VPN.
09.08.2017
Знакомство с Windows Server 2016. VPN.
И так, рассмотрим как настроить VPN тоннель на нашем шлюзе. Сразу нужно сказать о каком VPN дальше пойдёт речь - PPTP - Это устаревший и небезопасный вариант VPN тоннеля, но в качестве тестового стенда будем использовать его. Запускаем машину "Gateway", идём во вкладку - "средства" - "маршрутизация и удалённый доступ":
Кликаем по пункту "Порты" и видим разные типы протоколов VPN соединений:
Что мы сделаем далее - отключим все протоколы кроме "PPTP" и ограничим количество соединений извне до 5. Идём в свойства вкладки "Порты"
Давайте отключим те протоколы, которые не будем использовать. Жмём по "GRE" - затем внизу - "Настроить" - и снимаем чек с "Подключения по требованию (входящие и исходящие)"
Далее у протокола "PPPOE" снимаем чек с "Подключение по требованию (только исходящие)"
Далее у протоколов "L2TP", "IKEv2" и "SSTP" снимаем оба чека с "Подключения удалённого доступа (только входящие)" и "Подключение по требованию (входящие и исходящие)"
Затем в настройках протокола "PPTP" ограничиваем количество портов до 5:
Далее нам нужно выбрать то как пользователи извне будут идентифицироваться или проходить проверку подлинности, это может быть "RADIUS - проверка подлинности" либо "Windows - проверка подлинности":
Жмём правой кнопкой по нашему серверу маршрутизации - далее -"свойства":
Затем вкладка "Безопасность" - В пункте "Поставщик службы проверки подлинности" выбираем "Windows - проверка подлинности". В пункте "Поставщик учёта" тоже оставляем "Windows - учет".
Далее жмём по кнопке "Методы проверки подлинности" и выбираем эти самые методы подключаемых извне пользователей. Также внизу есть чек "Доступ без проверки" - он позволит подключение без защиты и без проверки. Но оставим тут всё как есть.
Теперь переходим на вкладку "IPv4":
тут мы выбираем как сервер будет назначать IPv4-адреса пользователям, подключённым по VPN. Можно оставить "протокол DHCP", но мы сделаем статический пул от "10.0.0.1" до "10.0.0.5" - и это те 5 портов или подключений, которые мы разрешили в свойствах протокола "PPTP".
Теперь нужно в настройках пользователя, с помощью которого мы разрешим вход по VPN, разрешить это самое удалённое подключение. Идём на контроллер домена - в диспетчере сервера - "Средства" - "Пользователи и компьютеры Active Directory". Заходим в свойства нужного пользователя, в моём случае "Ольга Бородина (o.borodina@mrstudio.local)". Далее вкладка с забавным названием "Входящие звонки" на анг. "Dial-in" - в пункте "Права доступа к сети" ставим чек - "Разрешить доступ":
А теперь проверим, с эмулируем подключение извне, например, из дома до работы, по VPN, используя учётную запись "o.borodina@mrstudio.local".
Я запускаю виртуальную машину с Windows 7, у которой сетевая карта в том, же коммутаторе что и интерфейс "WAN_" у шлюза "Gateway". Проверяем что условия удовлетворяют предварительным требованиям - т.е. у нас есть на машине интернет, а пинги до локальных адресов машин на работе не идут, и уж тем более не идут по имени компьютера.
Но при этом нам доступен "глобальный" адрес "192.168.3.44" шлюза на работе:
Настроим VPN-соединение - Пуск - Панель управления - Центр управления сетями и общим доступом - "Настройка нового подключения или сети":
Далее - Подключение к рабочему месту:
Затем "Использовать моё подключение к интернету (VPN)":
Далее вводим адрес удалённого шлюза "192.168.3.44" и меняем, если нужно, имя:
Далее нужно предоставить данные пользователя - как мы помним в нашем случае это "o.borodina@mrstudio.local":
Далее жмём "создать" и закрываем диалог. Теперь в списке сетевых подключений у нас появилось отключённое подключение "VPN-подключение":
Заходим в свойства этого подключения:
И во вкладке "Безопасность" принудительно определим тип VPN - точка-точка (PPTP):
Далее посмотрим очень немаловажный момент - идём во вкладку "сеть":
Затем в свойства протокола TCP/IPv4 - жмём кнопку "Дополнительно"
И тут видим галочку "Использовать основной шлюз в удалённой сети":
Оставляя эту галочку мы, будучи дома, будем использовать интернет работы. То есть весь глобальный трафик пойдёт через шлюз "Gateway".
Теперь подключаемся к VPN соединению:
И в итоге подключиться мы не можем:
И происходит это потому что Gateway не связывается с контроллером домена для проверки пользователя. И тут мы возвращаемся к старой проблеме с нашим DHCP-сервером. Я поступил следующим образом - удалил службу DHCP, затем всё-таки ввёл машину "Gateway" в домен - и решил ставить роль DHCP-сервера заново. На стадии завершения в диалоге "Описания" я обратил на пункт "Авторизовать DHCP-сервер на конечном компьютере (если он присоединён к домену)":
Едем дальше - И вот будучи в домене, заканчивая настройку установки DHCP-сервера, мы раскрываем тайну этой самой авторизации. вводим данные доменного администратора:
И жмём кнопку "фиксировать":
И нас встречает ошибка:
Тем не менее после которой авторизация прошла успешно:
Далее во флажке наблюдаем странную картину в виде ещё одной установки компонентов:
Ну хорошо, проделаем тоже самое ещё раз. и в итоге натыкаемся на ошибку что мы это уже сделали:
Возможно какой-то глюк, закрываем все окна и перезагружаем машину "Gateway.mrstudio.local". После перезагрузки мы видим, что DHCP-сервер активирован (зелёные стрелочки на пунктах IPv4 и IPv6) и это при том что сама машина находится в домене. Выходит, что сначала нужно было машину "Gateway" вводить в домен, а уже потом поднимать DHCP-сервер.
Ну а теперь возвращаемся к windows7 и пробуем снова подключить VPN. И Ура! Успешно подключились. Пинги успешно проходят:
Вернёмся на наш шлюз - и в оснастке "маршрутизация и удалённый доступ" - в пункте "Клиенты удалённого доступа" наблюдаем нашего пользователя и длительность сеанса. Вот так мы настроили VPN-тоннель, теперь можем будучи дома подключаться к рабочей сети!