У цій статті ми покажемо, як встановити та налаштувати найпростіший VPN сервер на базі Windows Server 2012 R2, який можна експлуатувати в невеликій організації або в разі використання окремо-стоїть сервера (т.зв. hosted-сценаріях).
Примітка. Даний мануал не рекомендується використовувати в якості довідника для організації VPN сервера в великої корпоративної мережі. Як enterprise-рішення краще розгорнути Direct Access і використовувати його для віддаленого доступу (який, до речі кажучи, налаштувати тепер набагато простіше, ніж в Windows 2008 R2).В першу чергу необхідно встановити роль "Remote Access". Зробити це можна через консоль Server Manager або PowerShell (німого нижче).
У ролі Remote Access нас цікавить служба "DirectAccess and VPN (RAS) " . Встановимо її (установка служби тривіальна, на наступних кроках всі налаштування можна залишити за замовчуванням. Будуть встановлені веб сервер IIS, компоненти внутрішньої бази Windows - WID).
Після закінчення роботи майстра натисніть посилання "Open the Getting Started Wizard", В результаті чого запуститься майстер налаштування RAS-сервера.
Службу RAS за допомогою Powershell можна встановити командою:
Install-WindowsFeatures RemoteAccess -IncludeManagementTools
Так як нам не потрібно розгортати службу DirectAccess, вкажемо, що нам потрібно встановити тільки сервер VPN (пункт "Deploy VPN only").
Після чого відкриється знайома MMC консоль Routing and Remote Access. В консолі клацніть правою кнопкою на ім'я сервера і виберіть пункт "Configure and Enable Routing and Remote Access".
Запуститься майстер настройки RAS-сервера. У вікні майстра виберемо пункт "Custom configuration", А потім відзначимо опцію" VPN Access ".
Після закінчення роботи майстра система запропонує запустити службу Routing and Remote Access. Зробіть це.
У тому випадку, якщо між вашим VPN сервером і зовнішньою мережею, звідки будуть підключатися клієнти (зазвичай це Інтернет), є фаєрвол, необхідно відкрити наступні порти і перенаправити трафік на ці порти до вашого VPN сервера на базі Windows Server 2012 R2:
- Для PPTP: TCP - 1723 і Protocol 47 GRE (також називається PPTP Pass-through)
- Для SSTP: TCP 443
- Для L2TP over IPSEC: TCP 1701 і UDP 500
Після установки сервера, необхідно у властивостях користувача дозволити VPN доступ. Якщо сервер включений в домен Active Directory, зробити це потрібно в властивостях користувача в консолі ADUC, якщо ж сервер локальний - у властивостях користувача в консолі Computer Management (Network Access Permission - Allow access).
Якщо ви не використовуєте сторонній DHCP сервер, який роздає vpn-клієнтам IP адреси, необхідно у властивостях VPN сервера на вкладці IPv4 включити "Static address pool" і вказати діапазон роздають адрес.
Примітка. Роздаються сервером IP адреси з метою коректної маршрутизації не повинні перетинатися з ip адресацією на стороні VPN клієнта.Залишилося налаштувати VPN клієнт і протестувати (як налаштувати vpn-клієнт в Windows 8).
Порада. VPN сервер також можна організувати і на базі клієнтської ОС. Детально це описано в статтях:- VPN сервер на Windows 7
- VPN сервер вбудованими засобами Widows 8