Не поддерживает nap vpn windows server 2016

Обновлено: 07.07.2024

Ситуация, когда на одной рабочей станции не установлены последние заплатки,
на другой не работает брандмауэр, а на третьей - антивирус или антишпионское ПО,
встречается сплошь и рядом. А ведь безопасность всей Сети определяется самым
слабым звеном. Как же быть администратору с клиентскими компьютерами, не
удовлетворяющими требованиям безопасности?

Новая технология NAP

Технология защиты сетевого доступа NAP (Network Access Protection),
реализованная в Win2k8, призвана помочь администратору в поддержании
безопасности Сети на максимально высоком уровне. Принцип работы NAP заключается
в следующем. При подключении клиента к Сети проверяется наличие файрвола,
последних обновлений безопасности, обновлений антивирусных программ и т.д. Если
компьютер не удовлетворяет принятым политикам, в полном доступе ему будет
отказано до тех пор, пока выявленные проблемы не будут устранены. В зависимости
от настроек, компьютеры, не прошедшие контроль, либо блокируются полностью, либо
помещаются в карантин (например, им выдаются IP-адреса из другого диапазона).
Как вариант, можно настроить только журналирование подобных событий без принятия
каких-либо мер. В карантинной подсети могут располагаться коррекционные сервера
(Remediation Server), предоставляющие ресурсы для устранения выявленных
недостатков, к примеру, сервер обновлений WSUS (Windows Server Update
Services) или антивирусная база. После обновления соответствие политикам
проверяется повторно, – если все нормально, система получает доступ в Сеть.
Среди настроек можно указать веб-страничку, на которой описано, почему
пользователь не может подключиться, и что ему для этого нужно сделать.

Так что, NAP выполняет не только блокирующие функции, но и является
средством, помогающим устранить найденные недостатки. Его работа не сводится к
однократной проверке при подключении (после которой пользователь может отключить
антивирус, «чтобы не мешал»). Проверка состояния производится периодически в
течение всего времени, когда компьютер подключен к Сети.

Для некоторых компьютеров (несовместимая ОС; ноутбук посетителя, которым
управлять не имеем права) может быть настроено исключение, позволяющее получить
доступ в любом случае.

Очень важно понимать, что сам по себе NAP не защищает Сеть и тем более
не заменяет антивирус и межсетевой экран. Он взаимодействует со многими
механизмами принуждения (DHCP, VPN, IPsec, IEEE 802.1x и TS-Gateway) для
повышения уровня безопасности. Собственно, одна из задач администратора при
развертывании NAP и заключается в выборе «своего» метода. Наиболее простым и в
реализации и по принципу действия является DHCP, – достаточно перестроить
таблицу маршрутизации, и клиент уже не сможет получить доступ в Сеть.
Модифицированная NAP совместимая DHCP-служба называется DHCP NAP Enforcement
Client (EC). Остальные методы более надежны, хотя потребуют дополнительных
настроек.

Разберем такой вариант. Вся клиентская система в порядке, только не
активирован брандмауэр. Что проще всего сделать в такой ситуации? Блокировать
доступ или объяснить пользователю, в чем его проблема? Нет. Проще включить
Windows Firewall. Вот тут мы подходим к еще одной важной особенности NAP
– клиент-серверная архитектура.

Для оценки состояния используется агент NAP либо уже встроенный в
систему, либо устанавливаемый отдельно. Агент передает отчет о соблюдении
установленных требований серверу сетевых политик (NPS, Network Policy Server)
отправкой специального SHV-маркера (System Health Validators). NPS-сервер
является механизмом обработки политик, встроенным в Win2k8. Он пришел на замену
Internet Authentication Service (IAS), который обеспечивал RADIUS
аутентификацию в Active Directory.

Кроме Win2k8, агент уже включен в состав Windows Vista и XP SP3. Сам агент
состоит из нескольких уровней. Это позволяет наращивать его возможности. За
проверку соответствия заданным требованиям отвечает агент состояния системы (System
Health Agents, SHA). Причем, на компьютере может одновременно работать
несколько таких агентов. Собственный агент Microsoft SHA на основании
информации, полученной из Центра безопасности, проверяет, включен ли брандмауэр,
установлен ли антивирус и антишпионское ПО. Производители программ могут
добавлять SHA для поддержки своих продуктов. Агент карантина (Quarantine
Agent, QA) создает отчеты о состоянии работоспособности SHA. И, наконец,
клиент принуждения (Enforcement Client, EC) обеспечивает доступ к Сети,
основываясь на состоянии системы.

Установка NPS

Роль NPS, как и большинство остальных ролей, по умолчанию не
устанавливается. Выбираем в «Диспетчере сервера» (Server Manager) ссылку
«Добавить роли» (Add roles), затем в окне выбора ролей отмечаем «Службы политики
сети и доступа» (Network Policy and Access Services). Попутно не забываем
устанавливать остальные роли, которые могут потребоваться (DHCP, службы
терминалов, VPN). В дальнейших настройках будем использовать DHCP, поэтому
отмечаем и роль «DHCP Server».

Переходим к выбору служб ролей (Select Role Services). Кроме HCAP, о котором
говорилось выше, и самого NPS, здесь имеется еще ряд пунктов, которые активируем
в зависимости от конфигурации. Так, «Центр регистрации работоспособности» (Health
Registration Authority, HRA) является компонентом NAP, обеспечивающим
безопасность IPSec. Роли HRA и HCAP потребуют наличия IIS и Windows Process
Activation Service. Запрос на их установку появится на соответствующем шаге.
Роль службы маршрутизации и удаленного доступа (Routing and Remote Access
Service, RRAS) необходима для клиентов, подключающихся удаленно (Dial-up & VPN,
NAT). Вот, собственно, и все. По окончании установки во вкладке «Роли» в
«Диспетчере сервера» появится новый пункт. Также в меню «Администрирование» (Administrative
Tools) станет доступна консоль «Сервер политики сети» (Network Policy Server).

Настройка NPS при помощи шаблона

Консоль управления позволяет настроить NPS-сервер несколькими способами.
Самый простой – выбрать нужную конфигурацию в раскрывающемся списке
«Стандартная конфигурация» (Standard Configuration) на заглавной странице.
Отсюда можно быстро настроить сервер NAP, а также RADIUS-сервер для удаленного
доступа (Dial-up & VPN) и IEEE 802.1x-подключения. К примеру, выбираем «Защита
доступа к сети» (Network Access Protection). После этого внизу страницы появится
ссылка на документацию. Для начала настройки нажимаем на «Настройка NAP» (Configure
NAP), – стартует мастер конфигурации. Самый важный шаг – определение в списке «Network
Connection method» метода подключения для NAP-совместимых клиентов. Здесь есть
все поддерживаемые NAP варианты: DHCP, IPSec с HRA, IEEE 802.1x Wired и Wireless,
VPN и TS-Gateway. Затем в поле «Имя политики» при необходимости уточняем
название правила и переходим к шагу выбора сервера принудительной защиты
доступа. Главное, не запутаться в терминологии, так как просят указать на RADIUS
клиента. Обычно это IEEE 802.1x-совместимый маршрутизатор или беспроводная точка
доступа.

Если на компьютере, на котором производится установка NPS, выполняется служба
DHCP, то этот шаг можно пропустить. В Сети может быть несколько DHCP-областей;
сервер NPS может контролировать их все или только некоторые. Шаг «Укажите
DHCP-области» (Specify DHCP Scopes) позволяет определить области, которые будут
контролироваться этим сервером. Если здесь ничего не указать, политика будет
применяться ко всем NAP-областям. Все добавленные DHCP-серверы должны также
поддерживать NPS. Теперь указываем группы пользователей и компьютеров, к которым
будут применяться правила. На следующей странице «Specify a NAP Remediation
Group and URL» задаем группу серверов обновлений, которые будут использоваться
клиентами. Если такой группы нет, то ее следует создать, нажав кнопку «Новая
группа». Чуть ниже, в строке «Trouble shooting URL», вводим адрес страницы с
инструкциями для пользователя (если она нужна) и переходим к определению
политики работоспособности NAP (Define NAP Health policy). Установленный флажок
«Включить автообновление клиентских компьютеров» (Enable auto-remediation of
client computers) разрешает получение обновлений клиентскими системами, не
удовлетворяющими политикам. Если этот параметр не выбран, клиенты, не
поддерживающие NAP, не обновятся автоматически и не смогут получить полный
доступ, пока не будут обновлены вручную. Переключатель внизу позволяет выбрать
ограничения доступа к Сети клиентам, не поддерживающим NAP. По умолчанию
разрешен только ограниченный доступ (Deny full network access …). Если по
какой-то причине для таких систем ограничений не предусмотрено, то переключаем в
полный доступ (Allow full network access …). После нажатия кнопки «Далее»
создаются политики и выводится отчет.

Знакомство с консолью NPS

Более тонко политики задаются в отдельных меню. Так в «RADIUS Server и
Clients» настраиваются клиенты и удаленные группы серверов RADIUS (Remote RADIUS
Server Groups). Если узел NPS будет настроен как RADIUS прокси, то на удаленные
сервера будут пересылаться запросы на подключение.

В меню «Политики» (Policies) указываются политики запросов на подключение (Connection
Request Policies, CRP), сетевые политики (Network Policies) и политики
работоспособности (Health Policies). В CRP-политиках определяется обработчик
запроса при подключении клиента. Это может быть как локальный узел, так и
удаленный (в случае с RADIUS). Так как ранее мы уже создали политики, используя
шаблон, то в списке присутствуют две записи: NAP DHCP и проверка подлинности
Windows. Чтобы добавить новую политику, следует в контекстном меню выбрать пункт
«Новый документ». После чего следовать указаниям мастера. В колонке «Статус»
показано, активна эта политика или нет, а цифра в соседней колонке указывает на
порядок ее обработки.

Для изменения политики следует дважды щелкнуть по имени. В появившемся окне
свойств – три вкладки. На вкладке «Обзор» (Overview) можно изменить имя
политики; сняв флажок «Политика включена» (Policy enabled), отключить проверку
этой политики сервером. Раскрывающийся список чуть ниже позволяет изменить тип
NPS-сервера (сейчас установлен DHCP-сервер). Активная политика будет применяться
без каких-либо ограничений. Во вкладке «Условия» (Conditions) задаются различные
ограничения для выбранной политики: по времени, IP-адресу, группе HCAP, по имени
пользователя, протоколу, типу службы и туннеля и т.д. В том числе, предусмотрены
и такие, как разработчик оборудования RADIUS. Все это позволяет задать
действительно гибкие правила, правда, тут придется немного потрудиться. И,
наконец, в третьей вкладке «Параметры» (Settings) настраиваются параметры для
политики сети, которые будут применены после проверки всех ограничений.
Большинство основных параметров NAP находятся в «Network Policies». Различают
два типа политик: разрешающая и запрещающая. После использования шаблона в
списке уже будут присутствовать пять политик, определяющих, кому и на каких
условиях будет разрешен или запрещен доступ. При выборе политики в окнах внизу
будут показаны условия и параметры. При необходимости их можно отредактировать,
вызвав мастера двойным щелчком. Новая политика создается аналогично предыдущему
пункту (выбор «Новый документ» в контекстном меню).

Обратимся к свойствам политики. Сразу обращаем внимание, что теперь вкладок
четыре: добавилась «Ограничения» (Constraints). А содержимое других вкладок чуть
изменилось. На вкладке «Обзор» указывается, разрешить или запретить доступ в
сеть клиентам, удовлетворяющим требованиям этой политики. Установленный по
умолчанию флажок «Ignore user account dial-in properties» позволяет игнорировать
свойства удаленного доступа учетной записи пользователя, если запрос на
подключение удовлетворяет политикам. Настройка методов проверки подлинности
перекочевала в «Ограничения». Здесь же указывается тайм-аут простоя и сеанса,
ограничения по времени, тип порта NAS и некоторые другие. Соответственно,
несколько изменилось содержимое вкладки «Параметры». В ней настраиваются
IP-фильтры (позволяющие определить, какие пакеты обрабатывать этим интерфейсом),
шифрование, дополнительные атрибуты RADIUS, обработка многоканальных
подключений. Политика назначения клиенту IP-адреса определяется в подпункте «IP
Setting». Выбрав «Принудительное использование NAP» (NAP Enforcement), мы
настраиваем уровень применения правил NAP. Это может быть полный доступ к Сети,
полный доступ в ограниченное время (испытательный срок) и ограниченный доступ.

Наличие разрешающих политик и настроек может немного запутать. На этапе
подготовки нужно четко определиться с задачами и представлять конечный
результат, чтобы не активировать ничего лишнего. Так, параметры сетевой политики
для «правильных» клиентов должны разрешать полный доступ, автообновление должно
быть выключено. Для нарушителей, наоборот – ограниченный доступ и активируем
автообновление.

Группа серверов обновлений задается в окне, появляющемся при нажатии кнопки
«Настроить» (Configure). За автообновление клиентских компьютеров отвечает
флажок «Enable auto-remediation of client computers».

Конфигурации, необходимые для доступа к Сети NAP-совместимым клиентам,
создаются в «Политики работоспособности». После использования шаблона здесь две
политики: DHCP Совместимый и DHCP Несовместимый. Вторая определяет клиентов,
которые не прошли одну или несколько SHV-проверок.

Непосредственно параметры SHV и группы серверов обновлений настраиваются в
меню «Защита доступа к Сети». По умолчанию в NPS присутствует только один SHV –
«Средство проверки работоспособности системы безопасности Windows» (Windows
Security Health Validator). Двойным щелчком вызываем окно свойств, в котором
представлены способы разрешения кода ошибки в различных ситуациях (SHV не может
связаться со службами или не отвечает, SHA не отвечает клиенту и т.д.). По
умолчанию при возникновении любой ошибки клиенту устанавливается статус
«Несовместимый». Нажав на кнопку «Настроить», получим возможность указать
требования к клиентским компьютерам (отдельно Windows XP и Vista):

  • должен ли быть включен Windows Firewall (или другой совместимый
    брандмауэр);
  • должна ли быть включена антивирусная программа и насколько актуальна ее
    версия;
  • работает ли Windows Defender или другое антишпионское ПО и насколько оно
    актуально (только для Vista);
  • включено ли автоматическое обновление;
  • установлены ли обновления безопасности с заданным уровнем, с указанием
    времени последней проверки наличия обновлений.

Последнее меню – «Учетные данные» (Accounting) – отвечает за настройки
журналирования событий NPS. Для хранения журналов можно использовать локальный
файл или базу SQL-сервера (в том числе и удаленного). При использовании
локального хранилища события будут отображаться в Event Viewer.

Настройка клиента NAP

Настройка NAP клиента производится при помощи MMC консоли «Конфигурация
клиента NAP» (NAP Client Configuration), доступной в совместимых версиях ОС.
По умолчанию она не выводится в списке, поэтому ее необходимо добавить
самостоятельно. Запускаем mmc из командной строки и добавляем новую оснастку
«Консоль» – «Добавить или удалить оснастку». Выбираем в списке «Конфигурация
клиента NAP» и нажимаем кнопку «Добавить». В появившемся окне отмечаем
компьютер, на котором будет выполняться оснастка (обычно это локальная система).
После нажатия на «ОК» в окне MMC появляется новая консоль, в корне которой
предложено три настройки: клиент системы ограничений (Enforcement Client),
параметры интерфейса пользователя (User Interface Settings) и параметры
регистрации работоспособности (Health Policies). Список поддерживаемых
механизмов NAP доступен в «Enforcement Client» (по умолчанию все отключены).
Например, для активации механизма DHCP выделяем «Клиент принудительного
карантина для DHCP» (DHCP Quarantine Enforcement Client) и нажимаем «Включить».
Пункт «User Interface Setting» позволяет задать рисунок значка NAP-клиента и
поясняющий текст.

Если компьютеров много, то ручная настройка клиентов займет много времени. В
этом случае следует использовать групповые политики, которые расположены в узле
Конфигурация компьютера/Установки Windows/Настройки безопасности/Защита доступа
к Сети (Computer Configuration/Windows Setting/Security Setting/Network Access
Protection).

Заключение

Новая технология Network Access Protection позволяет повысить
безопасность Сети, блокировав или ограничив доступ незащищенным клиентским
компьютерам. Особенно это актуально для удаленных систем, как правило,
неподконтрольных администратору и служащих основными источниками неприятностей.

WARNING

Сам по себе NAP не защищает Сеть и, тем более, не заменяет антивирус и
межсетевой экран.

NAP не предназначен для защиты от инсайдеров и других подобных типов
внутренних угроз, когда пользователь обладает в Сети особыми правами,
позволяющими выполнять злонамеренные действия как умышленно, так и случайно.




Полную версию статьи
читай в декабрьском номере
Хакера!

В этом кратком руководстве мы опишем процесс установки и настройке VPN-сервера на базе Windows Server. Все действия, описанные в этой статье, были выполнены на Windows Server 2016, но эта инструкция подходит для любой современной серверной операционной системы Windows, начиная с Windows Server 2008 R2 и заканчивая Windows Server 2016.

Итак, давайте начнем. Прежде всего нам нужно настроить роль удаленного доступа (Remote Access). Для этого в оснастке Server Manager запустите мастер добавления ролей и выберите роль Remote Access.

Remote Access - vpn role

DirectAccess and VPN (RAS)

В дополнение к роли удаленного доступа и средствам управления, также автоматически будут установлены веб-сервер IIS и внутренняя база данных Windows (WID). Полный список установленных функций можно просмотреть в окончательном окне мастера, появляющимся перед тем, как вы подтвердите установку.

install vpn role

Установить роль Remote Access вместе со всеми необходимыми опциями можно всего одной командой PowerShell:

Install-WindowsFeature -Name DirectAccess-VPN -IncludeAllSubFeature -IncludeManagementTools

В оснастке RRAS выберите имя сервера, щелкните правой кнопкой мыши и выберите «Настроить и включить маршрутизацию и удаленный доступ» (Configure and Enable Routing and Remote Access) в открывшемся меню.

Configure and Enable Routing and Remote Access

В мастере настройки выберите пункт Custom configuration.

Custom configuration

В списке служб выберите опцию VPN access.

VPN access

После этого система предложит вам запустить службу Маршрутизации и удаленного доступа.

start rras service

Служба VPN установлена и включена, теперь ее необходимо настроить. Снова откройте меню сервера и выберите пункт «Свойства».

vpn server svoystva

Перейдите на вкладку IPv4. Если у вас нет DHCP-серверов в сети, вам необходимо указать диапазон IP-адресов, которые будут получать клиенты при подключении к VPN-серверу.

ipv4-pool

l2tp shared password

И еще пара нужных моментов, которые следует иметь в виду при настройке VPN-сервера.

Во-первых, вам нужно указать пользователей, которых будет разрешено подключаться к этому VPN-серверу. Для автономного сервера настройка выполняется локально, в оснастке «Управление компьютером». Чтобы запустить оснастку, вам нужно выполнить команду compmgmt.msc, затем перейдите в раздел «Локальные пользователи и группы». Затем вам нужно выбрать пользователя, открыть его свойства, а на вкладке «Dial-In» отметьте пункт «Разрешить доступ» (Allow access). Если компьютер является членом домена Active Directory, те же настройки можно сделать из оснастки ADUC.

allow-access

Во-вторых, проверьте, открыты ли все необходимые порты на брандмауэре Windows и межсетевом экране, осуществляющим NAT-трансляцию. Теоретически, когда вы устанавливаете роль RRAS, соответствующие правила автоматически включаются, но на всякий случай проверьте их самостоятельно. Список разрешенных правил для входящего трафика:

rras-firewall-rules

Если ваш VPN-сервер находится за NAT, для корректной установки VPN-соединения по протоколу L2TP/ipsec, на стороне клиента необходимо в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent создать ключ с именем AssumeUDPEncapsulationContextOnSendRule и значением 2.

На этом все. Теперь, когда у вас имеется настроенный VPN-сервер, вы можете подключиться к нему с помощью VPN-клиента.

В Мастере добавления ролей и компонентов необходимо отметить галочкой Удаленный доступ и нажать Далее.

Удаленный доступ

Переходим на вкладку Службы ролей и отмечаем галочкой DirectAccess и VPN (RAS).

В появившемся окне нажимаем кнопку Добавить компоненты.

Добавить компоненты

После того как окно закрылось нажимаем Далее.

нажимаем Далее

Выбираем пункт Подтверждение и нажимаем Установить.

Выбираем Подтверждение и Установить

После завершения установки закрываем окно мастера.

закрываем окно мастера

Заходим в раздел Маршрутизация и удаленный доступ выбираем пункт Настроить и включить маршрутизацию и удаленный доступ.

Настроить и включить маршрутизацию и удаленный доступ

В появившемся мастере жмем Далее.

жмем Далее

Выбираем Особая конфигурация.

Выбираем Особая конфигурация.

Ставим галочку напротив пункта Доступ к виртуальной частной сети (VPN) и жмем Далее.

Доступ к виртуальной частной сети

Завершаем работу мастера - жмем Готово.

Завершаем работу мастера

Появится окно с предложением запустить службу. Выбираем Запустить службу.

Запустить службу

Снова заходим в Маршрутизация и удаленный доступ и выбираем Свойства.

выбираем Свойства

Добавляем интервал адресов для VPN соединения - переходим на вкладку IPv4 и жмем Добавить.

интервал адресов для VPN соединения

В появившемся окне заполняем диапазон и жмем ОК.

заполняем диапазон

Как настроить VPN на Windows Server и перестать ходить на работу?

Zip File, мои юные любители сисадминства. Нынче мы затронем такую балдёжную тему, как настройка VPN. Эта аббревиатура означает виртуальную частную сеть. С её помощью можно осуществлять подключение к рабочей сети вашего предприятия через безопасный канал. Такая схема позволяет использовать все внутренние ресурсы ЛВС, такие как общие папки, принтеры, почту и т.д. находясь за тысячи километров от офиса.

Однако тот же алгоритм действий вполне применим, как более новой версии 2019 года, так и к устаревшим 2012 и 2008 года соответственно. В качестве клиента будет использоваться стандартная рабочая станция с Windows 10. Такие дела. Что ж, ребятки, меньше слов, больше дела. Не будем сёдня долго запрягать. Погнали настраивать.

Шаг 1. Первым делом заходим на сервер в корпоративной сети и в оснастке «Диспетчер серверов» кликаем по пункту «Добавить роли и компоненты».

vpn 1

Шаг 2. Далее.

vpn 2

Шаг 3. Оставляем параметр «Установка ролей и компонентов».

vpn 3

Шаг 4. В данном окне выбираем сервер, на котором собираемся поднимать службу VPN. У нас выбор не велик. Жмём «Далее».

vpn 4

Шаг 5. Отмечаем пункт «Удалённый доступ». Next.

vpn 5

Шаг 6. В компонентах ничего не меняем.

vpn 6

Шаг 7. Знакомимся с информацией о том, что такое в принципе VPN и зачем нужен удаленный доступ.

vpn 7

Шаг 8. Отмечаем галочкой параметр «DirectAccess и VPN» и добавляем необходимые компоненты.

vpn 8

Шаг 9. Далее.

vpn 9

Шаг 10. Далее.

vpn 10

Шаг 11. Всё. Можно приступить к установке. Кликаем по соответствующей кнопке и идём заваривать чай.

vpn 11

Шаг 12. По завершению установки закрываем данную оснастку.

vpn 12

Шаг 13. В диспетчере серверов раскрываем «Средства» и ищем пункт «Маршрутизация и удаленный доступ».

vpn 13

Шаг 14. Видим слева наш сервер, отмеченный красной меткой. Данный цвет кружка свидетельствует о том, что сервер VPN не настроен и соответственно не функционирует. Исправим это недоразумение. Кликаем правой кнопкой. «Настроить и включить маршрутизацию и удаленный доступ».

vpn 14

Шаг 15. Выбираем пункт «Особая конфигурация».

vpn 15

Шаг 16. Отмечаем «Доступ к виртуальной частной сети (VPN)».

vpn 16

Шаг 17. И после нажатия на «Готово» в последнем окне кликаем по кнопке «Запустить службу».

vpn 17

Шаг 18. Сервер взлетел. Остались нюансы. Вызываем контекстное меню. «Свойства».

vpn 18

Шаг 19. У меня на учебном сервере не настроен DHCP, поэтому на вкладке IPv4 укажем статический пул адресов. Из этого диапазона будут получать настройки наши рабочие станции, которые мы далее будем подключать извне.

vpn 19

Шаг 20. Отлично. Диапазон задали. Теперь затронем вопрос безопасности. Переходим на соответствующую вкладку и отмечаем параметр «Разрешить пользовательские политики IPsec для L2TP». Вводим секретный ключ, который будет использоваться для подключения к нашей корпоративной сети из интернета. Жмём «Применить» и в появившемся окне соглашаемся с предупреждением о важности перезапуска службы маршрутизации.

vpn 20

Шаг 21. Перезапускать мы её будем прямо сейчас. В диспетчере привычным движением раскрываем «Средства» - «Службы».

vpn 21

Шаг 22. Ищем в длинном списке «Маршрутизация и удаленный доступ» и вызвав контекстное меню, перезапускаем эту историю.

vpn 22

Шаг 23. Осталось подумать, каким пользователям будет предоставлен доступ к нашей частной сети. У меня данная тачка не в домене. Т.к. подразумевается, что она выполняет исключительно роль общей шары. Поэтому будем мудрить с локальными пользюками. Открываем в пуске «Управление компьютером» и на соответствующей вкладке отмечаем нужного пользователя. Я заранее создал одного Юзверя.

vpn 23

vpn 24

Шаг 25. И переходим к настройке клиентского компьютера. У меня это комп на Windows 10. Отмечу, что он не находится в одной сети с сервером, но при этом имеет выход в Интернет. Открываем «Центр управления сетями и общим доступом» и далее «Создание и настройка нового подключения или сети».

vpn 25

Шаг 26. В открывшемся окне помощника выбираем пункт «Подключение к рабочему месту».

vpn 26

Шаг 27. «Использовать моё подключение к интернету».

vpn 27

Шаг 28. Вводим белый ip-адрес нашего сервера, который выведен за NAT. И при желании изменяем название подключения. Я оставлю по умолчанию. Ждём «Создать».

vpn 28

Шаг 29. Хорошо. Далее заходим в «Свойства» созданного подключения.

vpn 29

Шаг 30. И на вкладочке «Сеть» раскрываем «Свойства» компонента IPv4. Жмём «Дополнительно» и снимаем галочку с пункта «Использовать основной шлюз в удаленной сети». Это очень важный момент. Если этого не сделать, то сразу после подключения к корпоративной сети, ваше локальное подключение к Интернету на компьютере пропадёт, ибо по умолчанию VPN использует шлюз удалёнки. Так что будьте предельно внимательны и не пропускайте данный шаг при настройке внешних рабочих станций.

vpn 30

Шаг 31. Сохраняем изменения и переходим на вкладочку «Безопасность». Тут нам необходимо изменить тип протокола на «L2TP» и в дополнительных параметрах задать «Ключ для проверки подлинности», который мы ранее указывали на сервере.

vpn 31

Шаг 32. Всё, братцы. Теперь смело можно подключаться. Кликаем по значку сети на панели задач и выбираем наше подключение.

vpn 32

Шаг 33. Вводим данные от учетной записи пользователя. Помним, что в данном примере мы разрешали доступ к нашей сети извне только одному Юзверю.

vpn 33

Шаг 34. И дожидаемся статуса «Подключено». С этого момента мы находимся в корпоративной сети, а следовательно можем пользоваться её ресурсами.

vpn 34

Шаг 35. Давайте попробуем проверить функционал общих папок. Открываем проводник и в адресной строке вводим ip сервера.

vpn 35

Шаг 36. Через некоторое время видим расшареную папку «Общий обмен». Это свидетельствует о том, что наше VPN-подключение к серверу сконфигурировано корректно.

vpn 36

Более подробно о том, как создавать общие папки, настраивать квоты и в целом производить полную настройку виндового сервера, что называется, под ключ. Вы можете узнать в нашем полноценном обучающем курсе по администрированию Windows Server 2016.

Обучающий курс «Администрирование Windows Server 2016»

>>>КЛИКНИТЕ, ЧТОБЫ УЗНАТЬ ПОДРОБНОСТИ<<<

Друзья, сегодня мы научились создавать защищённое VPN-соединение. С его помощью вы сможете не только наладить свою собственную работу на удалёнке и выполнять большую часть задач прямо из дома, но также при возникновении соответствующей потребности объединить сети нескольких филиалов в единый канал.

Если урок оказался полезным, то не забудьте поставить лайк этому видео и оформить подписку с колокольчиком. Таким образом вы первыми будете получать информацию о новых выпусках. В заключении, традиционно, хочу пожелать вам удачи, успеха и самое главное отличного настроения. Берегите себя и свои сервера. До новых встреч.

Читайте также: