Блог о Linux и Windows
Записки по настройке Debian Ubuntu и Microsoft Windows
Поднимаем VPN-PPTP сервер на Windows Server 2008 R2
Поднимаем VPN-PPTP сервер на Windows Server 2008 R2
VPN (Virtual Private Network — виртуальная частная сеть) — технология, позволяющая использование сети Internet в качестве магистрали для передачи корпоративного IP-трафика. Сети VPN предназначен подключения пользователя к удаленной сети и соединения нескольких локальных сетей. Давно я размещал заметку Введение в Виртуальные Частные Сети (VPN), время пришло расказать, как настроить VPN сервер на Windows 2008 Server R2.
Запускаем диспетчер сервера на Windows Server 2008 R2 и добавляем «Добавить роль» (Add Roles) роль сервера «Службы политики сети и доступа» (Network Policy and Access Services):
Далее выбираем «Службы маршрутизации и удаленного доступа» (Routing and Remote Access Services ) и нажимаем далее:
Все проверяем и устанавливаем:
После успешной установки, нам надо настроить эту роль, раскрываем список ролей и выбираем роль «Службы политики сети и доступа», так как у меня эта служба уже установлена, подменю «Настроить и включить маршрутизацию и удаленный доступ» (Configure and Enable Routing and Remote Access) будет не активно, у Вас активна ее и выбираем:
В мастере установке жмем далее и из пяти предложенных вариантов выбираем самый нижний Особая конфигурация (Custom configuration):
Выбираем галочкой Доступ к виртуальной частной сети (VPN):
Для полноценной работы vpn-сервера должны быть открыты следующие порты:
TCP 1723 для PPTP;
TCP 1701 и UDP 500 для L2TP;
TCP 443 для SSTP.
Настраиваем выдачи адресов. Открываем «Диспетчер сервера — Роли — Службы политики сети и доступа — Маршрутизация и удаленный доступ — Свойства»:
Закладка «IPv4», включаем пересылку IPv4, устанавливаем переключатель в «Статический пул адресов» и нажимаем кнопку «Добавить»:
Задаем диапазон выдаваемых адресов:
Теперь настроем разрешения для пользователей. Переходим в «Диспетчер сервера — Конфигурация- Локальные пользователи и группы — Пользователи»:
К нужному пользователю заходим в Свойства и закладке «Входящие звонки» (Dial-in) разрешить подключение (allow access).
Конфигурирование Windows Server 2008 R2 в качестве VPN-сервера
VPN (Virtual Private Network — виртуальная частная сеть) — технология, позволяющая обеспечить одно или несколько сетевых соединений поверх другой сети. В этой статье я расскажу вам, как настроить Windows 2008 Server R2 в качестве сервера VPN.
1. Для начала необходимо установить роль сервера «Службы политики сети и доступа» Для этого открываем диспетчер сервера и нажимаем на ссылку «Добавить роль»:
Выбираем роль «Службы политики сети и доступа» и нажимаем далее:
Выбираем «Службы маршрутизации и удаленного доступа» и нажимаем далее.
Все данные собраны, нажимаем кнопку «Установить».
Роль сервера была успешно установлена, нажимаем кнопку «Закрыть».
2. После установки роли необходимо настроить ее. Переходим в диспетчер сервера, раскрываем ветку «Роли», выбираем роль «Службы политики сети и доступа», разворачиваем, кликаем правой кнопкой по «Маршрутизация и удаленный доступ» и выбираем «Настроить и включить маршрутизацию и удаленный доступ», выставляем все параметры согласно скриншотам.
После запуска службы считаем настройку роли законченной. Теперь необходимо открыть порты, разрешить пользователям дозвон до сервера и настроить выдачу ip-адресов клиентам.
3. Для нормального функционирования vpn-сервера необходимо открыть следующие порты:
Для PPTP: 1723 (TCP);
Для L2TP: 1701 (TCP) и 500 (UDP);
Для SSTP: 443 (TCP).
4. Следующим шагом будет настройка разрешений для пользователя. Переходим в «Диспетчер сервера — Конфигурация- Локальные пользователи и группы — Пользователи»:
Выбираем нужного нам пользователя и переходим в его свойства:
Переходим на вкладку «Входящие звонки» и в «Права доступа к сети» ставим переключатель в положение «Разрешить доступ».
5. Следующим шагом будет настройка выдачи адресов, этот шаг опционален, его можно не выполнять. Открываем «Диспетчер сервера — Роли — Службы политики сети и доступа — Маршрутизация и удаленный доступ — Свойства»:
Переходим на вкладку «IPv4», включаем пересылку IPv4, устанавливаем переключатель в «Статический пул адресов» и нажимаем кнопку «Добавить»:
Задаем диапазон адресов и нажимаем «ОК»:
На этом шаге мы полностью закончили конфигурирование Windows 2008 Server R2 в качестве VPN сервера.
О том, как подключиться к vpn-серверу из Windows 7 можно прочитать здесь.
Конфигурирование Windows Server 2008 R2 в качестве VPN-сервера: 39 комментариев
Не ужели, кто-то до сих пор пользуется VPN? в 2008 винде появилась куча других возможностей для удаленной работы.
П.С. Кстати, как продвигается ваша статья про Атол + 1С?
Ну да, пользуются люди VPN. В принципе классная штука, зря вы так=) Статейка про Атол+1С скоро будет готова, немного оттестить осталось эту связку, но статейка маленькая получается, конфигурацию дорабатывать не придется. 29 января груз от Атола приезжает, будет куча интересностей. Сделаю обзор сенсорных pos-систем jiva, фронтальных pos-систем posiflex, ну и по мелочевке!
Спасибо, статья помогла. Была запарка с организацией VPN на серве с одним сетевым интерфейсом.
2Алексей:
не могли бы Вы рассказать про «кучу других возможностей для удаленной работы», и в чем преимущества их использования?
Вопрос по поводу п.3: просто разрешить порты в брандмауэре?
Добрый день! Вопрос следующий. Айпи адрес динамический, через сайт no-ip зарегистрировал домен, мне выдал айпи адрес статику, теперь куда этот адрес прописывать?
а как сделать чтоб сервер еще мог и интернет раздавать?
У меня быть может глупый вопрос, но ответа не могу найти в гуглах.
Есть доменная сеть, контроллер 2008R2, шлюз убунта (прокси и нат).
Можно ли настроить vpn на контроллере домена?
Спасибо огромнейшее за статью! Получилось с 1го раза, причем я не сисадмин 🙂
Вопрос, можно назначить IP-адреса из следующего диапазона 192.168.0.1-192.168.0.12, если в сети компьютеры подключенный к VPN-серверу имеют следующие адреса: 192.168.0.1, 192.168.0.2 и 192.168.0.3 в локальной сети, к которым можно подключится из внешней сети. К VPN-серверу подключаюсь а дальше пинг не проходит.
Здравствуйте. Не могли бы ли вы подсказать мне. Настроил все по вашей инструкции, все подключается.
Но я хотел добиться того, чтобы подключенные клиенты, после подключения по впн, начинали получать интернет от сервера.
В сервере две сетевых, первая — 192.168.1.11 255.255.255.0 192.168.1.10, днс — 192.168.1.10
Вторая — 10.0.0.1
Все клиенты подключаются на адрес второй сетевой. Все хорошо, все подключается, но интернет на них не раздается.
Подскажите как сделать, чтобы он раздавался
Видимо необходимо прописать маршруты…хелп… гуру, помогите пожалуйста
Зачем такой изврат?!
Если клиент подключился к VPN-серверу, то это уже подразумевает наличие интернета у клиента.
а на клиентах инет не пропадает? вообще, я посмотрел, там дефолтный маршрут выставляется новый, и весь трафик должен идти уже через впн сервер, я не очень хорошо разбираюсь в виндовых серверах, но судя по всему надо теперь как-то настроить чтобы он пакеты либо натил, если сервер является шлюзом(т.е. во вторую сетевую у него подрублен провайдер интернета, например) либо маршрутизировал трафик до след хоста , который умеет NAT’ить и к которому уже подключен интернет. Как это делается в винде понятия не имею. Но технология такая
здравствуйте подскажите пожалуйста, я настроил впн, все хорошо подключается, все адреса пингуются и подключается к внешнему сетевому диску этой сетки но компы по сети не видит(((
2 Алексей
Мне как и остальным, очень интересно, что же в 2008 R2 придумали, что заменят VPN. Сисадминю больше 10 лет, перековырял этот сервак вдоль и поперек, так и не нашел ничего. Может подскажете?
2 Андрей
Вы заблуждаетесь!
А провайдеры, которые подключают пользователей по VPN?? А выделенные каналы между офисами, для организации тех же vpn-тунелей и пр.
2 Алексей Алексеев
А статья хорошая, все доступно и просто. Спасибо, риспект и уважуха. А по поводу вопроса Игоря, с таким раскладом адресов — работать не будет! (из практики) Поменяйте одну подсеть на 192.168.XXX.0, где XXX — отличный от 0 (так как она уже у Вас есть) и все будет гут.
2 Олег
Да, можно. Если позволяют ресурсы, я бы на контроллере «левые» роли не поднимал, но вообще — можно, там даже гемороя не возникнет, правда на роутере (ubuntu) надо прописать проброс порта 1723(TCP) на IP сервера VPN (он же и контроллер домена), ну а в самих пользователях настраиваешь входящие звонки.
Ну зачем же валить все в кучу?!
VPN-тунелинг ничего общего с описанным в статье не имеет.
А провайдер как раз и подключает клиента к своей VPN, чтобы выдать ему свой интернет, по проводу, как правило.
3. Для нормального функционирования vpn-сервера необходимо открыть следующие порты:
Для PPTP: 1723 (TCP);
Для L2TP: 1701 (TCP) и 500 (UDP);
Для SSTP: 443 (TCP).
опиши где именно пожалуйста
Ну как где, в маршрутизаторе или файерволе. Если используешь прямое подключение к интернету, и файервол отключен, то порты, наверняка, открыты все.
Здравствуйте!
Спасибо за статью. Подскажите пжлст чайнику — настроил все как Вы написали.
даленный комп к серверу подключается, входит в сеть (вродь написано при подключении), получет от сервера айпи 192.168.68.7 шлюз равен этому айпи. сервер 192.168.68.1 пингуется, но…
на сервере есть общий ресурс, к которому должны обращаться клиенты (вин хп), так вот этот ресурс клиенты не видят… нет вью 192.168.68.1 на клиенте пишет ошибка 53 — не найден сетевой путь
Самое главное в п.3 для PPTP разрешить на файрволе работу протокола 47 (GRE), иначе ничего не получится.
Вопрос: Интернет через через adsl роутер ASUS(192.168.1.1). Потом стоит просто роутер D-Link(192.168.0.1). К последнему подключен WindowsServer 2008 с установленным VPN сервером(192.168.0.17). Так что и где «пробрасывать», чтобы можно было подключиться к серверу удаленно через инет. p.s. не знаю, важно это или нет, но внешний ip выглядит как-то так: 8x.8x.3x.1xx.
На ADSL роутере. Возможно даже не разрешить а мапировать эти порты на 192.168.0.17 т.к. Ваш W8k находится за NATом.
Будьте добры, подскажите, если сервер получает интернет с роутера, что делать в этом случае?
В настройках роутера открывать те же порты?
(Настаивал все, как описано выше, но при попытке подключения получаю 800 ошибку)
Есть ли возможность каждому клиенту прописать отдельный IP ?
В свойствах пользователя во вкладке «Входящие звонки» есть галочка «Назначить статические IP адреса»
В локальной сети не могу подключиться по L2TP. По PPTP всё работает. Ошибка 809. Блин, всё перерыл. Windows Server 2008.
Уточните, Вы не можете подключиться к VPN серверу из удаленной сети или внутренней? Если ошибка возникает при подключении из удаленной сети, а VPN сервер находится за NAT, необходимо в первую очередь убедиться что на роутере проброшены следующие порты UDP 1701, 500, 4500, так как для работы IPSec через NAT нужен порт 4500. Если все это выполнено, на удаленной машине выполните следующее: http://support2.microsoft.com/kb/926179/ru по умолчанию в Windows 7 данная надстройка отключена.
Не могу подключиться по локальной сети. Что-то в Вашем описании отсутствует. По L2TP не подключает. В Виртуальной среде L2TP работает, а в реальной нет. Пробовал разные сервера 2008 — 2012. Ошибка 809.
Выяснил причину, на клиенте был установлен ProhibitIpSec в 1, по этому сервер не подключал клиента.
Достался мне в наследство сервер, так там этих настроек не достаточно, мало того, что у него после перезагрузки слетал основной маршрут, при том что в настройках сетевой карты все норм было, так для того чтобы пользователь мог подключиться к vpn его надо добавить в группу Пользователи удаленного рабочего стола. иначе вылетает ошибка 812. и нигде об этом ни слова не сказано…
На Win Server 2008 почему-то требует еще и 50 порт кроме 4500 для открытия через НАТ, из внешки подключение не идет ни в какую, в локалке все отлично соединяется. Есть идеи у кого как обойти или пробовать ставить более свежую версию сервера только!? Изменения реестра на клиентах не вариант.
добрый день. создал vpn сервер, чтоб внутренние пользователи ходили в инет, но при этом внутренние ресурсы получаются не доступны, смотрел командой tracert получается либо сервер все транслирует в инет, либо не знает куда пакеты отправлять. где-то надо прописать статический маршрут, или я что-то не правильно настроил
Отличная инструкция, все работает, как со стороны сервера так и клиента.
А у меня проблема другого плана-контроллер домена (на вин2008) за НАТом, шлюз на фриБСД, необходимо на сервере с вин2008 создать ВПН-подключение до одного департамента, что бы клиенты из моей сети могли подключаться к сети департамента без создания впн-подключений на своих компьютерах.
Настроил по инструкции, если подключатся из под Win8,10,XP то нормально работает, из под Win7 подключение проходит успешно, но по факту трафик через VPN практически не идет, крайне низкая скорость, постоянно пропадает, не хватает даже для RDP. Пинги проходят тоже с потерями (хотя по большей части проходят). Пробовал с трех разных машин под управлением Win7, ситуация аналогичная.Что можно предпринять?
Да, такая ситуация наблюдается только на l2tp. На pptp на win7 нормально подключается и работает.