby zamknąć wszystkie okna.
np. W tym przykładzie użyjemy zakresu adresów IP: 192.168.1.200 - 192.168.1.202.
6. Po wyświetleniu komunikatu: "Aby włączyć niestandardową politykę IPsec dla połączeń L2TP/IKEv2, musisz ponownie uruchomić Routing and Remote Access", kliknij OK .
7. Na koniec kliknij prawym przyciskiem myszy na swój serwer (np. "Svr1") i wybierz Wszystkie zadania > Uruchom ponownie.
Krok 4. Otwórz wymagane porty w Zaporze systemu Windows.
1. Idź do Panel sterowania > Wszystkie pozycje panelu sterowania > Zapora systemu Windows .
2. Kliknij Ustawienia zaawansowane po lewej stronie.
3. Po lewej stronie wybierz Zasady przychodzące .
4a. Kliknij dwukrotnie na Routing i dostęp zdalny (L2TP-In)
4b. W zakładce "Ogólne" należy wybrać Enabled - zezwolenie na połączenie i kliknąć OK.
5. Teraz kliknij prawym przyciskiem myszy na Zasady przychodzące po lewej stronie i wybierz Nowa zasada.
6. Na pierwszym ekranie wybierz Port i kliknąć Następny.
7. teraz wybierz UDP typ protokołu i w polu "Specific local ports" wpisać: 50, 500, 4500.
Po zakończeniu kliknij Next.
8. Pozostaw domyślne ustawienie "Zezwalaj na połączenie" i kliknij Następny .
9. Na następnym ekranie kliknij Następny ponownie.
10. Teraz należy wpisać nazwę nowej reguły (np. "Allow L2PT VPN") i kliknąć Wykończenie .
11. zamknięcie ustawienia Zapory sieciowej.
Krok 5. Jak skonfigurować Network Policy Server, aby zezwolić na dostęp do sieci.
W celu umożliwienia użytkownikom VPN dostępu do sieci poprzez połączenie VPN, należy przystąpić i zmodyfikować Network Policy Server w następujący sposób:
1. Kliknij prawym przyciskiem myszy na Rejestrowanie i polityka zdalnego dostępu i wybrać Uruchomienie NPS
2. W zakładce "Przegląd" wybrać następujące ustawienia i kliknąć OK :
-
- Przyznanie dostępu: Jeśli żądanie połączenia odpowiada tej polityce. Remote Access Server (VPN-Dial up)
3. Teraz otwórz Połączenia z innymi serwerami dostępowymi polityki, wybierz te same ustawienia i kliknij OK.
-
- Przyznanie dostępu: Jeśli żądanie połączenia odpowiada temu
Polityka. Serwer zdalnego dostępu (VPN-Dial
do)
- Przyznanie dostępu: Jeśli żądanie połączenia odpowiada temu
4. Zamknij ustawienia Network Policy Server.
Krok 6. How to Enable L2TP/IPsec Connections Behind NAT.
Domyślnie nowoczesne klienty Windows (Windows 10, 8, 7 lub Vista) oraz systemy operacyjne Windows Server 2016, 2012 i 2008 nie obsługują połączeń L2TP/IPsec, jeśli komputer z systemem Windows lub serwer VPN znajdują się za NAT-em. Aby ominąć ten problem należy zmodyfikować rejestr w następujący sposób, w serwerze VPN i Klientów:
1. Równocześnie naciśnij przycisk Windows + R aby otworzyć okno poleceń run.
2. Typ regedit i nacisnąć Wejdź na stronę .
3. W lewym okienku przejdź do tego klucza:
- HKEY_LOCAL_MACHINE ™SYSTEM ™CurrentControlSet ™Sevices ™PolicyAgent
4. Kliknij prawym przyciskiem myszy na PolicyAgent i wybrać Nowy -> DWORD (32 bit) Wartość .
5. Dla nowego typu nazwy klucza: AssumeUDPEncapsulationContextOnSendRule i nacisnąć Wejdź na stronę .
Uwaga: Wartość musi być wprowadzona w sposób pokazany powyżej i bez spacji.
6. Kliknij dwukrotnie na ten nowy klucz DWORD i wprowadź dane Value: 2
7. zamknij Registry Editor. *
* Ważne: Aby uniknąć problemów podczas łączenia się z serwerem VPN z komputera klienckiego z systemem Windows (Windows Vista, 7, 8, 10 i 2008 Server), należy zastosować tę poprawkę rejestru również dla klientów.
8. uruchomić ponownie maszyny.
Krok 7. Sprawdź, czy usługi IKE i IPsec Policy Agent są uruchomione.
Po ponownym uruchomieniu przejdź do panelu sterowania usługami i upewnij się, że następujące usługi są uruchomione.Aby to zrobić:
1. Równocześnie naciśnij przycisk Windows + R aby otworzyć okno poleceń run.
2 W oknie poleceń Run wpisz: services.msc i nacisnąć Wejdź.
3. Upewnij się, że uruchomione są następujące usługi: *
-
- IKE i AuthIP Moduły kluczowania IPsec Agent polityki IPsec
Uwagi:
Jeśli powyższe usługi nie są uruchomione, należy kliknąć dwukrotnie na każdą z nich i ustawić Typ uruchomienia do Automatycznie Następnie kliknij OK oraz zrestartować serwer.
2. Należy upewnić się, że powyższe usługi są również uruchomione w maszynie klienckiej Windows.
Krok 8. Jak wybrać, którzy użytkownicy będą mieli dostęp do VPN.
Teraz czas określić, którzy użytkownicy będą mogli połączyć się z serwerem VPN (Dial-IN permissions).
1. Otwórz Kierownik serwera .
2. Ze strony Narzędzia menu, wybierz Active Directory Użytkownicy i komputery . *
Uwaga: Jeśli Twój serwer nie należy do domeny, przejdź do Zarządzanie komputerami -> Lokalni użytkownicy i grupy .
3. Wybierz Użytkownicy i kliknij dwukrotnie na użytkownika, któremu chcesz umożliwić dostęp do VPN.
4. Wybierz Dial-in zakładka i wybrać Umożliwić dostęp Następnie kliknij OK .
Krok 9. How to Configure Firewall to Allow L2TP VPN Access (Port Forwarding).
Kolejnym krokiem jest zezwolenie na połączenia VPN w Firewallu.
1. Zaloguj się do interfejsu internetowego routera.
2. W konfiguracji routera przekieruj porty 1701, 50, 500 i 4500 na adres IP serwera VPN (patrz instrukcja routera jak skonfigurować przekierowanie portów).
- Na przykład, jeśli serwer VPN ma adres IP "192.168.1.8" to musisz przekierować wszystkie wyżej wymienione porty na to IP.
Dodatkowa pomoc:
- Aby móc połączyć się z serwerem VPN na odległość, musisz znać publiczny adres IP serwera VPN. Aby znaleźć publiczny adres IP (z komputera serwera VPN), przejdź do tego linku: http://www.whatismyip.com/ Aby zapewnić, że zawsze możesz połączyć się z serwerem VPN, lepiej jest mieć statyczny publiczny adres IP. Aby uzyskać statyczny publiczny adres IP, musisz skontaktować się z firmąJeśli nie chcesz płacić za statyczny adres IP, możesz skonfigurować darmową usługę Dynamic DNS (np. no-ip .) po stronie routera (serwera VPN).
Krok 10. Jak skonfigurować połączenie L2TP VPN na komputerze klienckim z systemem Windows.
Ostatnim krokiem jest stworzenie nowego połączenia L2TP/IPSec VPN z naszym VPN Server 2016 na komputerze klienckim, postępując zgodnie z poniższą instrukcją:
- Powiązany artykuł: How to Setup a PPTP VPN Connection on Windows 10.
UWAGA: Przed kontynuacją tworzenia połączenia VPN, przejdź i zastosuj poprawkę rejestru w kroku 6 powyżej, również na komputerze klienckim.
1. Otwórz Centrum sieci i udostępniania.
2. Kliknij Skonfiguruj nowe połączenie lub sieć
3. Wybierz Podłączenie do miejsca pracy i kliknąć Następny.
4. Następnie wybierz Użyj mojego połączenia internetowego (VPN).
5. Na następnym ekranie wpisz Publiczny adres IP serwera VPN i port VPN, który został przypisany po stronie routera, a następnie kliknij Utwórz .
np. Jeśli zewnętrzny adres IP to: 108.200.135.144, to w polu Internet Address wpisz: "108.200.135.144", a w polu Destination name wpisz dowolną nazwę (np. "L2TP-VPN").
6. Wpisz nazwę użytkownika i hasło dla połączenia VPN i kliknij Połącz.
7. Jeśli skonfigurujesz VPN na komputerze klienckim z systemem Windows 7, będzie on próbował się połączyć. Naciśnij Skip a następnie kliknij Zamknij , ponieważ musisz określić pewne dodatkowe ustawienia dla połączenia VPN.
8. W Centrum sieci i udostępniania kliknij na Zmień ustawienia adaptera po lewej stronie.
9. Kliknij prawym przyciskiem myszy na nowe połączenie VPN (np. "L2TP-VPN") i wybierz Właściwości .
10. Wybierz Bezpieczeństwo zakładka i wybrać Layer 2 (Tunneling Protocol with IPsec (L2TP/IPsec) a następnie kliknij na Ustawienia zaawansowane.
11. W "Ustawieniach zaawansowanych" wpisz klucz preszpanowy (np. "TestVPN@1234" w tym przykładzie) i kliknij OK
12. Następnie kliknij na Pozwól na te protokoły i wybrać Microsoft CHAP wersja 2 (MS-CHAP v2)
13. Następnie wybierz Tworzenie sieci klikniemy dwukrotnie na Protokół internetowy w wersji 4 (TCP/IPv4) otworzyć jego Właściwości .
14. Dla Preferowany serwer DNS Wpisz lokalny adres IP serwera VPN (np. "192.168.1.8" w tym przykładzie). *
Uwaga: To ustawienie jest opcjonalne, więc zastosuj je tylko w razie potrzeby.
15. Następnie kliknij przycisk Zaawansowane i odznaczyć the Użyj domyślnej bramy w sieci zdalnej ponieważ chcemy oddzielić nasze przeglądanie Internetu na PC od połączenia VPN.
16. Na koniec kliknij OK nieustannie zamykać wszystkie okna.
17. Teraz kliknij dwukrotnie na nowe połączenie VPN i kliknij Połącz , aby połączyć się ze swoim miejscem pracy.
To wszystko! Daj mi znać, czy ten przewodnik pomógł Ci, zostawiając komentarz o swoim doświadczeniu. Proszę polubić i udostępnić ten przewodnik, aby pomóc innym.
Andy'ego Davisa
Blog administratora systemu o systemie Windows