VPN.


09.08.2017

Знакомство с Windows Server 2016. VPN.

И так, рассмотрим как настроить VPN тоннель на нашем шлюзе. Сразу нужно сказать о каком VPN дальше пойдёт речь - PPTP - Это устаревший и небезопасный вариант VPN тоннеля, но в качестве тестового стенда будем использовать его. Запускаем машину "Gateway", идём во вкладку - "средства" - "маршрутизация и удалённый доступ":

Кликаем по пункту "Порты" и видим разные типы протоколов VPN соединений:

Что мы сделаем далее - отключим все протоколы кроме "PPTP" и ограничим количество соединений извне до 5. Идём в свойства вкладки "Порты"

Давайте отключим те протоколы, которые не будем использовать. Жмём по "GRE" - затем внизу - "Настроить" - и снимаем чек с "Подключения по требованию (входящие и исходящие)"

Далее у протокола "PPPOE" снимаем чек с "Подключение по требованию (только исходящие)"

Далее у протоколов "L2TP", "IKEv2" и "SSTP" снимаем оба чека с "Подключения удалённого доступа (только входящие)" и "Подключение по требованию (входящие и исходящие)"

Затем в настройках протокола "PPTP" ограничиваем количество портов до 5:

Далее нам нужно выбрать то как пользователи извне будут идентифицироваться или проходить проверку подлинности, это может быть "RADIUS - проверка подлинности" либо "Windows - проверка подлинности":

Жмём правой кнопкой по нашему серверу маршрутизации - далее -"свойства":

Затем вкладка "Безопасность" - В пункте "Поставщик службы проверки подлинности" выбираем "Windows - проверка подлинности". В пункте "Поставщик учёта" тоже оставляем "Windows - учет".

Далее жмём по кнопке "Методы проверки подлинности" и выбираем эти самые методы подключаемых извне пользователей. Также внизу есть чек "Доступ без проверки" - он позволит подключение без защиты и без проверки. Но оставим тут всё как есть.

Теперь переходим на вкладку "IPv4":

тут мы выбираем как сервер будет назначать IPv4-адреса пользователям, подключённым по VPN. Можно оставить "протокол DHCP", но мы сделаем статический пул от "10.0.0.1" до "10.0.0.5" - и это те 5 портов или подключений, которые мы разрешили в свойствах протокола "PPTP".

Теперь нужно в настройках пользователя, с помощью которого мы разрешим вход по VPN, разрешить это самое удалённое подключение. Идём на контроллер домена - в диспетчере сервера - "Средства" - "Пользователи и компьютеры Active Directory". Заходим в свойства нужного пользователя, в моём случае "Ольга Бородина (o.borodina@mrstudio.local)". Далее вкладка с забавным названием "Входящие звонки" на анг. "Dial-in" - в пункте "Права доступа к сети" ставим чек - "Разрешить доступ":

А теперь проверим, с эмулируем подключение извне, например, из дома до работы, по VPN, используя учётную запись "o.borodina@mrstudio.local".

Я запускаю виртуальную машину с Windows 7, у которой сетевая карта в том, же коммутаторе что и интерфейс "WAN_" у шлюза "Gateway". Проверяем что условия удовлетворяют предварительным требованиям - т.е. у нас есть на машине интернет, а пинги до локальных адресов машин на работе не идут, и уж тем более не идут по имени компьютера.

Но при этом нам доступен "глобальный" адрес "192.168.3.44" шлюза на работе:

Настроим VPN-соединение - Пуск - Панель управления - Центр управления сетями и общим доступом - "Настройка нового подключения или сети":

Далее - Подключение к рабочему месту:

Затем "Использовать моё подключение к интернету (VPN)":

Далее вводим адрес удалённого шлюза "192.168.3.44" и меняем, если нужно, имя:

Далее нужно предоставить данные пользователя - как мы помним в нашем случае это "o.borodina@mrstudio.local":

Далее жмём "создать" и закрываем диалог. Теперь в списке сетевых подключений у нас появилось отключённое подключение "VPN-подключение":

Заходим в свойства этого подключения:

И во вкладке "Безопасность" принудительно определим тип VPN - точка-точка (PPTP):

Далее посмотрим очень немаловажный момент - идём во вкладку "сеть":

Затем в свойства протокола TCP/IPv4 - жмём кнопку "Дополнительно"

И тут видим галочку "Использовать основной шлюз в удалённой сети":

Оставляя эту галочку мы, будучи дома, будем использовать интернет работы. То есть весь глобальный трафик пойдёт через шлюз "Gateway".

Теперь подключаемся к VPN соединению:

И в итоге подключиться мы не можем:

И происходит это потому что Gateway не связывается с контроллером домена для проверки пользователя. И тут мы возвращаемся к старой проблеме с нашим DHCP-сервером. Я поступил следующим образом - удалил службу DHCP, затем всё-таки ввёл машину "Gateway" в домен - и решил ставить роль DHCP-сервера заново. На стадии завершения в диалоге "Описания" я обратил на пункт "Авторизовать DHCP-сервер на конечном компьютере (если он присоединён к домену)":

Едем дальше - И вот будучи в домене, заканчивая настройку установки DHCP-сервера, мы раскрываем тайну этой самой авторизации. вводим данные доменного администратора:

И жмём кнопку "фиксировать":

И нас встречает ошибка:

Тем не менее после которой авторизация прошла успешно:

Далее во флажке наблюдаем странную картину в виде ещё одной установки компонентов:

Ну хорошо, проделаем тоже самое ещё раз. и в итоге натыкаемся на ошибку что мы это уже сделали:

Возможно какой-то глюк, закрываем все окна и перезагружаем машину "Gateway.mrstudio.local". После перезагрузки мы видим, что DHCP-сервер активирован (зелёные стрелочки на пунктах IPv4 и IPv6) и это при том что сама машина находится в домене. Выходит, что сначала нужно было машину "Gateway" вводить в домен, а уже потом поднимать DHCP-сервер.

Ну а теперь возвращаемся к windows7 и пробуем снова подключить VPN. И Ура! Успешно подключились. Пинги успешно проходят:

Вернёмся на наш шлюз - и в оснастке "маршрутизация и удалённый доступ" - в пункте "Клиенты удалённого доступа" наблюдаем нашего пользователя и длительность сеанса. Вот так мы настроили VPN-тоннель, теперь можем будучи дома подключаться к рабочей сети!