Установка удаленного доступа в качестве VPN-сервера

В этом руководстве по началу работы мы покажем, как установить и настроить удаленный доступ (RAS) в качестве VPN-сервера.

Необходимые компоненты

Выполнить эти операции может только член группы "Администраторы" или пользователь с аналогичными правами. Однако если сервер RAS присоединен к домену, то процедуры должны выполняться администратором домена.

Установка роли удаленного доступа

PowerShell

Чтобы установить роль удаленного доступа с помощью Windows PowerShell, выполните следующие действия.

1. Откройте Windows PowerShell от имени администратора.

2. Введите и выполните следующий командлет:

   Install-WindowsFeature DirectAccess-VPN -IncludeManagementTools
   

   После завершения установки в Windows PowerShell появится следующее сообщение.

   | Success | Restart Needed | Exit Code |               Feature Result               |
   |---------|----------------|-----------|--------------------------------------------|
   |  True   |       No       |  Success  | RAS Connection Manager Administration Kit |
   

Диспетчер сервера

Чтобы установить роль удаленного доступа с помощью диспетчер сервера, выполните следующее:

1. На сервере Windows в диспетчер сервера выберите "Управление" и выберите "Добавить роли и компоненты", чтобы открыть мастер добавления ролей и компонентов.

2. На странице "Перед началом работы" нажмите кнопку "Далее".

3. На странице "Выбор типа установки" выберите установку на основе ролей или компонентов и нажмите кнопку "Далее".

4. На странице Выбор целевого сервера (Select destination server) выберите "Выбор сервера из пула серверов" (Select a server from the server pool)

5. В разделе Пул серверов выберите локальный компьютер и нажмите кнопку "Далее".

6. На странице "Выбор ролей сервера" в разделе "Роли" выберите "Удаленный доступ" и " Далее".

7. На странице "Выбор функций" нажмите кнопку "Далее".

8. На странице удаленного доступа нажмите кнопку "Далее".

9. На странице "Выбор службы ролей" в службах ролей выберите DirectAccess и VPN (RAS).

10. На странице выбора "Подтверждение установки" просмотрите выбранные варианты, а затем нажмите кнопку "Установить".

11. По завершении установки нажмите кнопку Закрыть.

Настройка удаленного доступа в качестве VPN-сервера

В этом разделе мы настроим удаленный доступ, чтобы разрешить VPN-подключения IKEv2 и запретить подключения из других VPN-протоколов. Мы также назначим пул статических IP-адресов для выдачи IP-адресов для подключения авторизованных VPN-клиентов.

Маршрутизация и удаленные службы Access (RRAS) поддерживают подключение удаленного пользователя или подключения типа "сеть — сеть" с помощью виртуальной частной сети (VPN) или подключений к телефону. Он принимает VPN-подключения на основе таких протоколов, как PPTP, L2TP, SSTP и IKEv2. Эти протоколы включены по умолчанию, если роль RRAS установлена и настроена с конфигурацией по умолчанию. По умолчанию авторизованный клиент может установить VPN-подключение на основе любого из включенных протоколов. Начиная с Windows Server 2025 новые настройки RRAS не принимают VPN-подключения на основе протоколов PPTP и L2TP. При необходимости эти протоколы можно включить. VPN-подключения на основе SSTP и IKEv2 по-прежнему принимаются без каких-либо изменений.

Существующие конфигурации и выпуски Windows Server сохраняют их поведение. Например, если вы используете Windows Server 2019 и принимаете подключения PPTP и L2TP, при обновлении до Windows Server 2025 с помощью обновления на месте подключения на основе L2TP и PPTP по-прежнему принимаются. Это изменение не влияет на операционные системы клиентов Windows.

Примечание.

Вместо IKEv2 можно также использовать SSTP. Мы не рекомендуем использовать PPTP из-за отсутствия функций безопасности.

1. Убедитесь, что правила брандмауэра разрешают порты UDP 500 и 4500 входящего трафика во внешний IP-адрес, примененный к общедоступному интерфейсу на VPN-сервере.

2. На VPN-сервере в диспетчер сервера выберите флаг уведомлений. Возможно, вам придется подождать минуту или два, чтобы увидеть флаг уведомлений.

3. В меню "Задачи" выберите "Открыть мастер начала работы", чтобы открыть мастер настройки удаленного доступа.

   Примечание.

   Мастер настройки удаленного доступа может открыться за диспетчер сервера. Если вы считаете, что мастер занимает слишком много времени, чтобы открыть, переместить или свести к минимуму диспетчер сервера, чтобы узнать, находится ли мастер за ним. Если нет, дождитесь инициализации мастера.

4. Выберите " Развернуть VPN" только для открытия консоли управления "Маршрутизация и удаленный доступ" (MMC).

5. Щелкните правой кнопкой мыши VPN-сервер, а затем выберите "Настроить и включить маршрутизацию и удаленный доступ ", чтобы открыть мастер настройки сервера маршрутизации и удаленного доступа.

6. В мастере настройки сервера маршрутизации и удаленного доступа нажмите кнопку "Далее".

7. В разделе "Конфигурация" выберите "Настраиваемая конфигурация" и нажмите кнопку "Далее".

8. В пользовательской конфигурации выберите VPN-доступ и нажмите кнопку "Далее ", чтобы открыть мастер настройки сервера маршрутизации и удаленного доступа.

9. Нажмите кнопку "Готово ", чтобы закрыть мастер, а затем нажмите кнопку "ОК ", чтобы закрыть диалоговое окно "Маршрутизация и удаленный доступ".

10. После запуска VPN-сервера щелкните правой кнопкой мыши VPN-сервер и выберите "Свойства".

11. Перейдите на вкладку IPv4 и выполните следующие действия.

    1. Выберите пул статических адресов.

    2. Нажмите кнопку "Добавить ", чтобы настроить пул IP-адресов.

    3. В поле "Начальный IP-адрес" введите начальный IP-адрес в диапазоне, который вы хотите назначить VPN-клиентам.

    4. В поле "Конечный IP-адрес" введите конечный IP-адрес в диапазоне, который вы хотите назначить VPN-клиентам, или в поле "Число адресов", введите номер адреса, который нужно сделать доступным.

12. Нажмите кнопку "ОК ", чтобы закрыть диалоговое окно "Свойства".

13. В MMC маршрутизации и удаленного доступа щелкните правой кнопкой мыши порты и выберите пункт "Свойства", чтобы открыть диалоговое окно "Свойства портов".

14. Выберите минипорт глобальной сети (SSTP) и нажмите кнопку "Настроить устройство — минипорт глобальной сети( SSTP) .

    1. Очистите подключения удаленного доступа (только для входящего трафика) и подключения маршрутизации по запросу (входящий и исходящий трафик).

    2. Нажмите ОК.

15. Выберите минипорт глобальной сети (IKEv2) и выберите "Настроить ", чтобы открыть диалоговое окно "Настройка устройства — минипорт глобальной сети" (IKEv2).

    1. Убедитесь, что выбраны подключения удаленного доступа (только для входящего трафика) и подключения маршрутизации по запросу (входящий и исходящий трафик).

    2. В максимальном количестве портов введите число портов, чтобы соответствовать максимальному количеству одновременных VPN-подключений, которые требуется поддерживать.

    3. Нажмите ОК.

16. Выберите минипорт глобальной сети (L2TP) и выберите "Настроить", чтобы открыть диалоговое окно "Настройка устройства " Минипорт глобальной сети (L2TP).

    1. Очистите подключения удаленного доступа (только для входящего трафика) и подключения маршрутизации по запросу (входящий и исходящий трафик).

    2. Нажмите ОК.

17. Выберите минипорт глобальной сети (PPTP) и откройте диалоговое окно "Настройка устройства — минипорт глобальной сети ( PPTP).

    1. Очистите подключения удаленного доступа (только для входящего трафика) и подключения маршрутизации по запросу (входящий и исходящий трафик).

    2. Нажмите ОК.

Следующие шаги

• Руководство по развертыванию AlwaysOn VPN