Главная » Linux

Windows rras vpn server

Содержание
  1. Настройка двухфакторной аутентификации Windows VPN с Routing and Remote Access Service (RRAS)
  2. Включение RRAS в качестве VPN-сервера
  3. Установка VPN сервера на Windows Server 2016

Настройка двухфакторной аутентификации Windows VPN с Routing and Remote Access Service (RRAS)

В статье описывается настройка службы Microsoft Routing and Remote Access Service (RRAS) для подключения к VPN c двухфакторной аутентификацией.

Применимо к версиям:

  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019

Возможные способы аутентификации:

  • Мобильное приложение MultiFactor
  • Telegram
  • Звонок (нужно принять вызов и нажать #)

Для настройки второго фактора аутентификации вам потребуется установить и настроить MultiFactor Radius Adapter.

  1. Клиент VPN подключается к RRAS серверу, указывает логин и пароль;
  2. RRAS сервер переадресовывает запрос компоненту MultiFactor Radius Adapter;
  3. Компонент проверяет логин и пароль пользователя в домене ActiveDirectory и отправляет на телефон пользователя запрос подтверждения входа;
  4. Пользователь подтверждает запрос в телефоне и подключается к VPN.

Установка и настройка Routing and Remote Access Service (RRAS)

  1. Откройте Server Manager, в меню Manage выберите «Add Roles and Features Wizard».
  2. В разделе Server Roles отметьте «Remote Access» -> «Direct Access and VPN (RAS)»
  3. Завершите установку.
  1. В Server Manager, в меню Tools выберите «Routing and Remote Access»
  2. Правой кнопкой на имени сервера, далее «Configure and Enable Routing and Remote Access»

  1. Выберите пункт «Custom Configuration»

RRAS предлагает несколько протоколов для VPN соединений: PPTP, L2TP/IPSec и SSTP:

  • PPTP является устаревшим и небезопасным;
  • L2TP/IPSec и IKEv2 безопасны, но используют нестандартные порты и ваши пользователи могут испытывать проблемы при подключении из домашних и публичных сетей;
  • SSTP — безопасный протокол, который использует TCP порт 443 (TLS) и является наиболее удачным вариантом.

Для того, чтоб убрать ненужные протоколы, нажмите правой кнопкой на Ports и выберите Properties. Далее нажмите Configure для каждого типа порта кроме SSTP и снимите все флажки.

Нажмите правой кнопкой на имени сервера, выберите Properties. Далее на вкладке «Security» в качестве Authentication Provider укажите «RADIUS Authentication» и нажмите «Configure». В список RADIUS серверов добавьте новый сервер:

  • Server name: IP адрес компонета MultiFactor Radius Adapter
  • Shared Secret: общий секрет с компонентом
  • Timout: 60 секунд
  • Port: 1812
  • Поставьте флажок «Always use message authenticator»

Сохраните и закройте.

Далее нажмите на кнопку «Authentication methods» и оставьте один вариант — «Unencrypted password (PAP)».

Сохраните и закройте.

По большому счету все предложенные варианты аутентификации в той или иной степени уязвимы, поэтому только использование безопасного протокола подключения (SSTP) защищает от перехвата пароля.

Выбор сертификата сервера

Для шифрования трафика между клиентом и севером, а также аутентификации сервера, необходим сертификат, выданный публичным удостоверяющем центром сертификации. Вы можете купить такой сертификат или получить бесплатно в Let’s Encrypt. Как это сделать за 5 минут — читайте в нашей статье.

Читайте также:  Thinkpad r52 windows 10

Выберите сертификат в разделе SSL Certificate Binding

Откройте Параметры -> Сеть и интернет -> VPN.

Добавьте новое VPN подключение:

  • Поставщик услуг: Windows (встроенные);
  • Имя подключения: произвольное;
  • Имя или адрес сервера: адрес вашего сервера;
  • Тип VPN: Протокол SSTP

Далее перейдите в настройки параметров адаптера, и откройте свойства подключения. На вкладке Безопасность выберите «Разрешить следующие протоколы»: Незашифрованный пароль (PAP).

Сохраните и закройте.

Запустите соединение, введите логин и пароль. От Мультифактора придет запрос на телефон с подтверждением

Включение RRAS в качестве VPN-сервера

После установки роли сервера RRAS она находится в отключенном состоянии. С помощью первой процедуры можно включить службу и настроить ее на предоставление служб виртуальной частной сети (VPN).

Если служба RRAS уже установлена и включена, чтобы добавить компонент удаленного доступа, выполните вторую процедуру.

Для выполнения этой процедуры пользователь по меньшей мере должен быть членом локальной группы Администраторы или аналогичной группы.

Включение службы RRAS и ее настройка в качестве VPN-сервера

Щелкните правой кнопкой мыши имя сервера, для которого требуется включить маршрутизацию, а затем выберите пункт Настроить и включить маршрутизацию и удаленный доступ. Если используется Диспетчер серверов, щелкните правой кнопкой мыши пункт Маршрутизация и удаленный доступ и выберите пункт Настроить и включить маршрутизацию и удаленный доступ.

На странице приветствия нажмите кнопку Далее.

На странице Конфигурация установите переключатель Удаленный доступ (VPN или модем) и нажмите кнопку Далее.

На странице Удаленный доступ выберите пункт VPN и нажмите кнопку Далее.

На странице VPN-подключение выберите сетевой интерфейс, подключенный к общедоступному сегменту Интернета, из которого удаленные VPN-клиенты будут подключаться к этому серверу.

Чтобы настроить фильтры пакетов, ограничивающие доступ к сети с использованием заданного адаптера общедоступной сети только портами, необходимыми VPN-клиентам, выберите пункт Безопасность с использованием фильтров статических пакетов. Этот параметр отличается от правил брандмауэра, создаваемых с использованием Брандмауэр Windows в режиме повышенной безопасности.

Важно!
  • Если предполагается защита сервера RRAS с использованием брандмауэра, не выбирайте этот параметр. Одновременное использование фильтров пакетов RRAS и правил брандмауэра не рекомендуется.
  • Если этот параметр включен, по умолчанию будет недоступна проверка IP-адресов адаптера общедоступной сети с помощью команды ping, поскольку при использовании фильтров пакетов, создаваемых при выборе этого параметра, запрещается протокол ICMP.

На странице Выбор сети выберите частную сеть, доступ к которой будет предоставляться VPN-клиентам. Выбор сети осуществляется на основе отображаемого сетевого адаптера и соответствующего ему IP-адреса.

На странице Назначение IP-адресов задайте способ получения сервером RRAS IP-адресов для VPN-клиентов. Если доступен DHCP-сервер с диапазоном адресов, выберите пункт Автоматически. Чтобы задать самостоятельное управление IP-адресами сервером RRAS, установите переключатель Из заданного диапазона адресов.

Читайте также:  Error creating windows handle

Если при выполнении действия 9 выбран пункт Автоматически, пропустите действие 10.

На странице Назначение диапазонов IP-адресов выберите команду Новый и введите начальный и конечный IP-адреса диапазона, из которого будут назначаться адреса VPN-клиентам. При необходимости можно задать несколько диапазонов. После создания всех необходимых диапазонов нажмите кнопку Далее.

При необходимости на странице Управление несколькими серверами удаленного доступа задайте использование центрального RADIUS-сервера для проверки подлинности сетевых клиентов. Если выбрать пункт Нет, служба RRAS использует локальную базу данных учетных записей или, если сервер RRAS входит в домен Active Directory, базу данных учетных записей домена. Чтобы использовать доменные службы Active Directory (AD DS), необходимо присоединить сервер RRAS к домену и добавить учетную запись компьютера для этого сервера в группу безопасности Серверы RAS и IAS в домене, в который входит этот сервер. Администратор домена может добавить учетную запись компьютера в группу безопасности Серверы RAS и IAS при помощи оснастки «Active Directory — пользователи и компьютеры» или команды netsh ras add registeredserver.

На странице Завершение работы нажмите кнопку Готово.

Примечание
Настройка существующего сервера RRAS на поддержку удаленного доступа к VPN

    Откройте Диспетчер серверов.

    Разверните узел Роли и затем узел Службы политики сети и доступа.

    Щелкните правой кнопкой мыши элемент Маршрутизация и удаленный доступ и выберите пункт Свойства.

    Установите необходимое сочетание флажков IPv4-сервер удаленного доступа и IPv6-сервер удаленного доступа.

    Если установлен флажок IPv6-сервер удаленного доступа, необходимо задать IPv6-префикс. На вкладке IPv6 в разделе Сервер назначает следующие IPv6-префиксы введите 64-разрядный IPv6-префикс, который сервер будет назначать подключающимся клиентам. Адрес, назначаемый клиенту, будет состоять из заданного префикса и идентификатора узла, выбранного клиентом (обычно выводится из MAC-адреса или создается случайным образом).

    При выводе запроса на перезапуск службы RRAS нажмите кнопку Да.

    Установка VPN сервера на Windows Server 2016

    В этом кратком руководстве мы опишем процесс установки и настройке VPN-сервера на базе Windows Server. Все действия, описанные в этой статье, были выполнены на Windows Server 2016, но эта инструкция подходит для любой современной серверной операционной системы Windows, начиная с Windows Server 2008 R2 и заканчивая Windows Server 2016.

    Итак, давайте начнем. Прежде всего нам нужно настроить роль удаленного доступа (Remote Access). Для этого в оснастке Server Manager запустите мастер добавления ролей и выберите роль Remote Access.

    Затем, в списке служб роли выберите опцию «DirectAccess and VPN (RAS)«.

    В дополнение к роли удаленного доступа и средствам управления, также автоматически будут установлены веб-сервер IIS и внутренняя база данных Windows (WID). Полный список установленных функций можно просмотреть в окончательном окне мастера, появляющимся перед тем, как вы подтвердите установку.

    Установить роль Remote Access вместе со всеми необходимыми опциями можно всего одной командой PowerShell:

    Install-WindowsFeature -Name DirectAccess-VPN -IncludeAllSubFeature -IncludeManagementTools

    После установки роли вам необходимо включить и настроить службу с помощью оснастки «Маршрутизация и удаленный доступ» (Routing and Remote Access) — rrasmgmt.msc.

    В оснастке RRAS выберите имя сервера, щелкните правой кнопкой мыши и выберите «Настроить и включить маршрутизацию и удаленный доступ» (Configure and Enable Routing and Remote Access) в открывшемся меню.

    В мастере настройки выберите пункт Custom configuration.

    В списке служб выберите опцию VPN access.

    После этого система предложит вам запустить службу Маршрутизации и удаленного доступа.

    Служба VPN установлена и включена, теперь ее необходимо настроить. Снова откройте меню сервера и выберите пункт «Свойства».

    Перейдите на вкладку IPv4. Если у вас нет DHCP-серверов в сети, вам необходимо указать диапазон IP-адресов, которые будут получать клиенты при подключении к VPN-серверу.

    Кроме того, на вкладке Security вы можете настроить параметры безопасности — выбрать тип проверки подлинности, установить предварительный общий ключ для L2TP или выбрать сертификат для SSTP.

    И еще пара нужных моментов, которые следует иметь в виду при настройке VPN-сервера.

    Во-первых, вам нужно указать пользователей, которых будет разрешено подключаться к этому VPN-серверу. Для автономного сервера настройка выполняется локально, в оснастке «Управление компьютером». Чтобы запустить оснастку, вам нужно выполнить команду compmgmt.msc, затем перейдите в раздел «Локальные пользователи и группы». Затем вам нужно выбрать пользователя, открыть его свойства, а на вкладке «Dial-In» отметьте пункт «Разрешить доступ» (Allow access). Если компьютер является членом домена Active Directory, те же настройки можно сделать из оснастки ADUC.

    Во-вторых, проверьте, открыты ли все необходимые порты на брандмауэре Windows и межсетевом экране, осуществляющим NAT-трансляцию. Теоретически, когда вы устанавливаете роль RRAS, соответствующие правила автоматически включаются, но на всякий случай проверьте их самостоятельно. Список разрешенных правил для входящего трафика:

    • Routing and Remote Access (GRE-In) — протокол 47 (GRE)
    • Routing and Remote Access (L2TP-In) – TCP/1701, UDP/500, UDP/4500 и протокол 50 (ESP)
    • Routing and Remote Access (PPTP-In) — TCP/1723
    • Secure Socket Tunneling protocol (SSTP-in) – TCP/443

    Если ваш VPN-сервер находится за NAT, для корректной установки VPN-соединения по протоколу L2TP/ipsec, на стороне клиента необходимо в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent создать ключ с именем AssumeUDPEncapsulationContextOnSendRule и значением 2.

    На этом все. Теперь, когда у вас имеется настроенный VPN-сервер, вы можете подключиться к нему с помощью VPN-клиента.

    Читайте также:  Фон экрана блокировки windows 10 не устанавливается
    Оцените статью
    © 2024 Советы по настройке компьютера
    Примечание