====== Добавление роли "Удаленный доступ" и ее настройка ======

===== Теория =====

Одной из основных причин установки Windows Server для меня были настройка удаленного доступа для администрирования и поддержки пользователей моей организации. Позже оказалось, что многие мои сотрудники тоже захотели сидеть "на удаленке". Да, пожалуйста, если руководство не против. Итак, заключили с провайдером дополнительное соглашение и заимели статический IP-адрес. Теперь дело за малым - добавить и настроить службу "удаленного доступа".

Также необходимо пробросить следующие порты (если сервер находится за NAT'ом):

<code>
VPN_L2TP port 1701 UDP
VPN_IPsec port 500 UDP
VPN_IPsec – NAT Traversal port 4500 UDP
</code>
===== Практика =====

==== Установка роли ====


В "Диспетчере серверов" переходим в "Добавить роли и компоненты" и добавляем роль "Удаленный доступ". В "Выбор служб ролей" ставим галочку напротив "DirectAccess и VPN(RAS)". Установка роли завершена.

{{:sw:win:s12r2:vpn:add_vpn_1.png?200|Выбор роли}} {{:sw:win:s12r2:vpn:add_vpn_2.png?200|Выбор служб ролей}} {{:sw:win:s12r2:vpn:add_vpn_3.png?200|Подтверждение установки}}

==== Настройка роли ====

После окончания установки роли необходимо нажать на "Запуск мастера первоначальной настройки".

{{:sw:win:s12r2:vpn:add_vpn_4.png?200|Мастер начальной установки}}

В первом окне мастера нужно выбрать "Развернуть только VPN".

{{:sw:win:s12r2:vpn:add_vpn_5.png?200|Только VPN}}

Откроется новое окно. Слева выбираем наш сервер (в моем случае Server_AD), нажимаем на него правой клавишей мыши и в контекстном меню выбираем "Настроить и включить маршрутизацию и удаленный доступ".

{{:sw:win:s12r2:vpn:add_vpn_6.png?200|Настроить и включить}} 

Снова открывается новое окно, точнее "Мастер настройки сервера маршрутизации и удаленного доступа". Необходимо выбрать "Особая конфигурация", далее ставим галочку только напротив "Доступ к виртуальной частной сети (VPN)". Нажимаем "Далее", затем "Готово" и, наконец, "Запуск службы".

{{:sw:win:s12r2:vpn:add_vpn_7.png?200|Особая конфигурация}} {{:sw:win:s12r2:vpn:add_vpn_8.png?200|VPN}} {{:sw:win:s12r2:vpn:add_vpn_9.png?200|Запуск службы}}

Снова нажимаем правой клавишей на наш сервер (напомню, что в моем случае это Server_AD) и в контекстном меню на этот раз выбираем "Свойства".

{{:sw:win:s12r2:vpn:add_vpn_10.png?200|Свойства}}

Первым делом переходим во вкладку "Безопасность". Там ставим галочку "Разрешить пользовательские политики IPsec для L2TP- и IKEv2-подключения" и устанавливаем общий ключ. Включаем фантазию или онлайн-генератор паролей. Главное, не забывайте и не теряйте этот ключ, он нужен будет при создании vpn-соединения на клиентском ПК. Конечно, его всегда можно поменять, но нельзя увидеть! А при смене ключа на сервере, придется менять в настройках всех клиентских ПК.

{{:sw:win:s12r2:vpn:add_vpn_12.png?200|Общий ключ}}

Ключ установили. Замечательно! Теперь укажем пул IP-адресов, которые будут выдаваться клиентам. Тут тоже сами решайте какие задать. Я указал только для примера.

{{:sw:win:s12r2:vpn:add_vpn_13.png?200|Статический пул адресов IPv4}} {{:sw:win:s12r2:vpn:add_vpn_14.png?200|Пул адресов IPv4}} {{:sw:win:s12r2:vpn:add_vpn_15.png?200|Готово}}

==== Разрешения для пользователей ====

На этом настройка сервера завершена. Можно выдавать разрешения пользователям. Для этого нужно в свойствах учетной записи пользователя, во вкладке "Входящие звонки" установить точку напротив "Разрешить доступ".

{{:sw:win:s12r2:vpn:add_vpn_16.png?200|Разрешения для пользователя}}

==== Настройка VPN-соединения на клиенте ====

Давайте настроим новое vpn-соединение на примере Windows 10. Настройка в других версиях Windows практически не отличается. Разница минимальная в мелочах. Первым делом переходим в "Центр управления сетями и общим доступом" (проще всего найти это в "Панели управления"). Там выбираем "Создание нового подключения"

{{:sw:win:s12r2:vpn:s12r2_vpn_connect_1_create.jpg?400|Создание нового подключения}}

В мастере создания выбираем "Подключение к рабочему месту", затем "Использовать мое подключение к Интернету(VPN)". Далее указываем "Адрес в интернете" - это будет либо доменное имя, либо ip-адрес.

{{:sw:win:s12r2:vpn:s12r2_vpn_connect_2_vpn_select.jpg?400|Выбираем VPN}} {{:sw:win:s12r2:vpn:s12r2_vpn_connect_3_vpn_use_inet.jpg?400|Использовать мое подключение}} {{:sw:win:s12r2:vpn:s12r2_vpn_connect_4_vpn_addr_name.jpg?400|Адрес и Имя}}

Соединение создано, необходимо его настроить. Нажимаем правой клавишей мыши на соединение и выбираем в контекстном меню "Свойства".

{{:sw:win:s12r2:vpn:s12r2_vpn_connect_5_vpn_settings.jpg?400|Свойства}}

Переходим во вкладку "Безопасность" и выставляем:

Тип VPN - Протокол L2TP с IPsec (L2TP/IPsec)
Шифрование данных - Обязательное
Протокол расширенной проверки подлинности (EAP) - Microsoft: защищенный пароль (EAP-MSCHAP v2)

Переходим (в этой же вкладке) в "Дополнительные параметры".

{{:sw:win:s12r2:vpn:s12r2_vpn_connect_6_vpn_security.jpg?200|Безопасность}}

Выбираем здесь "Для проверки подлинности использовать общий ключ" и вводим его. ДА! Это тот самый ключ, который мы вводили при настройке сервера.

{{:sw:win:s12r2:vpn:s12r2_vpn_connect_7_vpn_key.jpg?200|Общий ключ}}

Переходим во вкладку "Сеть". Первым делом снимаем галочку IP версии 6. На этом настройка соединения почти окончена. Есть два момента.

=== Момент первый ===

Если соединятся при текущих настройках, то основным шлюзом (во время активного vpn-соединения) будет шлюз нашего сервера, на не клиентский. Чтобы основной шлюз не менялся при соединении, нужно в свойствах IP версии 4 снять галочку "Использовать основной шлюз в удаленной сети". Найти эту галочку можно в дополнительных настройках.

{{:sw:win:s12r2:vpn:s12r2_vpn_connect_8_vpn_ip.jpg?200|Настройка IP}} {{:sw:win:s12r2:vpn:s12r2_vpn_connect_9_vpn_ip_settings.jpg?200|Свойства IPv4}} {{:sw:win:s12r2:vpn:s12r2_vpn_connect_10_vpn_ip_opt_gateway.jpg?200|Опционально. Основной шлюз}}

=== Момент второй ===

Мой сервер находится за NAT'ом. При этом vpn-соединение при попытке подключения будет выдавать ошибку. Обычно это ошибки с номерами 800, 809 или 794. Это связано с тем, что протокол IPsec не поддерживает NAT. Для обхода этого ограничения используется протокол NAT-T, который инкапсулирует пакеты IPsec в UDP (порт 4500). Чтобы исправить это нужно сделать правки в реестре. Правки необходимо делать **на клиенте**! В Интернете я находил информацию, что нужно делать как на клиенте, так и на сервере, но у меня все работает при исправлении **только на клиенте**. Причем мной проверено на Windows Server 2012R2 и на Windows Server 2016. В качестве клиентских ОС использовались Windows XP, Windows 7, 8, 10. Возможно, в Вашем случае нужно внести правки и на сервере.

  * Windows XP / Server 2003:

В реестре (запуск regedit.exe) необходимо перейти HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec и создать DWORD параметр

<code>
AssumeUDPEncapsulationContextOnSendRule
</code>

со значением 2

{{ :sw:win:s12r2:vpn:vpn_xp.zip |Готовый reg-файл}}

  * Windows Vista и более поздние / Windows Server 2008R2, 2012R2, 2016:

В реестре (запуск regedit.exe) необходимо перейти HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent и создать DWORD (32 bit) параметр 

<code>
AssumeUDPEncapsulationContextOnSendRule
</code>

со значением 2

{{ :sw:win:s12r2:vpn:vpn_vista_.zip |Готовый reg-файл}}

    0 – (значение по-умолчанию), предполагается, что VPN сервер подключен к интернету без NAT;
    1 – VPN сервер находится за NAT;
    2 — VPN сервер и клиент находятся за NAT.
    
:!: После внесения изменений в системный реестр необходимо перезагрузить компьютер.