Настройка VPN сервера на Windows 7 | Windows для системных администраторов

Настройка VPN сервера на Windows 7

В данной статье мы ознакомимся с тем, как можно организовать собственный VPN сервер на Windows 7 без использования стороннего софта

Напомню, что VPN (Virtual Private Network) этотехнология, используемая для доступа к защищенным сетям через общую сеть Internet. VPN позволяет обеспечить защиту информации и данных, передаваемой по общедоступной сети, путем их шифрования. Тем самым злоумышленник не сможет получить доступ к данным, передаваемым внутри VPN сессии, даже если он получить доступ к передаваемым по сети пакетам. Для расшифровки трафика ему необходимо иметь специальный ключ, либо пытаться расшифровать сессию при помощи грубого брутфорса. Кроме того, это дешевое решение для построения сети предприятия по каналам WAN, без необходимости аренды выделенного дорогостоящего  канала связи.Настройка VPN сервера на Windows 7

Для чего может понадобиться организация VPN сервера на Windows 7? Наиболее распространенный вариант – необходимость организации удаленного доступа к компьютеру с Windows 7 дома или в малом офисе (SOHO) при нахождении, например, в командировке, в гостях, в общем, не на рабочем месте.

Стоит отметить, что VPN сервер на Windows 7 имеет ряд особенностей и ограничений:

  • Вы должны четко понимать и принять все потенциальные риски, связанные с VPN подключением
  • Одновременно возможно только одно подключение пользователя и организовать одновременный VPN доступ к компьютеру с Win 7 нескольким пользователям сразу, легально нельзя.
  • VPN доступ можно предоставить только локальным учетным записям пользователей, и интеграция с Active Directory невозможна
  • Для настройки VPN сервера на машине с Win 7 необходимо иметь права администратора
  • Если вы подключаетесь к интернет через роутер, вам необходимо иметь к нему доступ, и нужно уметь настраивать правила для организации проброса портов (port forward) для разрешения входящих VPN подключений (собственно процедура настройки может существенно отличаться в зависимости от модели роутера)

Данная пошаговая инструкции поможет вам организовать собственный VPN сервер на Windows 7, не используя сторонние продукты и дорогостоящие корпоративные решения.

Откройте панель Network Connections (Сетевые подключения), набрав «network connection» в поисковой строке стартового меню, выберете пункт “View network connections”.

сетевые подключения в windows7

Затем зажмите кнопку Alt, щелкните по меню File и выберете пункт New Incoming Connection (Новое входящее подключение), в результате чего запустится мастер создания подключений к компьютеру.

windows 7 New Incoming Connection

В появившемся окне мастера укажите пользователя, которому будет разрешено подключаться к этому компьютеру с Windows 7 посредством VPN.

windows 7 vpn user

Затем укажите тип подключения пользователя (через Интернет или через модем), в данном случае выберите “Thought the Internet”.

nип vpn подключения в windows7

Затем укажите типы сетевых протоколов, которые будут использоваться для обслуживания входящего VPN подключения. Должен быть выбран как минимум TCP/IPv4.

настройка сервера vpn в windows 7

Нажмите кнопку Properties и укажите IP адрес, который будет присвоен подключающемуся компьютеру (доступный диапазон можно задать вручную, либо указать что ip адрес выдаст DHCP сервер).

настройка ip адреса для клиентов vpn в windows 7

После того, как вы нажмете кнопку Allow access , Windows 7 автоматически настроит VPN сервер и появится окно с именем компьютера, которое нужно будет использоваться для подключения.

VPN сервер на Windows 7

Вот и все VPN север настроен, и в окне сетевых подключений появится новое подключение с именем Incoming connections.

Windows 7 принимает входящие VPN подключения

Есть еще несколько нюансов при организации домашнего VPN сервера на Windows 7.

Настройка межсетевых экранов

Между Вашим компьютером с Windows 7 и сетью Интернет могут находится файерволы, и для того, чтобы они пропускали входящее VPN соединение, Вам придется осуществить их донастройку. Настройка различных устройств весьма специфична и не может быть описана в рамках одной статьи, но главное уяснить правило – необходимо открыть порт VPN PPTP с номером 1723 и настроить форвард (переадресацию) подключений на машину с Windows 7, на которой поднят VPN сервер.

Нужно не забыть проверить параметры встроенного брандмауэра Windows. Откройте панель управления  Advanced Settings  в Windows Firewall, перейдите в раздел Inbound Rules (Входящие правила) и проверьте что правило “Routing and Remote Access (PPTP-In)” включено. Данное правило разрешает принимать входящие подключения по порту 1723

настройка брандмауэра Windows 7 на прием входящих VPN сессий

Проброс портов

Ниже я выложил скриншот, показывающий организацию проброса (форвардинг) порта на моем роутере от NetGear. На рисунке видно, что все внешние подключения на порт 1723 перенаправляются на машину Windows 7 (адрес которой статический).

Если в качестве шлюза используется ПК с Windows, то на нем с помощью втсроенных средств также можно настроить порт-форвардинг.

Проброс портов для VPN в Windows7

Настройка VPN подключения

Чтобы подключиться к VPN серверу с Windows 7, на подключающейся машине-клиенте необходимо настроить VPN подключение

Для этого для нового VPN соединения задайте следующие параметры:

  • Щелкните правой кнопкой по VPN подключению и выберите Properties.
  • На вкладке Security в поле Type of VPN (тип VPN) выберите опцию Point to Point Tunneling Protocol (PPTP) и в разделе Data encryption выберите Maximum strength encryption (disconnect if server declines).
  • Нажмите OK , чтобы сохранить настройки

Настраиваем VPN клиент в win 7

Еще записи по теме: Windows 7
Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:
Вперед:

Комментариев: 51

Оставить комментарий
  1. AndryGL | 28.05.2012

    Спасибо! Понятная и подробная статья!

    Ответить
  2. Виктор | 31.07.2012

    Статья отличная, точно и понятна подана информация. Спасибо!

    Ответить
  3. Николай | 26.11.2012

    Зачет, даже не знал, что можно без дополнительной софты обойтись.
    Спасибо.

    Ответить
  4. Юрий | 07.01.2013

    Очень понравилось, все доступно, и, что самое хорошее, работает!:). Настроил достаточно быстро, удалось подключиться к поднятому серверу (сделал порт форвардинг на роутере, как сказано), только пока с файрволом не разобрался, за которым спрятан компьютер с сервером впна, но в выключенном состоянии мой есет смарт секьюрити пускает, так что наковыряю со временем что-то.

    Вопрос в другом. Клиент, который подключается к впн серверу получает интернет напрямую от роутера по дхцп. Как только включаю у него впн соединение (по тимвьюверу с компьютера, где сам сервер впн), у него падает аська, скайп, хром отказывается грузить страницы. Но! Я это все вижу — тимвьювер работает отлично. Как я понимаю, компьютер решает, что при подключенном впн соединении в интернет надо лезть именно через него. Тимвьювер же не обращает на включившийся впн внимания и работает, как бы мне и хотелось от всего остального. Так как же сделать так, чтобы весь компьютер (или отдельно аська, скайп и браузер, но, я думаю, лучше указать где-то для всего компьютера) не обращал на впн внимание и ходил в инет как и с выключенным впном — просто через локальное подключение? Спасибо заранее, если даже не ответите ;).

    Ответить
    • Юрий | 07.01.2013

      Вылечил. Убрал галочку в настройках ipv4 настроек впна с пункта «Использовать основной шлюз в удаленной сети» на клиентской машине. Ах да, файервол тоже починил, добавил недостающих правил. Еще раз спасибо и с рождеством :).

      Ответить
      • itpro | 09.01.2013

        Пожалуйста! Вы и сами отлично во всем разобрались :)

        Ответить
  5. Sergey | 26.01.2013

    Спасибо за статью! Все работает отлично, но есть вопрос… Как с семерки подать интернет в созданную ВПН сеть?

    Ответить
    • itpro | 29.01.2013

      Немного не понятно, что вы хотите… Чтобы осталась возможность пользоваться интернетом с хоста-инициатора vpn соединения?

      Ответить
      • Sergey | 29.01.2013

        Да да, необходимо выходить в сеть под внешним айпи компа, к которому подключаешься по ВПН.

        Ответить
        • Ariz | 17.05.2013

          Удалось решить этот вопрос?
          Мне тоже очень интересно, как это можно сделать?

          Ответить
          • itpro | 21.05.2013

            Чтобы не пропадал интернет при установке VPN соединения нужно
            а) снять галочку «Использовать основной шлюз в удаленной сети»  (свойства VPN подключения ->Networking-> свойства TCP/IP 4->Advanced->снять галочку Use default gateway on remote network
            б) Добавить статический маршрут к ресурсам сети, к которой вы подключаетесь по VPN:
            route -p add 192.168.0.0 mask 255.255.255.0 xxx.xxx.xxx.xxx
            где xxx.xxx.xxx.xxx – это статический адрес, который назначен VPN интерфейсу. Именно он будет являться шлюзом для VPN-трафика. Подразумевается, что удаленная (VPN) сеть это 192.168.0.0 с маской 255.255.255.0 (естественно, эти параметры необходимо поменять в соответствии с вашими реалиями)

            Ответить
  6. Dima | 16.02.2013

    как настройть VPN сервера между двух комп(win 7) без доступа в интернет, как wifi соединение между компами?

    Ответить
    • itpro | 18.02.2013

      По сути не важно находятся компьютеры в интернете или нет, главное, чтобы они были доступны друг для друга по сети (ethernet, wifi, dial-up :) ). На одной из машин разворачиваете VPN сервер по этой статье, другая с помощью vpn клиента соединяется с ним.

      Ответить
  7. Петр | 09.10.2013

    А на каком порту VPN работает? Мне тут _http://linexp.ru/forum/nastrojka-vpn-servera сказали что на 1723

    Ответить
    • itpro | 10.10.2013

      Штатный VPN-сервер Windows 7 (VPN PPTP) действительно работает на порту 1723

      Ответить
  8. btraven | 05.11.2013

    Здравствуйте, всё сделал как описано, но при попытке подключения выдаёт ошибку 720 «Не удаётся подключиться к удалённому компьютеру. Возможно, потребуется изменение сетевых параметров соединения» Как быть подскажите :(

    Ответить
    • itpro | 06.11.2013

      Проверьте доступность удаленного компьютера с помощью ping. доступен и отвечает ли порт 1723? (telnet ip-adress-vpn-servera 1723)

      Ответить
      • btraven | 06.11.2013

        Да, отвечает, полный доступ открыт по всем портам, более того, если вводишь не корректно логин/пароль он на это реагирует, говорит что неверный логин/пароль

        Ответить
        • itpro | 07.11.2013

          Еще пара уточнений..
          1. Укажите IP адрес клиента и сервера, а также диапазон ip адресов, раздаваемых VPN сервером. они не пересекаются?
          2. В свойствах VPN-подключения к стоит галочка на «Протокол интернета TCP/IP»?
          3. Помимо VPN, DHCP сервер случаем не используете?
          4. Я бы еще попробовал переустановить TCP/IP  протокол на клиенте. Если не поможет сбросить параметры tcp/ip и перенастроить сеть заново:
          netsh int ip reset resetlog.txt
          netsh winsock reset
           

          Ответить
          • btraven | 07.11.2013

            Спасибо за совет, прописал ip-шники вручную, подключение устанавливается но нет интернета на клиенте от сервера. Поясню свою задачу, у меня две квартиры первая у матери(там интернет нормальный оптоволоконный от Дом.ру со статическим ip) во второй квартире живу я, у меня нет возможности подключить проводной интернет поэтому пользуюсь связью Yota, с недавнего времени Yota закрыла порты на сети peer-to-peer, соответственно трренты теперь качать нельзя, и не работает торрент-тв. Поэтому сейчас и встала задача «прорыть» туннель до другого оператора.

            Ответить
          • Евгений | 20.10.2014

            Подскажите, пожалуйста, для тех, кто на бронепоезде:
            >>> 2. В свойствах VPN-подключения к стоит галочка на «Протокол интернета TCP/IP»?
            Вы имеете ввиду «Протокол интернета версии 4 (TCP/IPv4)» в окне свойств VPN?
            >>> 3. Помимо VPN, DHCP сервер случаем не используете?
            Имеете ввиду — в сведениях о сетевом подключении указано: DHCP включен: Да
            Если да — что нужно сделать? Если его надо отключить- то как?
            >>> 4. Я бы еще попробовал переустановить TCP/IP  протокол на клиенте.
            это означает удалить настроенное подключение на удалённом клиенте и создать по новой? Или что-то другое?
            Заранее благодарен за ответы….
             

            Ответить
            • itpro | 21.10.2014

              2. Да
              3. Имелось в виду, не работает ли ваш ПК как DHCP-сервер (используется довольно редко )
              4. Проще всего удалить настроенное подключение, сбросить параметры TCP/IP  командами:
              netsh int ip reset resetlog.txt
              netsh winsock reset
              И пересоздать подключение заново

      • Евгений | 20.10.2014

        Пробую telnet ip-adress-vpn-servera 1723 — пишет:
        telnet не является внетренней или внешней командой, исполняемой программой или пакетным файлом.

        Ответить
        • itpro | 21.10.2014

          Нужно установить клиент telnet, например такой командой:
          pkgmgr /iu:»TelnetClient»

          Ответить
  9. itpro | 12.11.2013

    2btraven
    Чтобы продолжать пользоваться интернетом, нужно снять галку «Использовать основной шлюз в локальной сети» м проверить маршруты. Подробнее все описано в моей комментарии «itpro | 21 05 2013″

    Ответить
    • btraven | 12.11.2013

      Да спасибо, забыл написать что у меня всё получилось, проблема была в том что ip-шники прописывал «другой сети» думал так правильнее, а оказалось нужно было прописать те же что и домашняя сеть по умолчанию 192.168.1.xxx, только с DHCP ещё проблема была, роутер и VPN раздавали адреса из одного и того же диапозона 33-62, настроил в на VPN чтоб давались с 100-110 и всё заработало.

      Ответить
  10. Bobo | 23.11.2013

    »

    Спасибо за совет, прописал ip-шники вручную, подключение устанавливается но нет интернета на клиенте от сервера. Поясню свою задачу, у меня две квартиры первая у матери(там интернет нормальный оптоволоконный от Дом.ру со статическим ip) во второй квартире живу я, у меня нет возможности подключить проводной интернет поэтому пользуюсь связью Yota, с недавнего времени Yota закрыла порты на сети peer-to-peer, соответственно трренты теперь качать нельзя, и не работает торрент-тв. Поэтому сейчас и встала задача «прорыть» туннель до другого оператора.»

    Можно ли по такой технологии пользоватся интернетом другого государства по VPN ?

    Ответить
  11. btraven | 23.11.2013

    Конечно можно! По крайне мере мой дядя из США пользовался моим прокси сервером, с vpn я думаю тоже проблем не будет.

    Ответить
    • Bobo | 23.11.2013

      Это получается что я могу качать софт с сети себе на комп совершенно бесплатно который принимаю через VPN ? А не будет ли уходить мой трафик? И еще данным спосообом я так же могу передавать или только получать трафик с сети?

      Ответить
      • Bobo | 23.11.2013

        Я имею ввиду что могу полностью пользоватся интернетом по VPN другого пользователя  при этом мой трафик не будет расходоватся?

        Ответить
        • itpro | 25.11.2013

          Вы заблуждаться. Трафик через VPN канал все равно будет литься и учитываться.

          Конечно, возможно, что где-то есть «экзотические» провайдеры, которые считают трафик только по портам 80/443,  но такие скорее всего  скоро разоряться :)

          Ответить
        • btraven | 25.11.2013

          Такого чтобы не тратился свой трафик почти невозможно. Хотя я так раньше делал, у меня на работе был лимитированный трафик а дома полный безлимит, чтобы не тратить «казённый» трафик я создавал прокси сервер у себя дома а с работы через него выходил в интернет, но это возможно только в том случае если на обоих концах один провайдер, например Ростелеком на котором внутресетевой трафик не считается(по крайне мере внутри одного региона).

          Ответить
          • Bobo | 07.12.2013

            А если купить им одинаковый ай пи адрес? тогда проблем с приемом будут?

            Ответить
      • Bobo | 25.11.2013

        А можно связаться с вами по почте? Хотелось бы у вас подробно узнать про прием трафика через прокси?

        Ответить
  12. Владимир | 15.03.2015

    Прочитал статью, все настроил, VPN-сервер запущен, порт пробросил, VPN-клиент подключается, но с VPN-клиента нет доступа в интернет (доступ в интернет нужен именно из этой домашней сети). Схема сети такая:
    по адресу 10.254.254.1 роутер, который по Wi-Fi раздает интернет, в компьютере есть две сетевых карты, первая с адресом 10.254.254.105 (здесь и работает VPN-сервер) и она всем раздает доступ в интернет, и вторая с адресом 192.168.137.101. Создал входящее подключение, установил адреса из первой подсети с 10.254.254.190 по 10.254.254.191.
    VPN-клиент подключается, но доступа в интернет нет.
    Подскажите, как в моей схеме настроить доступ VPN-клиенту в интернет?
    В качестве VPN-клиента будет устройство на Android.

    Ответить
    • itpro | 15.03.2015

      Нужно чтобы устройство на Android выходило в Интернет только через VPN сервер? Или проблема в том, что при VPN подключении пропадает доступ в интернет (который до подключения работает)?
      PS. Вообще говоря не совсем понятна роль VPN сеовера… Не проще ли с Android-девайса подключатся напрямую к Wi-Fi роутеру?

      Ответить
  13. Владимир | 16.03.2015

    Да, совершено верно, нужно чтобы устройство на Android выходило в Интернет только через VPN-сервер, т.е. идея в том, чтобы обойти ограничения на доступ к ресурсам в интернете. Например, когда нахожусь в Китае, то не имею доступа к ресурсам гугл, а при подключении к VPN-серверу я смогу из домашней сети ходить в интернет и иметь доступ к ресурсам гугл, находясь при этом в дали от дома.

    Ответить
    • itpro | 18.03.2015

      Все дело в маршрутизации.
      Попробуйте на Android девайсе в настройках VPN подключения указать маршрут 0.0.0.0/0. По идее так все запросы должны идти через VPN туннель.

      Ответить
  14. вася | 11.05.2015

    И фигу вы получите от майкрософт, заплатив деньги, а не подключение…
    Пробовал раз 20 и всего один раз каким то чудом удалось подключиться. Лучше поставить сторонние программы и подключиться без проблем, например: LogMeIn Hamachi или teamviewer.

    Ответить
  15. Юрий | 29.07.2015

    Помогите решить проблему, все настроено и работает доступ к общим папкам через VPN работает хорошо, но при отключении VPN соединения связь с сервером остается примерно минут 5, почему доступ к общим папкам не пропадает мгновенно?

    Ответить
  16. Евгений | 16.11.2015

    Знающие люди, помогите разобраться.
    Ситуация — подняты VPN сервера на 4 разных клиентских машинах в разных местах (провайдеры и роутеры разные). Цеплялся к ним с работы и из дома, все работало нормально долгое время.
    Ни с того ни с сего перестали работать ВСЕ соединения, не могу зацепиться ни с работы ни из дома. Причем с работы — соединение с IP адресом проскакивает, зависает на проверке логина и пароля, а из дома — зависает на «Соединение с IP с использованием «Wan miniport PPTP». Никаких настроек нигде не менял, раньше глюков никаких не было. На удалённых серверах никакого софта не ставил, разве что обновления какие-нибудь могли встать… IP везде статика! ЧТо может быть, куда залезть?

    Ответить
    • itpro | 16.11.2015

      Начните с проверки доступности порта 1723 с клиента до VPN сервера:
      telnet ip_adress_vpn_severa 1723
      Если подключение проходит, попробуйте изучить журналы System и Application на VPN сервере и на клиентах. Возможно там будет хоть какая-то конкретика.
      ЗЫ. Если бы проблема была с одним подключением, я бы грешил на провайдера. Они могут резать VPN тоннели, или блокировать GREтрафик.

      Ответить
      • Евгений | 17.11.2015

        telnet ip_adress_vpn_severa 1723 — не является внутренней или внешней командой, исполняемой программой или пакетным файлом.
        Журналы — Вы имеете ввиду: Управление компьютером — Журналы Windows — Система (итд)???
        Да, в том то и дело, что на провайдера тут не погрешишь… 3 разных провайдера

        Ответить
        • itpro | 17.11.2015

          Клиент telnet по-умолчанию отключен, его нужно активировать отдельно (http://winitpro.ru/index.php/2013/05/06/ustanovka-klienta-telnet-v-windows-8/)
          Да, речь об этих журналах — изучите их на предмет ошибок и предупреждений, связанных с vpn подключением/авторизацией удаленного пользователя

          Ответить
          • Евгений | 20.11.2015

            Действительно!!! Журнал системы пестрит ошибкой след. содержания:
            Подключение между сервером и клиентом виртуальной частной сети хх.ххх.ххх.ххх установлено, но завершить подключение не удалось. Чаще всего причина заключается в том, что брандмауэр или маршрутизатор между сервером и клиентом виртуальной частной сети не настроен на поддержку пакетов протокола GRE (Generic Routing Encapsulation) (протокол 47).

            Проверил брандмауэр Windows — все службы запущены и правила прохождения трафика через порты 1723 и 47 по протоколу TCP — включены. Пробовал вообще отключать брандмауэр — такая-же песня..

            Ответить
            • itpro | 24.11.2015

              Похоже все таки на проблему у провайдеров. Настройки самой системы тут не причем. Помню у Корбины (Билайн) была проблема с блокировкой GRE трафика между клиентскими системами. Решалось звонком в техподдержку.

  17. Мурад | 03.10.2016

    Добрый день. Не получается подключится так чтобы инет шел от сервера. Т.е. Сервер настроен на вин 7, дома провайдер билайн роутер смарт бокс про настроен, локальный адрес роутера 192.168.5.1, диапазан ip адресов 192.168.5.64-192.168.5.153. У сервера постоянный ip адрес настроен 192.168.5.69, Адреса на клиенты от 192.168.5.200-192.168.5.210. Подключаюсь от провайдера мгтс на вин 8.1 проходит соединение а инет остается так-же от мгтс, а нужно чтоб был от билайн. Я про route add 192.168.2.0 mask 255.255.255.0 192.168.1.195 мне что здесь изменить под себя на клиенте чтоб инет от билайна пошел?

    Ответить
    • itpro | 03.10.2016

      В настройках VPN подключения клиента поставьте галку «Использовать основной шлюз в удаленной сети»

      Ответить
      • Мурад | 03.10.2016

        Да, в этом случае на клиенте в speedtest.net ip адрес удаленного сервера т.е. билайн, а скорость инета в спидтесте падает до 0 и кроме яндекса у меня лично больше ничто не открывается. Может есть другой способ, проброса портов?

        Ответить
        • itpro | 05.10.2016

          А что если после подключения через VPN, открывать удаленный рабочий стол (RDP) и уже в нем запускать браузер?

          Ответить
          • Мурад | 25.10.2016

            Перешел на Softether проще в настройках

            Ответить
Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)



MAXCACHE: 0.32MB/0.00100 sec