Uw eigen vpn-server maken. Wat is een VPN en waarom is het nodig. Video: een IPsec-tunnel configureren tussen twee Mikrotik-routers

Virtual Private Network, ook bekend als VPN, oftewel virtueel particulier netwerk. In feite, in zekere zin vergelijkbare netwerken moet worden gezien als een stap terug, maar een gedwongen en uiterst effectieve stap. Met VPN's kunt u teruggaan van wereldwijde netwerken naar lokale netwerken, zij het op een nogal ongebruikelijke schaal.

VPN daarentegen stelt je in staat computers verspreid over de hele wereld te verenigen in virtuele lokale netwerken, terwijl je kunt communiceren met andere netwerkleden alsof iedereen is verbonden met dezelfde router - speel verder lokaal netwerk, open gedeelde mappen aan de overkant " netwerkomgeving", Evenals afdrukken op" gedeelde "printers. We raden u dus aan te leren hoe u VPN-netwerken maakt, er verbinding mee maakt en ook enkele problemen oplost die zich kunnen voordoen (hoewel niet noodzakelijk) tijdens het gebruik ervan. Hoewel algemeen principe altijd hetzelfde blijft, zullen we het hebben over het instellen van een VPN op Windows 7.

Server maken

Laten we beginnen met het maken van een VPN-server - een computer waarmee andere gebruikers van ons virtuele netwerk verbinding zullen maken. Allereerst moeten we naar het Network Control Center gaan en Gedeelde toegang. Voor deze, de volgende acties:: Startknop; "Controlepaneel"; Netwerkcentrum.

Foto: "Netwerkcentrum"

Als het goed is bovenhoek je ziet het opschrift "Categorie", je moet erop klikken en de modus overschakelen naar "Grote pictogrammen" - deze weergavemodus wordt gebruikt in onze instructies.

Als resultaat zou je zoiets als dit moeten zien:

Met het venster dat op uw scherm wordt weergegeven, kunt u bijna elk aspect van het netwerk van uw computer besturen. Hier moet u op het pictogram "Adapterinstellingen wijzigen" klikken.

Foto: pictogram "Adapterinstellingen wijzigen"

Volg deze stappen om een ​​inkomende verbinding te maken:

Nu heb je dit venster op je scherm, met een paar kleine uitzonderingen.

Ten eerste kunnen er in de lijst met accounts andere items zijn, en het is ook onwaarschijnlijk dat u "vpnuser" gebruikt, die we nu met u zullen maken door op de knop "Gebruiker toevoegen" te klikken.

Foto: nieuwe gebruikersgegevens invoeren

Vul de aangegeven velden in:"Gebruiker" - de login van de klant wordt hier aangegeven; "Wachtwoord" en "Bevestiging" - het wachtwoord van de aangemaakte rekening(de waarden moeten overeenkomen); veld " Voor-en achternaam»Optioneel - het kan leeg worden gelaten, omdat het de functionaliteit niet beïnvloedt.

Klik na het invullen van de velden op de knop "OK". Als u nog een paar VPN-gebruikers wilt toevoegen (dit kan handig zijn voor verdere controle over hen), herhaalt u de procedure zo vaak als nodig is. Wanneer u klaar bent met het maken, klikt u op "Volgende". Zet in het volgende venster een vinkje in het veld "Via internet", anders is de knop "Volgende" niet beschikbaar. Dienovereenkomstig, na het selectievakje, klikt u op de knop en krijgt u het volgende venster:

Het blijft om de protocollen te configureren. Wat hun keuze betreft, is het beter om alles te laten zoals het is. Als u echter van plan bent applicaties te gebruiken die IPv6-ondersteuning nodig hebben, kunt u het vakje naast dit protocol aanvinken, maar in 99% van de gevallen is dit niet nodig.

Het is absoluut noodzakelijk om IPv4 correct te configureren:

Alles is nodig om in de toekomst aangesloten gebruikers te kunnen vinden. Bovendien kunt u op deze manier beperken maximaal aantal aangesloten, wat erg handig is. Als u klaar bent, klikt u op "OK" en vervolgens op de knop "Toegang toestaan". De VPN-server is aangemaakt. Het blijft alleen om op de knop "Sluiten" te klikken en te beginnen met het configureren van clients. Kijk ook eens naar het hoofdstuk "Port Forwarding" - dit kan handig zijn.

PC-verbinding

Laten we beginnen met het configureren van clientcomputers. Allereerst moet u het serveradres achterhalen, als u verbinding maakt met een "zelfgemaakte" VPN-server, hiervoor moet u ervan uitgaan (van de server), bijvoorbeeld naar de site myip.ru, die zal duidelijk en duidelijk uw IP-adres weergeven. In de toekomst raden we aan om diensten te gebruiken in de geest van DynDns - om geen tijd te verspillen aan het zoeken naar een adres.

Dus om een ​​VPN-verbinding tot stand te brengen, doen we het volgende:

Deze klik start een korte verbindingswizard, in de eerste stap moet u "Verbinden met een werkplek" selecteren en op "Volgende" klikken.

Foto: item "Verbinding met de werkplek"

Nu selecteren we het eerste item uit de lijst. U hoeft niet eens na te denken over de tweede in de 21e eeuw - deze is nodig voor DialUp-modems.

Als je alles goed hebt gedaan, is het tijd om het serveradres in te voeren. Dit kan het IP-adres zijn dat we op de server hebben bekeken, of de domeinnaam die kan worden verkregen via dynamische DNS-services.

In ons geval is het adres gespecificeerd als 157.57.121.54, maar in uw geval zullen de nummers waarschijnlijk anders zijn. Het veld "Bestemmingsnaam" kan naar eigen inzicht worden ingevuld - dit heeft geen invloed op de werking van het netwerk. Het is ook de moeite waard om het item "Nu geen verbinding maken" aan te vinken om geen tijd te verspillen aan het installatieproces.

Zodra de benodigde gegevens zijn opgegeven, klikt u op "Volgende" en gaat u verder met het invullen van de velden:

1. "Gebruikersnaam" - hier voert u de login in die is opgegeven bij het maken van de VPN-server;
2. "Wachtwoord" - op dezelfde manier - vooraf opgegeven pa VPN-rol-gebruiker;
3. optioneel kunt u het selectievakje "Wachtwoord onthouden" aanvinken.

Het blijft om op de knop "Maken" te klikken en uw VPN-verbinding is klaar. Als de server draait en u zeker bent van de juistheid van uw acties, kunt u nu verbinding maken met de knop "Nu verbinden". Daarnaast kun je altijd een verbinding tot stand brengen via het netwerkpictogram in de rechter benedenhoek.

Dat is alles. Als alles correct is gedaan, kunt u uw virtuele netwerk gaan gebruiken, maar we raden u aan dit artikel tot het einde te lezen - zelfs als alles nu goed werkt, bestaat het risico dat er vroeg of laat problemen optreden en het is beter op hen voorbereid zijn.

VPN-server in Windows 7

Allereerst moet worden opgemerkt dat de ingebouwde VPN-server in de G7 er een heeft die belangrijk en extreem is onaangename beperking- er kan slechts één persoon tegelijk verbinding maken met uw server. Wil je meer - put Windows-server er is echter een redelijk effectieve patch te vinden op het net die deze vervelende beperking opheft - na toepassing komen er verschillende verbindingen beschikbaar. Bovendien moet u soms voor een volwaardige configuratie de firewall en doorstuurpoorten configureren - we zullen u hier nu over vertellen.

Video: maak een verbinding

Firewalls configureren

In sommige gevallen wordt de verbinding tot stand gebracht, maar is er geen verbinding tussen de computers. Het draait allemaal om de ingebouwde firewall (of firewall) van Windows.

Om het gebruiksvriendelijker te maken, moet u aangeven dat u de aangesloten gebruikers vertrouwt.

We brengen een verbinding tot stand, gaan naar het "Network Control Center" en zoeken het verbindingspictogram. Het wordt "RAS" genoemd op de client en "VPN-verbinding" op de server.

We klikken erop op beide machines en selecteren "Thuisnetwerk".

Dat is alles, uw problemen zouden hiermee moeten verdwijnen.

Port forwarding

Een ander probleem is dat thuisrouters en ADSL-modems standaard niet het noodzakelijke openen VPN-poorten... In dit geval moet u dit handmatig doen.

Foto: Port forwarding instellen

U zult poorten op de server moeten openen, of beter gezegd, op de router waarmee deze is verbonden - hoe dit wordt gedaan, wordt in detail beschreven in de instructies voor uw apparaat, maar we zullen u alleen informeren dat de Windows VPN-server gebruikt TCP-poort: 1723. Schakel, indien beschikbaar, ook de GRE-vergrendeling uit.

Parameters instellen:

Zelfs als de VPN-server al is geconfigureerd, kunt u de parameters ervan wijzigen. Open hiervoor het venster "Adapterinstellingen wijzigen", dat we in het eerste deel van het artikel hebben gebruikt, en klik vervolgens op het pictogram "Inkomende verbindingen" klik met de rechtermuisknop en selecteer "Eigenschappen".

Er verschijnt een venster op uw scherm waar u gebruikers kunt bewerken, verwijderen en toevoegen, evenals protocolinstellingen en IP-bereiken. Met andere woorden, wijzig de parameters die u hebt opgegeven bij het maken van de verbinding.

Aandacht! Deze functie werkt alleen volledig als de verbinding niet actief is - als iemand met u is verbonden, verbreek dan de verbinding voordat u de parameters wijzigt.

Fout 807

Een netwerkfout over een onderbroken verbinding met het nummer 807 is een echte plaag voor beginnende beheerders. Om er vanaf te komen (of, door minstens, zoek de oorzaak van het optreden ervan), moet u verschillende stappen uitvoeren:

Probeer als extra maatregel alles opnieuw in te stellen.

Foutopsporingslogboeken inschakelen

Soms om te ontvangen Extra informatie u moet alle servergebeurtenissen naar een gemakkelijk leesbaar bestand schrijven. Om dit proces te starten, drukt u op Win + R en typt u in het geopende venster: netsh ras set tracing * ingeschakeld.

Druk op Enter en ga naar de map Windows \ tracing, daar vindt u verschillende bestanden (5 stuks), die gedetailleerde informatie bevatten over verbindingspogingen en verzonden gegevens. Ze kunnen door iedereen worden geopend tekstverwerker. Het uitschakelen van de opname wordt gedaan door een soortgelijk commando, maar het woord ingeschakeld moet worden vervangen door uitgeschakeld. VPN- perfecte oplossing voor verschillende gevallen. Het kreeg echter de grootste populariteit in de zakelijke omgeving. Stel dat u op zakenreis bent met uw laptop, maar deze wilt gebruiken alsof u op kantoor bent. Dan is een VPN precies wat je nodig hebt.

Bovendien wordt een dergelijke oplossing vaak gebruikt voor toegang op afstand tot printers - ondanks het feit dat er veel moderne protocollen, een dergelijke oplossing is nog steeds eenvoudig en handig.

En natuurlijk mogen we games niet vergeten - een VPN-netwerk maakt het veel gemakkelijker om te starten. spelprogramma's ontworpen om in een lokaal netwerk te werken. Dit alles is natuurlijk verre van volle lijst mogelijk VPN-toepassingen... Functies van deze dienst kan voor iedereen nuttig zijn, dus houd deze handleiding bij de hand.

Een VPN-server implementeren op een bedrijfsnetwerk is meer uitdagende taak dan het configureren van basisdiensten - NAT, DHCP en bestandsservers... Voordat u aan de slag gaat, is het noodzakelijk om de structuur van het toekomstige netwerk en de taken die met zijn hulp moeten worden opgelost, duidelijk te begrijpen. In dit artikel zullen we ingaan op de basisvragen, de antwoorden waarop u zeker moet weten, zelfs voordat u de server benadert. Deze aanpak zal veel voorkomen typische problemen en gedachteloos de instellingen uit het voorbeeld kopiëren, en u ook in staat stellen de VPN correct te configureren, precies voor uw taken en behoeften.

Wat is VPN?

VPN ( Virtueel prive netwerk) - virtueel particulier netwerk, deze afkorting verbergt een groep technologieën en protocollen waarmee u een logisch (virtueel) netwerk kunt organiseren over regulier netwerk... Het wordt veel gebruikt om toegang te differentiëren en de beveiliging van bedrijfsnetwerken te verbeteren, veilige toegang tot bronnen te organiseren bedrijfsnetwerk van buitenaf (via internet) en meer recentelijk door aanbieders van stedelijke netwerken voor het organiseren van internettoegang.

Welke soorten VPN zijn er?

Afhankelijk van de gebruikte VPN-protocol zijn onderverdeeld in:

• PPTP(Point-to-point-tunnelingprotocol) is een point-to-point-tunnelingprotocol waarmee u een beveiligde verbinding kunt organiseren door een speciale tunnel over een regulier netwerk te creëren. Tegenwoordig is het het minst veilige van alle protocollen en wordt het niet aanbevolen om het in externe netwerken te gebruiken om te werken met informatie die toegankelijk is voor buitenstaanders ongewenst. Om een ​​verbinding tot stand te brengen, worden twee netwerksessies gebruikt: voor gegevensoverdracht wordt een PPP-sessie tot stand gebracht met behulp van het GRE-protocol en een verbinding met Tcp-poort 1723 om de verbinding te initialiseren en te beheren. In dit opzicht is het vaak moeilijk om een ​​dergelijke verbinding tot stand te brengen in sommige netwerken, bijvoorbeeld bij hotel- of mobiele operators.

• L2TP (Layer 2 Tunneling Protocol) is een Layer 2 Tunneling Protocol, een meer geavanceerd protocol gebaseerd op PPTP en L2F (Cisco's Layer 2 Handover Protocol). De voordelen zijn onder meer een veel hogere beveiliging door middel van versleuteling IPSec-protocol en het combineren van het datakanaal en het besturingskanaal in één UDP-sessie.

• SSTP (Secure Socket Tunneling-protocol)- Secure Socket Tunneling Protocol, gebaseerd op SSL en stelt u in staat veilige VPN-verbindingen te maken via HTTPS. Vereist voor zijn werk open poort 443, waarmee u overal verbindingen kunt maken, zelfs van achter een reeks proxy's.

Waar worden VPN's meestal voor gebruikt?

Laten we eens kijken naar enkele van de meest gebruikte VPN-gebruiken:

• Toegang tot internet. Meestal gebruikt door providers van grootstedelijke netwerken, maar ook heel gebruikelijk in bedrijfsnetwerken. Het belangrijkste voordeel is een hoger beveiligingsniveau, omdat toegang tot het lokale netwerk en internet via twee verschillende netwerken, waarmee we voor hen kunnen instellen verschillende niveaus veiligheid. Met de klassieke oplossing - distributie van internet naar het bedrijfsnetwerk - is het praktisch onmogelijk om verschillende beveiligingsniveaus voor lokaal en internetverkeer te weerstaan.

• Toegang tot het bedrijfsnetwerk van buitenaf, het is ook mogelijk om filiaalnetwerken te combineren tot: enkel netwerk... Dit is precies waar VPN voor is bedacht, het stelt je in staat om te organiseren veilig werken in één bedrijfsnetwerk voor klanten buiten de onderneming. Het wordt veel gebruikt om geografisch verspreide divisies te verenigen, om medewerkers op zakenreis of op vakantie toegang te geven tot het netwerk en om thuiswerken mogelijk te maken.

• Consolidatie van bedrijfsnetwerksegmenten. Een bedrijfsnetwerk bestaat vaak uit meerdere segmenten met verschillende niveaus van beveiliging en vertrouwen. In dit geval kan een VPN worden gebruikt om tussen segmenten te communiceren, het is veel meer veilige oplossing in plaats van eenvoudig netwerken. Op deze manier is het bijvoorbeeld mogelijk om de toegang van een magazijnnetwerk tot individuele resources van een verkoopafdelingsnetwerk te organiseren. Omdat het een aparte logisch netwerk, hiervoor kunt u alle noodzakelijke beveiligingsvereisten instellen zonder de werking van afzonderlijke netwerken te beïnvloeden.

Een VPN-verbinding opzetten.

Werkstations onder Windows-besturing, hoewel de server zowel onder Windows als onder Linux of BSD kan werken, zullen we daarom rekening houden met de verbindingsinstellingen op Windows-voorbeeld 7. We zullen er niet bij stilstaan basis instellingen, ze zijn eenvoudig en duidelijk. Laten we stilstaan ​​​​bij één subtiel punt.

Bij het aansluiten van een reguliere VPN-verbinding, wordt de hoofdgateway aangegeven voor het VPN-netwerk, dat wil zeggen internet aan klant machine verloren gaan of worden gebruikt via een externe netwerkverbinding. Het is duidelijk dat dit op zijn minst onhandig is en in sommige gevallen kan leiden tot dubbele betaling voor verkeer (een keer in het externe netwerk, de tweede keer in het netwerk van de provider). Om dit moment op het tabblad uit te sluiten Netwerk in protocoleigenschappen TCP / IPv4 druk op de knop aanvullend en in het venster dat wordt geopend, schakelt u het selectievakje uit Gebruik standaard gateway op extern netwerk.

We zouden niet zo gedetailleerd op deze kwestie ingaan als er niet massaal problemen optreden en het gebrek aan elementaire kennis over de redenen voor dit gedrag van VPN-verbindingen bij veel systeembeheerders.

In ons artikel zullen we een andere overwegen echt probleem - juiste instelling routering voor VPN-clients, wat de basis is voor competente constructie VPN-netwerken bedrijfsniveau.

In dit artikel laten we u zien hoe u de eenvoudigste VPN-server installeert en configureert op basis van Windows Server 2012 R2, die kan worden gebruikt in kleine organisatie of bij gebruik van een stand-alone server (zogenaamde gehoste scripts).

Opmerking... Deze handleiding wordt niet aanbevolen als referentie voor het organiseren van een VPN-server in een groot bedrijfsnetwerk. Als bedrijfsoplossing verdient het de voorkeur om deze te gebruiken voor toegang op afstand (wat overigens nu veel gemakkelijker te configureren is dan in Windows 2008 R2).

Allereerst moet u de rol instellen " Toegang op afstand”. Dit kan via Serverconsole Manager of PowerShell (domme hieronder).

In de rol van Remote Access zijn wij geïnteresseerd in de dienst “ DirectAccess en VPN (RAS)”... Installeer het (het installeren van de service is triviaal; in de volgende stappen kunnen alle instellingen standaard worden behouden. Web IIS-server, Windows interne databasecomponenten - WID).

RAS-service met Powershell gebruiken kan worden geïnstalleerd met het commando:

Installeren-WindowsFuncties RemoteAccess -IncludeManagementTools

Aangezien we de DirectAccess-service niet hoeven te implementeren, zullen we aangeven dat we alleen de VPN-server hoeven te installeren (paragraaf " Alleen VPN implementeren“).

Dan opent een vriend MMC-console Routering en toegang op afstand. Klik in de console met de rechtermuisknop op de servernaam en selecteer " Routering en externe toegang configureren en inschakelen“.

De wizard RAS-serverconfiguratie wordt gestart. Selecteer in het wizardvenster het item " Aangepaste configuratie"En vink vervolgens de" VPN-toegang "optie aan.

Na het voltooien van de wizard biedt het systeem aan om de Routing and Remote Access-service te starten. Doe het.

In het geval dat tussen uw VPN-server en extern netwerk waar clients verbinding maken (meestal internet), er een firewall is, moet u de volgende poorten openen en verkeer naar deze poorten omleiden naar uw VPN-server op basis van Windows Server 2012 R2:

• Voor PPTP: TCP - 1723 en Protocol 47 GRE (ook wel PPTP Pass-through genoemd)
• Voor SSTP: TCP 443
• Voor L2TP via IPSEC: TCP 1701 en UDP 500

Na het installeren van de server moet u VPN-toegang toestaan ​​in de gebruikerseigenschappen. Als de server is opgenomen in Actief domein Directory, moet u dit doen in de gebruikerseigenschappen in de console, als de server lokaal is - in de gebruikerseigenschappen in de computerbeheerconsole (Netwerktoegangsmachtiging - Toegang toestaan).

Als u geen gebruik maakt van een derde partij DHCP server, die IP-adressen distribueert naar vpn-clients, moet u: VPN-eigenschappen server op het IPv4-tabblad "Statische adrespool" inschakelen en het bereik van gedistribueerde adressen specificeren.

Opmerking... Met het oog op een correcte routering mogen de IP-adressen die door de server worden gedistribueerd, de IP-adressering aan de VPN-clientzijde niet kruisen.

Het blijft om de VPN-client te configureren en te testen ().

In dit artikel gaan we dieper in op het proces van het opzetten van een VPN-server in de operatiekamer. Windows-systeem Server, en beantwoord ook de vragen: Wat is VPN en hoe te configureren? VPN-verbinding?

Wat is een VPN-verbinding?

VPN (Virtual Private Network) is een virtueel particulier netwerk dat wordt gebruikt om een ​​veilige verbinding met het netwerk te bieden. Een technologie waarmee u een willekeurig aantal apparaten kunt combineren tot prive netwerk... In de regel via internet.

Hoewel deze technologie niet nieuw is, heeft deze recentelijk aan relevantie gewonnen vanwege de wens van gebruikers om de gegevensintegriteit of privacy in realtime te behouden.

Dit type verbinding wordt een VPN-tunnel genoemd. U kunt vanaf elke computer verbinding maken met een VPN, met elk besturingssysteem dat een VPN-verbinding ondersteunt. Ofwel is er een VPN-Client geïnstalleerd die port forwarding kan doen via TCP/IP in virtueel netwerk.

Wat een VPN doet

VPN biedt externe verbinding met privénetwerken

U kunt ook veilig meerdere netwerken en servers combineren.

Computers met IP-adressen van 192.168.0.10 tot 192.168.0.125 zijn verbonden via een netwerkgateway die als VPN-server fungeert. Voorheen moesten de server en router regels hebben voor VPN-verbindingen.

Met VPN kunt u veilig internet gebruiken wanneer u bent verbonden, zelfs om wifi openen netwerken in openbare ruimtes (in winkelcentra, hotels of luchthavens)

En omzeil ook beperkingen op het weergeven van inhoud in bepaalde landen

VPN voorkomt dat cyberdreigingen informatie on-the-fly onderscheppen door een aanvaller, onzichtbaar voor de ontvanger.

Hoe VPN werkt

Laten we eens kijken hoe een VPN-verbinding in principe werkt.

Stel je voor dat transmissie de beweging is van een pakket langs een weg van punt A naar punt B, op het bewegingspad van het pakket zijn er controleposten een datapakket overslaan. Bij een VPN gebruiken, wordt deze route bovendien beschermd door een coderingssysteem en gebruikersauthenticatie om het verkeer dat het datapakket bevat te beveiligen. Deze methode wordt "tunneling" genoemd

In dit kanaal is alle communicatie betrouwbaar beschermd, en alle tussenliggende knooppunten gegevensoverdrachten hebben betrekking op een versleuteld pakket en alleen wanneer gegevens naar de geadresseerde worden verzonden, worden de gegevens in het pakket ontsleuteld en komen ze beschikbaar voor de geautoriseerde ontvanger.

VPN houdt uw informatie privé samen met uitgebreide antivirusprogramma's.

VPN ondersteunt certificaten zoals OpenVPN, L2TP, IPSec, PPTP, PPOE en het blijkt volledig veilig en veilige manier dataoverdracht.

VPN-tunneling is van toepassing:

1. Binnen het bedrijfsnetwerk.
2. Consolidatie van externe kantoren, evenals kleine filialen.
3. Toegang tot externe it-bronnen.
4. Om videoconferenties te bouwen.

VPN-creatie, selectie en configuratie van apparatuur.

Voor bedrijfscommunicatie in grote organisaties of verenigingen verre vriend van andere kantoren gebruikte hardwareapparatuur die in staat is om: soepele werking en beveiliging op het netwerk.

Om gebruik te maken van een vpn-service kunnen als netwerkgateway fungeren: linux/Windows-servers, een router en een netwerkgateway waarop de VPN is geïnstalleerd.

De router moet een betrouwbare netwerkwerking bieden zonder te bevriezen. Ingebouwd VPN-functie stelt u in staat om de configuratie voor thuiswerk, in de organisatie of het filiaal te wijzigen.

Een VPN-server opzetten.

Als u een VPN-server wilt installeren en gebruiken op basis van: Windows-familie, dan moet je die klant begrijpen Windows-machines XP / 7/8/10 ondersteunt deze functie niet, je hebt een virtualisatiesysteem of een fysieke server nodig Windows-platform 2000/2003/2008/2012/2016, maar we zullen deze functie bekijken op Windows Server 2008 R2.

1. Eerst moet u de serverrol "Netwerkbeleid en toegangsservices" installeren. Open hiervoor de serverbeheerder en klik op de link "Rol toevoegen":

Selecteer de rol "Netwerkbeleid en toegangsservices" en klik op volgende:

Selecteer "Routing and Remote Access Services" en klik op Volgende en Installeren.

2. Nadat u de rol hebt geïnstalleerd, moet u deze configureren. Ga naar de servermanager, open de tak "Rollen", selecteer de rol "Netwerkbeleid en toegangsservices", vouw uit, klik met de rechtermuisknop op "Routing and Remote Access" en selecteer "Configureer en schakel routering en externe toegang in"

Na het starten van de service beschouwen we de configuratie van de rol als voltooid. Nu moet u gebruikers toegang geven tot de server en de uitgifte van ip-adressen aan clients configureren.

Poorten ondersteund door VPN. Nadat de service is opgeheven, openen ze in de firewall.

Voor PPTP: 1723 (TCP);

Voor L2TP: 1701 (TCP)

Voor SSTP: 443 (TCP).

L2TP / IpSec is het voorkeursprotocol voor het bouwen van VPN-netwerken, voornamelijk voor beveiliging en meer hoge beschikbaarheid, vanwege het feit dat één UDP-sessie wordt gebruikt voor data- en besturingskanalen. Vandaag zullen we kijken naar de L2TP / IpSec VPN-serverconfiguratie op het Windows Server 2008 r2-platform.

U kunt proberen te implementeren op protocollen: PPTP, PPOE, SSTP, L2TP / L2TP / IpSec

Ga naar Serverbeheer: Rollen - Routering en toegang op afstand , klik met de rechtermuisknop op deze rol en selecteer " Eigendommen", plaats op het tabblad "Algemeen" een vinkje in de velden voor IPv4-router, selecteer "Local Area Network and call on demand" en IPv4-server voor externe toegang:

Nu moeten we de vooraf gedeelde sleutel invoeren. Ga naar het tabblad Veiligheid en in het veld Specifiek IPSec-beleid toestaan ​​voor L2TP-verbinding vink het vakje aan en voer uw sleutel in. (Wat betreft de sleutel. U kunt daar een willekeurige combinatie van letters en cijfers invoeren hoofdprincipe:, hoe moeilijkere combinatie- hoe veiliger, en onthoud of schrijf deze combinatie op, we hebben hem nog steeds nodig). Selecteer op het tabblad Verificatieprovider de optie Windows-verificatie.

Nu moeten we configureren Verbindingsbeveiliging... Ga hiervoor naar het tabblad Veiligheid en kies Verificatiemethoden, controleer de dozen EAP en versleutelde validatie (Microsoft versie 2, MS-CHAP v2):

Ga vervolgens naar het tabblad IPv4, daar zullen we aangeven welke interface VPN-verbindingen accepteert, evenals de pool van uitgegeven adressen configureren voor L2TP VPN-clients op het IPv4-tabblad (Stel de interface in op "Sta RAS toe om adapter te selecteren"):

Laten we nu naar het tabblad gaan dat verschijnt Poorten, klik met de rechtermuisknop en Eigendommen, kies een verbinding L2TP en druk op Afstemmen, in een nieuw venster zetten Inbelverbinding (alleen inkomend) en Connect on demand (inkomend en uitgaand) en stel het maximale aantal poorten in, het aantal poorten moet overeenkomen met of groter zijn dan het verwachte aantal clients. Het is beter om ongebruikte protocollen uit te schakelen door beide selectievakjes in hun eigenschappen uit te schakelen.

Lijst met poorten die we nog hebben in de opgegeven hoeveelheid.

Hiermee is de serverconfiguratie voltooid. Het enige dat overblijft is om gebruikers in staat te stellen verbinding te maken met de server. Ga naar Serverbeheer Active Directory – gebruikers - we vinden de gebruiker die we willen toegang te verlenen duw eigendommen, ga naar de bladwijzer inkomende oproepen

De groeten! En direct ter zake. Waar is een VPN-server voor? Het wordt voornamelijk gebruikt om het IP-adres en hun land te wijzigen om verschillende blokkeringssites op het werk en thuis te omzeilen. Bovendien helpt een VPN-verbinding het verkeer te versleutelen en zo de veiligheid van de verzonden gegevens te waarborgen.

Bijvoorbeeld met behulp van openbare wifi, kunnen alle gegevens die over het netwerk worden verzonden, worden "gekaapt". In theorie kunnen dit alle bestanden zijn, maar ze stelen meestal wachtwoorden van portefeuilles, e-mail, Skype en wat dan ook. In dit artikel gaan we onze eigen VPN-server opzetten, moeilijk is het niet. Ondanks het volume van de tekst, neemt de hoofdactie een klein deel in beslag en de rest is goodies.Er is ook een video in het artikel.

Er zijn er talloze op internet, variërend van gratis tot zeer betaalde. Nadelen van gratis VPN-services:

• beperkt in snelheid
• instabiliteit (soms is alles goed, soms vertraagt ​​het vreselijk)
• verkeersbeperkingen (tot enkele gigabytes per maand)
• beperkingen op de gratis proefperiode
• af en toe moet je op zoek naar andere diensten
• niet het feit dat de verzonden gegevens veilig zijn, je moet helemaal niet op anonimiteit vertrouwen, zou ik zeggen.

Nadelen van betaald:

• er is niet altijd het juiste land of de juiste stad
• gehackte IP-adressen (gebruikt door honderden klanten), is ook van toepassing op gratis
• er is gewoon bedrog zonder restitutie, het verkeer is bijvoorbeeld niet onbeperkt, sommige servers werken niet of zijn te traag

Er zijn ook voordelen van VPN-services - ze zijn gebruiksgemak, relatief goedkoop.

Eigen VPN-server gehost door VPS / VDS

Dus als je een specifiek land of een bepaalde stad nodig hebt, of je hebt veel verkeer nodig dat VPN-services niet bieden, een garantie voor veiligheid - dan is het logisch om in de war te raken door een persoonlijke VPN-server in te stellen. Hiervoor is meestal diepgaande kennis vereist. systeem administratie servers. Maar ik probeerde alles eenvoudig uit te leggen, zodat zelfs de ketel het zou kunnen achterhalen)

Deze methode heeft ook nadelen:

• er is maar één IP-adres waarnaar u kunt "overdragen", maar er zijn extra tegen betaling
• niet-triviale setup voor de eerste keer
• betaald

Lees tot het einde en ik zal je laten zien hoe je je VPS-server kunt gebruiken om blokkering te omzeilen zonder er een VPN op in te stellen.

Wat is een VPS/VDS-server?

Er zijn talloze hostingproviders op internet. Ze laten ze allemaal toe om hun websites te hosten. De meest populaire service is: virtuele hosting... Meer geavanceerd is toegewijd virtuele server- VPS (VDS is hetzelfde). U kunt sites hosten op een VPS, een VPN-server opzetten, mail server, spelserver- wat dan ook!

U moet weten dat er verschillende soorten VPS-servers zijn: OpenVZ, Xen en KVM. Om de VPN-server te laten werken, heb je nodig: KVM... Het servertype staat aangegeven in de hostingtarieven. OpenVZ en Xen zijn soms ook geschikt, maar u moet naar de hostingondersteuning schrijven en vragen of de "TUN" -module is aangesloten. Zonder in details te treden voor wat het is, vraag het gewoon. Zo niet, kunnen ze het dan aanzetten. Het kan ook geen kwaad om te vragen of de VPN als zodanig zal werken (zelfs op KVM), aangezien sommige bedrijven verdoezelen deze kans. Oh ja, het serverbesturingssysteem is Debian, Ubuntu of CentOS (meestal Linux-achtig). Servercapaciteit maakt niet uit.

Een VPN-server instellen

Ik heb een KVM VPS-server tot mijn beschikking. Alles werkt hier tegelijk, je hoeft nergens te schrijven.

• Bij het bestellen van een dienst kun je kiezen voor de eenvoudigste tariefplan"Micro"
• Alle sites openen zelfs op servers in Rusland
• Er is een gratis testperiode 7 dagen
• Technische ondersteuning helpt
• Voor mijn bezoekers, wanneer u de promotiecode invoert: itlike60 - u ontvangt echte korting 60% op de eerste betaling.

"Hostnaam" voer een of de naam van uw site in (indien in de toekomst). "OS-sjabloon" selecteer "Ubuntu 14.04 64bit" of een van Ubuntu, Debian, CentOS:

Het besturingssysteem kan dan worden gewijzigd als er plotseling iets niet lukt.

Na betaling worden de inloggegevens voor het controlepaneel en het Root wachtwoord voor het instellen van de server naar de mail gestuurd. En ook het IP-adres van de server, en het zal uw IP-adres zijn wanneer we de VPN openen en er verbinding mee maken vanaf de computer

Druk op de knop "Beheren" en ga naar het beheervenster:

We hoeven hier niets aan te raken. Het enige dat nodig kan zijn, is de herinstallatie van het besturingssysteem - de knop "Opnieuw installeren", daarover later meer.

Nu moeten we verbinding maken met de server om er opdrachten naar te sturen. Hiervoor gebruiken we gratis programma Stopverf.

Pak het archief uit met het programma en voer het bestand uit

putty.org.ru \ PuTTY PORTABLE \ PuTTY_portable.exe

Plak in het veld "Hostnaam" het IP-adres van de server die in de brief staat, je kunt het ook kopiëren vanuit het configuratiescherm:

en klik op "Verbinden". Als zo'n venster is verschenen, klik dan op "Ja":

Voor ons zou moeten verschijnen zwart raam troosten ( opdrachtregel). Dit is waar we commando's zullen geven. Maar eerst moet je inloggen. Om dit te doen, typt u in het veld "login" "root"

Kopieer vervolgens het root-wachtwoord uit de brief en plak het in het veld "wachtwoord". Om hier vanaf het klembord te plakken, hoeft u slechts eenmaal met de rechtermuisknop op het consolevenster te klikken. In dit geval wordt het wachtwoord niet op het scherm afgedrukt, het voelt alsof er niets is gebeurd. Alles is in orde, we drukken op "Enter". Regels met informatie over het systeem moeten erdoor glippen. Als het een fout heeft geschreven, controleer dan alles opnieuw. Ook zal de console niet lang wachten terwijl je naar het root-wachtwoord zoekt. Als er op dat moment een foutmelding verschijnt, start dan Putty opnieuw.

Het hoofdscript installeren en uitvoeren

We zijn al bij de homestretch in tuning eigen VPN-server... Er zijn veel instructies op internet om een ​​server te installeren, maar ze vereisen allemaal kennis. systeem administrator, omdat kleine nuances over het hoofd worden gezien. Tot grote vreugde van alle dummies is er een universeel script "OpenVPN road warrior" dat al het werk zelf zal doen. We hoeven alleen de opdracht te geven om het te downloaden en uit te voeren.

Kopieer dus deze regel en plak deze in het consolevenster met de rechterknop en druk op "Enter":

wget https://git.io/vpn -O openvpn-install.sh && bash openvpn-install.sh

Allerlei regels worden overgeslagen en, als het script met succes is gedownload en gelanceerd, start een dialoog van de VPN-serverconfiguratiewizard bij ons:

Het script vindt de verwachte waarde voor elke parameter en biedt aan ermee in te stemmen, d.w.z. druk op "Enter", of voer uw eigen waarde in.

1. De eerste parameter is "IP adres"... Het script moet dezelfde IP VPS-server bieden. Het zou in 99,9% van de gevallen zo moeten zijn, maar als dit om de een of andere reden niet zo is, corrigeer het dan naar het juiste adres.
2. De tweede is het protocol UDP of TCP... Laat de standaard UDP staan.
3. Ga verder, "Poort: 1194"- daar zijn we het over eens.
4. "Welke DNS wil je gebruiken met de VPN?"- kies "Google", d.w.z rijden in het nummer "2" in plaats van één, Enter. Als Google is geblokkeerd, laten we het standaard staan.
5. "Klantnaam"- Gebruikersnaam. U kunt toegang maken voor verschillende gebruikers... De standaard is "klant" - daar zijn we het mee eens.
6. "Druk op elke sleutel…» - druk op "Enter" en wacht een paar minuten totdat alles is geïnstalleerd en geconfigureerd.

Over het algemeen is het maken van de VPN-server voorbij, het is tijd om de vruchten te plukken. Tijdens het installatieproces heeft het script een configuratiebestand voor onze computer gemaakt. Om de server te kunnen gebruiken, moet dit bestand worden gedownload. Om dit te doen, voegt u in de opdrachtregel in:

kat ~ / client.ovpn

De inhoud van het bestand "client.ovpn" wordt weergegeven. Nu moet het zorgvuldig naar het klembord worden gekopieerd. Scroll naar boven om het commando in te voeren, selecteer met de muis alle regels, behalve de allerlaatste (voor nieuwe commando's), d.w.z. de laatst geselecteerde regel zal zijn “ ”. Om de selectie naar het klembord te kopiëren, drukt u op "Ctrl-V".

Open nu op een computer in Windows 7/8/10 Kladblok en plak de gekopieerde tekst erin. We slaan het bestand op de desktop op onder de naam "client.ovpn".

Als je van plan bent om andere mensen toegang te geven tot de server, is het beter om voor hen te creëren aparte bestanden, bijvoorbeeld vasya.ovpn. Om dit te doen, voert u het script gewoon opnieuw uit en selecteert u nu het eerste item - een nieuwe gebruiker maken.

Clientinstallatie voor Windows 7/8/10 / XP en Android

Gefeliciteerd, we zijn bij de finish! Nu hoeft u alleen nog een gratis programma te installeren dat verbinding maakt met onze VPN-server. Het wordt "OpenVPN" genoemd.

Download de Windows-versie en installeer deze, u hoeft deze niet te starten.

Als tijdens het installatieproces allerlei vensters verschijnen, zijn we het met alles eens.

Om verbinding te maken met de server, klik met de rechtermuisknop op het bestand "client.ovpn" op het bureaublad en selecteer "Start OpenVPN op dit configuratiebestand":

Er verschijnt een zwart venster met het initialisatieproces van de verbinding. Als alles goed is gegaan, zou de laatste regel als volgt moeten zijn:

Er kan ook een venster verschijnen met een vraag als: nieuw netwerk en selecteer vervolgens 'Openbaar netwerk'.

U kunt controleren, naar de site 2ip.ru gaan en naar uw IP kijken, deze moet overeenkomen met het IP van de VPS-server:

Het serverconsolevenster kan nu veilig worden gesloten. En om de VPN-verbinding te sluiten en het oude IP-adres terug te geven, moet u het venster van OpenVPN sluiten.

Om de volgende keer verbinding te maken, hoeft u alleen maar met de rechtermuisknop op het bestand "client.ovpn" vanaf uw bureaublad te klikken, u hoeft verder niets te doen.

Met telefoon het is nog eenvoudiger, je moet de OpenVPN-applicatie installeren via de playmarket, het client.ovpn-bestand uploaden naar het geheugen, het selecteren in de applicatie en verbinding maken met onze vpn-server.

Wat als er iets mis gaat?

Als je het gevoel hebt dat alles mis gaat door jouw fout, dan kun je het besturingssysteem opnieuw installeren op de hosting. Om dit te doen, klikt u in het configuratiescherm op "Opnieuw installeren" (zie de schermafbeelding van het paneel) en selecteert u een nieuw besturingssysteem (of hetzelfde):

We drukken op de knop "Opnieuw installeren" en wachten 10 minuten. Er wordt ook een nieuw root-wachtwoord uitgegeven, verlies het niet!

Verbindingsfouten

De meeste problemen doen zich voor in de fase van verbinding maken met de server in OpenVPN-programma vooral op Windows 8/10. Er kunnen fouten in het zwarte venster staan, bijvoorbeeld:

• FlushIpNetTable mislukt op interface
• Alle TAP-Win32-adapters op dit systeem zijn momenteel in gebruik
• CreateFile mislukt op TAP-apparaat
• DNS mislukt..

In dit geval is het eerste wat u moet doen om de programmabeheerdersrechten te geven en dienovereenkomstig het systeem met beheerdersrechten te betreden. Ga naar "C: \ Program Files \ OpenVPN \ bin \", klik met de rechtermuisknop op het bestand openvpn.exe -> eigenschappen. Vink op het tabblad "Compatibiliteit" het selectievakje "Dit programma uitvoeren als beheerder" aan. Alles zou nu moeten werken.

Meer behandelmogelijkheden:

• verwijder het programma en installeer het opnieuw als admin
• schakel de service "Routing en toegang op afstand" uit via "Configuratiescherm -> Systeembeheer -> Services"
• probeer opnieuw te installeren vanaf of vanaf hier
• verwijder alle VPN-programma's en pribluda van andere betaalde en gratis services

U kunt begrijpen of het probleem in uw computer of laptop zit door de OpenVPN-toepassing op uw telefoon of tablet te installeren via de playmarket, het client.ovpn-bestand ernaar te uploaden en verbinding te maken met onze VPN-server. Als dit niet lukt, moet u de reden op de server zoeken, schrijven naar de ondersteuningsservice.

Als alles werkt, zijn de sites bot en met tussenpozen open

Let op de berichten in het zwarte venster, als er dubbele regels zijn "lees van TUN / TAP ... (code = 234)"

en ook naar het bericht ergens in het midden "WAARSCHUWING: 'tun-mtu' wordt inconsistent gebruikt, lokaal ...":

Open in dit geval het bestand client.ovpn in Kladblok en schrijf in de nieuwe allereerste regel:

tun-mtu 'serverwaarde'

serverwaarde Is het nummer aangegeven aan het einde van de regel in de tekst “remote =’ tun-mtu 1500 ′ ”. Wij vervangen onze waarde! Als resultaat zou het er als volgt uit moeten zien:

Dit wordt gedaan omdat om de een of andere reden MTU-waarde op de computer en op de VPS-server zijn verschillend. Laat het .ovpn-bestand voor de smartphone intact!

We laten verkeer door een proxy zonder enige instellingen

U kunt onze VPS / VDS-server gebruiken als: Proxy server... Om dit te doen, doen we alles zoals voorheen tot het moment dat u op de knop "Verbinden" klikt in Putty programma... Het is niet nodig om een ​​console te openen en een script uit te voeren. Ga naar het tabblad "SSH-> Tunnel", registreer Bronpoort: 3128

Oeps, ik heb het artikel later afgemaakt, hier heb ik Putty in het Engels, maar de essentie is hetzelfde.

Als het de fout "U moet een bestemmingsadres opgeven in de vorm host.name:port" schrijft, schakelt u over naar "Dynamisch" in plaats van "Lokaal".

Stel op het tabblad "Verbinding" in het veld "Seconden tussen keepalives ..." 100 seconden in, dit is nodig zodat de verbinding niet wordt verbroken door inactiviteit. Nu maken we verbinding - druk op "Open", voer de gebruikersnaam / het wachtwoord in. Ga vervolgens naar de netwerkinstellingen in de browser en registreer daar de proxyserver. In chroom is het “Instellingen-> Zoek naar instellingen-> schrijf‘proxy ’” -> Proxyserverinstellingen. We doen alles zoals in de screenshot:

Nu werken alle sites via onze server, maar alleen in de browser en sommige programma's. Andere programma's zullen de proxy niet zien, ze zullen direct werken. Het is noodzakelijk in elk programma in de verbindingsinstellingen, indien aanwezig, het adres, de poort en het proxytype te registreren: Socks4 / 5. Of installeer OpenVPN en gebruik geen proxy.

Alleen individuele sites toestaan ​​via een proxy

Installeer de extensie voor Google chrome of Mozilla Firefox wordt genoemd. In de instellingen moet u onze proxyserver toevoegen:

Voeg op het tabblad "URL-patronen" sitemaskers toe die via onze server moeten worden geopend. Het sitemasker is zijn naam met sterretjes aan de zijkanten.

Dat is het, nu gaat de toegevoegde site door de proxy en de rest gaat rechtstreeks. Als u op het extensiepictogram klikt, kunt u ervoor kiezen om alle sites of helemaal geen sites door te laten.

Snelkoppeling voor automatische verbinding

U kunt Putty met één klik verbinden met een proxy. Om dit te doen, moet u, voordat u verbinding maakt, in het gedeelte "Verbinding-> Gegevens" de serverlogin registreren, degene die gewoonlijk wortel

Nu moet u een snelkoppeling op het bureaublad maken, waarin u de volgende parameters opgeeft:

"C: \ Program Files \ PuTTY \ putty.exe" -load myvpn -pw server_password

waar mijnvpn Is de naam van de opgeslagen sessie. Dat is het, er is nog maar één detail over - om het Putty-venster van de taakbalk naar het systeemvak te verwijderen. U moet de wijziging van het hulpprogramma downloaden en het exe-bestand vervangen. Nu in de instellingen op het tabblad Gedrag er verschijnt een bijbehorend vinkje, maar u hoeft dit niet te doen.