Vpn сервер на windows 2008 r2

Настраиваем VPN сервер — L2TP. Платформа Windows server 2008 / 2008R2

Vpn сервер на windows 2008 r2

Протокол L2TP является более предпочтительным для построения VPN-сетей, нежели PPTP, в основном это касается безопасности и более высокой доступности, благодаря тому, что для для каналов данных и управления используется одна UDP-сессия. Сегодня мы рассмотрим настройку L2TP VPN-сервера на платформе Windows server 2008 r2.

PPTP

Протокол туннелирования точка-точка (Point-to-Point Tunneling Protocol) – это протокол, изобретенный Microsoft для организации VPN через сети коммутируемого доступа. PPTP является стандартным протоколом для построения VPN уже на протяжении многих лет.

Это только VPN-протокол и он опирается на различные методы аутентификации для обеспечения безопасности (наиболее часто используется MS-CHAP v.2).

Доступен как стандартный протокол почти во всех операционных системах и устройствах, поддерживающих VPN, что позволяет использовать его без необходимости установки дополнительного программного обеспечения.

Плюсы:

  • клиент PPTP встроен почти во все операционные системы
  • очень прост в настройке
  • работает быстро

Минусы:

  • небезопасен (уязвимый протокол аутентификации MS-CHAP v.2 все еще много где используется)

L2TP и L2TP/IPsec

Протокол туннелирования 2 уровня (Layer 2 Tunnel Protocol) – это протокол VPN, который сам по себе не обеспечивает шифрование и конфиденциальность трафика, проходящего через него. По этой причине, как правило, используется протокол шифрования IPsec для обеспечения безопасности и конфиденциальности.

Плюсы:

  • очень безопасен
  • легко настраивается
  • доступен в современных операционных системах

Минусы:

  • работает медленнее, чем OpenVPN
  • может потребоваться дополнительная настройка роутера

И так вернемся к настройкам, для развертывания VPN L2TP-сервера мы будем использовать Windows Server 2008 R2, однако все сказанное, с небольшими поправками, будет справедливо и для иных версий Windows Server.

Нам потребуется установленная роль Службы политики сети и доступа, которая должна содержать Службы маршрутизации и удаленного доступа как это сделать мы подробно описывали в предыдущей статье где мы поднимали PPTP VPN, поэтому описывать этот процесс еще раз не вижу смысла, далее мы будем считать что роль Службы политики сети и доступа у вас уже установлена и содержит Службы маршрутизации и удаленного доступа. Вообще развертывание VPN L2TP-сервера очень похоже на развертывание PPTP VPN, за исключением нескольких настроек о которых мы и поговорим подробно.

Переходим в Диспетчеру сервера: РолиМаршрутизация и удалённый доступ, щелкаем по этой роли правой кнопкой мыши и выбираем Свойства, на вкладке Общие ставим галочку в полях IPv4-маршрутизатор, выбираем локальной сети и вызова по требованию, и IPv4-сервер удаленного доступа:

Теперь нам необходимо ввести предварительный ключ. Переходим на вкладку Безопасность и в поле Разрешить особые IPSec-политики для L2TP-подключения поставьте галочку и введите Ваш ключ. (По поводу ключа.

Вы можете ввести туда произвольную комбинацию букв и цифр главный принцип чем сложнее комбинация -тем безопаснее и еще запомните или запишите эту комбинацию она нам еще понадобиться) Во вкладке Поставщик службы проверки подлинности выберите Windows — проверка подлинности.

Теперь нам необходимо настроить Безопасность подключений. Для этого перейдем на вкладку Безопасность и выберем Методы проверки подлинности, поставьте галочки на Протокол EAP и Шифрованная проверка (Microsoft, версия 2, MS-CHAP v2):

Далее перейдем на вкладку IPv4, там укажем какой интерфейс будет принимать подключения VPN а так же настроим пул выдаваемых адресов клиентам L2TP VPN на вкладке IPv4 (Интерфейсом выставьте Разрешить RAS выбирать адаптер):

Теперь перейдем на появившуюся вкладку Порты, нажмем правой кнопкой мыши и Свойства, выберем подключение L2TP и нажмем Настроить, в новом окне выставим Подключение удаленного доступа (только входящие) и Подключение по требованию (входящие и исходящие) и выставим максимальное количество портов, число портов должно соответствовать или превышать предполагаемое количество клиентов. Неиспользуемые протоколы лучше отключить, убрав в их свойствах обе галочки.

В итоге у вас в списке портов должны остаться только нужные вам порты в указанном вами количестве.

На этом настройка сервера закончена. Осталось только разрешить пользователям подключатся к серверу.

Перейдите в Диспетчере сервера: КонфигурацияЛокальные пользователи и группыПользователиВыберите пользователя и нажмите правой кнопкой мыши — Свойства.

На вкладке Входящие звонкиПрава доступа к сети выставьте Разрешить доступ. (Если Ваш сервер работает под управлением Active Directory, то настройки необходимо вводить в соответствующей оснастке)

Настройка L2TP подключения на клиенте производится стандартными методами(О том, как подключиться к vpn-серверу из Windows 7 можно прочитать здесь.

), на вкладке Безопасность выберите тип VPN как L2TP с IPsec и нажмите кнопку Дополнительные свойства, в открывшемся окне укажите использование предварительного ключа и введите сам ключ.

Также не забудьте включить использование протокола расширенной проверки подлинности EAP.

В остальном никаких отличий от создания PPTP подключения нет, пользователи могут подключаться к нашему серверу используя свои учетные данные.

И не забудьте на Вашем маршрутизаторе перекинуть порты, а так же открыть из в Вашем Firewall:

  • IKE — UDP порт 500 (Прием\Отправка)
  • L2TP — UDP порт 1701 (Прием\Отправка)
  • IPSec ESP — UDP порт 50 (Прием\Отправка)
  • IPSec NAT-T — UDP порт 4500 (Прием\Отправка)

Источник: https://afirewall.ru/nastraivaem-vpn-server-l2tp-platforma-windows-server-2008-2008r2

Настройка VPN и RADIUS сервера на Windows Server 2008 | Info-Comp.ru – IT-блог для начинающих

Vpn сервер на windows 2008 r2

Сегодня речь пойдет об установке и настройке VPN сервера на Windows Server 2008 в связке с Network Policy Server (NPS), который будет выполнять роль RADIUS сервера, а также будет защищать нашу сеть с помощью сетевых политик.

Для начала определимся для чего нам нужно устанавливать и настраивать VPN? Чаще всего VPN используется для предоставления доступа в свою сеть из вне, по защищенному каналу. Но тут нужно подумать, является это для Вас лучшим решением или можно обойтись и без VPN (например «Удаленный рабочий стол»). Но если у Вас нет другого выхода, кроме как настраивать VPN, то давайте приступим.

Для начала расскажу, в каких условиях мы будем все это дело настраивать.

  • Во-первых, на базе службы каталогов Active Directory Windows Server 2008;
  • Во-вторых, обычно второй сетевой интерфейс, который слушает входящие звонки, имеет внешний IP адрес, я для тестов буду использовать просто другую локальную сеть. Предполагается, что у нас на сервере имеется два сетевых интерфейса:

Первый (локальный)10.10.10.3255.255.255.0

Второй (как бы выход в инет, т.е. этот интерфейс будет принимать входящие подключения)

192.168.1.1

255.255.255.0

Задача. Настроить VPN сервер и NPS сервер. При этом клиенты VPN сервера должны подключаться только в определенное время (с 20:00 до 21:00) в другое время им запрещено входить в сеть.

Для начала создайте группу безопасности в оснастке Active Directory «Пользователи и компьютеры». Для того чтобы в нее помещать пользователей, которые будут иметь возможность подключаться к сети по VPN.

Установка ролей сервера для VPN и NPS

Далее можно переходить к установке необходимых ролей сервера.

В качестве VPN сервера у нас будет выступать «Служба маршрутизации и удаленного доступа», а в качестве RADIUS сервера будет выступать «Сервер политики сети».

Для установки как обычно зайдите в «Диспетчер сервера» и добавьте роль «Служба политики сети и доступа». На вкладке «Службы ролей» поставьте необходимые галочки (как на картинке).

Настройка службы маршрутизации и удаленного доступа для VPN

После того как все установилось можно переходить к настройке «Службы маршрутизации и удаленного доступа». Для этого запустите соответствующую оснастку в администрирование. Запускайте мастер настройка сервера (правой кнопкой «Настроить и включить маршрутизацию и удаленный доступ»).

Выбирайте «Удаленный доступ (VPN  или модем)» как на картинке (мы сейчас будем настраивать только удаленный доступ, NAT настраивать не будем, у нас нет такой задачи, поэтому выбираем самый первый пункт).

Далее выбираем «Доступ к виртуальной частной сети (VPN)».

На следующем этапе выбирайте интерфейс, который будет слушать входящие звонки, т.е. именно по этому адресу клиенты будут к нам подключаться (в настоящих условиях это интерфейс который смотрит в Интернет).

Далее выберете способ раздачи IP адресов клиентам, которые будут подключаться, другими словами, для того чтобы пользователь находился в одной сети, ему необходимо присвоить соответствующий IP адрес. Существует два способа это сделать:

  • Раздать через DHCP;
  • Задать вручную диапазон.

Первый вариант можно использовать тогда, когда у Вас настроен DHCP сервер в Вашей сети.

Весь процесс выглядит так – если Вы выбрали этот вариант «Служба маршрутизации и удаленно доступа» сразу займет на DHCP сервере 10 IP адресов, поэтому не удивляйтесь, почему у Вас на DHCP сервере появились занятые ip-ки с уникальном кодом RAS. Кстати если одновременных подключений будет больше 10, то RAS займет еще 10 и так далее, т.е. занимает сразу по десять штук.

Если Вы не хотите использовать DHCP, то просто на всего выберете соответствующий пункт и задайте диапазон IP адресов.

Примечание! Если Вы решили задать вручную и при этом у Вас работает DHCP сервер, то задавайте тот диапазон, который не будет пересекаться с выдачей DHCP, или просто на DHCP сервере задайте диапазон исключений, IP адреса которого не будут выдаваться, а здесь Вы его укажите для выдачи.

На следующем этапе Вам предложат выбрать способ проверки подлинности запросов на подключение. Здесь у Вас снова два варианта: первый, сама служба будет это делать, а второй RADIUS сервер, как раз второй вариант мы сегодня и рассматриваем.

Далее предстоит выбрать адрес основного RADIUS сервера, так как основным сервером являемся мы сами, то и пишем наш IP адрес: 10.10.10.3

Все жмите готово, у Вас при этом настроится DHCP сервер для совместной работы с данной службой.

Настройка Network Policy Server (NPS)

Теперь переходим к настройке Network Policy Server (NPS) для этого запускайте оснастку «Сервер политики сети». Для начала зарегистрируйте этот сервер в AD, правой кнопкой «Зарегистрировать сервер в AD». Потом можно выключить политики, которые создались по умолчанию (также легко, правой кнопкой выключить). Затем можете запускать мастер настройки сервера.

Сначала выбираете тип подключения и можете задать имя Ваших политик, я например не изменял, а оставил все по умолчанию.

Затем можно указать клиентов RADIUS сервера. Под этим понимается сервера, которым нужны услуги RADIUS сервера, например наш VPN сервер, но так как он находится на нашем локальном компьютере, то здесь можно ничего не заполнять.

На следующем этапе у Вас спросят, какой метод проверки подлинности Вы хотите использовать, выберите вариант MS-CHAPv2.

Далее добавьте группу пользователей, которые имеют право на подключения к VPN серверу. Свою группу я назвал VPN.

Потом Вас попросят настроить ip-фильтры, но мы этого делать не будем, жмем далее и попадаем на этап настройки шифрования, здесь опять ничего не меняем (по умолчанию все галочки включены). Переходим к следующему этапу, где необходимо указать «Имя сферы» мы это тоже пропускаем и жмем далее, где нам уже скажут, что настройка прошла успешно. Жмем «Готово».

Теперь можете раскрыть политики, выберете «Политики запросов на подключение» нажмите правой кнопку на созданную Вами политику и нажмите свойства, перейдите на вкладку условия и нажмите добавить. Найдите там раздел «Ограничение по дням недели и времени суток» и жмите еще раз добавить. Настройте время так, как Вам нужно, для нашей с Вами тестовой задачи это с 20:00 по 21:00.

Теперь можно переходить к тестированию, в настройках подключения клиента указываем адрес 192.168.1.1 (в реальность внешний IP адрес или DNS имя).

Все, на этом наша с Вами тестовая задача выполнена. Но сразу могу сказать, что возможностей у NPS сервера очень много и Вы можете задавать свои сетевые политики для своей локальной сети, при выполнении некоторых условий. Например, компьютеры должны быть в домене и у них должен быть включен NAP агент. Но об этом и многом другом будем разговаривать в следующих статьях.

Источник: https://info-comp.ru/sisadminst/168--vpn-radius-windows-server-2008.html

Mikrotik (vpn server) + Windows server 2008r2 (ad, radius server)

Vpn сервер на windows 2008 r2

Доброго времени суток! На днях поставили задачу, настроить удаленный доступ к серверу через VPN. До этого использовали доступ через удаленный рабочий стол. Закрыли доступ к серверу, осталось поднять VPN сервер и добавить пользователей, кому разрешен доступ из дома. В качестве шлюза в организации установлен Mikrotik 450g.

Можно было бы просто включить VPN-сервер на Mikrotik'e и завести необходимое кол-во пользователей. Решил пойти другим путем, так как в компании на сервере поднят Active Directory, можно воспользоваться Radius-сервером на Windows 2008r2. И получим не плохую связку, что упростит нам работу в будущем по управлению доступом к серверу. И так опишу как все это дело настроить.

Для начала настроим Radius-сервер
Для работы radius сервера нам потребуется установить роль Службы политики сети и доступаNPS сервер
И так открываем Диспетчер сервера РолиДобавить роли
Находим в списке Службы политики сети и доступа, нажимаем далее, появится информация о данной службе, если необходимо читаем или сразу нажимаем далее, выбираем какие службы данной роли необходимо включить. Для радиус сервера нам понадобиться только Сервер политики сети, выбираем, нажимаем далее и установить.
После установки службы, необходимо ее зарегистрировать в Active Directory, это требуется для применения групповых политик применяемых на сервере. Вот тут у меня и возникли проблемы, кнопка активации была не активна. Причину я не нашел, но двигаемся дальше.

Переходим к настройке сервера. Теперь необходимо добавить radius-клиента. Для этого переходим: Диспетчер сервераРолиСлужбы политики сети и доступаNPS (Локально)Клиенты и серверы RADIUSRADIUS-клиенты. Кликаем правой кнопкой мыши на RADIUS-клиенты, нажимаем на Новый RADIUS-клиент.

В открывшемся диалоговом окне заполняем поля: • Понятное имя – имя радиус клиента (задается произвольно); • Адрес (IP или DNS) – тут все понятно, ip адрес либо dns-имя нашего устройства; • Имя поставщика – поставщик radius клиента (можно оставить Standard); • Общий секрет – пароль для авторизации радиус-клиента (пароль допустим 12345678).
Для того что бы настроить политику доступа, необходимо создать в Active Directory локальную группу безопасности. В данную группу будут входить пользователи, которым будет открыт доступ к серверу из дома. Назовем ее Удаленный доступ по VPN.

Создаем политику доступа. В службе NPS (Локально) открываем Политики кликаем правой кнопкой мыши Сетевые политикиНовый документ. В открывшемся окне заполняем поля: • Имя политики — произвольное имя; • Тип сервера доступа к сети – оставляем Unspecified.
Нажимаем далее, откроется окно Выбор условия, тут все просто на основании чего будем разрешать или запрещать доступ. Нажимаем добавить, ГруппыГруппы Windows.

Как помните выше я писал, что у меня не получалось зарегистрировать Сервер политик сети (NPS (Локально)) в AD, точнее кнопка активации не активна, из-за данной проблемы при выборе группы безопасности выходит ошибка.
Проблему обошел следующим способом, при поиске группы безопасности, выбираем размещение не в домене, а на самом сервере (DNS имя сервера). Далее уже находим созданную ранее группу Удаленный доступ по VPN. Нажимаем ОК.
Добавим еще одно условие, от какого radius-клиента разрешено подключение. Свойства клиента RADIUS Понятное имя клиента, добавить. Тут указываем, имя Radius-клиента которого создавали раннее, в моем случае mikrotik.
Нажимаем ок, в итоге у нас получается 2 условия, идем далее.
Укажите разрешение доступа – Доступ разрешен.

Далее Настройка методов проверки подлинности выбираем метод шифрование mschap и mschap2.

Далее Настройка ограничений, тут параметры можно оставить по умолчанию.

Настройка параметров, в Атрибуты RADIUS – Стандарт, удаляем атрибут Service-Type Framed, оставляем только PPP.
На этом настройка Radius-сервера заканчивается. Нажимаем далее и готово.

Переходим к настройке Mikrotik'a.

Создадим пул ip адресов для подключения наших пользователей:

/ip pool add name=vpnserverusers ranges=10.0.18.2-10.0.18.99 next-pool=none

Профиль для VPN сервера:

/ppp profile add name=vpnserverhome use-encryption=yes change-tcp-mss=yes local-address=10.0.18.1 remote-address=vpnserverusers

В качестве VPN севера выбрал PPTP сервер, включаем:

/interface pptp-server server set enabled=yes authentication=mschap1,mschap2 max-mtu=1460 max-mru=1460 default-profile=vpnserverhome

Необходимо включить авторизацию с помощью radius-сервера

/ppp aaa set use-radius=yes accounting=yes

Включаем radius-клиент, и настраиваем его под наш сервер

/radius add service=ppp secret=12345678 address=192.168.0.100 authentication-port=1812 accounting-port=1813

Какие задействованы порты на нашем Radius-сервере можно посмотреть в свойствах Сервера политики сети

Диспетчер сервераРолиСлужбы политики сети и доступаNPS (Локально) правой кнопкой мыши Свойства

Так же на микротике потребуется отключить masquerade в firewall'e для диапазона ip адресов 10.0.18.2-10.0.18.99, что бы наши пользователи не использовали интернет от данного соединения VPN.
/ip firewall nat edit number=1 src-address откроется окно, пишем наш диапазон

!10.0.18.2-10.0.18.99

У меня masquerade идет первым по списку в NAT, поэтому number=1. Осталось только добавить в группу безопасности «Удаленный доступ по VPN», пользователей, которым разрешен доступ.

Есть еще момент, в свойствах учетной записи пользователя необходимо в настройках Входящие звонкиПрава доступа к сети включить Управление доступом на основе политики NPS

Что бы у пользователей не возникло проблем с настройкой VPN соединения дома, и избавить себя от звонков в вечернее время. С помощью утилиты CMAK:Пакет администрирования диспетчера подключений (CMAK) — это средство для настройки и управления способом подключения пользователей к Интернету или корпоративной частной сети. создал автоматическое подключение для Windows7 (32 бит, 64 бит) и WindowsXP (32 бит), со стандартными настройками и написал не большую инструкцию как все это дома установить.
Несколько скриншотов делал уже после настройки на виртуальной машине, а именно добавление роли Службы политики сети и доступа. Из-за этого разные dns-имена серверов. mikrotik, vpn-сервер, windows server 2008 r2, radius

Данная статья не подлежит комментированию, поскольку её автор ещё не является полноправным участником сообщества. Вы сможете связаться с автором только после того, как он получит приглашение от кого-либо из участников сообщества. До этого момента его username будет скрыт псевдонимом.

Источник: https://habr.com/ru/sandbox/58551/

Настройка VPN сервера на Windows Server 2008, 2012, 2016 на VPS/VDS

Vpn сервер на windows 2008 r2

VPN соединение позволяет получить доступ к ресурсам локальной сети через сеть интернет, по безопасному каналу. Это позволяет работать в офисе удаленно. Просто выполнив подключение через VPN, вы можете пользоваться всеми доступными для вас ресурсами корпоративной сети, как будто бы ваш компьютер был физически подключен к данной сети.

Как правило, это используется для объединения удаленных офисов или мелких филиалов в одну сеть.

Меня зовут Севостьянов Антон и в данном видео давайте рассмотрим процесс настройки VPN сервера на базе Windows Server 2016. И делать мы это будем на арендованном виртуальном сервере от компании NeoServer.

Несмотря на то, что я буду выполнять все действия в Windows Server 2016, аналогичным образом все можно настроить на 2008 и 2012 серверах. 

Как я и говорил, весь процесс настройки у нас будет проходить на арендованном виртуальном сервере. Поэтому первым делом нам нужно создать виртуальный сервер, для этого переходим на сайт neoserver.ru \ Войти \ Виртуальные сервера.

Если вы никогда не работали с сервисом NeoServer, то на эту тему у меня есть более подробное видео “Настройка виртуального VPS VDS сервера Windows”, в котором я рассказываю все от процесса регистрации до конфигурации сервера.

Соберем сервер, у меня он будет состоять из следующих характеристик: Windows Server 2016 ru, 2Гб ОЗУ, все остальное по умолчанию.

Я буду работать через RDP подключение, так как для меня этот способ наиболее удобен.

Устанавливаем роль VPN 

Пуск \ Диспетчер серверов \ Управление \ Добавить роли и компоненты \ Далее \ Далее \ Далее \ Удаленный доступ \ Далее \ Далее \ DirectAccesss и VPN \ Добавить компоненты \ Далее \ Далее \ Установить.

Настройка VPN сервера

Мы можем запустить процесс настройки либо сразу из окна мастера добавления ролей и компонентов, либо через оснастку «Маршрутизация и удаленный доступ» (Средства \ Маршрутизация и удаленный доступ \ Выбираем наш сервер \ ПКМ \ Настроить и включить маршрутизацию и удаленный доступ \ Далее \ Особая конфигурация \ Далее \ Доступ к виртуальной частной сети (VPN) \ Далее \ Готово \ Запустить службу)

Отлично, службу мы запустили, остается выполнить более тонкие настройки (Имя сервера \ Свойства \ IPv4 \ Сервер может назначать адреса используя статический пул адресов, так как у нас в сети нет DHCP, то выбираем эту настройку, если у вас DHCP есть, то оставляем, по умолчанию \ 192.168.0.10-192.168.0.20 \ Безопасность \ Разрешить пользовательские политики \ Вводим ключ безопасности \ Применить \ Перезапускаем службу Маршрутизации и удаленного доступа \ Диспетчер задач \ Службы \ Маршрутизация и удаленный доступ \ Перезапустить)

Предоставляем доступ пользователям для подключения через VPN

(Пуск \ Управление компьютером \ Пользователи \ Администратор \ Входящие звонки \ Разрешить доступ)

Настраиваем VPN подключение на клиентском компьютере (Центр управления сетями и общим доступом \ Создание и настройка нового подключения \ Подключение к рабочему месту \ Использовать мое подключение к интернету (VPN) \ IP адрес \ Свойства подключения \ Безопасность \ Протокол L2TP \ Дополнительные параметры \ Для проверки подлинности использовать общей ключ \ вводим ключ \ Шифрование данных \ Обязательное, отключить если нет шифрования)

Чтобы на клиенте не пропадал интернет при подключении к VPN, переходим в (Свойства сетевого VPN подключения \ Сеть \ IPv4 \ Свойства \ Дополнительно \ Использовать основной шлюз в удаленной сети \ Убираем галочку \ ОК)

Подключаемся к виртуальной сети VPN

Выбираем сетевое подключение \ Подключиться \ Вводим имя пользователи и пароль \ Все

Для проверки можем подключиться к нашему виртуальному серверу через IP адрес, открыть общий доступ к какой-нибудь папке и проверить работу локальной сети.

В описании данного видео, есть временные метки, по которым вы сможете сразу перейти к моменту в видео, который вас больше всего интересует. 

Список временных меток:

  • Создание виртуального сервера VPS/VDS на сервисе NeoServer
  • Подключение к виртуальному серверу 
  • Установка роли VPN сервера
  • Настройка VPN сервера
  • Настройка доступа к VPN серверу
  • Создание VPN соединения на клиентском компьютере
  • Проверка работы сети через VPN подключение

Источник: https://sys-team-admin.ru/videouroki/administrirovanie/199-nastrojka-vpn-servera-na-windows-server-2008-2012-2016-na-vps-vds.html

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.