В данной статье мы ознакомимся с тем, как можно организовать собственный VPN сервер на Windows 7 без использования стороннего софта
Напомню, что VPN (Virtual Private Network) этотехнология, используемая для доступа к защищенным сетям через общую сеть Internet. VPN позволяет обеспечить защиту информации и данных, передаваемой по общедоступной сети, путем их шифрования. Тем самым злоумышленник не сможет получить доступ к данным, передаваемым внутри VPN сессии, даже если он получить доступ к передаваемым по сети пакетам. Для расшифровки трафика ему необходимо иметь специальный ключ, либо пытаться расшифровать сессию при помощи грубого брутфорса. Кроме того, это дешевое решение для построения сети предприятия по каналам WAN, без необходимости аренды выделенного дорогостоящего канала связи.
Для чего может понадобиться организация VPN сервера на Windows 7? Наиболее распространенный вариант – необходимость организации удаленного доступа к компьютеру с Windows 7 дома или в малом офисе (SOHO) при нахождении, например, в командировке, в гостях, в общем, не на рабочем месте.
Стоит отметить, что VPN сервер на Windows 7 имеет ряд особенностей и ограничений:
- Вы должны четко понимать и принять все потенциальные риски, связанные с VPN подключением
- Одновременно возможно только одно подключение пользователя и организовать одновременный VPN доступ к компьютеру с Win 7 нескольким пользователям сразу, легально нельзя.
- VPN доступ можно предоставить только локальным учетным записям пользователей, и интеграция с Active Directory невозможна
- Для настройки VPN сервера на машине с Win 7 необходимо иметь права администратора
- Если вы подключаетесь к интернет через роутер, вам необходимо иметь к нему доступ, и нужно уметь настраивать правила для организации проброса портов (port forward) для разрешения входящих VPN подключений (собственно процедура настройки может существенно отличаться в зависимости от модели роутера)
Данная пошаговая инструкции поможет вам организовать собственный VPN сервер на Windows 7, не используя сторонние продукты и дорогостоящие корпоративные решения.
Откройте панель Network Connections (Сетевые подключения), набрав «network connection» в поисковой строке стартового меню, выберете пункт “View network connections”.
Затем зажмите кнопку Alt, щелкните по меню File и выберете пункт New Incoming Connection (Новое входящее подключение), в результате чего запустится мастер создания подключений к компьютеру.
В появившемся окне мастера укажите пользователя, которому будет разрешено подключаться к этому компьютеру с Windows 7 посредством VPN.
Затем укажите тип подключения пользователя (через Интернет или через модем), в данном случае выберите “Thought the Internet”.
Затем укажите типы сетевых протоколов, которые будут использоваться для обслуживания входящего VPN подключения. Должен быть выбран как минимум TCP/IPv4.
Нажмите кнопку Properties и укажите IP адрес, который будет присвоен подключающемуся компьютеру (доступный диапазон можно задать вручную, либо указать что ip адрес выдаст DHCP сервер).
После того, как вы нажмете кнопку Allow access , Windows 7 автоматически настроит VPN сервер и появится окно с именем компьютера, которое нужно будет использоваться для подключения.
Вот и все VPN север настроен, и в окне сетевых подключений появится новое подключение с именем Incoming connections.
Есть еще несколько нюансов при организации домашнего VPN сервера на Windows 7.
Настройка межсетевых экранов
Между Вашим компьютером с Windows 7 и сетью Интернет могут находится файерволы, и для того, чтобы они пропускали входящее VPN соединение, Вам придется осуществить их донастройку. Настройка различных устройств весьма специфична и не может быть описана в рамках одной статьи, но главное уяснить правило – необходимо открыть порт VPN PPTP с номером 1723 и настроить форвард (переадресацию) подключений на машину с Windows 7, на которой поднят VPN сервер.
Нужно не забыть проверить параметры встроенного брандмауэра Windows. Откройте панель управления Advanced Settings в Windows Firewall, перейдите в раздел Inbound Rules (Входящие правила) и проверьте что правило “Routing and Remote Access (PPTP-In)” включено. Данное правило разрешает принимать входящие подключения по порту 1723
Проброс портов
Ниже я выложил скриншот, показывающий организацию проброса (форвардинг) порта на моем роутере от NetGear. На рисунке видно, что все внешние подключения на порт 1723 перенаправляются на машину Windows 7 (адрес которой статический).
Настройка VPN подключения
Чтобы подключиться к VPN серверу с Windows 7, на подключающейся машине-клиенте необходимо настроить VPN подключение
Для этого для нового VPN соединения задайте следующие параметры:
- Щелкните правой кнопкой по VPN подключению и выберите Properties.
- На вкладке Security в поле Type of VPN (тип VPN) выберите опцию Point to Point Tunneling Protocol (PPTP) и в разделе Data encryption выберите Maximum strength encryption (disconnect if server declines).
- Нажмите OK , чтобы сохранить настройки
Спасибо! Понятная и подробная статья!
Статья отличная, точно и понятна подана информация. Спасибо!
Зачет, даже не знал, что можно без дополнительной софты обойтись.
Спасибо.
Очень понравилось, все доступно, и, что самое хорошее, работает!:). Настроил достаточно быстро, удалось подключиться к поднятому серверу (сделал порт форвардинг на роутере, как сказано), только пока с файрволом не разобрался, за которым спрятан компьютер с сервером впна, но в выключенном состоянии мой есет смарт секьюрити пускает, так что наковыряю со временем что-то.
Вопрос в другом. Клиент, который подключается к впн серверу получает интернет напрямую от роутера по дхцп. Как только включаю у него впн соединение (по тимвьюверу с компьютера, где сам сервер впн), у него падает аська, скайп, хром отказывается грузить страницы. Но! Я это все вижу — тимвьювер работает отлично. Как я понимаю, компьютер решает, что при подключенном впн соединении в интернет надо лезть именно через него. Тимвьювер же не обращает на включившийся впн внимания и работает, как бы мне и хотелось от всего остального. Так как же сделать так, чтобы весь компьютер (или отдельно аська, скайп и браузер, но, я думаю, лучше указать где-то для всего компьютера) не обращал на впн внимание и ходил в инет как и с выключенным впном — просто через локальное подключение? Спасибо заранее, если даже не ответите ;).
Вылечил. Убрал галочку в настройках ipv4 настроек впна с пункта «Использовать основной шлюз в удаленной сети» на клиентской машине. Ах да, файервол тоже починил, добавил недостающих правил. Еще раз спасибо и с рождеством :).
Пожалуйста! Вы и сами отлично во всем разобрались 🙂
Спасибо за статью! Все работает отлично, но есть вопрос… Как с семерки подать интернет в созданную ВПН сеть?
Немного не понятно, что вы хотите… Чтобы осталась возможность пользоваться интернетом с хоста-инициатора vpn соединения?
Да да, необходимо выходить в сеть под внешним айпи компа, к которому подключаешься по ВПН.
Удалось решить этот вопрос?
Мне тоже очень интересно, как это можно сделать?
Чтобы не пропадал интернет при установке VPN соединения нужно
а) снять галочку «Использовать основной шлюз в удаленной сети» (свойства VPN подключения ->Networking-> свойства TCP/IP 4->Advanced->снять галочку Use default gateway on remote network
б) Добавить статический маршрут к ресурсам сети, к которой вы подключаетесь по VPN:
route -p add 192.168.0.0 mask 255.255.255.0 xxx.xxx.xxx.xxx
где xxx.xxx.xxx.xxx – это статический адрес, который назначен VPN интерфейсу. Именно он будет являться шлюзом для VPN-трафика. Подразумевается, что удаленная (VPN) сеть это 192.168.0.0 с маской 255.255.255.0 (естественно, эти параметры необходимо поменять в соответствии с вашими реалиями)
как настройть VPN сервера между двух комп(win 7) без доступа в интернет, как wifi соединение между компами?
По сути не важно находятся компьютеры в интернете или нет, главное, чтобы они были доступны друг для друга по сети (ethernet, wifi, dial-up 🙂 ). На одной из машин разворачиваете VPN сервер по этой статье, другая с помощью vpn клиента соединяется с ним.
А на каком порту VPN работает? Мне тут _http://linexp.ru/forum/nastrojka-vpn-servera сказали что на 1723
Штатный VPN-сервер Windows 7 (VPN PPTP) действительно работает на порту 1723
Здравствуйте, всё сделал как описано, но при попытке подключения выдаёт ошибку 720 «Не удаётся подключиться к удалённому компьютеру. Возможно, потребуется изменение сетевых параметров соединения» Как быть подскажите 🙁
Проверьте доступность удаленного компьютера с помощью ping. доступен и отвечает ли порт 1723? (telnet ip-adress-vpn-servera 1723)
Да, отвечает, полный доступ открыт по всем портам, более того, если вводишь не корректно логин/пароль он на это реагирует, говорит что неверный логин/пароль
Еще пара уточнений..
1. Укажите IP адрес клиента и сервера, а также диапазон ip адресов, раздаваемых VPN сервером. они не пересекаются?
2. В свойствах VPN-подключения к стоит галочка на «Протокол интернета TCP/IP»?
3. Помимо VPN, DHCP сервер случаем не используете?
4. Я бы еще попробовал переустановить TCP/IP протокол на клиенте. Если не поможет сбросить параметры tcp/ip и перенастроить сеть заново:
netsh int ip reset resetlog.txt
netsh winsock reset
Спасибо за совет, прописал ip-шники вручную, подключение устанавливается но нет интернета на клиенте от сервера. Поясню свою задачу, у меня две квартиры первая у матери(там интернет нормальный оптоволоконный от Дом.ру со статическим ip) во второй квартире живу я, у меня нет возможности подключить проводной интернет поэтому пользуюсь связью Yota, с недавнего времени Yota закрыла порты на сети peer-to-peer, соответственно трренты теперь качать нельзя, и не работает торрент-тв. Поэтому сейчас и встала задача «прорыть» туннель до другого оператора.
Подскажите, пожалуйста, для тех, кто на бронепоезде:
>>> 2. В свойствах VPN-подключения к стоит галочка на «Протокол интернета TCP/IP»?
Вы имеете ввиду «Протокол интернета версии 4 (TCP/IPv4)» в окне свойств VPN?
>>> 3. Помимо VPN, DHCP сервер случаем не используете?
Имеете ввиду — в сведениях о сетевом подключении указано: DHCP включен: Да
Если да — что нужно сделать? Если его надо отключить- то как?
>>> 4. Я бы еще попробовал переустановить TCP/IP протокол на клиенте.
это означает удалить настроенное подключение на удалённом клиенте и создать по новой? Или что-то другое?
Заранее благодарен за ответы….
2. Да
3. Имелось в виду, не работает ли ваш ПК как DHCP-сервер (используется довольно редко )
4. Проще всего удалить настроенное подключение, сбросить параметры TCP/IP командами:
netsh int ip reset resetlog.txt
netsh winsock reset
И пересоздать подключение заново
Пробую telnet ip-adress-vpn-servera 1723 — пишет:
telnet не является внетренней или внешней командой, исполняемой программой или пакетным файлом.
Нужно установить клиент telnet, например такой командой:
pkgmgr /iu:»TelnetClient»
2btraven
Чтобы продолжать пользоваться интернетом, нужно снять галку «Использовать основной шлюз в локальной сети» м проверить маршруты. Подробнее все описано в моей комментарии «itpro | 21 05 2013″
Да спасибо, забыл написать что у меня всё получилось, проблема была в том что ip-шники прописывал «другой сети» думал так правильнее, а оказалось нужно было прописать те же что и домашняя сеть по умолчанию 192.168.1.xxx, только с DHCP ещё проблема была, роутер и VPN раздавали адреса из одного и того же диапозона 33-62, настроил в на VPN чтоб давались с 100-110 и всё заработало.
»
Спасибо за совет, прописал ip-шники вручную, подключение устанавливается но нет интернета на клиенте от сервера. Поясню свою задачу, у меня две квартиры первая у матери(там интернет нормальный оптоволоконный от Дом.ру со статическим ip) во второй квартире живу я, у меня нет возможности подключить проводной интернет поэтому пользуюсь связью Yota, с недавнего времени Yota закрыла порты на сети peer-to-peer, соответственно трренты теперь качать нельзя, и не работает торрент-тв. Поэтому сейчас и встала задача «прорыть» туннель до другого оператора.»
Можно ли по такой технологии пользоватся интернетом другого государства по VPN ?
Конечно можно! По крайне мере мой дядя из США пользовался моим прокси сервером, с vpn я думаю тоже проблем не будет.
Это получается что я могу качать софт с сети себе на комп совершенно бесплатно который принимаю через VPN ? А не будет ли уходить мой трафик? И еще данным спосообом я так же могу передавать или только получать трафик с сети?
Я имею ввиду что могу полностью пользоватся интернетом по VPN другого пользователя при этом мой трафик не будет расходоватся?
Вы заблуждаться. Трафик через VPN канал все равно будет литься и учитываться.
Конечно, возможно, что где-то есть «экзотические» провайдеры, которые считают трафик только по портам 80/443, но такие скорее всего скоро разоряться 🙂
Такого чтобы не тратился свой трафик почти невозможно. Хотя я так раньше делал, у меня на работе был лимитированный трафик а дома полный безлимит, чтобы не тратить «казённый» трафик я создавал прокси сервер у себя дома а с работы через него выходил в интернет, но это возможно только в том случае если на обоих концах один провайдер, например Ростелеком на котором внутресетевой трафик не считается(по крайне мере внутри одного региона).
А если купить им одинаковый ай пи адрес? тогда проблем с приемом будут?
А можно связаться с вами по почте? Хотелось бы у вас подробно узнать про прием трафика через прокси?
Прочитал статью, все настроил, VPN-сервер запущен, порт пробросил, VPN-клиент подключается, но с VPN-клиента нет доступа в интернет (доступ в интернет нужен именно из этой домашней сети). Схема сети такая:
по адресу 10.254.254.1 роутер, который по Wi-Fi раздает интернет, в компьютере есть две сетевых карты, первая с адресом 10.254.254.105 (здесь и работает VPN-сервер) и она всем раздает доступ в интернет, и вторая с адресом 192.168.137.101. Создал входящее подключение, установил адреса из первой подсети с 10.254.254.190 по 10.254.254.191.
VPN-клиент подключается, но доступа в интернет нет.
Подскажите, как в моей схеме настроить доступ VPN-клиенту в интернет?
В качестве VPN-клиента будет устройство на Android.
Нужно чтобы устройство на Android выходило в Интернет только через VPN сервер? Или проблема в том, что при VPN подключении пропадает доступ в интернет (который до подключения работает)?
PS. Вообще говоря не совсем понятна роль VPN сеовера… Не проще ли с Android-девайса подключатся напрямую к Wi-Fi роутеру?
Да, совершено верно, нужно чтобы устройство на Android выходило в Интернет только через VPN-сервер, т.е. идея в том, чтобы обойти ограничения на доступ к ресурсам в интернете. Например, когда нахожусь в Китае, то не имею доступа к ресурсам гугл, а при подключении к VPN-серверу я смогу из домашней сети ходить в интернет и иметь доступ к ресурсам гугл, находясь при этом в дали от дома.
Все дело в маршрутизации.
Попробуйте на Android девайсе в настройках VPN подключения указать маршрут 0.0.0.0/0. По идее так все запросы должны идти через VPN туннель.
И фигу вы получите от майкрософт, заплатив деньги, а не подключение…
Пробовал раз 20 и всего один раз каким то чудом удалось подключиться. Лучше поставить сторонние программы и подключиться без проблем, например: LogMeIn Hamachi или teamviewer.
Помогите решить проблему, все настроено и работает доступ к общим папкам через VPN работает хорошо, но при отключении VPN соединения связь с сервером остается примерно минут 5, почему доступ к общим папкам не пропадает мгновенно?
Знающие люди, помогите разобраться.
Ситуация — подняты VPN сервера на 4 разных клиентских машинах в разных местах (провайдеры и роутеры разные). Цеплялся к ним с работы и из дома, все работало нормально долгое время.
Ни с того ни с сего перестали работать ВСЕ соединения, не могу зацепиться ни с работы ни из дома. Причем с работы — соединение с IP адресом проскакивает, зависает на проверке логина и пароля, а из дома — зависает на «Соединение с IP с использованием «Wan miniport PPTP». Никаких настроек нигде не менял, раньше глюков никаких не было. На удалённых серверах никакого софта не ставил, разве что обновления какие-нибудь могли встать… IP везде статика! ЧТо может быть, куда залезть?
Начните с проверки доступности порта 1723 с клиента до VPN сервера:
telnet ip_adress_vpn_severa 1723Если подключение проходит, попробуйте изучить журналы System и Application на VPN сервере и на клиентах. Возможно там будет хоть какая-то конкретика.
ЗЫ. Если бы проблема была с одним подключением, я бы грешил на провайдера. Они могут резать VPN тоннели, или блокировать GREтрафик.
telnet ip_adress_vpn_severa 1723 — не является внутренней или внешней командой, исполняемой программой или пакетным файлом.
Журналы — Вы имеете ввиду: Управление компьютером — Журналы Windows — Система (итд)???
Да, в том то и дело, что на провайдера тут не погрешишь… 3 разных провайдера
Клиент telnet по-умолчанию отключен, его нужно активировать отдельно (https://winitpro.ru/index.php/2013/05/06/ustanovka-klienta-telnet-v-windows-8/)
Да, речь об этих журналах — изучите их на предмет ошибок и предупреждений, связанных с vpn подключением/авторизацией удаленного пользователя
Действительно!!! Журнал системы пестрит ошибкой след. содержания:
Подключение между сервером и клиентом виртуальной частной сети хх.ххх.ххх.ххх установлено, но завершить подключение не удалось. Чаще всего причина заключается в том, что брандмауэр или маршрутизатор между сервером и клиентом виртуальной частной сети не настроен на поддержку пакетов протокола GRE (Generic Routing Encapsulation) (протокол 47).
Проверил брандмауэр Windows — все службы запущены и правила прохождения трафика через порты 1723 и 47 по протоколу TCP — включены. Пробовал вообще отключать брандмауэр — такая-же песня..
Похоже все таки на проблему у провайдеров. Настройки самой системы тут не причем. Помню у Корбины (Билайн) была проблема с блокировкой GRE трафика между клиентскими системами. Решалось звонком в техподдержку.
Добрый день. Не получается подключится так чтобы инет шел от сервера. Т.е. Сервер настроен на вин 7, дома провайдер билайн роутер смарт бокс про настроен, локальный адрес роутера 192.168.5.1, диапазан ip адресов 192.168.5.64-192.168.5.153. У сервера постоянный ip адрес настроен 192.168.5.69, Адреса на клиенты от 192.168.5.200-192.168.5.210. Подключаюсь от провайдера мгтс на вин 8.1 проходит соединение а инет остается так-же от мгтс, а нужно чтоб был от билайн. Я про route add 192.168.2.0 mask 255.255.255.0 192.168.1.195 мне что здесь изменить под себя на клиенте чтоб инет от билайна пошел?
В настройках VPN подключения клиента поставьте галку «Использовать основной шлюз в удаленной сети»
Да, в этом случае на клиенте в speedtest.net ip адрес удаленного сервера т.е. билайн, а скорость инета в спидтесте падает до 0 и кроме яндекса у меня лично больше ничто не открывается. Может есть другой способ, проброса портов?
А что если после подключения через VPN, открывать удаленный рабочий стол (RDP) и уже в нем запускать браузер?
Перешел на Softether проще в настройках
Пожалуй стоит добавить важное уточнение к статье. Думаю поможет обойти грабли многим:
1) без проброса протокола GRE на маршрутизаторе, ppptp соединение не будет устанавливаться. Порт 1723 используется только для аутентификации. основной трафик идет по GRE.
2) не все «бытовые» роутеры умеют пробрасывать GRE.
3) иногда надо создать правило для GRE и в файерволе windows
4) проверить соединение можно также на машине с VPN сервером настроив клиентское к себе на IP 127.0.0.1 или на IP сетевой карты, НО (!) при этом не забудьте убрать галку «Использовать основной шлюз в удаленной сети» в настройках клиентского подключения. Иначе сеть зациклится , «уйдет в себя» ))). https://winitpro.ru/index.php/2020/04/09/net-dostupa-v-internet-pri-aktivnom-vpn/ не страшно — перезагрузка или отключение клиентского соединения поможет.
Добрый день. Настроил всё, как Вы написали. На работе роутер Endian, белый IP, дома серый, но не суть. В общем оно всё заработало, за исключением того, что не ко всем хостам удалённой сети есть доступ. Например х.х.х.1 (удалённый роутер) не отвечает, а хосты х.х.х.30-40 отвечают и так в «случайном» порядке, т.е. не ограниение по пулу адресов, а «кусочно-непрерывно». При этом с рабочего компа (на котором VPN поднят) все хосты отвечают. При попытке трассировки на неотвечающие хосты получаю такую картину:
Tracing route to y.y.y.210 over a maximum of 30 hops
1 2 ms 5 ms 1 ms [x.x.x.1]
2 35 ms 29 ms 32 ms [y.y.y.240]
3 * * * Request timed out.
4 * * * Request timed out.
5 * * * Request timed out.
При этом повторюсь, с y.y.y.240 и трейсы и пинги идут повюду без проблем.
Уточнение — связи по VPN нет только с *nix хостами. По любым портам.
Уточнение — связи через VPN нет только с *nix хостами.
Я бы для начала проверил таблицы маршрутизации на VPN сервере (как я понял это x.x.x.240) и Nix хосте + проверьтер правила файерволов на них.
Ведь по сути, подключаясь к VPN серверу, вы получаете IP из некого пула адресов. Возможно есть пересечения с вашей адрессацией, или наоборот запрещены некоторые подсети.
Спасибо, разобрался. На VPN сервере (win7) был полностью отключен firewall (служба остановлена), на просторах technet наткнулся на пожожие ситуации. А именно — в таком виде он не пропускает пакеты на не-windows хосты. Включил firewall, прописал правила, и вуаля, всё заработало.
Сяп, после 10 раза подключил.
Очень доволен данной статьёй.
Но найти её было сложно.
Все способы создания VPN через свой Пк прогуглил.
Прежде чем найти этот.
Здравствуйте, мой комментарий касается того как снять ограничение одновременных VPN соединений у стандартного microsoft’овского VPN сервиса.
Расскажу только о том где и чего надо поправить:
В разделе реестра «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318}\0003»
должны присутствовать имена «ComponentId» и «MatchingDeviceId» с содержимым в обоих «ms_pptpminiport»
могут попадаться случаи в которых эти имена находятся под другим номером «ветки» (0001, 0002,…)
далее нам следует исправить «WanEndpoints» на 128(десятичное) и «MaxWanEndpoints» на 1000(десятичное)
после этого нам следует исправить rasppp.dll файл в hex-редакторе, что находится в папке «system32», для всех строк поиска значения чисел 75 и 74 меняются на B8
Win7-x86 (6.1.7601.17514) — ищем по адресу 48D5 значения «75 07 83 0D» и по адресу 490E значения «74 07 83 0D»
Win7-x64 (6.1.7601.17514) — ищем по адресу CC0F значения «75 07 83 0D» и по адресу CC48 значения «74 07 83 0D»
Win10-x64 (10.0.18362.1) — ищем по адресу 40E2 значения «75 06 09 1D» и по адресу 411C значения «74 06 09 1D»
Для других версий файлов win10 наверняка искомые значения останутся теми-же с примерно таким-же интервалом между ними
Добрый день! маленько не понятно…надо все значения 75 и 74 заменить на В8? или только «75 06 09 1D» и «74 06 09 1D»?
надо чтоб стало «B4 06 09 1D» в обоих местах
ошибся с предыдущим по невнимательности
«B8 06 09 1D»
Дополнение к моему сообщению на тему снятия ограничений на VPN подключения к Win 7/10
Было замечено что после очередного обновления Win10 ветка реестра стала автоматически восстанавливаться после перезапуска службы «Диспетчер подключений удаленного доступа», а так-же после рекомендованных исправлений и вовсе перестала запускаться служба.
Но решение похоже в очередной раз найдено…
В реесте изменять ничего не требуется, необходимое место ищется так-же: находим последовательность «75 06 09 1d» и примерно в 32-х байтах позже должна быть последовательность «74 06 09 1d», далее смотрим немного ранее первой последовательности и находим там «0f 1f 44 00 00» и заменяем ее на «bb 80 00 00 00»
тестировалось на версиях файлов 19041.1 и 19042.572
это не работает.Я хочу connected.