Алексей Алексеев Добро пожаловать в мой уютненький бложек

Конфигурирование Windows Server 2008 R2 в качестве VPN-сервера

VPN (Virtual Private Network — виртуальная частная сеть) — технология, позволяющая обеспечить одно или несколько сетевых соединений поверх другой сети.  В этой статье я расскажу вам, как настроить Windows 2008 Server R2 в качестве сервера VPN.

1.  Для начала необходимо установить роль сервера "Службы политики сети и доступа" Для этого открываем диспетчер сервера и нажимаем на ссылку "Добавить роль":

Выбираем роль "Службы политики сети и доступа" и нажимаем далее:

Выбираем "Службы маршрутизации и удаленного доступа" и нажимаем далее.

Все данные собраны, нажимаем кнопку "Установить".

Роль сервера была успешно установлена, нажимаем кнопку "Закрыть".

2. После установки роли необходимо настроить ее. Переходим в диспетчер сервера, раскрываем ветку "Роли", выбираем роль "Службы политики сети и доступа", разворачиваем, кликаем правой кнопкой по "Маршрутизация и удаленный доступ" и выбираем "Настроить и включить маршрутизацию и удаленный доступ", выставляем все параметры согласно скриншотам.

После запуска службы считаем настройку роли законченной. Теперь необходимо открыть порты, разрешить пользователям дозвон до сервера и настроить выдачу ip-адресов клиентам.

3.  Для нормального функционирования vpn-сервера необходимо открыть следующие порты:

Для PPTP: 1723 (TCP);
Для L2TP: 1701 (TCP) и 500 (UDP);
Для  SSTP: 443 (TCP).

4. Следующим шагом будет настройка разрешений для пользователя. Переходим в "Диспетчер сервера - Конфигурация- Локальные пользователи и группы - Пользователи":

Выбираем нужного нам пользователя и переходим в его свойства:

Переходим на вкладку "Входящие звонки" и в "Права доступа к сети" ставим переключатель в положение "Разрешить доступ".

5. Следующим шагом будет настройка выдачи адресов, этот шаг опционален, его можно не выполнять. Открываем "Диспетчер сервера - Роли - Службы политики сети и доступа - Маршрутизация и удаленный доступ - Свойства":

Переходим на вкладку "IPv4", включаем пересылку IPv4, устанавливаем переключатель в "Статический пул адресов" и нажимаем кнопку "Добавить":

Задаем диапазон адресов и нажимаем "ОК":

На этом шаге мы полностью закончили конфигурирование Windows 2008 Server R2 в качестве VPN сервера.

О том, как подключиться к vpn-серверу из Windows 7 можно прочитать здесь.

Комментарии (35) Пинги (2)
  1. Не ужели, кто-то до сих пор пользуется VPN? в 2008 винде появилась куча других возможностей для удаленной работы.

    П.С. Кстати, как продвигается ваша статья про Атол + 1С?

    • Ну да, пользуются люди VPN. В принципе классная штука, зря вы так=) Статейка про Атол+1С скоро будет готова, немного оттестить осталось эту связку, но статейка маленькая получается, конфигурацию дорабатывать не придется. 29 января груз от Атола приезжает, будет куча интересностей. Сделаю обзор сенсорных pos-систем jiva, фронтальных pos-систем posiflex, ну и по мелочевке!

  2. Спасибо, статья помогла. Была запарка с организацией VPN на серве с одним сетевым интерфейсом.
    2Алексей:
    не могли бы Вы рассказать про «кучу других возможностей для удаленной работы», и в чем преимущества их использования?

  3. Вопрос по поводу п.3: просто разрешить порты в брандмауэре?

  4. Добрый день! Вопрос следующий. Айпи адрес динамический, через сайт no-ip зарегистрировал домен, мне выдал айпи адрес статику, теперь куда этот адрес прописывать?

  5. а как сделать чтоб сервер еще мог и интернет раздавать?

  6. У меня быть может глупый вопрос, но ответа не могу найти в гуглах.
    Есть доменная сеть, контроллер 2008R2, шлюз убунта (прокси и нат).
    Можно ли настроить vpn на контроллере домена?

  7. Спасибо огромнейшее за статью! Получилось с 1го раза, причем я не сисадмин 🙂

  8. Вопрос, можно назначить IP-адреса из следующего диапазона 192.168.0.1-192.168.0.12, если в сети компьютеры подключенный к VPN-серверу имеют следующие адреса: 192.168.0.1, 192.168.0.2 и 192.168.0.3 в локальной сети, к которым можно подключится из внешней сети. К VPN-серверу подключаюсь а дальше пинг не проходит.

  9. Здравствуйте. Не могли бы ли вы подсказать мне. Настроил все по вашей инструкции, все подключается.

    Но я хотел добиться того, чтобы подключенные клиенты, после подключения по впн, начинали получать интернет от сервера.

    В сервере две сетевых, первая — 192.168.1.11 255.255.255.0 192.168.1.10, днс — 192.168.1.10
    Вторая — 10.0.0.1

    Все клиенты подключаются на адрес второй сетевой. Все хорошо, все подключается, но интернет на них не раздается.
    Подскажите как сделать, чтобы он раздавался

    • Видимо необходимо прописать маршруты…хелп… гуру, помогите пожалуйста

    • Зачем такой изврат?!
      Если клиент подключился к VPN-серверу, то это уже подразумевает наличие интернета у клиента.

    • а на клиентах инет не пропадает? вообще, я посмотрел, там дефолтный маршрут выставляется новый, и весь трафик должен идти уже через впн сервер, я не очень хорошо разбираюсь в виндовых серверах, но судя по всему надо теперь как-то настроить чтобы он пакеты либо натил, если сервер является шлюзом(т.е. во вторую сетевую у него подрублен провайдер интернета, например) либо маршрутизировал трафик до след хоста , который умеет NAT’ить и к которому уже подключен интернет. Как это делается в винде понятия не имею. Но технология такая

  10. здравствуйте подскажите пожалуйста, я настроил впн, все хорошо подключается, все адреса пингуются и подключается к внешнему сетевому диску этой сетки но компы по сети не видит(((

  11. 2 Алексей
    Мне как и остальным, очень интересно, что же в 2008 R2 придумали, что заменят VPN??? Сисадминю больше 10 лет, перековырял этот сервак вдоль и поперек, так и не нашел ничего. Может подскажете?

    2 Андрей
    Вы заблуждаетесь!
    А провайдеры, которые подключают пользователей по VPN?? А выделенные каналы между офисами, для организации тех же vpn-тунелей и пр.

    2 Алексей Алексеев
    А статья хорошая, все доступно и просто. Спасибо, риспект и уважуха. А по поводу вопроса Игоря, с таким раскладом адресов — работать не будет! (из практики) Поменяйте одну подсеть на 192.168.XXX.0, где XXX — отличный от 0 (так как она уже у Вас есть) и все будет гут.

    2 Олег
    Да, можно. Если позволяют ресурсы, я бы на контроллере «левые» роли не поднимал, но вообще — можно, там даже гемороя не возникнет, правда на роутере (ubuntu) надо прописать проброс порта 1723(TCP) на IP сервера VPN (он же и контроллер домена), ну а в самих пользователях настраиваешь входящие звонки.

  12. Ну зачем же валить все в кучу?!
    VPN-тунелинг ничего общего с описанным в статье не имеет.
    А провайдер как раз и подключает клиента к своей VPN, чтобы выдать ему свой интернет, по проводу, как правило.

  13. 3. Для нормального функционирования vpn-сервера необходимо открыть следующие порты:

    Для PPTP: 1723 (TCP);
    Для L2TP: 1701 (TCP) и 500 (UDP);
    Для SSTP: 443 (TCP).

    опиши где именно пожалуйста

  14. Здравствуйте!
    Спасибо за статью. Подскажите пжлст чайнику — настроил все как Вы написали.
    даленный комп к серверу подключается, входит в сеть (вродь написано при подключении), получет от сервера айпи 192.168.68.7 шлюз равен этому айпи. сервер 192.168.68.1 пингуется, но…
    на сервере есть общий ресурс, к которому должны обращаться клиенты (вин хп), так вот этот ресурс клиенты не видят… нет вью 192.168.68.1 на клиенте пишет ошибка 53 — не найден сетевой путь

  15. Самое главное в п.3 для PPTP разрешить на файрволе работу протокола 47 (GRE), иначе ничего не получится.

  16. Вопрос: Интернет через через adsl роутер ASUS(192.168.1.1). Потом стоит просто роутер D-Link(192.168.0.1). К последнему подключен WindowsServer 2008 с установленным VPN сервером(192.168.0.17). Так что и где «пробрасывать», чтобы можно было подключиться к серверу удаленно через инет. p.s. не знаю, важно это или нет, но внешний ip выглядит как-то так: 8x.8x.3x.1xx.

  17. Будьте добры, подскажите, если сервер получает интернет с роутера, что делать в этом случае?
    В настройках роутера открывать те же порты?
    (Настаивал все, как описано выше, но при попытке подключения получаю 800 ошибку)

  18. Есть ли возможность каждому клиенту прописать отдельный IP ?

  19. В локальной сети не могу подключиться по L2TP. По PPTP всё работает. Ошибка 809. Блин, всё перерыл. Windows Server 2008.

    • Уточните, Вы не можете подключиться к VPN серверу из удаленной сети или внутренней? Если ошибка возникает при подключении из удаленной сети, а VPN сервер находится за NAT, необходимо в первую очередь убедиться что на роутере проброшены следующие порты UDP 1701, 500, 4500, так как для работы IPSec через NAT нужен порт 4500. Если все это выполнено, на удаленной машине выполните следующее: http://support2.microsoft.com/kb/926179/ru по умолчанию в Windows 7 данная надстройка отключена.

      • Не могу подключиться по локальной сети. Что-то в Вашем описании отсутствует. По L2TP не подключает. В Виртуальной среде L2TP работает, а в реальной нет. Пробовал разные сервера 2008 — 2012. Ошибка 809.

  20. Достался мне в наследство сервер, так там этих настроек не достаточно, мало того, что у него после перезагрузки слетал основной маршрут, при том что в настройках сетевой карты все норм было, так для того чтобы пользователь мог подключиться к vpn его надо добавить в группу Пользователи удаленного рабочего стола. иначе вылетает ошибка 812. и нигде об этом ни слова не сказано…

  21. На Win Server 2008 почему-то требует еще и 50 порт кроме 4500 для открытия через НАТ, из внешки подключение не идет ни в какую, в локалке все отлично соединяется. Есть идеи у кого как обойти или пробовать ставить более свежую версию сервера только!? Изменения реестра на клиентах не вариант.

  22. добрый день. создал vpn сервер, чтоб внутренние пользователи ходили в инет, но при этом внутренние ресурсы получаются не доступны, смотрел командой tracert получается либо сервер все транслирует в инет, либо не знает куда пакеты отправлять. где-то надо прописать статический маршрут, или я что-то не правильно настроил

  23. Отличная инструкция, все работает, как со стороны сервера так и клиента.

  24. А у меня проблема другого плана-контроллер домена (на вин2008) за НАТом, шлюз на фриБСД, необходимо на сервере с вин2008 создать ВПН-подключение до одного департамента, что бы клиенты из моей сети могли подключаться к сети департамента без создания впн-подключений на своих компьютерах.


Оставить комментарий