Поделиться через


Установка удаленного доступа в качестве VPN-сервера

В этом руководстве приводятся инструкции по настройке и настройке удаленного доступа (RAS) в качестве сервера виртуальной частной сети (VPN) на Windows Server. Этот процесс включает установку необходимых ролей и компонентов, настройку протоколов VPN и настройку пулов IP-адресов для клиентских подключений.

Необходимые компоненты

Статус администратора или в эквивалентных ролях является минимальным требованием для выполнения данных процедур. Однако если сервер RAS присоединен к домену, то процедуры должны выполняться администратором домена.

Установка роли удаленного доступа

Чтобы установить роль удаленного доступа с помощью Windows PowerShell, выполните следующие действия.

  1. Откройте Windows PowerShell от имени администратора.

  2. Введите и выполните следующий командлет:

    Install-WindowsFeature DirectAccess-VPN -IncludeManagementTools
    

    После завершения установки в Windows PowerShell появится следующее сообщение:

    | Success | Restart Needed | Exit Code |               Feature Result               |
    |---------|----------------|-----------|--------------------------------------------|
    |  True   |       No       |  Success  | RAS Connection Manager Administration Kit |
    

Настройка удаленного доступа в качестве VPN-сервера

В этом разделе мы настроим удаленный доступ, чтобы разрешить VPN-подключения IKEv2 и запретить подключения из других VPN-протоколов. Мы также назначим пул статических IP-адресов для выдачи IP-адресов для подключения авторизованных VPN-клиентов.

Маршрутизация и удаленные службы Access (RRAS) поддерживают подключение удаленного пользователя или подключения типа "сеть — сеть" с помощью виртуальной частной сети (VPN) или подключений к телефону. Он принимает VPN-подключения на основе таких протоколов, как PPTP, L2TP, SSTP и IKEv2. Эти протоколы включены по умолчанию, если роль RRAS установлена и настроена с конфигурацией по умолчанию. По умолчанию авторизованный клиент может установить VPN-подключение на основе любого из включенных протоколов. Начиная с Windows Server 2025 новые настройки RRAS не принимают VPN-подключения на основе протоколов PPTP и L2TP. При необходимости эти протоколы можно включить. VPN-подключения на основе SSTP и IKEv2 по-прежнему принимаются без каких-либо изменений.

Существующие конфигурации и выпуски Windows Server сохраняют их поведение. Например, если вы используете Windows Server 2019 и принимаете подключения PPTP и L2TP, при обновлении до Windows Server 2025 с помощью обновления на месте подключения на основе L2TP и PPTP по-прежнему принимаются. Это изменение не влияет на операционные системы клиентов Windows.

Примечание.

Вместо IKEv2 можно также использовать SSTP. Мы не рекомендуем использовать PPTP из-за отсутствия функций безопасности.

  1. Убедитесь, что правила брандмауэра разрешают порты UDP 500 и 4500 входящего трафика во внешний IP-адрес, примененный к общедоступному интерфейсу на VPN-сервере.

  2. На VPN-сервере в диспетчер сервера выберите флаг уведомлений. Возможно, потребуется подождать минуту или два, чтобы увидеть флаг уведомлений.

  3. В меню "Задачи" выберите "Открыть мастер начала работы", чтобы открыть мастер настройки удаленного доступа.

    Примечание.

    Мастер настройки удаленного доступа может открыться за диспетчер сервера. Если вы считаете, что мастер занимает слишком много времени, чтобы открыть, переместить или свести к минимуму диспетчер сервера, чтобы узнать, находится ли мастер за ним. Если нет, дождитесь инициализации мастера.

  4. Выберите Только "Режим развертывания VPN" для открытия консоли управления Microsoft Маршрутизация и удаленный доступ (MMC).

  5. Щелкните правой кнопкой мыши VPN-сервер, а затем выберите "Настроить и включить маршрутизацию и удаленный доступ ", чтобы открыть мастер настройки сервера маршрутизации и удаленного доступа, а затем нажмите кнопку "Далее".

  6. В разделе "Конфигурация" выберите "Настраиваемая конфигурация" и нажмите кнопку "Далее".

  7. В пользовательской конфигурации выберите VPN-доступ и нажмите кнопку "Далее ", чтобы открыть мастер настройки сервера маршрутизации и удаленного доступа.

  8. Нажмите кнопку "Готово ", чтобы закрыть мастер, а затем нажмите кнопку "ОК ", чтобы закрыть диалоговое окно "Маршрутизация и удаленный доступ".

  9. После запуска VPN-сервера щелкните правой кнопкой мыши VPN-сервер и выберите "Свойства".

  10. Выберите вкладку IPv4 и выполните следующие действия:

    1. Выберите пул статических адресов.

    2. Нажмите кнопку "Добавить ", чтобы настроить пул IP-адресов.

    3. В поле "Начальный IP-адрес" введите начальный IP-адрес в диапазоне, который вы хотите назначить VPN-клиентам.

    4. В поле "Конечный IP-адрес" введите конечный IP-адрес в диапазоне, который вы хотите назначить VPN-клиентам, или в поле "Число адресов", введите номер адреса, который нужно сделать доступным.

  11. Нажмите кнопку "ОК ", чтобы закрыть диалоговое окно "Свойства".

  12. В MMC маршрутизации и удаленного доступа щелкните правой кнопкой мыши порты и выберите пункт "Свойства ", чтобы открыть диалоговое окно "Свойства портов ".

  13. Выберите минипорт глобальной сети (SSTP) и выберите Настроить, чтобы открыть диалоговое окно Настройка устройства — минипорт глобальной сети (SSTP).

    1. Очистите подключения удаленного доступа (только для входящего трафика) и подключения маршрутизации по запросу (входящий и исходящий трафик).

    2. Нажмите ОК.

  14. Выберите минипорт глобальной сети (IKEv2) и выберите "Настроить", чтобы открыть диалоговое окно "Настройка устройства — минипорт глобальной сети" (IKEv2).

    1. Убедитесь, что выбраны подключения удаленного доступа (только для входящего трафика) и подключения маршрутизации по запросу (входящий и исходящий трафик).

    2. В максимальном количестве портов введите число портов, чтобы соответствовать максимальному количеству одновременных VPN-подключений, которые требуется поддерживать.

    3. Нажмите ОК.

  15. Выберите минипорт глобальной сети (L2TP) и откройте диалоговое окно "Настройка устройства — минипорт глобальной сети" (L2TP).

    1. Очистите подключения удаленного доступа (только для входящего трафика) и подключения маршрутизации по запросу (входящий и исходящий трафик).

    2. Нажмите ОК.

  16. Выберите минипорт глобальной сети (PPTP) и выберите Настроить, чтобы открыть диалоговое окно Настроить устройство — минипорт глобальной сети (PPTP).

    1. Очистите подключения удаленного доступа (только для входящего трафика) и подключения маршрутизации по запросу (входящий и исходящий трафик).

    2. Нажмите ОК.

Следующие шаги