Russian English German Ukrainian

Компьютерная помощь

(066) 72-00-654     (098) 44-74-068

г. Днепр

ж/м Левобережный-3

Windows: VPN-сервер


Технология виртуальных частных сетей (VPN) позволяет объединять сегменты одной сети, с помощью другой сети, например Интернета. Это достигается путем туннелирования, т. е. создания туннеля, по которому данные передаются через Интернет или другую публичную сеть. При этом обеспечивается безопасность и другие возможности частных сетей.

Виртуальные частные сети проводят шифрование данных и проверку подлинности, что гарантирует конфиденциальность пересылаемых через Интернет данных и позволяет подключаться к сети только пользователям, имеющим соответствующие права. Для обеспечения безопасности данных Windows использует протоколы туннелирования PPTP и L2TP. В процессе работы этих протоколов создаются туннели, обеспечивающие высокую защищенность данных при передаче между компьютерами через Интернет.

Windows 7

VPN-Сервер

То, что в Windows 7 некоторые настройки запрятаны настолько глубоко, что порой их поиск может занять довольно длительное время известно всем, но то, как в операционной системе запрятали возможность поднятия VPN сервера, выходит за рамки понимания. Видимо есть веская причины, по которой программисты Microsoft настолько надежно скрыли с глаз пользователей возможность использования этого сервиса, но нам они к сожалению неизвестны. Итак, заходим в «Панель управления» и находим в разделе «Сеть и Интернет» пункт «Просмотр состояния сети и задач». После того, как откроется новое окно, в списке задач, кликаем по пункту «Изменение параметров адаптера».

1

Теперь нажимаем клавишу «Alt», и в появившемся меню, кликаем на «Файл» -> «Новое входящее подключение».

2

Перед нами предстает мастер настройки входящих подключений. На первом экране мы выбираем или добавляем пользователей, которым будет разрешено подключаться.

3

Затем выбираем как будут подключаться пользователи. Ставим галочку «Через интернет».

4



Теперь нам нужно выбрать протокол и настроить его. Отмечаем «Протокол Интернента версии 4 (TCP/IP v4)» и нажимаем кнопку «Свойства».

5



В свойствах отмечаем пункт «Указать IP-адреса явным образом». Вводим адреса. Можно использовать, например, 192.168.200.1 – 129.168.200.254. Главное чтобы созданная подсеть не входила в адресное пространство интернета или вашей локальной сети. Нажимаем «Разрешить доступ» и «Закрыть».

6



Поздравляю, вы только что настроили свой собственный VPN сервер в Windows 7 =)

Примечание:
Для протокола PPTP необходимо, чтобы на всех маршрутизаторах и персональных брандмауэрах, находящихся между сервером VPN и клиентом VPN (включая брандмауэр локального компьютера и маршрутизатор, используемый для подключения к Интернету), был открыт порт 1723.

VPN-Клиент

Заходим в «Панель управления» и находим в разделе «Сеть и Интернет» пункт «Просмотр состояния сети и задач».

10


Нажимаем "Настройка нового подключения или сети". Выбираем подключение к рабочему месту.

11

12


Указываем внешний IP сервера (например который мы настроили выше).

13

И указываем Имя пользователя и Пароль выданные нам ранее (опять же при настройке сервера, см. выше)

14

15


Новое подключение готово!

Windows XP

Пуск => Панель Управления => Сетевые Подключения
Файл => Новое Подключение


Нажимаем Далее


1xp


выбираем Установить прямое подключение к другому компьютеру
Далее


2xp


принимать входящие подключения
Далее


3xp


Если у вас есть модем или ЛПТ то проигнорируйте нажмите кнопку далее


4xp


Разрешить виртуальный частные подключения!
Далее


5xp


Нажимаем кнопочку Добавить


6xp


Заполняем все поля! я так думаю здесь не будет вопросов!


7xp


удостоверяемся что стоит галка напротив нашего нового пользователя!!


8xp


Выделяем "проток интернета TCP/IP"
и нажимаем кнопку свойства


9xp


ставим галку "разрешить звонящим доступ к локальной сети!"
ставим точку "указать адреса TCP/IP явным образом"
вписываем как на рисунке!
проверяем количество доступных адресов, если нужно больше то увеличиваем последнюю цифру второго поля!
нажимаем кнопку ОК


10xp


Далее


11xp


Готово


12xp


Вы только что подняли свой собственный VPN сервер на windows XP

Windows 2003

VPN PPTP-сервер для защищенного подключения клиентов настраивается как сервер удаленного доступа (RAS-сервер) в службе RRAS (Маршрутизация и удаленный доступ).

Создание VPN сервера

1. Откройте службу “Маршрутизация и удаленный доступ” и зайдите в свойства сервера.
1

2. Выставите параметр “локальной сети и вызова по требованию”, а также “сервер удаленного доступа”

 

3. Зайдите во вкладку “IP”, выберите название внутреннего адаптера и создайте статический пул адресов отличного от внутреннего который будет присваиваться VPN клиентам.


4. Далее во вкладке “PPP” снимите галку с “Многоканальные подключения”-это ускорит работу Интернета.

5. Во вкладке “Журнал событий” выставите параметр “вести журнал всех событий”

Конфигурация портов

1. Зайдите в свойства “Порты”. По умолчанию RRAS создаст 5 “PPTP” , 5 “L2TP” и 1 “Прямой параллельный”. Для стабильной работы сервера рекомендуется удалить ненужные порты (прямой параллельный, L2TP, и.т.д.) и создать необходимое количество портов, их должно быть больше чем одновременных подключений.

2. Удаляем порты WAN(L2TP)

3. Выставите необходимое число PPTP портов (число портов должно быть больше чем планируемых одновременных подключений)

4. В итоге у Вас появится следующее окно

Конфигурируем NAT

1. Зайдите в “IP-маршрутизация” / “NAT-преобразование сетевых адресов”. Если Вы собираетесь предоставлять доступ только по VPN соединению тогда удалите внутренний интерфейс, если нет тогда оставьте. Если вы используете Windows 2003 вам необходимо отключить basic firewall. Ее использование при наличии Traffic Inspector может привести к конфликтам. Для этого зайдите в свойства внешнего подключения и отключите.

Далее вам надо добавить RAS интерфейс для этого в командной строке наберите “netsh routing ip nat add interface Внутренний (в английской версии windows “internal”) private” см.рис. Кроме того очень полезно запретить привязку NetBios к интерфейсу Внутренний (internal), если он активен (см. выше). Это важно, если используется RAS-сервер для подключения диалапных клиентов (модемы или VPN) и поможет избавится от некоторых проблем при работе сервера в сети Windows. Если NetBios разрешен на этом интерфейсе, то сервер будет регистрировать свои NetBios-имена с IP-адресами всех интерфейсов, на которые есть привязка этой службы.

Появление IP- адреса интерфейса Внутренний (internal) в этих регистрациях может привести к проблемам. Для этого редактором реестра в разделе HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRemoteAccessParametersIp добавляем параметр DisableNetbiosOverTcpip типа DWORD и значением 1.

Службу надо перезапустить.

3. Автоматически появится RAS интерфейс

Создание клиентов

1. Зайдите в “Управление компьютером”, далее в “Локальные пользователи и группы”, “Пользователи”

2. Создайте пользователя, имена пользователей должны совпадать с именами клиентов заведенных в ТИ, далее зайдите во вкладку “Входящие звонки”.

Настройка VPN соединения

1. В группе “Политика удаленного доступа” зайдите в свойства “Разрешить доступ, если разрешены входящие подключения”

2. Нажмите на кнопку “Изменить профиль…”

3. Зайдите во вкладку “Проверка подлинности”

4. Оставьте два параметра проверки подлинности MS-CHAP для ОС Windows и CHAP для других ОС.

5. Далее зайдите на вкладку “Шифрование”, выберите параметры шифрования. Все произведенные настройки должны быть идентичны, при настройке VPN соединения у клиентов.

Перезапустите сервер.

Windows 2008 R2

 Настроим PPTP и L2TP VPN на сервере под управлением Windows Server 2008R2. Для начала необходимо поднять роль "Службы политики сети и доступа".

Правый клик мыши -> запускаем "Настроить и включить маршрутизацию и удаленный доступ". Выбираем "Особую конфигурацию".

Ставим галочку на "Доступ к виртуальной частной сети (VPN)".

"Далее" -> "Готово" -> "Запустить службу". 

Открывваем Диспетчер сервера — Роли — Маршрутизация и удлаенный доступ, щелкаем по роли правой кнопкой мыши и выбираем "Свойства", далее как на картинке.

Теперь нам необходимо настроить Безопасность подключений. Для этого перейдем на вкладку Безопасность и выберем Методы проверки подлинности, поставьте галочки на Протокол EAP и Шифрованная проверка (Microsoft, версия 2, MS-CHAP v2):

Теперь нам необходимо ввести предварительный ключ. Перейдите на вкладку Безопасность и в поле Разрешить особые IPSec-политики для L2TP-подключения поставьте галочку и введите Ваш ключ.

Далее перейдем на вкладку IPv4, там укажем какой интерфейс будет принимать подключения VPN и пул адресов для выдачи VPN клиентам (Интерфейсом выставьте Разрешить RAS выбирать адаптер):

Теперь нам необходимо отключить не нужные нам службы и настроить PPTP и L2TP. Нажмине на пункт Порты — ПКМ и выберите свойства. В открывшемся окне выберите WAN Miniport (PPTP, L2TP) и нажмите настроить внизу формы. Выставьте все как на скриншоте ниже:

Максимальное число портов, это количество клиентов которые могут к Вам подключится. Даже если пул адресов больше этого значения, сервер будет отвергать подключения свыше этого числа.

На этом настройка сервера закончена. Осталось только разрешить пользователям подключатся к серверу.

Перейдите в Диспетчере сервера: Конфигурация — Локальные пользователи и группы — Пользователи — Выберите пользователя и нажмите ПКМ — Свойства. На вкладке Входящие звонки — Права доступа к сети выставьте Разрешить доступ.

И не забудьте на Вашем маршрутизаторе прокинуть порты, а так же открыть их в Вашем Firewall:

PPTP - 1723
IKE - UDP порт 500 (Прием\Отправка)
L2TP - UDP порт 1701 (Прием\Отправка)
IPSec ESP - UDP порт 50 (Прием\Отправка)
IPSec NAT-T - UDP порт 4500 (Прием\Отправка)

Windows 2012 R2

Рассмотрим как установить и настроить простейший VPN сервер на базе Windows Server 2012 R2.

В первую очередь необходимо установить роль “Удалённый доступ”. Сделать это можно через консоль Server Manager. В роли Удалённый доступ нас интересует служба “DirectAccess и VPN (RAS)”. Установим ее (установка службы тривиальна, на последующих шагах все настройки можно оставить по-умолчанию. Будут установлены веб сервер IIS, компоненты внутренней базы Windows – WID).
 


После окончания работы мастера нажмите ссылку “Open the Getting Started Wizard“, в результате чего запустится мастера настройки RAS-сервера.

Так как нам не требуется разворачивать службу DirectAccess, укажем, что нам нужно установить только сервер VPN (пункт “Deploy VPN only“).
 

После чего откроется знакомая MMC консоль Routing and Remote Access. В консоли щелкните правой кнопкой по имени сервера и выберите пункт “Configure and Enable Routing and Remote Access“.

DirectAccess является новым компонентом в операционных системах Windows 7 Ultimate, Windows 7 Enterprise, Windows Server 2008 R2, который позволяет подключаться клиентским компьютерам к серверам DirectAccess, сразу как только появляется возможность выхода в Интернет. В отличие от большинства традиционных VPN соединений, которые должны быть запущены и прерваны явно действиями пользователя, подключения DirectAccess создаются автоматически компьютером, на котором работает пользователь.

DirectAccess использует IPv6 для связи с интранет-ресурсами. Клиент DirectAccess и сервер DirectAccess могут использовать также туннелирование Teredo или IP-HTTPS для отправки трафика IPv6 через Интернет, работающий по протоколу IPv4.
Протокол IP-HTTPS представляет собой SSL туннель, работающий через TCP-порт 443, который подключает клиента DirectAccess к серверу DirectAccess.


Запустится мастер настройки RAS-сервера. В окне мастера выберем пункт “Custom configuration“, а затем отметим опцию “VPN Access”.
 

После окончания работы мастера система предложит запустить службу Routing and Remote Access. Сделайте это.

В том случае, если между вашим VPN сервером и внешней сетью, откуда будут подключаться клиенты (обычно это Интернет), есть файервол, необходимо открыть следующие порты и перенаправить трафик на эти порты к вашему VPN серверу на базе Windows Server 2012 R2:

Для PPTP: TCP – 1723 и Protocol 47 GRE (также называется PPTP Pass-through)
Для  SSTP: TCP 443
Для  L2TP over IPSEC: TCP 1701 и UDP 500

После установки сервера, необходимо в свойствах пользователя разрешить VPN доступ. Если сервер включен в домен Active Directory, сделать это нужно в свойствах пользователя в консоли ADUC, если же сервер локальный – в свойствах пользователя в консоли Computer Management (Network Access Permission – Allow access).
 

Если вы не используете сторонний DHCP сервер, который раздает vpn-клиентам IP адреса, необходимо в свойствах VPN сервера на вкладке IPv4 включить “Static address pool” и указать диапазон раздаваемых адресов.

Осталось настроить VPN клиент и протестировать.

  • Сборка ПК для дома и офиса

  • Бесплатная диагностика

  • Гарантия

  • Самые низкие цены