Поднимаем VPN-PPTP сервер на Windows Server 2008 R2

Пятница, 17 августа 2012 г.
Рубрика: В помощь сисадмину
Метки: | | | | |
Просмотров: 229114
Подписаться на комментарии по RSS

Поднимаем VPN-PPTP сервер на Windows Server 2008 R2

VPN (Virtual Private Network — виртуальная частная сеть) — технология, позволяющая использование сети Internet в качестве магистрали для передачи корпоративного IP-трафика. Сети VPN предназначен подключения пользователя к удаленной сети и соединения нескольких локальных сетей. Давно я размещал заметку Введение в Виртуальные Частные Сети (VPN), время пришло расказать, как настроить VPN сервер на Windows 2008 Server R2.

Запускаем диспетчер сервера на Windows Server 2008 R2 и добавляем "Добавить роль" (Add Roles) роль сервера "Службы политики сети и доступа" (Network Policy and Access Services):

vpn

Далее выбираем "Службы маршрутизации и удаленного доступа" (Routing and Remote Access Services ) и нажимаем далее:

server2008rc2

Все проверяем и устанавливаем:

windows

После успешной установки, нам надо настроить эту роль, раскрываем список ролей и выбираем роль "Службы политики сети и доступа", так как у меня эта служба уже установлена, подменю "Настроить и включить маршрутизацию и удаленный доступ" (Configure and Enable Routing and Remote Access) будет не активно, у Вас активна ее и выбираем:

server

В мастере установке жмем далее и из пяти предложенных вариантов выбираем самый нижний Особая конфигурация (Custom configuration):

 VPN-PPTP

Выбираем галочкой Доступ к виртуальной частной сети (VPN):

windows-server2008rc2

server2008rc2

Запускаем службу

VPN-PPTP

Для полноценной работы vpn-сервера должны быть открыты следующие порты:

TCP 1723 для PPTP;
TCP 1701 и UDP 500 для L2TP;
TCP 443 для SSTP.

Настраиваем выдачи адресов. Открываем "Диспетчер сервера - Роли - Службы политики сети и доступа - Маршрутизация и удаленный доступ - Свойства":

vpn-server

Закладка "IPv4", включаем пересылку IPv4, устанавливаем переключатель в "Статический пул адресов" и нажимаем кнопку "Добавить":

server2008rc2

Задаем диапазон выдаваемых адресов:

vpn-pptp

Теперь настроем разрешения для пользователей. Переходим в "Диспетчер сервера - Конфигурация- Локальные пользователи и группы - Пользователи":

К нужному пользователю заходим в Свойства и закладке "Входящие звонки" (Dial-in) разрешить подключение (allow access).

server

twitter.com facebook.com vkontakte.ru odnoklassniki.ru mail.ru pikabu.ru blogger.com liveinternet.ru google.com

Комментариев: 27

  1. Добрый день огромное спасибо за статью, все толково и просто объяснили. Помогите если не сложно. Поднял VPN на 2008r2, сервер за dir-300, пробросил и открыл порты (1723 PPtP), ip белый. На клиентских машинах vpn подключается, сервер пингуется, но не могу зайти ни на один расшаренный ресурс сервера, ругается на несушествующий адрес. В чем может быть загвоздка? В администрировании новичок, всего 3 дня ковыряюсь =)

  2. Посмотри какой ip получаешь при подключении

  3. IP получаю из пула адресов. Клиент - 192.168.20.2, сервер - 192.168.20.1,сервер клиентом пингуется, а наоборот нет... доступ к ресурсам у пользователя в терминале есть, подключаюсь к впн этим же пользователем.

  4. Сергей | 2012-11-19 в 06:27:32

    По поводу Lava: А вы дали общий доступ всем? или только определенным пользователям, если определенным, тогда и доступа через ВПН у этого клиента не будет.

    Поводу статьи ОГРОМНОЕ СПАСИБО!, статья применена ещё для сети в которой нету DHCP (это важно очень), так как даже если нету DHCP, то ВПН сервер почему-то всё равно выдаёт IP внутренней сети, и вроде всё ок, но на самом деле нет!. Надо настраивать вручную диапазон IP адресов.

    Ещё раз спасибо!

  5. Добрый день! спасибо за статью, но возникла проблема, имеется белый IP от провайдера билайн, на сервере также стоит 3G модем для опроса данных по GPRS, при подключении VPN соединения, GPS падает, либо наоборот. где может быть загвоздка или в чем причина отключения одного из каналов ????

  6. Тут надо разбираться, но мое мнение что лучше может воспользоваться другими средствами например поставить - Kerio Control

  7. Аноним | 2013-02-15 в 16:41:10

    Добрый день. Статья помогла. Есть дополнительный вопрос. Как дать права на подключение по ВПН группе а не пользователю?

  8. Андрей | 2013-05-01 в 00:18:15

    2 аноним

    Как дать права на подключение по ВПН группе а не пользователю?

    http://support.microsoft.com/kb/323415/ru

    пункт "Настройка прав удаленного доступа на основе принадлежности к группам"

  9. Максим | 2013-12-20 в 03:53:21

    Не знаю, получу ли ответ быстро, но вопрос очень срочный. Подключился по вышеуказанной схеме, всё получилось, но в моем случае при подключение пропадает интернет на клиентской машине. Как его включить (убрав галочку "Использовать шлюз сервера") это я знаю. А вот как сделать, чтобы клиент использовал интернет(ip адрес) сервера для выхода в интернет, я не знаю. Подскажите, если встречались с таким?

  10. Как-то не приходилось такое делать, так что сходу и не скажу.

  11. Аноним | 2014-04-17 в 16:02:28

    подскажите по какой причине удаленно подключившись пользователь не видит ПК за VPN роутером. VPN подключается, а вот терминальный сервер на нет нет, не пингуется IP ни его ни других ПК в сети.

  12. А маршруты прописывал ?? и как-то мало инфы совсем

  13. частично решил проблему прописав доверие к сети в касперском, это позволило подключиться к ip 192.168.1.201 который получает сервер при подключении клиентов по vpn, если при этом зайти в настройки маршрутизации и к примеру открыть закладку на редактирование, сохранить ни чего не меняя, удаленный ПК начинает пинговать и физический адрес сервера 192.168.1.200 и ПК в сети, где находится сервер. после перезагрузки пингуется только 192.168.1.201, перезаряжешь маршрутизацию все становится на место до следующей перезагрузки сервера. как избавиться от этого?

  14. интернет приходит в контору через роутер. на нем прописан маршрут по 1723 на ip 192.168.1.200, на нем установлен vpn и терминал. удаленная машина подключается по vpn соединению к удаленной сети получает ip из диапазона заданного в настройках Маршрутизации и удаленного доступа 192.168.1.202. удаленный ПК полученный ip пингует, ip сервера нет. в Клиентах удаленного доступа появляется запись: server\vpn 00:03:15 1 Не поддерживает NAP. помогите разобраться, неделю бьюсь ни чего не выходит. могу скинуть скриншоты, удаленный доступ...

  15. частично решил проблему прописав доверие к сети в касперском, это позволило подключиться к ip 192.168.1.201 который получает сервер при подключении клиентов по vpn, если при этом зайти в настройки маршрутизации и к примеру открыть закладку на редактирование, сохранить ни чего не меняя, удаленный ПК начинает пинговать и физический адрес сервера 192.168.1.200 и ПК в сети, где находится сервер. после перезагрузки пингуется только 192.168.1.201, перезаряжешь маршрутизацию все становится на место до следующей перезагрузки сервера. как избавиться от этого???

  16. Как добавляешь маршрут, параметр -p используешь. При использовании параметра с командой add маршрут добавляется в реестр.

    Постоянные маршруты хранятся в реестре по адресу HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes

  17. маршруты не прописывал, все делал как в статье. я не знаю как разобраться с таблицей маршрутов, где можно в подробностях прочесть и понять как это работает, как анализировать маршруты и научиться прописовать их, чтобы все работало?

  18. Как прописывать маршруты полно статей в инете, по гугли, есть где довольно просто и понятно.

    А для начало выключи на время Касперского и попробуй все без него, помню мне так Nod32 мешал, не чего ни шло, что только ни делал, пока его вообще ни снес.

  19. Настроил VPN (PPTP)сервер в офисе на 2008R2.Сеть 192.168.10.0(сервер имеет адреса ...10.20(LAN) и 10.25(RRAS). Выход в инет через роутер 10.1 и внешний стат.адрес 88.99.00.11. Удаленные клиенты подключаются через VPN over 3G(DIR-620/Keenetic + 3G modem) - у них свои сети - например 192.168.20.0. При подключении роутер клиента получает адрес из пула 10.30-10.40.

    Состояние: Доступ в Интернет

    Адрес IPv4: 192.168.10.34

    Маска подсети: 255.255.255.255

    Адрес сервера: 192.168.10.25

    Удаленные ПК видят ресурсы в офисе, пингуют ПК офисной сети.

    Но из офиса пинги дальше удаленных роутеров не проходят - т.е. ресурсы удаленной сети из офиса не видны. Как настроить доступ из сетки "10" в "20"?

  20. Аноним | 2015-10-21 в 14:47:12

    А как сервер понимает кому можно подключаться, а кому нет. В настройках об этом ни слова. Извините, если вопрос показался откровенно дилетантским.

  21. Эти права выставляешь на уровне пользователя.

  22. Альберт | 2015-11-16 в 16:01:02

    Настроил как указано в статье всё работает до перезагрузки сервера. После перезагрузки сервера на клиентских машинах перестаёт работать интернет, несмотря на то что VPN подключено. Может какая служба отключается?

  23. Альберт, проверь маршруты (route print), шлюз. Может сбрасываются после перезагрузки

  24. Никола | 2016-03-09 в 09:42:16

    Здравствуйте. Возник такой вопрос. Ip адрес присваиваемый одному и тому же устройству после разрыва оказывается иным, как это дело исправить, так чтобы одному устройству выдавался постоянно один и тот же ip?

  25. Добрый день, Никола не все данные описаны - в первую очередь "выкуси" его в DHCP. Используй в DHCP резервирование.

    Посмотри в инете очень много информации про это

  26. Никола | 2016-03-09 в 11:56:40

    Добрый, ceval, про резервирование то понятно,а вот как резервировать в самой винде, это вопрос. Мне в винде не желательно поднимать DHCP-сервер, потому что вполне хватает того что на роутере. На роутере виднеется всего один mac-адрес на некий пул ip и это mac сервера, при включенной на сервере галочке "протокол DHCP" вместо "статический пул адресов"

  27. Windows не может резервировать ip, она получает адрес или имеет статический ip. Пропиши ей статитеский ip и все.

    Смотри внимательно по-любому хоть и на роутере, функция резервировать должна быть в DHCP

Оставьте комментарий!

grin LOL cheese smile wink smirk rolleyes confused surprised big surprise tongue laugh tongue rolleye tongue wink raspberry blank stare long face ohh grrr gulp oh oh downer red face sick shut eye hmmm mad angry zipper kiss shock cool smile cool smirk cool grin cool hmm cool mad cool cheese vampire snake excaim question

Используйте нормальные имена. Ваш комментарий будет опубликован после проверки.

Имя и сайт используются только при регистрации

Если вы уже зарегистрированы как комментатор или хотите зарегистрироваться, укажите пароль и свой действующий email. При регистрации на указанный адрес придет письмо с кодом активации и ссылкой на ваш персональный аккаунт, где вы сможете изменить свои данные, включая адрес сайта, ник, описание, контакты и т.д., а также подписку на новые комментарии.

(обязательно)