Содержание

Добавление роли "Удаленный доступ" и ее настройка

Теория

Одной из основных причин установки Windows Server для меня были настройка удаленного доступа для администрирования и поддержки пользователей моей организации. Позже оказалось, что многие мои сотрудники тоже захотели сидеть «на удаленке». Да, пожалуйста, если руководство не против. Итак, заключили с провайдером дополнительное соглашение и заимели статический IP-адрес. Теперь дело за малым - добавить и настроить службу «удаленного доступа».

Также необходимо пробросить следующие порты (если сервер находится за NAT'ом): 

VPN_L2TP port 1701 UDP
VPN_IPsec port 500 UDP
VPN_IPsec – NAT Traversal port 4500 UDP

Практика

Установка роли

В «Диспетчере серверов» переходим в «Добавить роли и компоненты» и добавляем роль «Удаленный доступ». В «Выбор служб ролей» ставим галочку напротив «DirectAccess и VPN(RAS)». Установка роли завершена.

Выбор роли Выбор служб ролей Подтверждение установки

Настройка роли

После окончания установки роли необходимо нажать на «Запуск мастера первоначальной настройки».

Мастер начальной установки

В первом окне мастера нужно выбрать «Развернуть только VPN».

Только VPN

Откроется новое окно. Слева выбираем наш сервер (в моем случае Server_AD), нажимаем на него правой клавишей мыши и в контекстном меню выбираем «Настроить и включить маршрутизацию и удаленный доступ».

Настроить и включить

Снова открывается новое окно, точнее «Мастер настройки сервера маршрутизации и удаленного доступа». Необходимо выбрать «Особая конфигурация», далее ставим галочку только напротив «Доступ к виртуальной частной сети (VPN)». Нажимаем «Далее», затем «Готово» и, наконец, «Запуск службы».

Особая конфигурация VPN Запуск службы

Снова нажимаем правой клавишей на наш сервер (напомню, что в моем случае это Server_AD) и в контекстном меню на этот раз выбираем «Свойства».

Свойства

Первым делом переходим во вкладку «Безопасность». Там ставим галочку «Разрешить пользовательские политики IPsec для L2TP- и IKEv2-подключения» и устанавливаем общий ключ. Включаем фантазию или онлайн-генератор паролей. Главное, не забывайте и не теряйте этот ключ, он нужен будет при создании vpn-соединения на клиентском ПК. Конечно, его всегда можно поменять, но нельзя увидеть! А при смене ключа на сервере, придется менять в настройках всех клиентских ПК.

Общий ключ

Ключ установили. Замечательно! Теперь укажем пул IP-адресов, которые будут выдаваться клиентам. Тут тоже сами решайте какие задать. Я указал только для примера.

Статический пул адресов IPv4 Пул адресов IPv4 Готово

Разрешения для пользователей

На этом настройка сервера завершена. Можно выдавать разрешения пользователям. Для этого нужно в свойствах учетной записи пользователя, во вкладке «Входящие звонки» установить точку напротив «Разрешить доступ».

Разрешения для пользователя

Настройка VPN-соединения на клиенте

Давайте настроим новое vpn-соединение на примере Windows 10. Настройка в других версиях Windows практически не отличается. Разница минимальная в мелочах. Первым делом переходим в «Центр управления сетями и общим доступом» (проще всего найти это в «Панели управления»). Там выбираем «Создание нового подключения»

Создание нового подключения

В мастере создания выбираем «Подключение к рабочему месту», затем «Использовать мое подключение к Интернету(VPN)». Далее указываем «Адрес в интернете» - это будет либо доменное имя, либо ip-адрес.

Выбираем VPN Использовать мое подключение Адрес и Имя

Соединение создано, необходимо его настроить. Нажимаем правой клавишей мыши на соединение и выбираем в контекстном меню «Свойства».

Свойства

Переходим во вкладку «Безопасность» и выставляем:

Тип VPN - Протокол L2TP с IPsec (L2TP/IPsec) Шифрование данных - Обязательное Протокол расширенной проверки подлинности (EAP) - Microsoft: защищенный пароль (EAP-MSCHAP v2)

Переходим (в этой же вкладке) в «Дополнительные параметры».

Безопасность

Выбираем здесь «Для проверки подлинности использовать общий ключ» и вводим его. ДА! Это тот самый ключ, который мы вводили при настройке сервера.

Общий ключ

Переходим во вкладку «Сеть». Первым делом снимаем галочку IP версии 6. На этом настройка соединения почти окончена. Есть два момента.

Момент первый

Если соединятся при текущих настройках, то основным шлюзом (во время активного vpn-соединения) будет шлюз нашего сервера, на не клиентский. Чтобы основной шлюз не менялся при соединении, нужно в свойствах IP версии 4 снять галочку «Использовать основной шлюз в удаленной сети». Найти эту галочку можно в дополнительных настройках.

Настройка IP Свойства IPv4 Опционально. Основной шлюз

Момент второй

Мой сервер находится за NAT'ом. При этом vpn-соединение при попытке подключения будет выдавать ошибку. Обычно это ошибки с номерами 800, 809 или 794. Это связано с тем, что протокол IPsec не поддерживает NAT. Для обхода этого ограничения используется протокол NAT-T, который инкапсулирует пакеты IPsec в UDP (порт 4500). Чтобы исправить это нужно сделать правки в реестре. Правки необходимо делать на клиенте! В Интернете я находил информацию, что нужно делать как на клиенте, так и на сервере, но у меня все работает при исправлении только на клиенте. Причем мной проверено на Windows Server 2012R2 и на Windows Server 2016. В качестве клиентских ОС использовались Windows XP, Windows 7, 8, 10. Возможно, в Вашем случае нужно внести правки и на сервере.

В реестре (запуск regedit.exe) необходимо перейти HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec и создать DWORD параметр 

AssumeUDPEncapsulationContextOnSendRule

со значением 2

Готовый reg-файл

В реестре (запуск regedit.exe) необходимо перейти HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent и создать DWORD (32 bit) параметр 

AssumeUDPEncapsulationContextOnSendRule

со значением 2

Готовый reg-файл 

  0 – (значение по-умолчанию), предполагается, что VPN сервер подключен к интернету без NAT;
  1 – VPN сервер находится за NAT;
  2 — VPN сервер и клиент находятся за NAT.

:!: После внесения изменений в системный реестр необходимо перезагрузить компьютер.