Настройка VPN сервера на базе Windows Server 2012 R2 | Windows для системных администраторов

Настройка VPN сервера на базе Windows Server 2012 R2

В этой статье мы покажем, как установить и настроить простейший VPN сервер на базе Windows Server 2012 R2, который можно эксплуатировать в небольшой организации или в случае использования отдельно-стоящего сервера (т.н. hosted-сценариях).

Примечание. Данный мануал не рекомендуется использовать в качестве справочника для организации VPN сервера в крупной корпоративной сети. В качестве enterprise-решения предпочтительнее развернуть Direct Access и использовать его для удаленного доступа (который, кстати говоря, настроить теперь намного проще, чем в Windows 2008 R2).

В первую очередь необходимо установить роль “Remote Access”. Сделать это можно через консоль Server Manager или PowerShell (немого ниже).

В роли Remote Access нас интересует служба “DirectAccess and VPN (RAS)” . Установим ее (установка службы тривиальна, на последующих шагах все настройки можно оставить по-умолчанию. Будут установлены веб сервер IIS, компоненты внутренней базы Windows — WID).

Установка VPN сервера на базе windows server 2012 r2

Завершение мастера установки службы RRAS

После окончания работы мастера нажмите ссылку “Open the Getting Started Wizard“, в результате чего запустится мастера настройки RAS-сервера.

Службу RAS с помощью Powershell можно установить командой:

Install-WindowsFeatures RemoteAccess -IncludeManagementTools

Так как нам не требуется разворачивать службу DirectAccess, укажем, что нам нужно установить только сервер VPN (пункт “Deploy VPN only“). deploy vpn only windows 2012r2

После чего откроется знакомая MMC консоль Routing and Remote Access. В консоли щелкните правой кнопкой по имени сервера и выберите пункт “Configure and Enable Routing and Remote Access“.

mmc консоль routing and remote access в win2012r2

Запустится мастер настройки RAS-сервера. В окне мастера выберем пункт “Custom configuration“, а затем отметим опцию “VPN Access”. Служба vpn access

После окончания работы мастера система предложит запустить службу Routing and Remote Access. Сделайте это.

В том случае, если между вашим VPN сервером и внешней сетью, откуда будут подключаться клиенты (обычно это Интернет), есть файервол, необходимо открыть следующие порты и перенаправить трафик на эти порты к вашему VPN серверу на базе Windows Server 2012 R2:

  • Для PPTP: TCP — 1723 и Protocol 47 GRE (также называется PPTP Pass-through)
  • Для  SSTP: TCP 443
  • Для  L2TP over IPSEC: TCP 1701 и UDP 500

После установки сервера, необходимо в свойствах пользователя разрешить VPN доступ. Если сервер включен в домен Active Directory, сделать это нужно в свойствах пользователя в консоли ADUC, если же сервер локальный – в свойствах пользователя в консоли Computer Management (Network Access Permission – Allow access). Разрешить пользователю vpn доступ

Если вы не используете сторонний DHCP сервер, который раздает vpn-клиентам IP адреса, необходимо в свойствах VPN сервера на вкладке IPv4 включить “Static address pool” и указать диапазон раздаваемых адресов.

встроенный dhcp сервер для vpn клиентов

Примечание. Раздаваемые сервером IP адреса в целях корректной маршрутизации не должны пересекаться с ip адресацией на стороне VPN клиента.

Осталось настроить VPN клиент и протестировать (как настроить vpn-клиент в Windows 8).

Совет. VPN сервер также можно организовать и на базе клиентской ОС. Подробно это описано в статьях:

Еще записи по теме: Windows Server 2012 R2
Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:
Вперед:

Комментариев: 28

Оставить комментарий
  1. myr4ik07 | 16.06.2014

    Не очень понимаю данную технологию, но как я понял посредством данной закрытой сети возможный доступ к общим ресурсам подключенных пк к впн?! А значит и в домен можно завести всех кто подключился к впн? А значит и локальный сайт может быть доступен (+ фтп) клиентов которые подключились к впн? Правильно?
    Все службы и настройки работает без проблем в локальной сети, а если я установлю на сервер данным способом впн службы то без каких либо надстроек впн служб все должно работать, о чем я написал выше?! )))))

    Ответить
    • myr4ik07 | 16.06.2014

      Имеется ввиду доступ к локальным ресурсам впн сервера (сервисам) через интернет

      Ответить
      • itpro | 18.06.2014

        Не совсем понял твой вопрос…
        Задача VPN — построить защищенный канал связи между клиентом и сервером через недоверенную  сеть (интернет).
        Естественно, само по себе создание канала не является самоцелью. При VPN подключении клиент может получать доступ к службам и сервисам, расположенным на VPN сервере , а при правильной настройке маршрутизации и службы RRAS — и к другим ресурсам локальной сети, в которой находится VPN сервер.

        Ответить
  2. Михаил | 17.06.2015

    «Примечание. Раздаваемые сервером IP адреса должны относиться к той же подсети, в которой находится сетевой интерфейс сервера, на который подключаются удаленные пользователи.» — примечание странное по двум причинам:
    1) удалённые пользователи обычно подключаются из интернета (по крайней мере если внешний интерфейс впн сервера имеет белый адрес) — тогда адреса из пула впн-сервера тоже должны быть интернет-адресами?
    2) этот пул может быть вообще любым — маршрутизацию между указанными в пуле адресами (например 10.10.10.0/24) и внутренней сетью сервера (например, 192.168.1.0/24) обеспечит сам впн сервер.

    Ответить
    • itpro | 18.06.2015

      Здесь вы правы, этот пул адресов задается произвольно и служит для назначения сетевого адреса vpn подключения на клиенте. Главное, чтобы этот диапазон не пересекался с используемыми адресами/подсетями на стороне VPN клиента.
      Примечание убрал

      Ответить
      • Михаил | 18.06.2015

        «Главное, чтобы этот диапазон не пересекался с используемыми адресами/подсетями на стороне VPN клиента.» — точно! Спасибо за статью!

        Ответить
  3. Yuri | 29.06.2015

    Все настроил и все работает, но не могу понять как правильно настраивать права доступа на расшаренные папки, на пользователя который подключается к VPN который непосредственно указывается при создании подключения?

    Ответить
    • R3 | 14.08.2015

      Просто в настройках шар и непосредственно в NTFS разрешениях каталогов указываете нужные разрешения.

      Ответить
  4. Иван | 24.07.2015

    Делал вышеописанные процедуры (по удалёнке), на завершающей стадии работы мастера пропал доступ к серверу. После ребута, в течении минуты еще пускало, потом опять обрубался доступ. Когда добрался к серверу, увидел что пропал доступ в сеть в принципе, шлюз не пингуется, проверка ошибок подключения указала, что DNS сервера не отвечают. Удалил эту роль, ребутнул серв — ничего не изменилось. Помогло только переключение сети на другую сетевуху.
    Поделитесь, у кого какие соображения по этой теме?

    Ответить
  5. Александр | 02.12.2015

    Я в администрировании новичек, подскажите пожалуйста. Сервер (2012 R2) и клинет (win 8.1) настроил как у вас все тут написано. При попытке подключиться с клиента на wpn сервер выскакивает 868 ошибка. Удаленное подключение не установлено, так как не удалось разрешить имя сервера удаленного доступа. И еще вопрос, а провайдер со своей стороны никаких операций сделать не должен для того что бы wpn через интернет работал?

    Ответить
    • itpro | 02.12.2015

      Как я понял, подключение между клиентом и сервером через интернет? Вы подключаетесь на dns имя сервера?
      Провайдер выделил серверу белый IP адрес? Если белый ip адрес назначен сетевому оборудованию (роутеру, подключенному к провайдеру, т.е. сервер находится за роутером), то на роутере нужно назначить проброс порта 1723 на внутрений (серый) ip сервера. (подробнее про VPN, настройки сетевого оборудования и файерволов в статье http://winitpro.ru/index.php/2012/01/16/nastrojka-vpn-servera-na-windows-7/)
      А резолвится ли имя сервера с клиента (отображается ли оно в верный белый IP адрес сервера)?

      Ответить
  6. Yuri | 02.12.2015

    Здравствуйте, что нужно разрешить на брэндмауэре клиента чтобы была возможность открывать расшаренные ресурсы с сервера, подключение к vpn происходит без проблем, а вот доступ к ресурсам есть только при отключенном брэндмауэре???

    Ответить
    • itpro | 02.12.2015

      Довольно странно это, попробуйте разрешить исходящий SMB трафик на клиенте (вроде достаточно 445 порта). Хотя по моему это правило по-дефолту активно.

      Ответить
  7. Александр | 07.12.2015

    Спасибо большое за помощь, переадресация порта в оборудовании провайдера помогла.

    Еще один вопросик есть, в интернете ничего путного не нашел. Могу ля как-то через удаленное уплавление перезагрузить сервер, а потом снова войти на него, ДО ввода логина и пароля? Так как все службы после залогинивания запускаются.
    Сервер (2012 R2)

    Ответить
    • itpro | 07.12.2015

      Не понял вашу задачу… Подробнее ситуацию опишите.

      Ответить
      • Александр | 07.12.2015

        К примеру, я установил обновления, сервер просит перезагрузку. Если я удалённо перезагружу сервер, как я потом смогу удалённо к нему подключиться?

        Ответить
        • itpro | 10.12.2015

          Ну и пусть себе перезагружается.. После загрузки он должен быть доступен (если конечно у него настроен статический адрес, брандмауэре правильно натсроен и разрешены RDP соединения).
          Или вы какие-то операции, без которых сетевое соединение с с сервером невозможно, после загрузки сервера вручную выполняете?

          Ответить
          • Андрей | 16.12.2015

            Здравствуйте делал по вашей статье.А скажите почему нет интернета когда подключаюсь по vpn к серверу.Когда отключаюсь от vpn сервера интернет появляется почему так???

            Ответить
            • Александр | 16.12.2015

              Центр управления сетями и общим доступом — Изменение параметров адаптера — Вызываешь свойства своего VPN подключения — Вкладка Сеть — свойства ipv4 — Убери галочку с пункта Использовать основной шлюз в удаленной сети. Не за что))

  8. bill | 15.12.2015

    VPN-сервер настроил на контроллере домена. Клиент подключается. В корпоративной сети несколько серверов с «шарами», их видно. Но шары на VPN-сервере не видны, что можно сделать?

    Ответить
    • itpro | 17.12.2015

      Другие сервера с шарами находятся в другом ip сегменте?
      Проверьте с клиента отвечает ли на сервере порт 445 SMB (telnet server_ip_adres 445)

      Ответить
      • bill | 27.12.2015

        Другие сервера с шарами установлены том же сегменте что и контроллер. Точнее два контроллера домена с dfs и репликацией. Может это мешать? Если более подробно, то контроллеры s01 и s02. VPN стоит на s01. Если обращаться на \\s01.domain.local то шары не видны. Если обращаться на \\s02.domain.local шары видны, но не открываются (как бы зависают). Если обращаюсь на \\domain.local они тоже видны, но не открываются. 445 SMB отвечает.

        Ответить
  9. Yuri | 05.02.2016

    А как настроить чтобы интернет на клиенте шел через сервер?

    Ответить
    • itpro | 09.02.2016

      В настройках VPN подключения клиента нужно поставить галку «Использовать основной шлюз в удаленной сети»

      Ответить
  10. Victor | 12.02.2016

    Такое ощущение. что для полноценной работы, нужно сделать что-то ещё. У меня пользователь не подключается.
    Каким образом сервер впн знает о внешних пользователях? В данном гайде это не отражено.

    Ответить
    • itpro | 15.02.2016

      Какая схема подключения VPN сервера к интернету?
      Как правило нужно на периметральном сетевом оборудовании (которое с белым IP и подключено к интернету), перенаправить входящий трафик на указанные ниже порты к вашему внутреннему VPN серверу на базе Windows Server 2012 R2:

      Для PPTP: TCP — 1723 и Protocol 47 GRE (также называется PPTP Pass-through)
      Для SSTP: TCP 443
      Для L2TP over IPSEC: TCP 1701 и UDP 500

      Ответить
  11. Алексей | 23.03.2016

    Здравствуйте знатоки, я с администрированием серверов на «Вы» и только шепотом, прошу сильно не пинать) есть необходимость поднять VPN сервер (тупо для игр и сетевой шары) с костылями и красными глазами поднял OpenVpn, но со стороны клиентов которые более дремучие чем я много проблем с настройкой и запуском данной прелести. Попробовал neorouter free. В сетевом окружении все нашлись, шары работают, но в игрушках клиенты не видят игрового сервера. Сменил дефолтные сетевые параметры на 192.168.5.ххх с маской 255.255.255.0 результата не дало. Хочу поднять windows server 2012 r2 для поставленных задач, но нигде не могу найти инфы, как организовать одноранговую сеть с доступом к сетевым ресурсам, что бы клиенты подключались автоматом после старта системы, не входя в доменную учетку и тому подобное. Все мы используем windows от vista до win10, никто не исрользует пароли для входа в систему, со стороны сервера есть статический ip, роутера нет, со стороны клиентов много разных провайдеров вплоть до 3g модемов. Прошу вашей помощи.

    Ответить
  12. Александр | 14.09.2016

    Добрый день!!!

    Сервер 2012 в домене, 4 сетевых 3 из них смотрят в доменную сеть (объединение сетевых карт), статический IP, поле шлюза пусто dns прописаны доменные, 4я смотрит в инет через PPPoE с опцией пропишись в сети (из динамики как бы делают статику).

    Установил роль DirectAccess and VPN (RAS), создал локальных пользователей (в свойствах пользователей разрешил подключаться к VPN серверу). После перезагрузки сервера клиенты подключаются без проблем через PPTP, пинг в обе стороны (на ПК клиентов настройки фаервола сделаны), всё замечательно, но как обычно есть одно НО,
    стоит только перегрузить (приостановить, остановить и запустит) службу RRAS пинг, доступ к шарам, RDP исчезает, хотя клиенты подключаются и получают IP адрес исправно, единственное предупреждение в логах «Не удалось открыть для использования порт «PPPoE4-0″. Указанный порт уже открыт.» Спасает только перезагрузка сервера, но это не всегда возможно
    Так же заметил, что после перезагрузки службы RRAS при подключении клиента vpn на сервере не создаётся динамический маршрут, пробовал route add, после добавления маршрута (руками) запускаю пинг ip клиента «Общий сбой», отключаю клиента созданный руками маршрут исчезает, подключаю клиента маршрут не создаётся.
    Перезагрузка сервера, всё ок.
    Кто встречался с такой проблемой поделитесь в какую сторону копать.

    Ответить
Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)



MAXCACHE: 0.29MB/0.00117 sec