позволяет настраивать параметры коммутируемого соединения сети vpn и прокси сервера
Настройка VPN соединения и VPN сервера Windows
Настройка VPN соединения и VPN сервера Windows
В этой статье подробно рассмотрим процесс настройки VPN сервера в операционной системе Windows Server, а также ответим на вопросы: Что такое VPN и как настроить VPN соединение?
Что такое VPN соединение?
VPN (Virtual Private Network) – это виртуальная частная сеть, которая используются для обеспечения защищенного подключения к сети. Технология, позволяющая объединить любое количество устройств в частную сеть. Как правило, через интернет.
Хотя это технология не новая, но за последнее время она приобрела актуальность из-за желания пользователей сохранить целостность данных или приватность в режиме реального времени.
Такой способ соединения называется VPN туннель. Подключится к VPN можно с любого компьютера, с любой операционной системой, которая поддерживает VPN соединение. Либо установлен VPN-Client, который способен делать проброс портов с использованием TCP/IP в виртуальную сеть.
Что делает VPN
VPN обеспечивает удалённое подключение к частным сетям
Так же вы можете безопасно объединить несколько сетей и серверов
Компьютеры с ip адресами с 192.168.0.10 по 192.168.0.125 подключается через сетевой шлюз, который выполняет роль VPN сервера. Предварительно на сервере и маршрутизаторе должны быть прописаны правила для соединений по каналу VPN.
VPN позволяет спокойно использовать интернет при подключении даже к открытым wi-fi сетям в общедоступных зонах (в торговых центрах, отелях или аэропортах)
А так же обойти ограничения на показ контента в определенных странах
VPN предотвращает киберугорозы по перехвату злоумышленником информации на лету, незаметным для получателя.
Принцип работы VPN
Давайте рассмотрим, как в принципе работает VPN соединение.
Представим, что передача это движение пакета по автомобильной дороге из точки А в точку Б, на пути движения пакета встречаются контрольные пункты пропуска пакета данных. При использовании VPN, этот маршрут дополнительно защищён системой шифрования и аутентификацией пользователя, что бы обезопасить трафик, в котором содержится пакет данных. Такой метод называется «Туннелированнем» (tunneling – использование туннеля»
В этом канале все коммуникации надежно защищены, а все промежуточные узлы передачи данных имеют дело зашифрованным пакетом и только при передаче данных информации адресату, данные в пакете дешифруются и становятся доступны для авторизованного получателя.
Неавторизованные пользователи просто не смогут воспользоваться данными
VPN обеспечит приватность вашей информации вместе с комплексным антивирусом.
VPN поддерживает такие сертификаты как OpenVPN, L2TP, IPSec, PPTP, PPOE и получается вполне защищенный и безопасный способ передачи данных.
VPN туннелирование применяется:
Создание VPN выбор и настройка оборудования.
Для корпоративной связи в крупных организациях или объединения удаленных друг от друга офисов используется аппаратное оборудования способное поддерживать бесперебойную работу и защищенность в сети.
Для использования vpn-сервиса, в роли сетевого шлюза могут выступать: сервера linux/Windows, маршрутизатор и сетевой шлюз на котором поднят VPN.
Маршрутизатор должен обеспечивать надёжную работу сети без «зависаний». Встроенная функция VPN позволяет изменять конфигурация для работы дома, в организации или филиале офиса.
Настройка VPN сервера.
1. Для начала необходимо установить роль сервера «Службы политики сети и доступа» Для этого открываем диспетчер сервера и нажимаем на ссылку «Добавить роль»:
Выбираем роль «Службы политики сети и доступа» и нажимаем далее:
Выбираем «Службы маршрутизации и удаленного доступа» и нажимаем Далее и Установить.
2. После установки роли необходимо настроить ее. Переходим в диспетчер сервера, раскрываем ветку «Роли», выбираем роль «Службы политики сети и доступа», разворачиваем, кликаем правой кнопкой по «Маршрутизация и удаленный доступ» и выбираем «Настроить и включить маршрутизацию и удаленный доступ»
После запуска службы считаем настройку роли законченной. Теперь необходимо разрешить пользователям доступ до сервера и настроить выдачу ip-адресов клиентам.
Порты которые поддерживает VPN. После поднятие службы они открываются в брендмауэре.
Протокол L2TP/IpSec является более предпочтительным для построения VPN-сетей, в основном это касается безопасности и более высокой доступности, благодаря тому, что для каналов данных и управления используется одна UDP-сессия. Сегодня мы рассмотрим настройку L2TP/IpSec VPN-сервера на платформе Windows Server 2008 r2.
Вы же можете попробовать развернуть на протоколах: PPTP, PPOE, SSTP, L2TP/L2TP/IpSec
Теперь нам необходимо настроить Безопасность подключений. Для этого перейдем на вкладку Безопасность и выберем Методы проверки подлинности, поставьте галочки на Протокол EAP и Шифрованная проверка (Microsoft, версия 2, MS-CHAP v2):
Далее перейдем на вкладку IPv4, там укажем какой интерфейс будет принимать подключения VPN, а так же настроим пул выдаваемых адресов клиентам L2TP VPN на вкладке IPv4 (Интерфейсом выставьте «Разрешить RAS выбирать адаптер»):
Теперь перейдем на появившуюся вкладку Порты, нажмем правой кнопкой мыши и Свойства, выберем подключение L2TP и нажмем Настроить, в новом окне выставим Подключение удаленного доступа (только входящие) и Подключение по требованию (входящие и исходящие) и выставим максимальное количество портов, число портов должно соответствовать или превышать предполагаемое количество клиентов. Неиспользуемые протоколы лучше отключить, убрав в их свойствах обе галочки.
Список портов, которые у нас остались в указанном количестве.
На этом настройка сервера закончена. Осталось только разрешить пользователям подключатся к серверу. Перейдите в Диспетчере сервера Active Directory – пользователи – находим пользователя которому хотим разрешить доступ нажимаем свойства, заходим в закладку входящие звонки
Настройка VPN соединения для Windows
Теперь необходимо настроить пользовательскую машину для подключения к серверу через VPN
Выбираем мастера подключения к сети
Указываем доменные учётные записи пользователя под которым хотим подключиться.
После подключения зайдем в свойства VPN соединения.
Убираем поддержку VPN v6
Проверяем настройки VPN совпадают ли они с нашими настройками
Теперь мы видим, что настройка прошла успешно и можно пользоваться ресурсами локальной сети, к которой подключились через VPN соединение.
Шаг 4. Установка и настройка сервера политики сети (NPS)
применимо к: Windows server 2022, Windows server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10
На этом шаге вы установите сервер политики сети (NPS) для обработки запросов на подключение, отправленных VPN-сервером:
Действия, описанные в этом разделе, позволяют выполнить следующие операции:
На компьютере или виртуальной машине, запланированной для сервера политики сети и установленной в организации или корпоративной сети, можно установить NPS.
Если в сети уже имеется один или несколько серверов NPS, вам не нужно выполнять установку сервера NPS — вместо этого можно использовать этот раздел для обновления конфигурации существующего сервера NPS.
службу сервера политики сети нельзя установить на Windows Server Core.
Установка сервера политики сети
в этой процедуре выполняется установка сервера политики сети с помощью Windows PowerShell или мастера диспетчер сервера добавление ролей и компонентов. Сервер политики сети — это служба роли сервера службы политики сети и доступа.
По умолчанию сервер политики сети прослушивает RADIUS-трафик на портах 1812, 1813, 1645 и 1646 для всех установленных сетевых адаптеров. при установке NPS и включении Windows брандмауэре в повышенной безопасности исключения брандмауэра для этих портов создаются автоматически для трафика IPv4 и IPv6. если серверы сетевого доступа настроены на отправку трафика radius через порты, отличные от этих по умолчанию, удалите исключения, созданные в Windows брандмауэре с повышенной безопасностью во время установки NPS, и создайте исключения для портов, используемых для трафика RADIUS.
Процедура для Windows PowerShell:
чтобы выполнить эту процедуру с помощью Windows PowerShell, запустите Windows PowerShell от имени администратора и введите следующий командлет:
Процедура для диспетчер сервера:
В диспетчер сервера выберите Управление, а затем выберите Добавить роли и компоненты. Откроется мастер добавления ролей и компонентов.
В окне перед началом нажмите кнопку Далее.
Страница перед началом работы мастера добавления ролей и компонентов не отображается, если ранее был выбран параметр пропустить эту страницу по умолчанию при выполнении мастера добавления ролей и компонентов.
В поле пул серверов убедитесь, что выбран локальный компьютер, и нажмите кнопку Далее.
в окне выбор ролей сервера в списке роли выберите политика сети и службы Access. откроется диалоговое окно с запросом на добавление компонентов, необходимых для сетевой политики и службы Access.
на странице выбор компонентов выберите далее, в политике сети и службы Access просмотрите предоставленные сведения, а затем нажмите кнопку далее.
В окне Выбор служб ролей выберите сервер политики сети.
Для компонентов, необходимых для сервера политики сети, выберите Добавить компоненты, а затем нажмите кнопку Далее.
В поле Подтверждение установки установите флажок автоматически перезагружать сервер назначения при необходимости.
Выберите Да для подтверждения выбранного, а затем нажмите кнопку установить.
На странице Ход выполнения установки отображается состояние в процессе установки. По завершении процесса отображается сообщение «Установка выполнена в ComputerName«, где ComputerName — имя компьютера, на котором установлен сервер политики сети.
Выберите Закрыть.
Настройка NPS
После установки NPS настройте NPS для выполнения всех операций проверки подлинности, авторизации и учета для запроса на подключение, полученного от VPN-сервера.
Регистрация сервера NPS в Active Directory
В этой процедуре сервер регистрируется в Active Directory, чтобы он получил разрешение на доступ к сведениям об учетных записях пользователей во время обработки запросов на подключение.
PROCEDURE
В диспетчере сервера щелкните Средства, а затем щелкните Сервер политики сети. Откроется консоль NPS.
В консоли NPS щелкните правой кнопкой мыши элемент NPS (локальный) и выберите пункт зарегистрировать сервер в Active Directory.
Откроется диалоговое окно Сервер политики сети.
Альтернативные методы регистрации NPS см. в разделе Регистрация сервера NPS в домен Active Directory.
Настройка учета сервера политики сети
В этой процедуре необходимо настроить учет сервера политики сети с помощью одного из следующих типов ведения журнала:
Ведение журнала событий. Используется в основном для аудита и устранения неполадок при попытках подключения. Ведение журнала событий NPS можно настроить, получая свойства NPS Server в консоли NPS.
Регистрация запросов проверки подлинности пользователя и учетных данных в локальном файле. Используется в основном для анализа подключений и выставления счетов. Также используется в качестве средства для анализа безопасности, поскольку оно предоставляет метод отслеживания действий злоумышленника после атаки. Ведение журнала локального файла можно настроить с помощью мастера настройки учета.
регистрация запросов проверки подлинности и учетных записей пользователей в базе данных, совместимой с XML Microsoft SQL Server. Используется, чтобы разрешить нескольким серверам службы NPS иметь один источник данных. Также предоставляет преимущества использования реляционной базы данных. вы можете настроить ведение журнала SQL Server с помощью мастера настройки учета.
Сведения о настройке учета сервера политики сети см. в разделе Настройка учета сервера политики сети.
Добавление VPN-сервера в качестве RADIUS-клиента
В разделе Настройка сервера удаленного доступа для Always on VPN вы установили и настроили VPN-сервер. Во время настройки VPN-сервера вы добавили общий секрет RADIUS на VPN-сервере.
В этой процедуре используется текстовая строка общего секрета для настройки VPN-сервера в качестве RADIUS-клиента в NPS. Используйте ту же текстовую строку, которая использовалась на VPN-сервере, или происходит сбой связи между сервером NPS и VPN-сервером.
При добавлении нового сервера доступа к сети (VPN-сервера, точки беспроводного доступа, коммутатора с проверкой подлинности или сервера удаленного доступа) в сеть необходимо добавить сервер в качестве RADIUS-клиента на сервере политики сети, чтобы сервер политики сети знал об этом и мог взаимодействовать с сервером доступа к сети.
PROCEDURE
На сервере NPS в консоли NPS дважды щелкните RADIUS-клиенты и серверы.
Щелкните правой кнопкой мыши клиенты RADIUS и выберите создать. Откроется диалоговое окно Новый RADIUS-клиент.
Убедитесь, что флажок включить этот клиент RADIUS установлен.
В поле понятное имя введите отображаемое имя VPN-сервера.
В поле адрес (IP или DNS) введите IP-адрес NAS или полное доменное имя.
В общем секрете выполните следующие действия.
Введите строгую текстовую строку, которая также была введена на VPN-сервере.
Повторно введите общий секрет в поле Подтверждение общего секрета.
Нажмите кнопку OK. VPN-сервер появится в списке клиентов RADIUS, настроенных на NPS-сервере.
Настройка сервера политики сети в качестве RADIUS для VPN-подключений
В этой процедуре вы настраиваете сервер политики сети в качестве сервера RADIUS в сети Организации. На сервере политики сети необходимо определить политику, которая разрешает доступ к Организации или корпоративной сети только пользователям из определенной группы через VPN-сервер, а затем только при использовании действительного сертификата пользователя в запросе проверки подлинности PEAP.
PROCEDURE
Выберите Настройка VPN или удаленный доступ.
Откроется мастер настройки VPN или коммутируемого подключения.
Выберите подключения виртуальной частной сети (VPN) и нажмите кнопку Далее.
В поле Укажите сервер удаленного доступа или VPN-клиенты выберите имя VPN-сервера, добавленного на предыдущем шаге. Например, если NetBIOS-имя VPN-сервера — RAS1, выберите RAS1.
Выберите Далее.
В разделе Настройка методов проверки подлинности выполните следующие действия.
В поле Тип (на основе метода доступа и конфигурации сети) выберите Microsoft: Protected EAP (PEAP), а затем щелкните настроить.
Откроется диалоговое окно Изменение свойств защищенного EAP.
Выберите Добавить. Откроется диалоговое окно Добавление EAP.
Выберите смарт-карта или иной сертификат, а затем нажмите кнопку ОК.
Выберите Далее.
В разделе Указание групп пользователей выполните следующие действия.
Выберите Добавить. Откроется диалоговое окно Выбор пользователей, компьютеров, учетных записей служб или групп.
Введите VPN-пользователей, а затем нажмите кнопку ОК.
Выберите Далее.
В окне укажите IP-фильтры нажмите кнопку Далее.
в окне укажите Параметры шифрования нажмите кнопку далее. Не вносите никаких изменений.
Эти параметры применяются только к подключениям шифрования «точка-точка» (MPPE), которые не поддерживаются этим сценарием.
В окне укажите имя области нажмите кнопку Далее.
Выберите Готово, чтобы закрыть мастер.
Автоматическая регистрация сертификата сервера политики сети
В этой процедуре вы вручную обновляете групповая политика на локальном сервере NPS. Когда групповая политика обновляется, если автоматическая регистрация сертификатов настроена и работает правильно, локальный компьютер автоматически регистрирует сертификат центром сертификации (ЦС).
Групповая политика обновляется автоматически при перезагрузке компьютера, который является членом домена, или при входе пользователя в систему компьютера, который является членом домена. Кроме того, групповая политика периодически обновляет. По умолчанию это периодическое обновление происходит каждые 90 минут со случайным смещением в течение 30 минут.
Членство в группах « Администраторы» или «эквивалентное» является минимальным требованием для выполнения этой процедуры.
PROCEDURE
На сервере политики сети откройте Windows PowerShell.
в командной строке Windows PowerShell введите gpupdate и нажмите клавишу ввод.
Дальнейшие действия
Шаг 5. Настройте параметры DNS и брандмауэра для Always On VPN. на этом шаге настройте DNS и параметры брандмауэра для VPN-подключения.