ЗадачаСсылка

Знакомство с основными понятиями.

Виртуальные частные сети

Сбор необходимых сведений.

Требования для установки RRAS в качестве VPN-сервера

Настройка TCP/IP на сетевых адаптерах сервера RRAS.

Настройка TCP/IP на сервере RRAS

Установка RRAS.

Установка RRAS

Включение службы RRAS и ее настройка в качестве VPN-сервера.

Включение RRAS в качестве VPN-сервера

Если сервер RRAS расположен за брандмауэром демилитаризованной зоны или на нем запущен индивидуальный брандмауэр, такой как Брандмауэр Windows в режиме повышенной безопасности, следует настроить правила брандмауэра, разрешающие прохождение трафика виртуальной частной сети (VPN) через брандмауэр на сервер RRAS.

Настройка прохождения трафика VPN через брандмауэр (страница может быть на английском языке) (https://go.microsoft.com/fwlink/?linkid=140709)

Если сервер RRAS расположен не за брандмауэром и на нем не запущен индивидуальный брандмауэр, такой как Брандмауэр Windows в режиме повышенной безопасности, следует настроить статические фильтры пакетов, разрешающие прохождение определенного трафика VPN на сервер RRAS.

Настройка статических фильтров для трафика VPN (страница может быть на английском языке) (https://go.microsoft.com/fwlink/?linkid=140713)

Настройка типов и числа VPN-подключений, поддерживаемых VPN-сервером.

По умолчанию в данной версии Windows служба RRAS поддерживает по 128 подключений типа IKEv2, L2TP, PPTP и SSTP. Если виртуальная частная сеть включена после установки службы RRAS, порты VPN отключаются, и в ОС Windows создается только пять подключений каждого типа. Чтобы настроить необходимое число подключений, включите порты и выполните следующие действия.

Настройка портов для удаленного доступа

Укажите DHCP или настройте статический пул IP-адресов для VPN-клиентов.

Настройка способа назначения IP-адресов VPN-клиентам службой RRAS

Если IP-адреса предоставляются удаленным клиентам с помощью DHCP, а DHCP-сервер и сервер RRAS располагаются в разных IP-подсетях, настройте агент DHCP-ретрансляции, который обеспечивает пересылку широковещательных запросов и ответов DHCP через маршрутизаторы на DHCP-сервер.

Настройка агента DHCP-ретрансляции для IPv4

Настройка агента DHCP-ретрансляции для IPv6

Если для централизованного управления политиками на серверах RRAS используется сервер политики сети (NPS), настройте параметры разрешений удаленного доступа, проверки подлинности и шифрования в свойствах удаленного доступа и политиках сети.

См. «Контрольный список: настройка сервера NPS для удаленного доступа и VPN» в справке по серверу политики сети.

Настройте уровни ведения журнала для службы RRAS и каждого протокола маршрутизации.

Настройка уровней ведения журнала для RRAS

Создайте профиль диспетчера подключений, обеспечивающий управление пользовательским интерфейсом клиентских подключений и устранение возникающих неполадок (необязательно).

Пакет администрирования диспетчера подключений (страница может быть на английском языке) (https://go.microsoft.com/fwlink/?linkid=136440)

Если в параметрах службы RRAS задана проверка подлинности с помощью сертификатов, например, при использовании VPN-подключений по протоколу IKEv2 или SSTP, необходимо указать источник сертификатов. Можно установить на сервер в сети службы сертификации Active Directory (AD CS) или приобрести сертификаты в сторонних корневых центрах сертификации.

Службы сертификации Active Directory (страница может быть на английском языке) (https://go.microsoft.com/fwlink/?linkid=136444)

Чтобы обеспечить поддержку VPN-подключений по протоколу SSTP или IKEv2 с проверкой подлинности на основе сертификатов, на сервере RRAS необходимо установить сертификат компьютера с установленным свойством проверки подлинности сервера или универсального улучшенного ключа.

Настройка RRAS с сертификатом проверки подлинности компьютера

Если на сервере RRAS изначально настроена только поддержка протокола IPv4, можно добавить поддержку удаленного доступа по протоколу IPv6.

Включение удаленного доступа по протоколу IPv6

Настройте VPN-сервер на использование защиты доступа к сети для применения политик работоспособности (необязательно).

Настройка принудительной защиты доступа к сети для VPN

Дополнительные источники информации


Содержание