Obsah
V tomto návode nájdete postupné pokyny na nastavenie prístupového servera L2TP VPN na serveri Windows Server 2016. Virtuálna privátna sieť (VPN) vám umožňuje bezpečné pripojenie k vašej súkromnej sieti z miest na internete a chráni vás pred internetovými útokmi a zachytávaním údajov.Inštalácia a konfigurácia prístupu L2TP/IPSec VPN na serveri Server 2016 je viackrokový proces, pretožemusíte nakonfigurovať niekoľko nastavení na strane servera VPN, aby ste dosiahli úspešnú prevádzku VPN.
Ako nainštalovať server VPN L2TP/IPSec 2016 s vlastným zdieľaným kľúčom.
V tejto príručke krok za krokom prejdeme nastavením servera L2TP VPN 2016 pomocou protokolu Layer Two Tunneling Protocol (L2TP/IPSEC) s vlastným zdieľaným kľúčom (PreShared key) na bezpečnejšie pripojenie VPN.
Krok 1. Nainštalujte rolu Smerovanie a vzdialený prístup na serveri 2016.Krok 2. Nakonfigurujte a povoľte Smerovanie a vzdialený prístup na serveri 2016.Krok 3. Nakonfigurujte zdieľaný kľúč pre pripojenia L2TP/IKEv2.Krok 4. Otvorte požadované porty v bráne firewall systému Windows.Krok 5. Nakonfigurujte server VPN tak, aby povolil prístup k sieti.Krok 6. Povoľte pripojenia L2TP/IPsec za NAT.Krok 7. Skontrolujte, či sú požadovanéSlužby L2TP sú spustené.Krok 8. Vyberte používateľov VPN.Krok 9. Nakonfigurujte bránu firewall poskytovateľa internetových služieb tak, aby povolila prístup L2TP VPN.Krok 10. Nastavte pripojenie L2TP/IPSec VPN na klientoch. Krok 1. Ako pridať rolu vzdialeného prístupu (prístup VPN) na server 2016.
Prvým krokom pri nastavovaní systému Windows Server 2016 ako servera VPN je inštalácia Vzdialený prístup rolu {Služby priameho prístupu a VPN (RAS)} na serveri 2016. *
Informácie: V tomto príklade nastavíme VPN na počítači so systémom Windows Server 2016 s názvom "Srv1" a IP adresou "192.168.1.8".
1. Ak chcete nainštalovať rolu VPN v systéme Windows Server 2016, otvorte Správcu servera a kliknite na položku Pridanie rolí a funkcií .
2. Na prvej obrazovke "Sprievodcu pridaním rolí a funkcií" nechajte Inštalácia na základe rolí alebo funkcií a kliknite na možnosť Ďalšie.
3. Na ďalšej obrazovke ponechajte predvolenú možnosť " Výber servera z fondu serverov " a kliknite na tlačidlo Ďalšie.
4. Potom vyberte Vzdialený prístup rolu a kliknite na tlačidlo Ďalšie .
5. Na obrazovke "Funkcie" ponechajte predvolené nastavenia a kliknite na tlačidlo Ďalšie .
6. Na informačnej obrazovke "Vzdialený prístup" kliknite na Ďalšie .
7. V časti Vzdialené služby vyberte Priamy prístup a VPN (RAS) služby rolí a potom kliknite na Ďalšie .
8. Potom kliknite na tlačidlo Pridať funkcie.
9. Kliknite na . Ďalšie opäť.
10. Ponechajte predvolené nastavenia a kliknite na Ďalšie (dvakrát) na obrazovkách "Role webového servera (IIS)" a "Služby rolí".
11. Na obrazovke "Potvrdenie" vyberte Automatické reštartovanie cieľového servera (ak je to potrebné) a kliknite na Inštalácia.
12. Na záverečnej obrazovke skontrolujte, či bola inštalácia roly Vzdialený prístup úspešná a Zatvoriť čarodejník.
13. Potom (zo Správcu servera) Nástroje menu, kliknite na Správa vzdialeného prístupu.
14. Vyberte Priamy prístup a VPN vľavo a potom kliknite na Spustite Sprievodcu spustením.
15. Potom kliknite na tlačidlo Nasadenie siete VPN iba.
16. Pokračovať na krok-2 nižšie na konfiguráciu smerovania a vzdialeného prístupu.
Krok 2. Ako nakonfigurovať a povoliť smerovanie a vzdialený prístup na serveri 2016.
Ďalším krokom je povolenie a konfigurácia prístupu VPN na našom serveri 2016:
1. Kliknite pravým tlačidlom myši na názov servera a vyberte položku Konfigurácia a povolenie smerovania a vzdialeného prístupu. *
Poznámka: Nastavenia smerovania a vzdialeného prístupu môžete spustiť aj nasledujúcim spôsobom:
1. Otvorte Správcu servera a z Nástroje vyberte ponuku Správa počítačov.
2. Rozšíriť Služby a aplikácie
3. Kliknite pravým tlačidlom myši na Smerovanie a vzdialený prístup a vyberte Konfigurácia a povolenie smerovania a vzdialeného prístupu.
2. Kliknite na . Ďalšie v časti "Sprievodca nastavením servera smerovania a vzdialeného prístupu".
3. Vyberte si Vlastná konfigurácia a kliknite na Ďalšie.
4. Vyberte Prístup do siete VPN len v tomto prípade a kliknite na Ďalšie.
5. Nakoniec kliknite na tlačidlo Dokončenie .
6. Po zobrazení výzvy na spustenie služby kliknite na tlačidlo Štart .
7. Teraz uvidíte zelenú šípku vedľa názvu servera (napr. "Svr1" v tomto príklade).
Krok 3. Ako povoliť vlastnú politiku IPsec pre pripojenia L2TP/IKEv2.
Teraz je čas povoliť vlastné zásady IPsec na serveri smerovania a vzdialeného prístupu a určiť vlastný zdieľaný kľúč.
1. Na stránke Smerovanie a vzdialený prístup kliknite pravým tlačidlom myši na názov servera a vyberte položku Vlastnosti.
2. Na stránke Zabezpečenie vyberte kartu Povolenie vlastných zásad IPsec pre pripojenie L2TP/IKEv2 a potom zadajte zdieľaný kľúč (v tomto príklade zadám: "TestVPN@1234").
3. Potom kliknite na Metódy overovania (vyššie) a uistite sa, že Šifrované overovanie Microsoft verzia 2 (MS-CHAP v2) a potom kliknite na tlačidlo V PORIADKU.
4. Teraz vyberte IPv4 vyberte kartu Fond statických adries a kliknite na Pridať .
5. Tu zadajte rozsah IP adries, ktoré budú pridelené klientom pripojeným k sieti VPN, a kliknite na tlačidlo OK (dvakrát), aby ste zatvorili všetky okná.
Pre tento príklad použijeme rozsah IP adries: 192.168.1.200 - 192.168.1.202.
6. Keď sa zobrazí vyskakovacie hlásenie: "Ak chcete povoliť vlastnú politiku IPsec pre spojenia L2TP/IKEv2, musíte reštartovať Smerovanie a vzdialený prístup", kliknite na OK .
7. Nakoniec kliknite pravým tlačidlom myši na váš server (napr. "Svr1") a vyberte Všetky úlohy > Reštartovať.
Krok 4. Otvorte požadované porty v bráne Windows Firewall.
1. Prejsť na Ovládací panel > Všetky položky ovládacieho panela > Brána firewall systému Windows .
2. Kliknite na . Rozšírené nastavenia na ľavej strane.
3. Vľavo vyberte Pravidlá príchodu .
4a. Dvakrát kliknite na Smerovanie a vzdialený prístup (L2TP-In)
4b. Na karte "Všeobecné" vyberte Povolené, Povoliť pripojenie a kliknite na V PORIADKU.
5. Teraz kliknite pravým tlačidlom myši na Pravidlá príchodu na ľavej strane a vyberte Nové pravidlo.
6. Na prvej obrazovke vyberte Prístav a kliknite na Ďalšie.
7. Teraz vyberte UDP typ protokolu a do poľa "Špecifické miestne porty" zadajte: 50, 500, 4500.
Po dokončení kliknite na tlačidlo Ďalej.
8. Ponechajte predvolené nastavenie "Povoliť pripojenie" a kliknite na tlačidlo Ďalšie .
9. Na ďalšej obrazovke kliknite na Ďalšie opäť.
10. Teraz zadajte názov nového pravidla (napr. "Povoliť L2PT VPN") a kliknite na tlačidlo Dokončenie .
11. Zatvoriť nastavenia brány firewall.
Krok 5. Ako nakonfigurovať server sieťových politík na povolenie prístupu do siete.
Ak chcete používateľom VPN povoliť prístup k sieti prostredníctvom pripojenia VPN, postupujte a upravte server sieťových politík takto:
1. Kliknite pravým tlačidlom myši na Protokolovanie a zásady vzdialeného prístupu a vyberte Spustenie NPS
2. Na karte "Prehľad" vyberte nasledujúce nastavenia a kliknite na tlačidlo OK :
-
- Udeliť prístup: Ak požiadavka na pripojenie zodpovedá tejto zásade. Server vzdialeného prístupu (VPN-Dial up)
3. Teraz otvorte Pripojenia k iným prístupovým serverom vyberte rovnaké nastavenia a kliknite na tlačidlo V PORIADKU.
-
- Udeliť prístup: Ak požiadavka na pripojenie zodpovedá tomuto
politika. Server vzdialeného prístupu (VPN-Dial
hore)
- Udeliť prístup: Ak požiadavka na pripojenie zodpovedá tomuto
4. Zatvorte nastavenia servera sieťových politík.
Krok 6. Ako povoliť pripojenie L2TP/IPsec za NAT.
Moderní klienti systému Windows (Windows 10, 8, 7 alebo Vista) a operačné systémy Windows Server 2016, 2012 a 2008 v predvolenom nastavení nepodporujú pripojenia L2TP/IPsec, ak sa počítač so systémom Windows alebo server VPN nachádzajú za NAT. Ak chcete tento problém obísť, musíte v serveri VPN upraviť register takto a klientov:
1. Súčasne stlačte tlačidlo Windows 
+ R otvoriť príkazové okno spustenia.
2. Typ regedit a stlačte Vstúpte na stránku .
3. Na ľavom paneli prejdite na tento kľúč:
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Sevices\PolicyAgent
4. Kliknite pravým tlačidlom myši na PolicyAgent a vyberte Nový -> DWORD (32 bitov) Hodnota .
5. Pre nový typ názvu kľúča: AssumeUDPEncapsulationContextOnSendRule a stlačte Vstúpte na stránku .
Poznámka: Hodnota musí byť zadaná tak, ako je uvedené vyššie, bez medzery.
6. Dvakrát kliknite na tento nový kľúč DWORD a zadajte údaje Value: 2
7. Zatvoriť Editor registra. *
* Dôležité: Ak chcete predísť problémom pri pripájaní k serveru VPN z klientského počítača so systémom Windows (Windows Vista, 7, 8, 10 a 2008 Server), musíte túto opravu registra použiť aj na klientov.
8. Reštart stroj.
Krok 7. Overte, či sú spustené služby IKE a IPsec Policy Agent.
Po reštarte prejdite do ovládacieho panela služieb a skontrolujte, či sú spustené nasledujúce služby. Ak to chcete urobiť:
1. Súčasne stlačte tlačidlo Windows 
+ R otvoriť príkazové okno spustenia.
2 . Do príkazového riadka spustenia zadajte: services.msc a stlačte Vstúpte.
3. Uistite sa, že sú spustené tieto služby: *
-
- Kľúčové moduly IKE a AuthIP IPsec Agent zásad IPsec
Poznámky:
1. Ak uvedené služby nie sú spustené, dvakrát kliknite na každú službu a nastavte Typ spustenia na Automatické Potom kliknite na tlačidlo OK a reštartovať servera.
2. Musíte zabezpečiť, aby boli uvedené služby spustené aj v klientskom počítači so systémom Windows.
Krok 8. Ako vybrať, ktorí používatelia budú mať prístup do siete VPN.
Teraz je čas určiť, ktorí používatelia sa budú môcť pripojiť k serveru VPN (oprávnenia Dial-IN).
1. Otvoriť Správca servera .
2. Z adresy Nástroje vyberte ponuku Používatelia a počítače služby Active Directory . *
Poznámka: Ak váš server nepatrí do domény, prejdite na stránku Správa počítačov -> Miestni používatelia a skupiny .
3. Vyberte Používatelia a dvakrát kliknite na používateľa, ktorému chcete povoliť prístup do siete VPN.
4. Vyberte Vytáčanie adresy a vyberte kartu Povolenie prístupu Potom kliknite na tlačidlo OK .
Krok 9. Ako nakonfigurovať bránu firewall na povolenie prístupu k sieti L2TP VPN (presmerovanie portov).
Ďalším krokom je povolenie pripojení VPN v bráne firewall.
1. Prihláste sa do webového rozhrania smerovača.
2. V konfiguračnom nastavení smerovača presmerujte porty 1701, 50, 500 a 4500 na IP adresu servera VPN (pozrite si príručku k smerovaču, ako nakonfigurovať presmerovanie portov).
- Ak má napríklad server VPN IP adresu "192.168.1.8", musíte na túto IP adresu presmerovať všetky vyššie uvedené porty.
Ďalšia pomoc:
- Aby ste sa mohli pripojiť k serveru VPN na diaľku, musíte poznať verejnú IP adresu servera VPN. Ak chcete zistiť verejnú IP adresu (z počítača servera VPN), prejdite na tento odkaz: http://www.whatismyip.com/. Ak chcete zabezpečiť, aby ste sa mohli vždy pripojiť k serveru VPN, je lepšie mať statickú verejnú IP adresu.Ak nechcete platiť za statickú IP adresu, môžete si nastaviť bezplatnú službu dynamického DNS (napr. no-ip .) na strane smerovača (servera VPN).
Krok 10. Ako nastaviť pripojenie L2TP VPN v klientskom počítači so systémom Windows.
Posledným krokom je vytvorenie nového pripojenia L2TP/IPSec VPN k nášmu serveru VPN 2016 v klientskom počítači podľa pokynov uvedených nižšie:
- Súvisiaci článok: Ako nastaviť pripojenie PPTP VPN v systéme Windows 10.
POZOR: Skôr ako budete pokračovať vo vytváraní pripojenia VPN, pokračujte a použite opravu registra uvedenú v kroku 6 vyššie aj v klientskom počítači.
1. Otvorte Centrum sietí a zdieľania.
2. Kliknite na . Nastavenie nového pripojenia alebo siete
3. Vyberte Pripojenie k pracovisku a kliknite na Ďalšie.
4. Potom vyberte Používajte moje internetové pripojenie (VPN).
5. Na ďalšej obrazovke zadajte Verejná IP adresa servera VPN a port VPN, ktorý ste priradili na strane smerovača, a potom kliknite na Vytvoriť stránku .
Napr. Ak je externá IP adresa: 108.200.135.144, potom do poľa Internetová adresa zadajte: "108.200.135.144" a do poľa Názov cieľa zadajte ľubovoľný názov (napr. "L2TP-VPN").
6. Zadajte používateľské meno a heslo pre pripojenie VPN a kliknite na tlačidlo Pripojte sa.
7. Ak nastavíte sieť VPN v klientskom počítači so systémom Windows 7, pokúsi sa pripojiť. Vynechať a potom kliknite na Zatvoriť , pretože je potrebné zadať niektoré ďalšie nastavenia pre pripojenie VPN.
8. V Centre sietí a zdieľania kliknite na Vľavo zmeňte nastavenia adaptéra.
9. Kliknite pravým tlačidlom myši na nové pripojenie VPN (napr. "L2TP-VPN") a vyberte Vlastnosti .
10. Vyberte Zabezpečenie a vyberte Tunelovací protokol 2. vrstvy s IPsec (L2TP/IPsec) a potom kliknite na Rozšírené nastavenia.
11. V časti "Rozšírené nastavenia" zadajte zdieľaný kľúč (napr. "TestVPN@1234" v tomto príklade) a kliknite na tlačidlo OK
12. Potom kliknite na Povoľte tieto protokoly a vyberte Microsoft CHAP verzia 2 (MS-CHAP v2)
13. Potom vyberte Vytváranie sietí dvakrát klikneme na kartu Internetový protokol verzie 4 (TCP/IPv4) otvoriť jeho Vlastnosti .
14. Pre Uprednostňovaný server DNS zadajte miestnu IP adresu servera VPN (napr. "192.168.1.8" v tomto príklade). *
Poznámka: Toto nastavenie je voliteľné, preto ho použite len v prípade potreby.
15. Potom kliknite na tlačidlo Rozšírené a zrušte začiarknutie . Použitie predvolenej brány vo vzdialenej sieti pretože chceme oddeliť prehliadanie internetu na počítači od pripojenia k sieti VPN.
16. Nakoniec kliknite na tlačidlo OK neustále zatvárať všetky okná.
17. Teraz dvakrát kliknite na nové pripojenie VPN a kliknite na Pripojenie , aby ste sa mohli pripojiť k svojmu pracovisku.
To je všetko! Dajte mi vedieť, či vám tento návod pomohol, a zanechajte komentár o svojich skúsenostiach. Prosím, lajkujte a zdieľajte tento návod, aby ste pomohli ostatným.
Andy Davis
Blog správcu systému o systéme Windows
