Пакапаўшыся па прасторах інтэрнэту ў пошуках софту для пабудовы свайго ўласнага VPN, увесь час натываешся на кучу гайдаў злучаных з нязручным у наладзе і выкарыстанні OpenVPN, патрабавальным прапрыетарнага кліента Wireguard, толькі адзін SoftEther з усяго гэтага цырка адрозніваецца адэкватнай рэалізацыяй. Але мы раскажам, так бы мовіць, аб натыўнай для Windows рэалізацыі VPN – Routing And Remote Access (RRAS).
Па дзіўнай прычыне, ніхто ні ў адным гайдзе не напісаў пра тое, як гэта ўсё разгарнуць і як уключыць на ім NAT, таму мы зараз усё выправім і раскажам, як зрабіць свой уласны VPN на Windows Server.
Ну а ўжо гатовы і наладжаны VPN можна замовіць з нашага
1. Усталёўваны службы
Спачатку, нам спатрэбіцца Windows Server Desktop Experience. Усталёўка Core нам не падыдзе, бо адсутнічае кампанент NPA. Калі кампутар будзе чальцом дамена, можна спыніцца і на Server Core, у такім выпадку ўся гэтая справа можна абкласці ў гігабайт АЗП.
Нам трэба ўсталяваць RRAS і NPA (Network Policy Server). Першы нам спатрэбіцца для стварэння тунэля, а другі патрэбен у выпадку, калі сервер не з'яўляецца чальцом дамена.
У выбары кампанентаў RRAS выбіраемы Direct access and VPN і Routing.
2. Наладжваем RRAS
Пасля таго, як мы ўсталявалі ўсе кампаненты і перазагрузілі машыну, трэба прыступіць да наладкі. Як на малюнку, у пуску, знаходзім дыспетчар RRAS.
Праз гэта абсталяванне мы можам кіраваць серверамі з усталяваным RRAS. Ціснем правай кнопкай мышы, выбіраемы наладу і пераходзім.
Прапусціўшы першую старонку пераходзім да выбару канфігурацыі, выбіраемы сваю.
На наступнай старонцы нам прапануецца абраць кампаненты, выбіраемы VPN і NAT.
Далей, далей. Гатова.
Цяпер трэба ўключыць ipsec і прызначыць пул адрасоў, які будзе выкарыстоўваць наш NAT. Ціснем правай кнопкай мышы па серверы і пераходзім ва ўласцівасці.
Перш за ўсё ўводзім свой пароль для l2TP ipsec.
На ўкладцы IPv4 абавязкова трэба ўсталяваць які выдаецца кліентам дыяпазон ip адрасоў. Без гэтага NAT не запрацуе.
Цяпер засталося дадаць інтэрфейс за NAT. Пераходзім у падпункт IPv4, ціснем правай кнопкай мышы па пустым месцы і дадаем новы інтэрфейс.
На інтэрфейсе (той які не Internal) уключаем NAT.
3. Дазваляем правілы ў брандмаўэры
Тут усё проста. Трэба знайсці групу правіл Routing and Remote Access і ўключыць іх усіх.
4. Наладжваем NPS
Шукаем у пуску Network Policy Server.
У закладках, дзе пералічаны ўсе палітыкі, трэба ўключыць абедзве стандартныя. Гэта дазволіць усім лакальным карыстачам падлучэнне да VPN.
5. Падключаемся па VPN
Для дэманстрацыйных мэт абярэм Windows 10. У меню пуск шукаем VPN.
Ціснем на кнопку дадання падлучэння і пераходзім у налады.
Імя падлучэння задавайце якое вам жадаецца.
IP адрас - гэта адрас вашага VPN сервера.
Тып VPN - l2TP з папярэднім ключом.
Агульны ключ - vpn (для нашай выявы ў маркетплейсе.)
А лагін і пароль - гэта лагін і пароль ад лакальнага карыстальніка, гэта значыць ад адміністратара.
Ціснем на падлучэнне і гатова. Вось і ваш уласны VPN готаў.
Спадзяемся, наш гайд дасць яшчэ адну опцыю тым, хто жадае зрабіць свой уласны VPN не звязваючыся з Linux ці проста жадае дадаць шлюз у сваю AD.
Крыніца: habr.com