Table of contents
在本教程中,你将找到在Windows Server 2016上设置L2TP VPN访问服务器的步骤说明。 虚拟专用网络(VPN)允许你从互联网位置安全地连接到你的私人网络,它可以保护你免受互联网攻击和数据拦截。在Server 2016上安装和配置L2TP/IPSec VPN访问是一个多步骤的过程,因为你必须在VPN服务器端配置几个设置,以完成成功的VPN操作。
如何安装带有自定义预共享密钥的L2TP/IPSec VPN服务器2016。
在这个步骤指南中,我们将通过使用第二层隧道协议(L2TP/IPSEC)的L2TP VPN服务器2016设置,并使用自定义预共享密钥,以获得更安全的VPN连接。
第1步,在服务器2016上安装路由和远程访问角色。第2步,在服务器2016上配置并启用路由和远程访问。第3步,为L2TP/IKEv2连接配置预共享密钥。第4步,在Windows防火墙中打开所需端口。第5步,配置VPN服务器以允许网络访问。第6步,在NAT后面启用L2TP/IPsec连接。L2TP服务正在运行.步骤8.选择VPN用户.步骤9.配置ISP的防火墙以允许L2TP VPN访问.步骤10.在客户端设置L2TP/IPSec VPN连接.步骤1.如何在服务器上添加远程访问(VPN访问)角色2016。
设置Windows Server 2016作为VPN服务器的第一步是安装 远程访问 角色{直接访问和VPN(RAS)服务}到你的服务器2016。
信息:在这个例子中,我们将在一台名为 "Srv1"、IP地址为 "192.168.1.8 "的Windows Server 2016机器上设置VPN。
1. 要在Windows Server 2016上安装VPN角色,打开 "服务器管理器 "并点击 增加角色和功能 .
2. 在 "添加角色和功能向导 "的第一个屏幕上,留下 基于角色或功能的安装 选项,并点击 下一步。
3. 在下一个屏幕,保留默认选项" 从服务器池中选择服务器 ",并点击 下一步。
4. 然后选择 远程访问 角色,并点击 下一页 .
5. 在 "功能 "屏幕上留下默认设置,并点击 下一页 .
6. 在 "远程访问 "信息屏幕上,点击 下一页 .
7. 在 "远程服务",选择 直接接入和VPN(RAS)。 角色服务,然后点击 下一页 .
8. 然后点击 添加功能。
9. 点击 下一页 再次。
10. 保留默认设置并点击 下一页 (在 "网络服务器角色(IIS)"和 "角色服务 "屏幕上(两次)。
11. 在 "确认 "屏幕上,选择 自动重新启动目标服务器(如果需要)。 并点击 安装。
12. 在最后一个屏幕,确保远程访问角色的安装是成功的,并且 关闭 巫师。
13. 然后(从服务器管理器中) 工具 菜单,点击 远程访问管理。
14. 选择 直接访问和VPN 左边的 "我 "字,然后点击 "我 "字。 运行 "入门向导"。
15. 然后点击 部署VPN 只有。
16. 继续 第2步 以下是配置路由和远程访问的方法。
第2步,如何配置和启用服务器2016上的路由和远程访问。
下一步是在我们的服务器2016上启用和配置VPN访问。 要做到这一点。
1. 在服务器的名称上点击右键,选择 配置和启用路由和远程访问。
注意:你也可以通过以下方式启动路由和远程访问设置。
1.打开服务器管理器,从 工具 菜单,选择 计算机管理。
2.扩展 服务和应用
3.右键点击 路由和远程访问 并选择 配置和启用路由和远程访问。
2. 点击 下一页 在 "路由和远程访问服务器设置向导"。
3. 选择 自定义配置 并点击 下一步。
4. 选择 VPN接入 只有在这种情况下,点击 下一步。
5. 最后点击 完成 .
6. 当出现启动服务的提示时,点击 开始 .
7. 现在你会看到你的服务器名称旁边有一个绿色的箭头(例如,本例中的 "Svr1")。
第3步:如何为L2TP/IKEv2连接启用自定义IPsec策略。
现在是时候在路由和远程访问服务器上允许自定义IPsec策略并指定自定义预共享密钥了。
1. 在 路由和远程访问 面板,在你的服务器名称上点击右键,选择 属性。
2. 在 安全问题 选项卡,选择 允许为L2TP/IKEv2连接定制IPsec策略 然后输入一个预共享密钥(本例中我输入:"TestVPN@1234")。
3. 然后点击 认证方法 按钮(上面),并确保 微软加密认证版本2(MS-CHAP v2)。 被选中,然后点击 好的。
4. 现在选择 IPv4 选项卡,选择 静态地址池 并点击 添加 .
5. 在这里输入将被分配给VPN连接的客户的IP地址范围,然后点击 OK (两次)来关闭所有窗口。
例如,在这个例子中,我们将使用IP地址范围:192.168.1.200 - 192.168.1.202。
6. 当弹出信息提示您:"要为L2TP/IKEv2连接启用自定义IPsec策略,您必须重新启动路由和远程访问",点击 OK .
7. 最后右击你的服务器(例如 "Svr1")并选择 所有任务 > 重新启动。
第4步,在Windows防火墙中打开所需的端口。
1. 转到 控制面板 > 所有控制面板项目 > Windows 防火墙 .
2. 点击 高级设置 在左边。
3. 在左边,选择 入境规则 .
4a. 双击在 路由和远程访问(L2TP-In)。
4b. 在 "常规 "标签,选择 已启用,允许连接 并点击 好的。
5. 现在,右击在 入境规则 在左边选择 新规则。
6. 在第一个屏幕上,选择 港口 并点击 下一步。
7.现在选择 UDP 协议类型,并在 "特定的本地端口 "字段中,输入。 50, 500, 4500.
完成后点击下一步。
8. 保留默认设置 "允许连接 "并点击 下一页 .
9. 在下一个屏幕,点击 下一页 再次。
10. 现在,为新规则输入一个名称(例如 "允许L2PT VPN"),然后点击 完成 .
11.关闭 防火墙设置。
第5步,如何配置网络策略服务器以允许网络访问。
为了允许VPN用户通过VPN连接访问网络,请继续并修改网络策略服务器,具体操作如下。
1. 右键点击 远程访问日志和策略 并选择 启动NPS
2. 在 "概览 "标签,选择以下设置并点击 OK :
-
- 允许访问:如果连接请求与此策略相匹配。 远程访问服务器(VPN-拨号)。
3. 现在打开 与其他访问服务器的连接 政策,选择相同的设置并点击 好的。
-
- 允许访问:如果连接请求与此相匹配
政策。 远程访问服务器(VPN-Dial
了)。
- 允许访问:如果连接请求与此相匹配
4.关闭网络策略服务器设置。
第6步:如何在NAT后面启用L2TP/IPsec连接。
默认情况下,现代Windows客户端(Windows 10、8、7或Vista)和Windows Server 2016、2012和2008操作系统不支持L2TP/IPsec连接,如果Windows计算机或VPN服务器位于NAT后面。 为了绕过这个问题,你必须在VPN服务器中修改注册表,如下所示 和客户。
1. 同时按 窗户 
+ R 键来打开运行命令框。
2. 类型 注册 并按 进入 .
3. 在左边的窗格,导航到这个键。
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Sevices\PolicyAgent
4. 右键点击 政策代理 并选择 新的 -> DWORD(32位)值 .
5. 对于新的键名类型。 假定UDPEncapsulationContextOnSendRule 并按 进入 .
注意:该值必须按上图所示输入,并且没有空格。
6. 双击这个新的DWORD键并输入值数据。 2
7.关闭 注册表编辑器。
* 重要的是。 为了避免从Windows客户端计算机(Windows Vista、7、8、10和2008服务器)连接到你的VPN服务器时出现问题,你必须对客户端也应用这个注册表修复。
8.重新启动 机器。
第7步,确认IKE和IPsec策略代理服务正在运行。
重新启动后,进入服务控制面板,确保以下服务已经启动并运行。 要做到这一点。
1. 同时按 窗户 
+ R 键来打开运行命令框。
2 在运行命令框中,键入。 services.msc 并按 进入。
3. 确保以下服务正在运行: *
-
- IKE 和 AuthIP IPsec 密钥模块 IPsec 策略代理
注意事项。
1.如果上述服务没有运行,那么双击每个服务并设置 启动类型 至 自动的 .然后点击 认可 和 重新启动 服务器。
2.你必须确保上述服务也在Windows客户机上运行。
第8步:如何选择哪些用户将拥有VPN接入。
现在是时候指定哪些用户能够连接到VPN服务器了(拨入权限)。
1. 开放式 服务器经理 .
2. 来自 工具 菜单,选择 活动目录用户和计算机 . *
注意:如果你的服务器不属于一个域,那么请到 计算机管理 -> 本地用户和组 .
3. 选择 用户 并双击你想允许VPN访问的用户。
4. 选择 拨入 选项卡,并选择 允许访问 .然后点击 OK .
第九步:如何配置防火墙以允许L2TP VPN访问(端口转发)。
下一步是在你的防火墙中允许VPN连接。
1. 登录到路由器的网络界面。
2. 在路由器的配置设置中,将1701、50、500和4500端口转发到VPN服务器的IP地址(关于如何配置端口转发,请参见路由器手册)。
- 例如,如果VPN服务器的IP地址是 "192.168.1.8",那么你必须将上述所有端口转发到该IP。
额外的帮助。
- 为了能够从远处连接到你的VPN服务器,你必须知道VPN服务器的公共IP地址。 要找到公共IP地址(从VPN服务器电脑),请浏览这个链接:http://www.whatismyip.com/ 为了确保你能够始终连接到你的VPN服务器,最好有一个静态公共IP地址。 要获得一个静态公共IP地址,你必须联系你的如果你不想为一个静态IP地址付费,那么你可以设置一个免费的动态DNS服务(例如:"动态DNS")。 no-ip.) 在你的路由器(VPN服务器)一侧。
第10步:如何在Windows客户端计算机上设置L2TP VPN连接。
最后一步是在客户端电脑上创建一个新的L2TP/IPSec VPN连接到我们的VPN服务器2016,具体方法如下。
- 相关文章。 如何在Windows 10上设置一个PPTP VPN连接。
请注意。 在你继续创建VPN连接之前,也要继续在客户电脑上应用上面第6步的注册表修复。
1. 打开网络和共享中心。
2. 点击 建立一个新的连接或网络
3. 选择 连接到工作场所 并点击 下一步。
4. 然后选择 使用我的互联网连接(VPN)。
5. 在下一个屏幕上输入 VPN的服务器公共IP地址 和你在路由器上分配的VPN端口,然后点击 创建 .
例如,如果外部IP地址是:108.200.135.144,那么在互联网地址框中输入:"108.200.135.144",在 "目标名称 "文件中输入你想要的任何名称(例如 "L2TP-VPN")。
6. 输入VPN连接的用户名和密码,然后点击 连接。
7. 如果你在Windows 7客户端机器上设置VPN,它将尝试连接。 按下 跳过 然后点击 关闭 ,因为你需要为VPN连接指定一些额外的设置。
8. 在网络和共享中心点击 改变左边的适配器设置。
9. 在新的VPN连接上点击右键(例如 "L2TP-VPN")并选择 财产 .
10. 选择 安全问题 选项卡,并选择 第二层(带IPsec的隧道协议(L2TP/IPsec)。 然后点击 高级设置。
11. 在 "高级设置 "中输入预共享密钥(例如本例中的 "TestVPN@1234")并点击 认可
12. 然后点击 允许这些协议 并选择 微软CHAP第二版(MS-CHAP v2)
13. 然后选择 联网 我们将双击 互联网协议版本4 (TCP/IPv4) 打开其 财产 .
14. 对于 首选的DNS服务器 输入VPN服务器的本地IP地址(例如本例中的 "192.168.1.8")。 *
注意:这个设置是可选的,所以只有在你需要时才应用它。
15. 然后点击高级按钮并 取消检查 的 在远程网络上使用默认网关 因为我们想把我们的PC互联网浏览与VPN连接分开。
16. 最后点击 认可 不断地关闭所有窗户。
17. 现在双击新的VPN连接,并点击 连接 ,以连接到你的工作场所。
就是这样!让我知道本指南是否对你有帮助,请留下你的经验评论。 请喜欢并分享本指南以帮助他人。
Andy Davis
A system administrator s blog about Windows
