Connect to a VPN in Windows 10

Whether it’s for work or personal use, you can connect to a virtual private network (VPN) on your Windows 10 PC. A VPN connection can help provide a more secure connection and access to your company’s network and the internet, for example, when you’re working from a coffee shop or similar public place.

Create a VPN profile

Before you can connect to a VPN, you must have a VPN profile on your PC. You can either create a VPN profile on your own or set up a work account to get a VPN profile from your company.

Before you start:

If it’s for work, look for VPN settings or a VPN app on your company’s intranet site while you’re at work, or contact your company’s support person.

If it’s for a VPN service you subscribe to for personal use, visit the Microsoft Store to see if there’s an app for that service, then go to the VPN service’s website to see if the VPN connection settings to use are listed there.

Select the Start button, then select Settings > Network & Internet > VPN > Add a VPN connection.

In Add a VPN connection, do the following:

For VPN provider, choose Windows (built-in).

In the Connection name box, enter a name you’ll recognize (for example, My Personal VPN). This is the VPN connection name you’ll look for when connecting.

In the Server name or address box, enter the address for the VPN server.

For VPN type, choose the type of VPN connection you want to create. You’ll need to know which kind of VPN connection your company or VPN service uses.

For Type of sign-in info, choose the type of sign-in info (or credentials) to use. This might be a username and password, one-time password, certificate, or a smart card if you’re connecting to a VPN for work. Enter your username and password in the respective boxes (if required).

If you need to edit the VPN connection info or specify additional settings, such as proxy settings, choose the VPN connection and then select Advanced options.

Connect to a VPN

When you have a VPN profile, you’re ready to connect.

On the far right of the taskbar, select the Network icon (either or ).

Select the VPN connection you want to use, then do either of the following depending on what happens when you select the VPN connection:

If the Connect button displays under the VPN connection, select Connect.

If the VPN section in Settings opens, select the VPN connection there, then select Connect.

If you’re prompted, enter your username and password or other sign-in info.

When connected, the VPN connection name will display Connected underneath it. To see if you’re connected to the VPN while you’re doing things on your PC, select the Network icon (either or ) on the far right of the taskbar, then see if the VPN connection says Connected.

Подключение к сети VPN в Windows 10

Вы можете подключаться к виртуальной частной сети (VPN) на компьютере с Windows 10 как для работы, так и в личных целях. VPN-подключение может обеспечить более безопасное соединение и доступ к корпоративной сети и Интернету, например, если вы работаете из кафе или похожего общественного места.

Создание профиля VPN

Перед подключением к сети VPN вам необходимо настроить профиль VPN на своем компьютере. Чтобы получить профиль VPN от вашей компании, вы можете либо создать профиль VPN самостоятельно или настроить рабочую учетную запись.

Прежде чем начать, выполните указанные ниже действия.

Если VPN-подключение будет использоваться для работы, проверьте наличие параметров и/или приложения VPN на сайте интрасети вашей компании во время работы или обратитесь к специалисту службы поддержки вашей компании.

Если вы подписываетесь на службу VPN в личных целях, посетите Microsoft Store , чтобы проверить наличие приложения для этой службы, а затем перейдите на веб-сайт службы VPN, где могут быть указаны необходимые параметры VPN-подключения.

Нажмите Start кнопку «Пуск», а затем выберите Параметры > сеть & Интернет > VPN > Добавить VPN-подключение.

В разделе Добавление VPN-подключения сделайте следующее:

В поле Поставщик услуг VPN выберите Windows (встроенный).

В поле Имя подключения введите понятное вам имя (например, «Мой личный VPN»). Это имя подключения VPN, которое будет нужно искать для подключения.

В поле Имя или адрес сервера введите адрес для сервера VPN.

Выберите Тип VPN-подключения, которое вы хотите создать. Вы должны знать, какой тип VPN-подключения или служба VPN используется в вашей организации.

В поле Тип данных для входа выберите тип данных для входа (или учетные данные), которые следует использовать. Это могут быть имя пользователя и пароль, одноразовый пароль, сертификат или смарт-карта, если вы подключаетесь к сети VPN для работы. Введите свое имя пользователя и пароль в соответствующие поля (при необходимости).

Нажмите кнопку Сохранить.

Если вам требуется изменить сведения о VPN-подключении или указать дополнительные параметры, например параметры прокси-сервера, выберите соответствующее VPN-подключение и нажмите Дополнительные параметры.

Подключение к сети VPN

Если у вас есть профиль VPN, вы можете подключаться к нему.

Выберите значок сети ( или ) в дальнем правом углу панели задач.

Выберите VPN-подключение, которое вы хотите использовать, а затем выполните одно из следующих действий в зависимости от того, что происходит при выборе VPN-подключения:

Если под VPN-подключением отображается кнопка «Подключить», выберите Подключить.

Если в «Параметрах» открывается раздел «VPN», выберите это VPN-подключение, затем выберите Подключить.

При появлении запроса введите имя пользователя и пароль или другие данные для входа.

После подключения имя VPN-подключения будет отображаться под ним. Чтобы проверить наличие подключения к сети VPN во время работы за компьютером, нажмите значок Сеть ( или ) в крайнем правом углу панели задач и убедитесь, что под VPN-подключением есть надпись Подключено.

VPN authentication options

Applies to

• WindowsВ 10
• WindowsВ 10 Mobile

In addition to older and less-secure password-based authentication methods (which should be avoided), the built-in VPN solution uses Extensible Authentication Protocol (EAP) to provide secure authentication using both user name and password, and certificate-based methods. You can only configure EAP-based authentication if you select a built-in VPN type (IKEv2, L2TP, PPTP or Automatic).

Windows supports a number of EAP authentication methods.

Method	Details
EAP-Microsoft Challenge Handshake Authentication Protocol version 2 (EAP-MSCHAPv2)	User name and password authentication Winlogon credentials — can specify authentication with computer sign-in credentials
EAP-Transport Layer Security (EAP-TLS)	Supports the following types of certificate authentication Certificate with keys in the software Key Storage Provider (KSP) Certificate with keys in Trusted Platform Module (TPM) KSP Smart card certficates Windows Hello for Business certificate Certificate filtering Certificate filtering can be enabled to search for a particular certificate to use to authenticate with Filtering can be Issuer-based or Enhanced Key Usage (EKU)-based Server validation — with TLS, server validation can be toggled on or off Server name — specify the server to validate Server certificate — trusted root certificate to validate the server Notification — specify if the user should get a notification asking whether to trust the server or not
Protected Extensible Authentication Protocol (PEAP)	Server validation — with PEAP, server validation can be toggled on or off Server name — specify the server to validate Server certificate — trusted root certificate to validate the server Notification — specify if the user should get a notification asking whether to trust the server or not Inner method — the outer method creates a secure tunnel inside while the inner method is used to complete the authentication EAP-MSCHAPv2 EAP-TLS Fast Reconnect: reduces the delay between an authentication request by a client and the response by the Network Policy Server (NPS) or other Remote Authentication Dial-in User Service (RADIUS) server. This reduces resource requirements for both client and server, and minimizes the number of times that users are prompted for credentials. Cryptobinding: By deriving and exchanging values from the PEAP phase 1 key material (Tunnel Key) and from the PEAP phase 2 inner EAP method key material (Inner Session Key), it is possible to prove that the two authentications terminate at the same two entities (PEAP peer and PEAP server). This process, termed «cryptobinding», is used to protect the PEAP negotiation against «Man in the Middle» attacks.
Tunneled Transport Layer Security (TTLS)	Inner method Non-EAP Password Authentication Protocol (PAP) CHAP MSCHAP MSCHAPv2 EAP MSCHAPv2 TLS Server validation: in TTLS, the server must be validated. The following can be configured: Server name Trusted root certificate for server certificate Whether there should be a server validation notification

For a UWP VPN plug-in, the app vendor controls the authentication method to be used. The following credential types can be used:

• Smart card
• Certificate
• Windows Hello for Business
• User name and password
• One-time password
• Custom credential type

Configure authentication

See EAP configuration for EAP XML configuration.

To configure Windows Hello for Business authentication, follow the steps in EAP configuration to create a smart card certificate. Learn more about Windows Hello for Business.

The following image shows the field for EAP XML in a Microsoft Intune VPN profile. The EAP XML field only appears when you select a built-in connection type (automatic, IKEv2, L2TP, PPTP).

How to set up IKEv2 VPN Connection on Windows 10 with Certificate or EAP-MSCHAP v2 Authentication

This guide assumes that you have obtained a Personal Information Exchange (p12) file from your VPN service provider. The file contains the server certificate and maybe the client private key & certificate (if using certificate authentication instead of EAP-MACHAP v2).

There are two major tasks: install the certificates and create a VPN connection.

Task 1: install the certificates.

1. Double click the p12 file. Select “Local Machine” on the “Certificate Import Wizard” dialog.
   
2. Click “Next”.
   
3. Enter the password (if there is one).
   
4. Select “Automatic…” for the certificate store.
   
5. Click “Finish”.
   

Task 2: create the VPN connection.

Alternative task 2: if authenticating with EAP-MSCHAP v2.

1. In step 9 above, select “Use Extensible Authentication Protocol (EAP), then EAP-MSCHAP v2.
   
2. Click the Windows icon at the left bottom corner of the screen and enter “vpn”. Then click on “VPN settings”.
   
3. Click on the VPN connection, then click “Advanced options”.
   
4. Click “Edit”.
   
5. Select “User name and Password” for “Type of sign-in info”. Enter user name and password. Click “Save”.
   

Task 3: Check that your VPN connection is working

1. Open a web browser, enter https://ipleak.net/. Make sure that your IP address is that of the VPN service (i.e., no longer your ISP assigned IP address), and DNS addresses are also that from the VPN service.
2. If your VPN server is located in the same geographical region as your ISP connection, sometimes it’s hard to tell if your DNS service has changed to that provided by the VPN. This page will tell you who is your DNS provider: http://whoismydns.com/
3. There are instances that your browser is stuck with the ISP assigned DNS server. In that case, manually set the DNS service on your ISP connection (WiFi or Ethernet adapter) to a third party DNS service, for example, Cloudflare DNS. Just to be safe, disable IPv6 on the WiFi or Ethernet adapter too.
   

Параметры проверки подлинности для VPN VPN authentication options

Относится к: Applies to

• Windows 10 Windows 10
• Windows 10 Mobile Windows 10 Mobile

В дополнение к старым и менее безопасным методам проверки подлинности с паролем (которых следует избегать), встроенное решение VPN использует протокол EAP для безопасной проверки подлинности на основе сертификатов и на основе имени пользователя и пароля. In addition to older and less-secure password-based authentication methods (which should be avoided), the built-in VPN solution uses Extensible Authentication Protocol (EAP) to provide secure authentication using both user name and password, and certificate-based methods. Вы можете настроить проверку подлинности на основе EAP, только выбрав встроенный тип VPN (IKEv2, L2TP, PPTP или автоматический). You can only configure EAP-based authentication if you select a built-in VPN type (IKEv2, L2TP, PPTP or Automatic).

Windows поддерживает различные методы проверки подлинности EAP. Windows supports a number of EAP authentication methods.

Способ Method	Подробности Details
Протокол EAP-MSCHAP версии 2 (EAP-MSCHAPv2) EAP-Microsoft Challenge Handshake Authentication Protocol version 2 (EAP-MSCHAPv2)	Проверка подлинности на основе имени пользователя и пароля User name and password authentication Учетные данные Winlogon — можно настроить проверку подлинности с помощью учетных данных компьютера Winlogon credentials — can specify authentication with computer sign-in credentials
Протокол EAP-TLS EAP-Transport Layer Security (EAP-TLS)	Поддерживает следующие типы проверки подлинности сертификата Supports the following types of certificate authentication Сертификат с ключами в программном поставщике хранилища ключей (KSP) Certificate with keys in the software Key Storage Provider (KSP) Сертификат с ключами в KSP доверенного платформенного модуля (TPM) Certificate with keys in Trusted Platform Module (TPM) KSP Сертификаты смарт-карты Smart card certficates Сертификат Windows Hello для бизнеса Windows Hello for Business certificate Фильтрация сертификатов Certificate filtering Фильтрацию сертификатов можно включить для поиска определенного сертификата, который будет использоваться для проверки подлинности Certificate filtering can be enabled to search for a particular certificate to use to authenticate with Фильтрация может быть основана на издателе или улучшенном ключе (EKU) Filtering can be Issuer-based or Enhanced Key Usage (EKU)-based Проверка сервера — при использовании TLS проверку сервера можно включить и отключить Server validation — with TLS, server validation can be toggled on or off Имя сервера — укажите сервер для проверки Server name — specify the server to validate Сертификат сервера — доверенный корневой сертификат для проверки подлинности сервера Server certificate — trusted root certificate to validate the server Уведомление — укажите, увидит ли пользователь уведомление с вопросом о том, нужно ли доверять серверу Notification — specify if the user should get a notification asking whether to trust the server or not
Протокол PEAP Protected Extensible Authentication Protocol (PEAP)	Проверка сервера — при использовании PEAP проверку сервера можно включить и отключить Server validation — with PEAP, server validation can be toggled on or off Имя сервера — укажите сервер для проверки Server name — specify the server to validate Сертификат сервера — доверенный корневой сертификат для проверки подлинности сервера Server certificate — trusted root certificate to validate the server Уведомление — укажите, увидит ли пользователь уведомление с вопросом о том, нужно ли доверять серверу Notification — specify if the user should get a notification asking whether to trust the server or not Внутренний метод — внешний метод создает безопасный туннель внутри, а внутренний метод используется для выполнения проверки подлинности Inner method — the outer method creates a secure tunnel inside while the inner method is used to complete the authentication EAP-MSCHAPv2 EAP-MSCHAPv2 EAP-TLS EAP-TLS Быстрое переподключение: сокращает задержку между запросом на проверку подлинности клиента и ответом сервера политики сети (NPS) или другого сервера RADIUS. Fast Reconnect: reduces the delay between an authentication request by a client and the response by the Network Policy Server (NPS) or other Remote Authentication Dial-in User Service (RADIUS) server. Это снижает требования к ресурсам для клиента и сервера, а также уменьшает число запросов учетных данных у пользователей. This reduces resource requirements for both client and server, and minimizes the number of times that users are prompted for credentials. Привязка с шифрованием: получая значения из материала ключа PEAP этапа 1 (туннельный ключ) и внутреннего материала ключа метода EAP PEAP этапа 2 (внутренний ключ сеанса), можно подтвердить, что два процесса проверки подлинности заканчиваются в одинаковых двух объектах (одноранговый элемент PEAP и сервер PEAP). Cryptobinding: By deriving and exchanging values from the PEAP phase 1 key material (Tunnel Key) and from the PEAP phase 2 inner EAP method key material (Inner Session Key), it is possible to prove that the two authentications terminate at the same two entities (PEAP peer and PEAP server). Этот процесс называется «привязкой с шифрованием» и используется для защиты согласования PEAP от атак типа «злоумышленник в середине». This process, termed «cryptobinding», is used to protect the PEAP negotiation against «Man in the Middle» attacks.
Протокол TTLS Tunneled Transport Layer Security (TTLS)	Внутренний метод Inner method Не EAP Non-EAP Протокол PAP Password Authentication Protocol (PAP) CHAP CHAP MSCHAP MSCHAP MSCHAPv2 MSCHAPv2 EAP EAP MSChapv2 MSCHAPv2 TLS TLS Проверка сервера: в TTLS сервер должен быть проверен. Server validation: in TTLS, the server must be validated. Следующие параметры можно настроить. The following can be configured: Имя сервера Server name Доверенный корневой сертификат для сертификата сервера Trusted root certificate for server certificate Следует ли отправлять уведомление о проверке сервера Whether there should be a server validation notification

Для подключаемого модуля UWP VPN поставщик приложения управляет используемым методом проверки подлинности. For a UWP VPN plug-in, the app vendor controls the authentication method to be used. Можно использовать следующие типы учетных данных: The following credential types can be used:

• смарт-карта; Smart card
• сертификат; Certificate
• Windows Hello для бизнеса; Windows Hello for Business
• имя пользователя и пароль; User name and password
• одноразовый пароль; One-time password
• пользовательский тип учетных данных. Custom credential type

Настройка проверка подлинности Configure authentication

Конфигурацию XML для EAP см. в разделе Конфигурация EAP. See EAP configuration for EAP XML configuration.

Чтобы настроить проверку подлинности Windows Hello для бизнеса, выполните действия, описанные в разделе Конфигурация EAP для создания сертификата смарт-карты. To configure Windows Hello for Business authentication, follow the steps in EAP configuration to create a smart card certificate. Подробнее о Windows Hello для бизнеса. Learn more about Windows Hello for Business.

На следующем изображении показано поле для EAP XML в профиле VPN решения Microsoft Intune. The following image shows the field for EAP XML in a Microsoft Intune VPN profile. Поле EAP XML отображается только при выборе встроенного типа подключения (автоматический, IKEv2, L2TP, PPTP). The EAP XML field only appears when you select a built-in connection type (automatic, IKEv2, L2TP, PPTP).