Как поднять свой vpn сервер windows server 2012

Как поднять свой vpn сервер windows server 2012

Перед настройкой служб и соединений на сервере и клиентских машин необходимо установить на них КриптоПро CSP и КриптоПро IPSec!

Открываем оснастку Server Manager и через мастер добавления ролей выбираем тип установки на основе ролей — Role-based or feature-based installation.

Далее выбираем сервер из пула серверов.

На шаге выбора ролей выбираем роль Remote Access.

Шаг Features пропускаем без внесения изменений. На шаге выбора служб включаемой роли выберем службу DirectAccess and VPN (RAS).

После выбора службы откроется окно добавления дополнительных компонент связанных с выбранной службой. Согласимся с их установкой нажав Add Features.

Роль Web Server Role (IIS) будет при этом добавлена в мастер добавления ролей. Соответствующий появившийся шаг мастера Web Server Role (IIS) и зависимые опции Role Services пропускаем с предложенными по умолчанию настройками и запускаем процесс установки, по окончании которого будет доступна ссылка на мастер первоначальной настройки служб Remote Access – Open the Getting Started Wizard.

Мастер настройки RAS можно вызвать щёлкнув по соответствующей ссылке здесь, либо позже из оснастки Server Manager:

Так как настройка DirectAccess в контексте нашей задачи не нужна, в окне мастера выбираем вариант только VPN – Deploy VPN only.

Настройка службы Routing and Remote Access

Из Панели управления открываем оснастку Administrative Tools \ Routing and Remote Access, выбираем имя сервера и открываем контекстное меню. Выбираем пункт Configure and Enable Routing and Remote Access.

Так как нам нужен только VPN выбираем.

Дальше указываем внешний интерфейс, имеющий выход в Интернет, к которому будут подключаться удаленные клиенты.

Настраиваем диапазон адресов для клиентов.


Укажем что не используем RADIUS сервер.

Соглашаемся с запуском службы. После запуска необходимо настроить методы аутентификации пользователей.

Выпускаем ГОСТовые сертификаты в КриптоПро УЦ 2.0 для VPN.

Для того чтобы IPSec у нас работал нам нужно:

  • Корневой сертификат УЦ
  • Серверный сертификат
  • Клиентский сертификат

И так, создадим два шаблона IPSec client IPSec server в Диспетчере УЦ.

В настройка шаблона IPSec client добавим параметр Client Authentication (1.3.6.1.5.5.7.3.2). IP security IKE intermediate (1.3.6.1.5.5.8.2.2).

Шаблон IPSec server такой же но с параметром Server Authentication (1.3.6.1.5.5.7.3.1).

После проделанной работы в Консоли управления ЦР создаем пользователей для запроса и формирования сертификата.

Далее запрашиваем сертификат для созданных пользователей. При запросе необходимо указать шаблон который мы создавали.

Выберем место хранения (контейнер) для закрытого ключа.

После нервного дерганья мышкой (это необходимо для СПЧ) задаем пароль для контейнера.
Теперь нам необходимо экспортировать сертификат в закрытый контейнер.

После копирования сертификата необходимо скопировать весь контейнер в файл для переноса на АРМ удаленного клиента. Экспортируем с помощью КриптоПро CSP в формате pfx.

По такому же алгоритму создаем сертификат для сервера только по другому шаблону и устанавливаем их с помощью оснастки Сертификаты КриптоПро CSP. Не забываем про корневой сертификат который должен быть в Доверенных корневых центры сертификации.

Настройка политики IP-безопасности на сервере

На вкладке «Методы проверки подлинности» добавляем Корневой сертификат.

По такому же алгоритму настраиваем политику IP-безопасности на каждой удаленном АРМ.
Корректность установки сертификата и проверка работоспособности IPSec, а так же логирование ошибок можно проверить с помощью утилиты КриптоПро IPSec cp_ipsec_info.exe. После нажатия меню Обновить список, Вы увидите список установленных сертификатов. На против установленного сертификата должна стоять галочка для подтверждений что все хорошо с ним.

Настройка подключения VPN к серверу

Подключение настраивается стандартно но с небольшими изменениями.

Источник

Настройка VPN сервера в Windows

Данная статья представляет из себя ″Quick guide″ по настройке VPN сервера на базе Windows. Все описанные в статье действия производились на Windows Server 2012 R2, но инструкция подходит для любой более менее актуальной (на данный момент) серверной операционной системы Windows, начиная с Windows Server 2008 R2 и заканчивая Windows Server 2016.

Итак начнем. Первое, что нам необходимо сделать — это установить роль удаленного доступа. Для этого в оснастке Server Manager запускаем мастер добавления ролей и выбираем роль «Remote Access» со всеми дополнительными фичами.

И затем в списке сервисов для данной роли выбираем «DirectAccess and VPN (RAS)».

Кроме роли удаленного доступа и инструментов управления будут дополнительно установлены web-сервер IIS и внутренняя база данных Windows. Полный список устанавливаемых компонентов можно просмотреть в финальном окне мастера, перед подтверждением запуска установки.

Все то же самое, только гораздо быстрее, можно проделать с помощью PowerShell. Для этого надо открыть консоль и выполнить команду:

Install-WindowsFeature -Name Direct-Access-VPN -IncludeAllSubFeature -IncludeManagementTools

После установки роли нам потребуется включить и настроить службу с помощью оснастки «Routing and Remote Access». Для ее открытия жмем Win+R и вводим команду rrasmgmt.msc.

В оснастке выбираем имя сервера, жмем правой клавишей мыши и в открывшемся меню выбираем пункт «Configure and Enable Routing and Remote Access».

В окне мастера настройки выбираем пункт «Custom configuration».

И отмечаем сервис «VPN access».

В завершение настройки стартуем сервис удаленного доступа.

Сервис VPN установлен и включен, теперь необходимо сконфигурировать его нужным нам образом. Опять открываем меню и выбираем пункт «Properties».

Переходим на вкладку IPv4. Если у вас в сети нет DHCP сервера, то здесь надо задать диапазон IP адресов, которые будут получать клиенты при подключении к серверу.

Дополнительно на вкладке «Security» можно настроить параметры безопасности — выбрать тип аутентификации, задать предварительный ключ (preshared key) для L2TP или выбрать сертификат для SSTP.

И еще пара моментов, без которых подключение по VPN не сможет состояться.

Во первых, необходимо выбрать пользователей, которые имеют разрешения подключаться к данному серверу. Для отдельно стоящего сервера настройка производится локально, в оснастке «Computer Management». Для запуска оснастки надо выполнить команду compmgmt.msc, после чего перейти в раздел «Local Users and Groups». Затем надо выбрать пользователя, открыть его свойства и на вкладке «Dial-In» отметить пункт «Allow access». Если же компьютер является членом домена Active Directory, то эти же настройки можно произвести из консоли «Active Directory Users and Computers».

И во вторых, необходимо проверить, открыты ли нужные порты на файерволле. Теоретически при добавлении роли соответствующие правила включаются автоматически, но лишний раз проверить не помешает.

На этом все. Теперь VPN сервер настроен и к нему можно подключаться.

Источник

Настройка VPN сервера на базе Windows Server 2012 R2

В этой статье мы покажем, как установить и настроить простейший VPN сервер на базе Windows Server 2012 R2, который можно эксплуатировать в небольшой организации или в случае использования отдельно-стоящего сервера (т.н. hosted-сценариях).

В первую очередь необходимо установить роль “Remote Access”. Сделать это можно через консоль Server Manager или PowerShell (немого ниже).

В роли Remote Access нас интересует служба “DirectAccess and VPN (RAS)” . Установим ее (установка службы тривиальна, на последующих шагах все настройки можно оставить по-умолчанию. Будут установлены веб сервер IIS, компоненты внутренней базы Windows — WID).

После окончания работы мастера нажмите ссылку “Open the Getting Started Wizard“, в результате чего запустится мастера настройки RAS-сервера.

Службу RAS с помощью Powershell можно установить командой:

Так как нам не требуется разворачивать службу DirectAccess, укажем, что нам нужно установить только сервер VPN (пункт “Deploy VPN only“).

После чего откроется знакомая MMC консоль Routing and Remote Access. В консоли щелкните правой кнопкой по имени сервера и выберите пункт “Configure and Enable Routing and Remote Access“.

Запустится мастер настройки RAS-сервера. В окне мастера выберем пункт “Custom configuration“, а затем отметим опцию “VPN Access”.

READ  Драйвера для микрофона на наушниках блади

После окончания работы мастера система предложит запустить службу Routing and Remote Access. Сделайте это.

В том случае, если между вашим VPN сервером и внешней сетью, откуда будут подключаться клиенты (обычно это Интернет), есть файервол, необходимо открыть следующие порты и перенаправить трафик на эти порты к вашему VPN серверу на базе Windows Server 2012 R2:

После установки сервера, необходимо в свойствах пользователя разрешить VPN доступ. Если сервер включен в домен Active Directory, сделать это нужно в свойствах пользователя в консоли ADUC, если же сервер локальный – в свойствах пользователя в консоли Computer Management (Network Access Permission – Allow access).

Если вы не используете сторонний DHCP сервер, который раздает vpn-клиентам IP адреса, необходимо в свойствах VPN сервера на вкладке IPv4 включить “Static address pool” и указать диапазон раздаваемых адресов.

Осталось настроить VPN клиент и протестировать (как настроить vpn-клиент в Windows 8).

Не очень понимаю данную технологию, но как я понял посредством данной закрытой сети возможный доступ к общим ресурсам подключенных пк к впн?! А значит и в домен можно завести всех кто подключился к впн? А значит и локальный сайт может быть доступен (+ фтп) клиентов которые подключились к впн? Правильно?
Все службы и настройки работает без проблем в локальной сети, а если я установлю на сервер данным способом впн службы то без каких либо надстроек впн служб все должно работать, о чем я написал выше?! )))))

Имеется ввиду доступ к локальным ресурсам впн сервера (сервисам) через интернет

Не совсем понял твой вопрос…
Задача VPN — построить защищенный канал связи между клиентом и сервером через недоверенную сеть (интернет).
Естественно, само по себе создание канала не является самоцелью. При VPN подключении клиент может получать доступ к службам и сервисам, расположенным на VPN сервере , а при правильной настройке маршрутизации и службы RRAS — и к другим ресурсам локальной сети, в которой находится VPN сервер.

а как првально настроить маршрутизацию и службу RRAS, чтобы получить доступ к другим ресурсам сети. может быть статья есть на эту тему? Заранее спасибо.

«Примечание. Раздаваемые сервером IP адреса должны относиться к той же подсети, в которой находится сетевой интерфейс сервера, на который подключаются удаленные пользователи.» — примечание странное по двум причинам:
1) удалённые пользователи обычно подключаются из интернета (по крайней мере если внешний интерфейс впн сервера имеет белый адрес) — тогда адреса из пула впн-сервера тоже должны быть интернет-адресами?
2) этот пул может быть вообще любым — маршрутизацию между указанными в пуле адресами (например 10.10.10.0/24) и внутренней сетью сервера (например, 192.168.1.0/24) обеспечит сам впн сервер.

Здесь вы правы, этот пул адресов задается произвольно и служит для назначения сетевого адреса vpn подключения на клиенте. Главное, чтобы этот диапазон не пересекался с используемыми адресами/подсетями на стороне VPN клиента.
Примечание убрал

«Главное, чтобы этот диапазон не пересекался с используемыми адресами/подсетями на стороне VPN клиента.» — точно! Спасибо за статью!

Все настроил и все работает, но не могу понять как правильно настраивать права доступа на расшаренные папки, на пользователя который подключается к VPN который непосредственно указывается при создании подключения?

Просто в настройках шар и непосредственно в NTFS разрешениях каталогов указываете нужные разрешения.

Делал вышеописанные процедуры (по удалёнке), на завершающей стадии работы мастера пропал доступ к серверу. После ребута, в течении минуты еще пускало, потом опять обрубался доступ. Когда добрался к серверу, увидел что пропал доступ в сеть в принципе, шлюз не пингуется, проверка ошибок подключения указала, что DNS сервера не отвечают. Удалил эту роль, ребутнул серв — ничего не изменилось. Помогло только переключение сети на другую сетевуху.
Поделитесь, у кого какие соображения по этой теме?

Я в администрировании новичек, подскажите пожалуйста. Сервер (2012 R2) и клинет (win 8.1) настроил как у вас все тут написано. При попытке подключиться с клиента на wpn сервер выскакивает 868 ошибка. Удаленное подключение не установлено, так как не удалось разрешить имя сервера удаленного доступа. И еще вопрос, а провайдер со своей стороны никаких операций сделать не должен для того что бы wpn через интернет работал?

Как я понял, подключение между клиентом и сервером через интернет? Вы подключаетесь на dns имя сервера?
Провайдер выделил серверу белый IP адрес? Если белый ip адрес назначен сетевому оборудованию (роутеру, подключенному к провайдеру, т.е. сервер находится за роутером), то на роутере нужно назначить проброс порта 1723 на внутрений (серый) ip сервера. (подробнее про VPN, настройки сетевого оборудования и файерволов в статье https://winitpro.ru/index.php/2012/01/16/nastrojka-vpn-servera-na-windows-7/)
А резолвится ли имя сервера с клиента (отображается ли оно в верный белый IP адрес сервера)?

Здравствуйте, что нужно разрешить на брэндмауэре клиента чтобы была возможность открывать расшаренные ресурсы с сервера, подключение к vpn происходит без проблем, а вот доступ к ресурсам есть только при отключенном брэндмауэре.

Довольно странно это, попробуйте разрешить исходящий SMB трафик на клиенте (вроде достаточно 445 порта). Хотя по моему это правило по-дефолту активно.

Спасибо большое за помощь, переадресация порта в оборудовании провайдера помогла.

Еще один вопросик есть, в интернете ничего путного не нашел. Могу ля как-то через удаленное уплавление перезагрузить сервер, а потом снова войти на него, ДО ввода логина и пароля? Так как все службы после залогинивания запускаются.
Сервер (2012 R2)

Не понял вашу задачу… Подробнее ситуацию опишите.

К примеру, я установил обновления, сервер просит перезагрузку. Если я удалённо перезагружу сервер, как я потом смогу удалённо к нему подключиться?

Ну и пусть себе перезагружается.. После загрузки он должен быть доступен (если конечно у него настроен статический адрес, брандмауэре правильно натсроен и разрешены RDP соединения).
Или вы какие-то операции, без которых сетевое соединение с с сервером невозможно, после загрузки сервера вручную выполняете?

Здравствуйте делал по вашей статье.А скажите почему нет интернета когда подключаюсь по vpn к серверу.Когда отключаюсь от vpn сервера интернет появляется почему так.

Центр управления сетями и общим доступом — Изменение параметров адаптера — Вызываешь свойства своего VPN подключения — Вкладка Сеть — свойства ipv4 — Убери галочку с пункта Использовать основной шлюз в удаленной сети. Не за что))

VPN-сервер настроил на контроллере домена. Клиент подключается. В корпоративной сети несколько серверов с «шарами», их видно. Но шары на VPN-сервере не видны, что можно сделать?

Другие сервера с шарами находятся в другом ip сегменте?
Проверьте с клиента отвечает ли на сервере порт 445 SMB (telnet server_ip_adres 445)

Другие сервера с шарами установлены том же сегменте что и контроллер. Точнее два контроллера домена с dfs и репликацией. Может это мешать? Если более подробно, то контроллеры s01 и s02. VPN стоит на s01. Если обращаться на \\s01.domain.local то шары не видны. Если обращаться на \\s02.domain.local шары видны, но не открываются (как бы зависают). Если обращаюсь на \\domain.local они тоже видны, но не открываются. 445 SMB отвечает.

А как настроить чтобы интернет на клиенте шел через сервер?

В настройках VPN подключения клиента нужно поставить галку «Использовать основной шлюз в удаленной сети»

А если это не помогает?

Такое ощущение. что для полноценной работы, нужно сделать что-то ещё. У меня пользователь не подключается.
Каким образом сервер впн знает о внешних пользователях? В данном гайде это не отражено.

Какая схема подключения VPN сервера к интернету?
Как правило нужно на периметральном сетевом оборудовании (которое с белым IP и подключено к интернету), перенаправить входящий трафик на указанные ниже порты к вашему внутреннему VPN серверу на базе Windows Server 2012 R2:

READ  Как обновить драйвера nvidia physx

Для PPTP: TCP — 1723 и Protocol 47 GRE (также называется PPTP Pass-through)
Для SSTP: TCP 443
Для L2TP over IPSEC: TCP 1701 и UDP 500

Здравствуйте знатоки, я с администрированием серверов на «Вы» и только шепотом, прошу сильно не пинать) есть необходимость поднять VPN сервер (тупо для игр и сетевой шары) с костылями и красными глазами поднял OpenVpn, но со стороны клиентов которые более дремучие чем я много проблем с настройкой и запуском данной прелести. Попробовал neorouter free. В сетевом окружении все нашлись, шары работают, но в игрушках клиенты не видят игрового сервера. Сменил дефолтные сетевые параметры на 192.168.5.ххх с маской 255.255.255.0 результата не дало. Хочу поднять windows server 2012 r2 для поставленных задач, но нигде не могу найти инфы, как организовать одноранговую сеть с доступом к сетевым ресурсам, что бы клиенты подключались автоматом после старта системы, не входя в доменную учетку и тому подобное. Все мы используем windows от vista до win10, никто не исрользует пароли для входа в систему, со стороны сервера есть статический ip, роутера нет, со стороны клиентов много разных провайдеров вплоть до 3g модемов. Прошу вашей помощи.

Сервер 2012 в домене, 4 сетевых 3 из них смотрят в доменную сеть (объединение сетевых карт), статический IP, поле шлюза пусто dns прописаны доменные, 4я смотрит в инет через PPPoE с опцией пропишись в сети (из динамики как бы делают статику).

Установил роль DirectAccess and VPN (RAS), создал локальных пользователей (в свойствах пользователей разрешил подключаться к VPN серверу). После перезагрузки сервера клиенты подключаются без проблем через PPTP, пинг в обе стороны (на ПК клиентов настройки фаервола сделаны), всё замечательно, но как обычно есть одно НО,
стоит только перегрузить (приостановить, остановить и запустит) службу RRAS пинг, доступ к шарам, RDP исчезает, хотя клиенты подключаются и получают IP адрес исправно, единственное предупреждение в логах «Не удалось открыть для использования порт «PPPoE4-0″. Указанный порт уже открыт.» Спасает только перезагрузка сервера, но это не всегда возможно
Так же заметил, что после перезагрузки службы RRAS при подключении клиента vpn на сервере не создаётся динамический маршрут, пробовал route add, после добавления маршрута (руками) запускаю пинг ip клиента «Общий сбой», отключаю клиента созданный руками маршрут исчезает, подключаю клиента маршрут не создаётся.
Перезагрузка сервера, всё ок.
Кто встречался с такой проблемой поделитесь в какую сторону копать.

Предположим есть небольшое количество удаленных сотрудников которым требуется работать в сети компании
Это все понятно и просто выбранный пул адресов будет им раздаваться
вопрос заключается в том что есть, несколько удаленным офисов с небольшим парком компьютерной техники.
Каким образом завести несколько пулов адресом
т.е. на удаленном офисе , на устройстве который раздает интернет, пусть это будет роутер который будет участвовать в качестве vpn клиента.
Другими словами
1 пул адресов для удаленных пользователей
2 пул адресов для офиса 1
3 пул адресов для офиса 2
и т.д.

Добрый день!
Можно сделать следующее, создать 3 статических пула ip адресов, в настройках пользователя прописать присвоение определённого IP в зависимости к какому пулу относится человек.

Если домен то на КД, если не домен создаём локальных пользюков и в этих локальных учётка настраивается статический IP

А есть ли возможность реализации такой схемы?
3 пула адресов
на роутере прописывает один из пулов
т.е. сам роутер имеет к примеру
внутренний ардес 192,168,88,1
и по dhcp он раздает пул адресов.
Роутер является сам клиентов впн сервера?

надо подумать, попробую набросать Вашу схему и смоделировать ситуацию.
Дано:
на сервере RAS 3 пула
на роутере 1 пул
DHCP есть и на роутере и на RAS сервере.
всё верно?
мысли в слух (получается впн в впне )) ).

Да все верно.
Смысл такой чтоб удаленные офисы вывести в отдельную подсеть.
На роутере можно не включить DHCP
На клиентах просто прописать статику.
Суть
Пул1 192,168,88,*
На Роутере 192,168,88,1
Все остальное 192,168,88,*
Пул2 192,168,89,*
на Роутере 192,168,89,1
Все остальное 192,168,88,*

Так это можно всё на 1 роутере реализовать, без RAS сервера.
создать необходимые пулы, создать пользователей на этом роутере, прописать каждой учётке необходимый пул.
К примеру создали пул1 192.168.88.1-192.168.88.254
учётка офис1 логин off1 pass ****
на роутере прописать, что если конектятся с учёткой off1 брать пул 1
т.е. одна учётка для впн канала всего офиса.

Спасибо. Будем пробовать

Здравствуйте! Может подскажите в чем проблема? Есть 2 сети: офис 192.168.1.0/255.255.255.0 и склад 192.168.0.0/255.255.255.0. На стороне офиса стоит роутер zyxel, на нем поднят vpn-сервер. Пул адресов выдаваемый vpn-сервером 172.168.1.33 (10 штук). Также заведена учетная запись admin_vpn и назначен адрес 172.168.1.32. На стороне склада так же стоит роутер с vpn-клиентом и выход в интернет через yota. Подключение к vpn — серверу проходит успешно. Из сети склада я пингую сеть офиса. А вот со стороны офиса мне не доступна сеть склада. В принципе даже не пингуется адрес vpn-туннеля 172.168.1.32. Пингую с самого роутера. То есть сам роутер (192.168.1.1) не видит организованный на нем шлюз 172.16.1.32. Разве шлюз по умолчанию не должен быть доступен роутеру?

Тут все сильно зависит от настроек самого роутера. Возможно просто блокиются iсmp пакеты на внешний (vpn интерфейс)

Роутер Keenetic 4G iii, в правилах файрвола разрешил icmp с любого на любой. Но толку от этого. Установил компоненты туннели ip-ip, gre, Eoip но тоже не помогло.

Добрый день!
В поисковике набрал «Keenetic 4G iii не пингуется» появилась ссылка на сайт кинетика «Настройка интернет-центра для ответа на ping-запросы из Интернета», там описан алгоритм действий, Вы читали эту статью?

Добрый день!
Буквально вчера настраивал железку zywall usg 100 (настройка NAT), никак не мог понять в чём проблема, грешил на провайдера, но оказалось дело в фаерволе железки, помогла одна статья, где рекомендовали временно деактивировать фаервол, что собственно я и сделал. Убедился, что именно фаервол Zulex виновен, вычислил общее правило которое блокировало прохождение пакетов, создал новое с более высоким приоритетом, но касаемо только отдельного устройства, активировал фаервол и вуаля работает. Советую так же временно деактивировать фаервол на сетевых экранах, проверить пинг, если прошёл, искать правило которое банит пакеты.

Добрый день.
А какое максимальное количество удаленных клиентов сможет подключиться к такому VPN-серверу одновременно?
Это где-то в настройках службы настраивается ? Или ограничивается самой Windows Server 2012 R2 ?

Насколько я знаю лимиты если и есть, то они очень общие (1000+). Изменить макс количесвто клиентов можно в консоли Routing & Remote Access — > Имя сервера -> Ports -> Properties (свойство Maximum ports)

Здравствуйте.
Есть WS2016 с одним интерфейсом и белым IP на нём. Поднята роль VPN и NAT.
Задача: интернет трафик через VPN.

По VPN подключаюсь, но трафик (весь трафик) через сервер не идёт. Поднял NAT и назначил NAT внешнему интерфейсу, а внутренний сделал частным — ситуация не изменилась. Смущают маршруты, но статические маршруты остнастка позволяет менять только для физического интерфейса (внешнего).

На клиенте Windows галку использования шлюза в удалённой сети оставил.

Так же пытался подключиться с роутера с установленным PPTP, L2TP клиентом и тоже безуспешно (с другими VPN серверами работает).

Заметил, что при подключении с Windows клиента в выданных настройках отсутствует шлюз.

Все должно и без NAT работать. Шлюз по-умолчанию на WS2016 настроен?
Больше интересует таблица маршрутизации с клиента и результаты tracert с клиента до какого-нибудь внешнего сайта (естественно, при подключенном VPN).

Собственно вся проблема в том, что пользователи не получают «шлюз по умолчанию».

Удалось решить проблему? С тем же столкнулся.

Не совсем понимаю что подразумевается под шлюзом по умолчанию?

READ  Как вызвать строку поиска windows 10

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.113 4250
0.0.0.0 0.0.0.0 On-link 172.16.20.5 26
127.0.0.0 255.0.0.0 On-link 127.0.0.1 4556
127.0.0.1 255.255.255.255 On-link 127.0.0.1 4556
127.255.255.255 255.255.255.255 On-link 127.0.0.1 4556
172.16.20.5 255.255.255.255 On-link 172.16.20.5 281
178.32.xxx.xxx 255.255.255.255 192.168.0.1 192.168.0.113 4251
192.168.0.0 255.255.255.0 On-link 192.168.0.113 4506
192.168.0.113 255.255.255.255 On-link 192.168.0.113 4506
192.168.0.255 255.255.255.255 On-link 192.168.0.113 4506
224.0.0.0 240.0.0.0 On-link 127.0.0.1 4556
224.0.0.0 240.0.0.0 On-link 192.168.0.113 4506
224.0.0.0 240.0.0.0 On-link 172.16.20.5 26
255.255.255.255 255.255.255.255 On-link 127.0.0.1 4556
255.255.255.255 255.255.255.255 On-link 192.168.0.113 4506
255.255.255.255 255.255.255.255 On-link 172.16.20.5 281
===========================================================================
Постоянные маршруты:
Отсутствует

Трассировка маршрута к google-public-dns-a.google.com [8.8.8.8]
с максимальным числом прыжков 30:

1 55 ms 54 ms 54 ms 172.16.20.1
2 * * * Превышен интервал ожидания для запроса.
3 * * * Превышен интервал ожидания для запроса.

маршруты с сервера

Список интерфейсов
4…4c 72 b9 66 b2 67 ……Intel(R) 82579V Gigabit Network Connection
25………………………RAS (Dial In) Interface
1………………………Software Loopback Interface 1
3…00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
11…00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
12…00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 178.32.XXX.254 178.32.XXX.XXX 35
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
172.16.20.1 255.255.255.255 On-link 172.16.20.1 311
172.16.20.2 255.255.255.255 172.16.20.2 172.16.20.1 56
178.32.XXX.0 255.255.255.0 On-link 178.32.XXX.XXX 291
178.32.XXX.XXX 255.255.255.255 On-link 178.32.XXX.XXX 291
178.32.XXX.255 255.255.255.255 On-link 178.32.XXX.XXX 291
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 178.32.223.148 291
224.0.0.0 240.0.0.0 On-link 172.16.20.1 311
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 178.32.XXX.XXX 291
255.255.255.255 255.255.255.255 On-link 172.16.20.1 311
===========================================================================
Постоянные маршруты:
Отсутствует

Есть сервер под управлением Win 2012 R2.
Он имеет:
1) Lan1: 172.16.1.5 mask 255.255.255.100 gateway 172.16.1.2
2) Lan2: 192.168.1.5 mask 255.255.255.0 gateway 192.168.1.2 (Win 2008R2 выходит в интернет)
3) VPN который раздает адреса в диапазоне 10.0.0.1 — 10.0.0.100
Задача:
клиентам VPN (они из сети 172.16.1.* mask и шлюз у всех разные, но все видят 172.16.1.2 и любой ПК в данной сети) раздать интернет со шлюза 192.168.1.2

Заранее благодарен.
ЗЫ: VPN клиенты успешно конектятся, на сервере в «Клиенты удаленного доступа» их видно. Видно какие адреса они получили (10.0.0.2 и 10.0.0.10 пока два ПК в сети), но пинги м/у ними и сервером не проходят.

Т.е. клиенты из внутреней сети 172.16.1.x подключются к вашему VPN серверу 172.16.1.5 и получают IP адреса 10.0.0.x.
Вы хотите разрешить пользоваться интернетом этим подключенным VPN клиентам с адресами 10.0.0.x через 192.168.1.2. Верно?
Зачем у вас там VPN вообще? Может вам проще сделать из вашего Windows Server маршрутизатор: https://winitpro.ru/index.php/2014/11/20/nastrojka-marshrutizatora-na-baze-windows-server-2012-r2/

Клиенты из сети 172,16,1,х — это несколько групп ПК территориально удаленных м/у собой, соответственно они имеют различные шлюзы ч/з которые объединяются в одну сеть, топологию ее я не знаю, да и управлять ей не могу не моя она. Единственная мысль раздать интернет в данную сеть был VPN. Буду очень рад и благодарен помощи.

Да верно. Пробовал и маршрутизатором настроить, тоже не получилось. Я особо не специалист, по картинке настроил, а шаг в сторону и потерялся.

Для чего при настройке VPN нужен IIS?

Так зашито в мастере установки роли. Попробуйте отключить службы IIS после настойки VPN роли. Я думаю, VPN сервер при этом будет работать.

Подскажите как настроить доступ к локальной сети через подключение vpn? сервер (WS2016) LAN192.168.1.10, клиент при подключении vpn получает адрес 192.168.10.15 и ему нужно через браузер зайти на внутренний сайт по адресу 192.168.1.20
На сервере — маршрутизация и удаленный доступ — IPv4 — Статические маршруты
Тут нужно прописать маршрут для доступа к внутренним ресурсам локальной сети?

У вас один сетевой адаптер на сервере или два (один смотрит во внешнюю сеть, другой во внутренюю)?
В общем случае вы должны настроить ваш VPN сервер как маршрутизатор, чтобы он передавал пакеты между внутреним и внешнем сегментов. Наверно проще раздавать VPN клиентам адреса из диапазона 192.168.100.x и настроить на RRAS маршруты между подсетями 192.168.1.x и 192.168.100.x. Также нужно посмотреть какие маршруту задаются на клиенте к подсети 192.168.1.x.

Сервер ws2016 (192.168.1.10) получает интернет от роутера (192.168.1.5).
«настроить на RRAS маршруты между подсетями …» где и как это сделать?

Здравствуйте! Не знаю, что и думать, ситуация крайне странная. Поднял VPN-сервер, без AD, подключение PPTP, проверка подлинности — Windows, MS-CHAP v.2 . Статический пул из 10 адресов.
Схема: LAN1 (PC1-User1,PC2-User2) — Router1(NAT) Router2 (Static IP, NAT) — VPN-Сервер
User1 подключается , User2 тоже, но если один из них уже подключен, второй не подключается. Оба компа в одной сети. В RAS 128 доступных портов.

Уточнние к схеме: Схема: LAN1 (PC1-User1,PC2-User2) — Router1(NAT) — Интернет — Router2 (NAT) — VPN-Сервер

Из локальной сети с VPN сервером получается поднять более 2 ВПН подключений? Хотя бы с виртуальных машин попробуйте.
Если так работает, я бы начал копать с настроек NAT. Такое ощущение, что только одна сессия держится для одного IP.

Добрый день. Сделал все по инструкции. Настроил vpn на арендованном vps и при подключении к vpn на макбуке пропадает выход в интернет. (но при этом к удаленному рабочему столу подключаюсь) при отключении vpn интернет снова работает

Находил, что ПК на виндоус помогает убрать галочку «Использовать основной шлюз в удаленной сети», но у меня такой в настройках нет. Только есть «Отправлять весь трафик через VPN», пробовал менять это значение,. Не помогло.

Можете подсказать как быть?

Нужно включить для вашего VPN подключения режим SplitTunneling. Настраивается через PowerShell.
Выведите список VPN подключений:
Get-VPNConnection
Убедитесь, что для нужного vpn подключения параметр SplitTunneling=False
Set-VPNConnection» -Name «Имя вашего VPN подключения» -SplitTunneling $True
Либо же можно открыть свойства подключения TCP/IP version 4 -> Properties -> Advanced . Отключите опцию «Use default gateway on remote network»
https://winitpro.ru/index.php/2020/04/09/net-dostupa-v-internet-pri-aktivnom-vpn/

Подскажите пожалуйста, как в дополнение к статье настроить, чтобы впн сервер раздавал также и интернет клиентам?

В теории все это решается настройкой на VPN сервере (RRAS) NAT и маршрутов в интернет для VPN клиентов.

Здравствуйте. Благодарю за статью, но у меня есть вопрос который меня тревожит.
Я изначально в мелких фирмах ставил серваки 2012 и 2008 с терминальным сервером+ белый ип и проброс порта в роутере на сервак. Клиенты подключались по белому ип и порту(был изменен с 3389 на любой другой), но как показала практика — такие сервера долго не держатся, даже при всех обновлениях и антивирусу на сервере их взламывают и шифруют все файлы.
Я нашел решение бесплатное — это RadminVPN, просто устанавливаю прогу, создаю сеть с уникальным именем в RadminVPN , а после уже добавляю клиентов в эту сеть, клиенты видят сервер и подключаются на ура. Это спасло меня нервы и время, сейчас тьфу тьфу тьфу не каких взломом и шифровальщиков.
Данный методо описанный вами — в плане безопасности будет лучше защищен чем простой проброс RDP На роутер? Заранее благодарю

Конечно, WIndows VPN будет на порядок безопаснее, чем проброс RDP порта на роутере. Я не видел, что такое RadminVPN, но Windows VPN вполне нормальная штука.
Но вам придется сделать проброс VPN портов на роутере.

Скорость передачи при использовании VPN чем ограничивается? Как её увеличить?

Не должна сильно проседать сторость при использовании VPN по сравнению с прямым подключением. Что-то другое у вас, либо провайлер как-то режет, либо сервер vpn перегружен.

Источник