Step 5. Configure DNS and firewall settings

Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016, Windows Server 2012 R2, Windows 10

In this step, you configure DNS and Firewall settings for VPN connectivity.

Configure DNS name resolution

When remote VPN clients connect, they use the same DNS servers that your internal clients use, which allows them to resolve names in the same manner as the rest of your internal workstations.

Because of this, you must ensure that the computer name that external clients use to connect to the VPN server matches the subject alternative name defined in certificates issued to the VPN server.

To ensure that remote clients can connect to your VPN server, you can create a DNS A (Host) record in your external DNS zone. The A record should use the certificate subject alternative name for the VPN server.

To add a host (A or AAAA) resource record to a zone

1. On a DNS server, in Server Manager, select Tools, and then select DNS. DNS Manager opens.
2. In the DNS Manager console tree, select the server that you want to manage.
3. In the details pane, in Name, double-click Forward Lookup Zones to expand the view.
4. In Forward Lookup Zones details, right-click the forward lookup zone to which you want to add a record, and then select New Host (A or AAAA). The New Host dialog box opens.
5. In New Host, in Name, enter the certificate subject alternative name for the VPN server.
6. In IP address, enter the IP address for the VPN server. You can enter the address in IP version 4 (IPv4) format to add a host (A) resource record, or IP version 6 (IPv6) format to add a host (AAAA) resource record.
7. If you created a reverse lookup zone for a range of IP addresses, including the IP address that you entered, then select the Create associated pointer (PTR) record check box. Selecting this option creates an additional pointer (PTR) resource record in a reverse zone for this host, based on the information you entered in Name and IP address.
8. Select Add Host.

Configure the Edge Firewall

The Edge Firewall separates the External Perimeter Network from the Public Internet. For a visual representation of this separation, see the illustration in the topic Always On VPN Technology Overview.

Your Edge Firewall must allow and forward specific ports to your VPN server. If you use Network Address Translation (NAT) on your edge firewall, you might need to enable port forwarding for User Datagram Protocol (UDP) portsВ 500 and 4500. Forward these ports to the IP address that is assigned to the external interface of your VPN server.

If you’re routing traffic inbound and performing NAT at or behind the VPN server, then you must open your firewall rules to allow UDP portsВ 500 and 4500 inbound to the external IP address applied to the public interface on the VPN server.

In either case, if your firewall supports deep packet inspection and you have difficulty establishing client connections, you should attempt to relax or disable deep packet inspection for IKE sessions.

For information on how to make these configuration changes, see your firewall documentation.

Configure the Internal Perimeter Network Firewall

The Internal Perimeter Network Firewall separates the Organization/Corporate Network from the Internal Perimeter Network. For a visual representation of this separation, see the illustration in the topic Always On VPN Technology Overview.

In this deployment, the Remote Access VPN server on the perimeter network is configured as a RADIUS client. The VPN server sends RADIUS traffic to the NPS on the corporate network and also receives RADIUS traffic from the NPS.

Configure the firewall to allow RADIUS traffic to flow in both directions.

The NPS server on the Organization/Corporate network functions as a RADIUS Server for the VPN Server, which is a RADIUS Client. For more information about the RADIUS infrastructure, see Network Policy Server (NPS).

RADIUS Traffic Ports on the VPN Server and NPS Server

By default, NPS and VPN listen for RADIUS traffic on ports 1812, 1813, 1645, and 1646 on all installed network adapters. If you enable Windows Firewall with Advanced Security when installing NPS, firewall exceptions for these ports get created automatically during the installation process for both IPv6 and IPv4 traffic.

If your network access servers are configured to send RADIUS traffic over ports other than these defaults, remove the exceptions created in Windows Firewall with Advanced Security during NPS installation, and create exceptions for the ports that you do use for RADIUS traffic.

Use the Same RADIUS Ports for the Internal Perimeter Network Firewall Configuration

If you use the default RADIUS port configuration on the VPN Server and the NPS Server, make sure that you open the following ports on the Internal Perimeter Network Firewall:

• Ports UDP1812, UDP1813, UDP1645, and UDP1646

If you are not using the default RADIUS ports in your NPS deployment, you must configure the firewall to allow RADIUS traffic on the ports that you are using. For more information, see Configure Firewalls for RADIUS Traffic.

Next steps

Step 6. Configure Windows 10 Client Always On VPN Connections: In this step, you configure the Windows 10 client computers to communicate with that infrastructure with a VPN connection. You can use several technologies to configure Windows 10 VPN clients, including Windows PowerShell, Microsoft Endpoint Configuration Manager, and Intune. All three require an XML VPN profile to configure the appropriate VPN settings.

Шаг 5. Step 5. Настройка параметров DNS и брандмауэра Configure DNS and firewall settings

Область применения: Windows Server (половина ежегодного канала), Windows Server 2016, Windows Server 2012 R2, Windows 10 Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016, Windows Server 2012 R2, Windows 10

На этом шаге вы настроите параметры DNS и брандмауэра для VPN-подключения. In this step, you configure DNS and Firewall settings for VPN connectivity.

Настройка разрешения имен DNS Configure DNS name resolution

При подключении удаленных VPN-клиентов они используют те же DNS-серверы, что используются внутренними клиентами, что позволяет им разрешать имена так же, как и остальные внутренние рабочие станции. When remote VPN clients connect, they use the same DNS servers that your internal clients use, which allows them to resolve names in the same manner as the rest of your internal workstations.

Поэтому необходимо убедиться, что имя компьютера, используемое внешними клиентами для подключения к VPN-серверу, совпадает с альтернативным именем субъекта, определенным в сертификатах, выданных VPN-серверу. Because of this, you must ensure that the computer name that external clients use to connect to the VPN server matches the subject alternative name defined in certificates issued to the VPN server.

Чтобы удаленные клиенты могли подключаться к VPN-серверу, можно создать запись DNS A (узел) в внешней зоне DNS. To ensure that remote clients can connect to your VPN server, you can create a DNS A (Host) record in your external DNS zone. Запись A должна использовать альтернативное имя субъекта сертификата для VPN-сервера. The A record should use the certificate subject alternative name for the VPN server.

Добавление записи ресурса узла (A или AAAA) в зону To add a host (A or AAAA) resource record to a zone

1. На DNS-сервере в диспетчер сервера выберите средства, а затем — DNS. On a DNS server, in Server Manager, select Tools, and then select DNS. Откроется диспетчер DNS. DNS Manager opens.
2. В дереве консоли диспетчера DNS выберите сервер, которым требуется управлять. In the DNS Manager console tree, select the server that you want to manage.
3. В области сведений в поле имя дважды щелкните зоны прямого просмотра , чтобы развернуть представление. In the details pane, in Name, double-click Forward Lookup Zones to expand the view.
4. В области сведения о зонах прямого просмотра щелкните правой кнопкой мыши зону прямого просмотра, к которой нужно добавить запись, а затем выберите новый узел (a или AAAA). In Forward Lookup Zones details, right-click the forward lookup zone to which you want to add a record, and then select New Host (A or AAAA). Откроется диалоговое окно новый узел . The New Host dialog box opens.
5. В поле имянового узла введите альтернативное имя субъекта сертификата для VPN-сервера. In New Host, in Name, enter the certificate subject alternative name for the VPN server.
6. В поле IP-адрес введите IP-адрес VPN-сервера. In IP address, enter the IP address for the VPN server. Вы можете ввести адрес в формате IP версии 4 (IPv4), чтобы добавить запись ресурса узла (A) или формат IP версии 6 (IPv6) для добавления записи ресурса узла (AAAA). You can enter the address in IP version 4 (IPv4) format to add a host (A) resource record, or IP version 6 (IPv6) format to add a host (AAAA) resource record.
7. Если вы создали зону обратного просмотра для диапазона IP-адресов, включая введенный IP-адрес, установите флажок создать связанную запись указателя (PTR) . If you created a reverse lookup zone for a range of IP addresses, including the IP address that you entered, then select the Create associated pointer (PTR) record check box. При выборе этого параметра создается дополнительная запись ресурса указателя (PTR) в зоне обратных передач для этого узла на основе информации, введенной в поле имя и IP-адрес. Selecting this option creates an additional pointer (PTR) resource record in a reverse zone for this host, based on the information you entered in Name and IP address.
8. Выберите Добавить узел. Select Add Host.

Настройка пограничных брандмауэров Configure the Edge Firewall

Брандмауэр пограничной сети отделяет внешнюю сеть периметра от общедоступного Интернета. The Edge Firewall separates the External Perimeter Network from the Public Internet. Визуальное представление этого разделения см. на рисунке в статье Always on общие сведения о технологии VPN. For a visual representation of this separation, see the illustration in the topic Always On VPN Technology Overview.

Брандмауэр пограничной сети должен разрешать и перенаправлять определенные порты на VPN-сервер. Your Edge Firewall must allow and forward specific ports to your VPN server. Если на пограничном брандмауэре используется преобразование сетевых адресов (NAT), может потребоваться включить перенаправление портов для UDP-портов 500 и 4500. If you use Network Address Translation (NAT) on your edge firewall, you might need to enable port forwarding for User Datagram Protocol (UDP) ports 500 and 4500. Перешлите эти порты на IP-адрес, назначенный внешнему интерфейсу VPN-сервера. Forward these ports to the IP address that is assigned to the external interface of your VPN server.

При маршрутизации входящего и исходящего преобразования сетевых адресов (NAT) на VPN-сервере или за его пределами необходимо открыть правила брандмауэра, чтобы разрешить передачу UDP-портов 500 и 4500, входящих в общий интерфейс на VPN-сервере. If you’re routing traffic inbound and performing NAT at or behind the VPN server, then you must open your firewall rules to allow UDP ports 500 and 4500 inbound to the external IP address applied to the public interface on the VPN server.

В любом случае, если брандмауэр поддерживает глубокую проверку пакетов и у вас возникли трудности при установке клиентских подключений, следует попытаться ослабить или отключить глубокую проверку пакетов для сеансов IKE. In either case, if your firewall supports deep packet inspection and you have difficulty establishing client connections, you should attempt to relax or disable deep packet inspection for IKE sessions.

Сведения о том, как внести эти изменения в конфигурацию, см. в документации по брандмауэру. For information on how to make these configuration changes, see your firewall documentation.

Настройка брандмауэра внутренней сети периметра Configure the Internal Perimeter Network Firewall

Брандмауэр внутренней сети периметра разделяет организацию или корпоративную сеть из внутренней сети периметра. The Internal Perimeter Network Firewall separates the Organization/Corporate Network from the Internal Perimeter Network. Визуальное представление этого разделения см. на рисунке в статье Always on общие сведения о технологии VPN. For a visual representation of this separation, see the illustration in the topic Always On VPN Technology Overview.

В этом развертывании VPN-сервер удаленного доступа в сети периметра настроен как клиент RADIUS. In this deployment, the Remote Access VPN server on the perimeter network is configured as a RADIUS client. VPN-сервер отправляет трафик RADIUS на NPS в корпоративной сети и получает трафик RADIUS от NPS. The VPN server sends RADIUS traffic to the NPS on the corporate network and also receives RADIUS traffic from the NPS.

Настройте брандмауэр, чтобы разрешить передачу трафика RADIUS в обоих направлениях. Configure the firewall to allow RADIUS traffic to flow in both directions.

Сервер NPS в организации или корпоративной сети работает как сервер RADIUS для VPN-сервера, который является клиентом RADIUS. The NPS server on the Organization/Corporate network functions as a RADIUS Server for the VPN Server, which is a RADIUS Client. Дополнительные сведения о инфраструктуре RADIUS см. в разделе сервер политики сети (NPS). For more information about the RADIUS infrastructure, see Network Policy Server (NPS).

Порты трафика RADIUS на VPN-сервере и сервере NPS RADIUS Traffic Ports on the VPN Server and NPS Server

По умолчанию NPS и VPN прослушивают трафик RADIUS на портах 1812, 1813, 1645 и 1646 на всех установленных сетевых адаптерах. By default, NPS and VPN listen for RADIUS traffic on ports 1812, 1813, 1645, and 1646 on all installed network adapters. При включении брандмауэра Windows в повышенной безопасности при установке NPS исключения брандмауэра для этих портов создаются автоматически в процессе установки для трафика IPv6 и IPv4. If you enable Windows Firewall with Advanced Security when installing NPS, firewall exceptions for these ports get created automatically during the installation process for both IPv6 and IPv4 traffic.

Если серверы сетевого доступа настроены на отправку трафика RADIUS через порты, отличные от этих значений по умолчанию, удалите исключения, созданные в брандмауэре Windows в процессе установки сервера политики сети, и создайте исключения для портов, используемых для трафика RADIUS. If your network access servers are configured to send RADIUS traffic over ports other than these defaults, remove the exceptions created in Windows Firewall with Advanced Security during NPS installation, and create exceptions for the ports that you do use for RADIUS traffic.

Использовать те же порты RADIUS для конфигурации брандмауэра внутренней сети периметра Use the Same RADIUS Ports for the Internal Perimeter Network Firewall Configuration

При использовании конфигурации порта RADIUS по умолчанию на VPN-сервере и сервере NPS убедитесь, что в брандмауэре внутренней сети периметра открыты следующие порты: If you use the default RADIUS port configuration on the VPN Server and the NPS Server, make sure that you open the following ports on the Internal Perimeter Network Firewall:

• Порты UDP1812, UDP1813, UDP1645 и UDP1646 Ports UDP1812, UDP1813, UDP1645, and UDP1646

Если вы не используете порты RADIUS по умолчанию в развертывании NPS, необходимо настроить брандмауэр таким образом, чтобы он разрешал трафик RADIUS на используемых портах. If you are not using the default RADIUS ports in your NPS deployment, you must configure the firewall to allow RADIUS traffic on the ports that you are using. Дополнительные сведения см. в статье Настройка брандмауэров для трафика RADIUS. For more information, see Configure Firewalls for RADIUS Traffic.

Дальнейшие действия Next steps

Шаг 6. Настройка клиента Windows 10 Always On VPN-подключениях. на этом этапе вы настраиваете клиентские компьютеры Windows 10 для взаимодействия с этой инфраструктурой с VPN-подключением. Step 6. Configure Windows 10 Client Always On VPN Connections: In this step, you configure the Windows 10 client computers to communicate with that infrastructure with a VPN connection. Для настройки VPN-клиентов Windows 10 можно использовать несколько технологий, в том числе Windows PowerShell, Microsoft Endpoint Configuration Manager и Intune. You can use several technologies to configure Windows 10 VPN clients, including Windows PowerShell, Microsoft Endpoint Configuration Manager, and Intune. Для всех трех требуется профиль VPN в формате XML, чтобы настроить соответствующие параметры VPN. All three require an XML VPN profile to configure the appropriate VPN settings.