среда, 9 апреля 2014 г.

VPN Сервер на Windows Server 2012 R2.

В данной статье представлена инструкция по развертыванию простейшего VPN-сервера на базе Windows Server 2012 R2. По моему личному мнению поднимать VPN на базе Windows можно в случае использования небольшой офисной сети с потребностью удаленного подключения для нескольких сотрудников. В случае же организации VPN между филиалами компании с достаточно обширной инфраструктурой, следует использовать технологию DirectAccess либо VPN на базе аппаратных решений (например Cisco).



Перейдем к установке и настройке:

  1. Открываем Server Manager - Dashboard, нажимаем "Add roles and features" (Рис.1): 

    Рис.1.

     2.  Выбираем "Role-based or feature-based installation" и нажимаем Next (Рис.2):

    Рис.2.

     3.  Далее попадаем на страницу выбора сервера (в моем случае он один), выбираем сервер и нажимаем Next (Рис.3):

    Рис.3.

     4.  Далее выбираем роль "Remote Access"  и нажимаем Next (Рис.4):

    Рис.4.

     5.  На последующий страницах мастера нажимаем два раза Next. В окне выбора служб ролей (Select role services) выбираем "DirectAcces and VPN (RAS)". Откроется окно "Add features", нажимаем кнопку "Add Features" (Рис.5 и 6):

    Рис.5.

                                  Рис.6.

     6.  Затем откроется окно "Web Server Role", нажимаем Next (Рис.7):

    Рис.7.

     7.  В окне "Select role services" нажимаем Next (Рис.8):

    Рис.8.

     8.  В окне подтверждения нажимаем Install (Рис.9):

    Рис.9.

     9.  После окончания установки нажимаем "Open the Getting Started Wizzard" (Рис.10):

    Рис.10.

     10.  Откроется окно "Configure Remote Access", нажимаем "Deploy VPN only" (Рис.11):

    Рис.11.

     11.  Откроется консоль "Routing and Remote Access". Нажимаем правой кнопкой мыши на нашем сервер и выбираем "Configure and Enable Routing and Remote Access" (Рис.12):

    Рис.12.

     12.  Откроется мастер настройки, нажимаем Next (Рис.13):

                                Рис.13.

     13.  В окне Configuration выбираем "Remote Access (dial-up orVPN)" и нажимаем Next (Рис.14):

    Рис.14.

     14.  На следующей странице выбираем VPN и нажимаем Next (Рис.15):

    Рис.15.

     15.  Далее выбираем сетевой адаптер, имеющий доступ в Интернет и нажимаем Next (Рис.16):

    Рис.16.

     16.  В следующем окне можно выбрать, каким образом будут выдаваться IP-адреса vpn-клиентам: с помощью DHCP или из специального пула, выбираем второй вариант и нажимаем Next (Рис.17):

    Рис.17.

     18.  В окне "Address Range Assignment" нажимаем кнопку New (Рис.18):

    Рис.18.

     19.  Задаем начальный и конечный адреса диапазона и нажимаем Ок (возвращаемся на предыдущую страницу и нажимаем Next (Рис.19):

                                Рис.19.

     20.  Далее выбираем метод аутентификации клиентов: с помощью RRAS или RADIUS. Выбираем первый вариант и нажимаем Next (Рис.20):

    Рис.20.

     21.  После успешной настройки нажимаем Finish (Рис.21):

    Рис.21.

     22.  Если нам нужен VPN PPTP, то настройки на этом завершены. Если нам нужен VPN L2TP, в консоли "Routing and Remote Access" открываем свойства нашего сервера (Рис.22):

    Рис.22.

     23.  На вкладке Securuty задаем "Preshared Key" (ставим галку "Allow custom IPsec policy for L2TP/IKEv2 connection") (Рис.23):

                         Рис.23.

     24.  Далее в консоли RRAS открываем свойства портов, выбираем "WAN miniport (L2TP)" и ограничиваем количество портов (Рис.24):

                                Рис.24.

     25.  Чтобы дать пользователю доступ к VPN, открываем свойства нужного нам пользователя и переходим на вкладку Dial-in, в разделе Network Access Permission выбираем "Allow Access" и нажимаем Apply (Рис.25):

                 Рис.25.

     26.  Также необходимо открыть следующие порты на фаерволе:


  • PPTP TCP - 1723 
  • L2TP - UDP порт 1701
  • IKE - UDP порт 500
  • IPSec ESP - UDP порт 50
  • IPSec NAT-T - UDP порт 4500 
  • SSTP - TCP 443
Успехов!


3 комментария:

  1. Для чего при настройке VPN нужен IIS?

    ОтветитьУдалить
  2. Здравствуйте! Не знаю, что и думать, ситуация крайне странная. Поднял VPN-сервер, без AD, подключение PPTP, проверка подлинности — Windows, MS-CHAP v.2 . Статический пул из 10 адресов.
    Схема: LAN1 (PC1-User1,PC2-User2) — Router1(NAT)- ИНТЕРНЕТ - Router2 (NAT) — VPN-Сервер
    User1 подключается , User2 тоже, но если один из них уже подключен, второй не подключается. Оба компа в одной сети. В RAS 128 доступных портов.

    ОтветитьУдалить