Заметки о Windows и других программных продуктах Microsoft...

Настройка VPN сервера в Windows

Настройка VPN сервера в Windows

Данная статья представляет из себя ″Quick guide″ по настройке VPN сервера на базе Windows. Все описанные в статье действия производились на Windows Server 2012 R2, но инструкция подходит для любой более менее актуальной (на данный момент) серверной операционной системы Windows, начиная с Windows Server 2008 R2 и заканчивая Windows Server 2016.

Итак начнем. Первое, что нам необходимо сделать — это установить роль удаленного доступа. Для этого в оснастке Server Manager запускаем мастер добавления ролей и выбираем роль «Remote Access» со всеми дополнительными фичами.

добавление роли Remote Access

 

И затем в списке сервисов для данной роли выбираем «DirectAccess and VPN (RAS)».

выбор компонентов роли Remote Access

 

Кроме роли удаленного доступа и инструментов управления будут дополнительно установлены web-сервер IIS и внутренняя база данных Windows. Полный список устанавливаемых компонентов можно просмотреть в финальном окне мастера, перед подтверждением запуска установки.

список устанавливаемых компонентов

 

Все то же самое, только гораздо быстрее, можно проделать с помощью PowerShell. Для этого надо открыть консоль и выполнить команду:

Install-WindowsFeature -Name Direct-Access-VPN -IncludeAllSubFeature -IncludeManagementTools

добавление роли Remote Access с помощью PowerShell

 

После установки роли нам потребуется включить и настроить службу с помощью оснастки «Routing and Remote Access». Для ее открытия жмем Win+R и вводим команду rrasmgmt.msc.

запуск оснастки Routing and Remote access

 

В оснастке выбираем имя сервера, жмем правой клавишей мыши и в открывшемся меню выбираем пункт «Configure and Enable Routing and Remote Access».

запуск настройки VPN сервера

 

В окне мастера настройки выбираем пункт «Custom configuration».

выбор типа конфигурации

 

И отмечаем сервис «VPN access».

выбор компонентов

 

В завершение настройки стартуем сервис удаленного доступа.

запуск службы

 

Сервис VPN установлен и включен, теперь необходимо сконфигурировать его нужным нам образом. Опять открываем меню и выбираем пункт «Properties».

конфигурирование VPN сервера

 

Переходим на вкладку IPv4. Если у вас в сети нет DHCP сервера, то здесь надо задать диапазон IP адресов, которые будут получать клиенты при подключении к серверу.

настройка диапазона IP адресов

 

Дополнительно на вкладке «Security» можно настроить параметры безопасности  — выбрать тип аутентификации, задать предварительный ключ (preshared key) для L2TP или выбрать сертификат для SSTP.

настройка безопасности

 

И еще пара моментов, без которых подключение по VPN не сможет состояться.

Во первых, необходимо выбрать пользователей, которые имеют разрешения подключаться к данному серверу. Для отдельно стоящего сервера настройка производится локально, в оснастке «Computer Management». Для запуска оснастки надо выполнить команду compmgmt.msc, после чего перейти в раздел «Local Users and Groups». Затем надо выбрать пользователя, открыть его свойства и на вкладке «Dial-In» отметить пункт «Allow access». Если же компьютер является членом домена Active Directory, то эти же настройки можно произвести из консоли «Active Directory Users and Computers».

настройка разрешений доступа для пользователей

 

И во вторых, необходимо проверить, открыты ли нужные порты на файерволле. Теоретически при добавлении роли соответствующие правила включаются автоматически, но лишний раз проверить не помешает.

настройка правил файерволла

 

На этом все. Теперь VPN сервер настроен и к нему можно подключаться.

 
 
Комментарии

а если VPN-сервер за NAT-ом — какие порты должны быть доступны с мира ?

Дмитрий

Если VPN сервер за натом, так просто L2TP/ipsec в windows не поднять, нужно править реестр. AssumeUDPEncapsulationContextOnSendRule = 2 на клиенте, иначе не подключится. Плюс открыть(перенаправить) порты для NAT-T (udp 4500) и isakmp (udp 500). (не говоря об остальных портах).

PPTP: TCP — 1723 и Protocol 47 (GRE)
L2TP: TCP 1701, UDP 500, UDP 4500 и Protocol 50 (ESP)
SSTP: TCP 443