Руководство. Развертывание AlwaysOn VPN — настройка инфраструктуры для AlwaysOn VPN
В этом руководстве описано, как развернуть VPN-подключения AlwaysOn для клиентских компьютеров Windows, присоединенных к удаленному домену. Вы создадите пример инфраструктуры, которая показывает, как реализовать процесс VPN-подключения AlwaysOn. Процесс состоит из следующих шагов:
- VPN-клиент Windows использует общедоступный DNS-сервер для выполнения запроса разрешения имен для IP-адреса VPN-шлюза.
- VPN-клиент использует IP-адрес, возвращенный DNS, для отправки запроса на подключение к VPN-шлюзу.
- VPN-сервер также настроен как клиент службы пользователей удаленной проверки подлинности (RADIUS); КЛИЕНТ VPN RADIUS отправляет запрос подключения на сервер NPS для обработки запросов на подключение.
- Сервер NPS обрабатывает запрос на подключение, включая авторизацию и проверку подлинности, и определяет, следует ли разрешить или запретить запрос на подключение.
- Сервер NPS перенаправит ответ Access-Accept или Access-Deny на VPN-сервер.
- Подключение инициируется или завершается на основе ответа, полученного VPN-сервером от сервера NPS.
Необходимые компоненты
Чтобы выполнить действия, описанные в этом руководстве, выполните следующие действия.
- Вам потребуется доступ к четырем физическим компьютерам или виртуальным машинам (виртуальным машинам).
- Убедитесь, что учетная запись пользователя на всех компьютерах является членом Администратор istrator или эквивалентна.
Использование удаленного доступа в Microsoft Azure не поддерживается, включая VPN удаленного доступа и DirectAccess. Дополнительные сведения см. в статье о поддержке программного обеспечения сервера Майкрософт для виртуальных машин Microsoft Azure.
Создание контроллера домена
- Установите Windows Server на компьютере, на котором будет запускаться контроллер домена.
- Установите службы домен Active Directory (AD DS). Подробные сведения о том, как установить AD DS, см. в разделе «Установка служб домен Active Directory».
- Повышение уровня windows Server до контроллера домена. В этом руководстве вы создадите новый лес и домен в этом новом лесу. Подробные сведения об установке контроллера домена см. в разделе «Установка AD DS».
- Установите и настройте центр сертификации (ЦС) на контроллере домена. Подробные сведения об установке ЦС см. в разделе «Установка центра сертификации».
Создание групповой политики Active Directory
В этом разделе описано, как создать групповую политику на контроллере домена, чтобы члены домена автоматически запрашивали сертификаты пользователей и компьютеров. Эта конфигурация позволяет VPN-пользователям запрашивать и получать сертификаты пользователей, которые автоматически проходят проверку подлинности VPN-подключений. Эта политика также позволяет серверу NPS автоматически запрашивать сертификаты проверки подлинности сервера.
- На контроллере домена откройте раздел «Управление групповой политикой».
- В области слева щелкните правой кнопкой мыши домен (например, corp.contoso.com). Выберите » Создать объект групповой политики» в этом домене и свяжите его здесь.
- В диалоговом окне «Создать объект групповой политики» введите «Имя» введите политику автоматической регистрации. Нажмите ОК.
- В левой области щелкните правой кнопкой мыши политику автоматической регистрации. Выберите «Изменить», чтобы открыть редактор управления групповыми политиками.
- В редакторе управления групповыми политиками выполните следующие действия, чтобы настроить автоматическую регистрацию сертификата компьютера:
- В левой области перейдите к политикам>конфигурации>компьютера Windows Параметры Security Параметры>>Public Key Policies.
- В области сведений щелкните правой кнопкой мыши клиент служб сертификатов — автоматическая регистрация. Выберите Свойства.
- В диалоговом окне «Свойства автоматической регистрации» в клиенте служб сертификатов выберите «Включена модель конфигурации».
- Выберите параметры Обновлять сертификаты с истекшим сроком действия или в состоянии ожидания и удалять отозванные сертификаты и Обновлять сертификаты, использующие шаблоны сертификатов.
- Нажмите ОК.
- В левой области перейдите к политикам>конфигурации>пользователей Windows Параметры Security Параметры>>Public Key Policies.
- В области сведений щелкните правой кнопкой мыши клиент служб сертификатов — автоматическая регистрация и выберите свойства.
- В диалоговом окне «Свойства автоматической регистрации» в модели конфигурации выберите «Включена» в клиенте служб сертификатов.
- Выберите параметры Обновлять сертификаты с истекшим сроком действия или в состоянии ожидания и удалять отозванные сертификаты и Обновлять сертификаты, использующие шаблоны сертификатов.
- Нажмите ОК.
- Закройте редактор управления групповыми политиками.
Создание сервера NPS
- Установите Windows Server на компьютере, на котором будет запускаться сервер NPS.
- На сервере NPS установите роль политики сети и службы Access (NPS). Подробные сведения об установке NSP см. в разделе «Установка сервера политики сети».
- Зарегистрируйте сервер NPS в Active Directory. Сведения о регистрации сервера NPS в Active Directory см. в разделе «Регистрация NPS» в домен Active Directory.
- Убедитесь, что брандмауэры разрешают трафик, необходимый для правильной работы подключений VPN и RADIUS. Дополнительные сведения см. в разделе «Настройка брандмауэров для трафика RADIUS».
- Создайте группу серверов NPS:
- На контроллере домена откройте Пользователи и компьютеры Active Directory.
- В домене щелкните правой кнопкой мыши компьютеры. Выберите «Создать«, а затем выберите «Группа«.
- В имени группы введите NPS-серверы, а затем нажмите кнопку «ОК«.
- Щелкните правой кнопкой мыши NPS-серверы и выберите пункт «Свойства«.
- На вкладке «Члены» диалогового окна «Свойства серверов NPS» нажмите кнопку «Добавить«.
- Выберите «Типы объектов», нажмите кнопку «Компьютеры» проверка, а затем нажмите кнопку «ОК«.
- Введите имена объектов, которые нужно выбрать, введите имя компьютера сервера NPS. Нажмите ОК.
- Закройте окно «Пользователи и компьютеры Active Directory».
Создание VPN-сервера
- Установите Windows Server на компьютере, на котором будет запущен VPN-сервер. Убедитесь, что на компьютере установлены два физических сетевых адаптера: один для подключения к Интернету, а один — для подключения к сети, в которой находится контроллер домена.
- Определите, какой сетевой адаптер подключается к Интернету и какой сетевой адаптер подключается к домену. Настройте сетевой адаптер, подключенный к Интернету, с общедоступным IP-адресом, а адаптер, который сталкивается с интрасетью, может использовать IP-адрес из локальной сети.
- Для сетевого адаптера, подключающегося к домену, задайте предпочтительный IP-адрес DNS для IP-адреса контроллера домена.
- Присоединение VPN-сервера к домену. Сведения о присоединении сервера к домену см. в статье «Присоединение сервера к домену».
- Откройте правила брандмауэра, чтобы разрешить UDP-портам 500 и 4500 входящий трафик во внешний IP-адрес, примененный к общедоступному интерфейсу на VPN-сервере.
- В сетевом адаптере, подключаемом к домену, включите следующие порты: UDP1812, UDP1813, UDP1645 и UDP1646.
- Создайте группу VPN-серверов:
- На контроллере домена откройте Пользователи и компьютеры Active Directory.
- В домене щелкните правой кнопкой мыши компьютеры. Выберите «Создать«, а затем выберите «Группа«.
- В имени группы введите VPN-серверы, а затем нажмите кнопку «ОК«.
- Щелкните правой кнопкой мыши VPN-серверы и выберите «Свойства«.
- На вкладке «Члены» диалогового окна «Свойства VPN-серверов» нажмите кнопку «Добавить«.
- Выберите «Типы объектов», нажмите кнопку «Компьютеры» проверка, а затем нажмите кнопку «ОК«.
- Введите имена объектов, которые нужно выбрать, введите имя компьютера VPN-сервера. Нажмите ОК.
- Закройте окно «Пользователи и компьютеры Active Directory».
- Выберите поставщик проверки подлинности и выберите RADIUS Authentication.
- Выберите «Настроить», чтобы открыть диалоговое окно проверки подлинности RADIUS.
- Нажмите кнопку «Добавить», чтобы открыть диалоговое окно «Добавить сервер RADIUS».
- В поле «Имя сервера» введите полное доменное имя сервера NPS. В этом руководстве сервер NPS является сервером контроллера домена. Например, если имя NetBIOS сервера NPS и сервера контроллера домена — dc1, а доменное имя — corp.contoso.com, введите dc1.corp.contoso.com.
- В общем секрете выберите «Изменить», чтобы открыть диалоговое окно «Изменить секрет«.
- В поле «Новый секрет» введите текстовую строку.
- В поле «Подтверждение нового секрета» введите ту же текстовую строку, а затем нажмите кнопку «ОК«.
- Сохраните этот секрет. Это потребуется при добавлении этого VPN-сервера в качестве клиента RADIUS далее в этом руководстве.
Создание VPN-клиента Windows
- Установите Windows 10 или более поздней версии на компьютере, который будет vpn-клиентом.
- Присоединение VPN-клиента к домену. Сведения о присоединении компьютера к домену см. в статье «Присоединение компьютера к домену».
Создание пользователя и группы VPN
- Создайте VPN-пользователя, выполнив следующие действия.
- На контроллере домена откройте Пользователи и компьютеры Active Directory.
- В домене щелкните правой кнопкой мыши «Пользователи«. Выберите Создать. В поле «Имя входа пользователя» введите любое имя входа. Выберите Далее.
- Выберите пароль для пользователя.
- При следующем входе пользователь должен изменить пароль. установлен флажок Срок действия пароля не ограничен.
- Выберите Готово. Оставайтесь открытыми Пользователи и компьютеры Active Directory.
- В домене щелкните правой кнопкой мыши «Пользователи«. Выберите «Создать«, а затем выберите «Группа«.
- В имени группы введите VPN-пользователей, а затем нажмите кнопку «ОК«.
- Щелкните правой кнопкой мыши VPN-пользователей и выберите «Свойства«.
- На вкладке «Члены» диалогового окна «Свойства пользователей VPN» нажмите кнопку «Добавить«.
- В диалоговом окне «Выбор пользователей» добавьте созданного VPN-пользователя и нажмите кнопку «ОК«.
Настройка VPN-сервера в качестве клиента RADIUS
- На сервере NPS откройте правила брандмауэра, чтобы разрешить входящий трафик портов UDP 1812, 1813, 1645 и 1646.
- В консоли NPS дважды щелкните radius-клиенты и серверы.
- Щелкните правой кнопкой мыши «Клиенты RADIUS» и выберите «Создать «, чтобы открыть диалоговое окно «Новый клиент RADIUS».
- Убедитесь, что выбрано поле «Включить этот клиент RADIUS» проверка.
- В понятном имени введите отображаемое имя VPN-сервера.
- В поле Address (IP или DNS) введите IP-адрес или полное доменное имя VPN-сервера. Если ввести полное доменное имя, выберите «Проверить , правильно ли имя» и сопоставляется с допустимым IP-адресом.
- В общем секрете:
- Убедитесь, что выбрано руководство .
- Введите секрет, созданный в разделе «Создание VPN-сервера».
- Для подтверждения общего секрета повторно введите общий секрет.
Настройка NPS-сервера в качестве сервера RADIUS
В этом руководстве сервер NPS устанавливается на контроллере домена с ролью ЦС; и нам не нужно регистрировать отдельный сертификат сервера NPS. Однако в среде, в которой сервер NPS установлен на отдельном сервере, необходимо зарегистрировать сертификат сервера NPS, прежде чем можно будет выполнить эти действия.
- В консоли NPS выберите NPS(Local).
- В стандартной конфигурации убедитесь, что выбран сервер RADIUS для Подключение подключения или VPN.
- Выберите «Настроить VPN» или «Телефонный подключение», чтобы открыть мастер настройки VPN или телефонного подключения.
- Выберите Подключение виртуальных частных сетей (VPN) и нажмите кнопку «Далее«.
- В поле «Указать телефонный или VPN-сервер» в клиентах RADIUS выберите имя VPN-сервера.
- Выберите Далее.
- В разделе «Настройка методов проверки подлинности» выполните следующие действия.
- Снимите флажок Microsoft Encrypted Authentication версии 2 (MS-CHAPv2).
- Выберите расширяемый протокол проверки подлинности.
- Для типа выберите Microsoft: Protected EAP (PEAP) (PEAP). Затем нажмите кнопку «Настроить», чтобы открыть диалоговое окно «Свойства защищенного EAP».
- Выберите «Удалить «, чтобы удалить защищенный пароль (EAP-MSCHAP версии 2) EAP.
- Выберите Добавить. Откроется диалоговое окно «Добавить EAP».
- Нажмите кнопку «Смарт-карта» или другой сертификат, а затем нажмите кнопку «ОК«.
- Нажмите кнопку «ОК», чтобы закрыть свойства защищенного EAP.
- Выберите Добавить. Откроется диалоговое окно выбора пользователей, компьютеров, учетных записей служб или групп.
- Введите VPN-пользователей, а затем нажмите кнопку «ОК«.
- Выберите Далее.
Следующие шаги
Теперь вы создали образец инфраструктуры, которую вы готовы настроить центр сертификации.
- Руководство по развертыванию AlwaysOn VPN: настройка шаблонов центра сертификации
- Устранение неполадок постоянно подключенного VPN-профиля
Запуск VPN соединения до входа в Windows
10.11.2023
itpro
PowerShell, Windows 10, Windows 11, Windows Server 2019
комментариев 18
По умолчанию встроенный VPN клиент Windows позволяет подключиться к VPN серверу только после входу пользователя в систему. Это создает проблемы для компьютеров/ноутбуков, которые состоят в домене Active Directory и подключаются к доменной сети через VPN. Конечно, пользователь может войти на свой компьютер под кэшированными учетными данными домена (cached credentials) и после этого запустить VPN. Но у такого пользователей постоянно будут появляться проблемы с доступом к общим сетевым папкам и другим доменным ресурсам (особенно после смены пароля в домене).
Онлайн-курс по устройству компьютерных сетей
На углубленном курсе «Архитектура современных компьютерных сетей» вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.Windows позволяет установить подключение с VPN серверу до входа пользователя в систему. В этом случае пользователь после установления VPN подключения выполнит полноценную аутентификацию на контроллере домена AD.
В предыдущих версиях Windows это можно было реализовать с помощью опции “Allow other people to use this connection” в настройках VPN подключения. Но в современных версиях Windows 10 и 11 эта опция отсутствует.
В новых версиях Windows можно создать общее VPN подключения из командной строки PowerShell. Например, для L2TP VPN подключения с общим ключом используется команда:
Add-VpnConnection -Name WorkVPN_L2TP -ServerAddress x.x.x.x -TunnelType L2TP -L2tpPsk «str0ngSharedKey2» -EncryptionLevel Required -AuthenticationMethod MSChapv2 -RememberCredential -AllUserConnection $true –PassThru
Особенности использования L2TP/IPsec VPN подключений в Windows.
В данном случае опция -AllUserConnection $true позволяет создать VPN подключение, которое доступно всем пользователям Windows, в том числе на экране входа.
Чтобы создать другие типы VPN подключений (PPTP, SSTP, IKEv2), обратитесь к примерам использования командлета Add-VpnConnection в статье “Управление VPN подключениями в Windows из PowerShell”.
В дальнейшем вы можете изменить настройки общего VPN подключения из графического интерфейса панели управления (ncpa.cpl).
Если VPN подключение уже создано в вашем профиле, вы можете сделать его общим, скопировав файл rasphone.pbk из каталога %userprofile%\AppData\Roaming\Microsoft\Network\Connections\PBK в C:\ProgramData\Microsoft\Network\Connections\PBK .
Теперь на экране входа в Windows нужно нажать значок сетевого подключения в правом нижнем углу.
Введите имя и пароль пользователя для VPN подключения.
После этого ваш компьютер должен установить подключение, и вы можете войти в Windows под своей доменной учетной записью.
Если VPN подключение прервется, пользователь может самостоятельно переподключиться из панели управления (или настроить автоматическое переподключение к VPN).
Онлайн-курс по устройству компьютерных сетей
На углубленном курсе «Архитектура современных компьютерных сетей» вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.Предыдущая статья Следующая статья
Читайте далее в разделе PowerShell Windows 10 Windows 11 Windows Server 2019
Ищем источник блокировки учетной записи пользователя в Active Directory
Настройка проброса сетевых портов (порт форвардинг) в Windows
Установка и настройка сервера обновлений WSUS на Windows Server
Быстрая настройка FTP-сервера на Windows Server и Windows 10/11
Что такое подключение vpn с ad
- Автоматическая настройка VPN соединения
- Типовые ошибки VPN
- Настройка VPN соединения MacOS
- Настройка VPN соединения Windows 7 (SSTP)
- Настройка VPN соединения Windows 10 (SSTP)
- Настройка VPN соединения Windows 11 (SSTP)
- Настройка VPN соединения Windows 11 (L2TP)
- Настройка VPN соединения Windows 11 (PPTP)
- Настройка VPN соединения Windows 10 (PPTP, вариант 1)
- Настройка VPN соединения Windows 10 (PPTP, вариант 2)
- Настройка VPN соединения Windows 10 (L2TP)
- Настройка VPN соединения Windows 7
- Настройка VPN соединения Linux (Ubuntu, PPTP)
- Настройка VPN соединения Linux (Astra, PPTP))
- Настройка DNS для VPN на Windows 8/10
- Настройка VPN соединения Windows XP
- Настройка VPN соединения на Android (L2TP)
- Настройка VPN соединения на Android (SSTP)
Настройка PPTP-подключения к RAS.URFU.RU на устройствах с Windows 10
1. Откройте «Параметры сети и Интернет»
2. В открывшемся окне, в центре, внизу выберите пункт «Центр управления сетями и общим доступом»
3. В окне «Центр управления сетями и общим доступом», нажмите кнопку «Создание или настройка нового подключения к сети»
4. В окне «Настройка подключения или сети» выберите вариант «Подключение к рабочему месту» и нажмите далее
4.1 Если у вас уже имеются другие, ранее созданные, VPN-Подключения, то в окне «Подключение к рабочему месту» выберите пункт «Нет, создать новое подключение» и нажмите далее
4.2 В окне «Подключение к рабочему месту» выберите пункт «Использовать моё подключение к Интернету (VPN)»
4.3 В строке «Адрес в Интернете» указать RAS.URFU.RU. Имя объекта назначения можно оставить без изменения или изменить на любое удобное для вас. После нажмите кнопку «Создать»
5. Перейдите в ранее открытое окно «Центр управления сетями и общим доступом» и в левом верхнем углу перейдите в пункт меню «Изменение параметров адаптера»
6. В открывшемся окне найдите ваше вновь созданное VPN-подключение. Щёлкните по нему правой кнопкой мыши и выберите «свойства».
7. В открывшемся окне перейдите на вкладку «безопасность»
7.1 Тип VPN: выберите «Туннельный протокол точка-точка (PPTP)»
7.2 Шифрование данных: выберите «необязательное (подключиться даже без шифрования)»
7.3 В пункте «Разрешить следующие протоколы» отметьте только «Протокол Microsoft CHAP версии 2». Сохраните изменения, нажав «ОК».
Новое подключение создано, вход осуществляется с помощью корпоративной учётной записи. Вызвать подключение вы можете двойным щелчком по его значку.
Создано / Изменено: 4 декабря 2019 / 15 апреля 2021
© ФГАОУ ВО «УрФУ имени первого Президента России Б.Н. Ельцина»
Увидели ошибку?
выделите фрагмент и нажмите:
Ctrl + EnterПервая линия технической поддержки УрФУ:
Мы в социальных сетях:
Первая линия технической поддержки УрФУ
227-20-70 – заявки на обслуживание.
Отдел операционного обеспечения Дирекции ИТ
374-07-42 – счета, оплата, оргвопросы.
Аутентификация удаленных VPN-клиентов с коммутируемым доступом с помощью сервера AD/LDAP
Vigor Router поддерживает аутентификацию PPTP/L2TP/SSL Remote Dial-In VPN-подключений с помощью локальной базы данных или внешних серверов аутентификации, включая RADIUS, LDAP/AD и TACACS+. В этой статье объясняется настройка использования внешнего сервера LDAP/AD для проверки подлинности VPN.
1. Перейдите в Applications >> Active Directory /LDAP . Установите флажок « Enable » и выберите « Bind Type» . Доступны три типа:
Simple Mode. Обычно это вариант, когда все пользователи находятся в одной папке/уровне на сервере AD/LDAP. Маршрутизатор выполняет только аутентификацию привязки, но не выполняет поиск.
Anonymous Mode — сначала выполните действие поиска с анонимной учетной записью, а затем выполните аутентификацию привязки. Он используется редко. На самом деле сервер Windows AD по умолчанию отказывается аутентифицировать анонимную учетную запись.
Regular Mode. Обычно это вариант, когда пользователи находятся в разных подпапках. В основном это то же самое с анонимным режимом, но сервер сначала проверит, есть ли у вас полномочия поиска с аутентификацией по обычному DN и
обычному паролю. В этом режиме маршрутизатор отправит запрос на привязку с этим обычным DN и обычным паролем на сервер LDAP/AD. После прохождения аутентификации маршрутизатор выполнит поиск, после чего сервер LDAP найдет точное DN пользователя в разных подпапках.В этом примере мы будем использовать обычный режим. Предположим, что сервер Draytek LDAP имеет OU People и OU RD1, RD2, RD3 в OU People, а пользователям в OU RD1, RD2, RD3 разрешен доступ к VPN.
2. Введите IP-адрес сервера LDAP/AD в Server Address и введите Regular DN и Regular Password . Нажмите OK , после чего Vigor запросит перезагрузку системы .
Примечание . Если ваш сервер LDAP является сервером Windows AD, всегда используйте cn= для запуска обычное DN.3. Создайте профили сервера LDAP. Перейдите на вкладку Active Directory/LDAP , щелкните номер индекса, чтобы изменить профиль.
4. Введите имя профиля. И как только сервер аутентифицирует обычное DN/пароль, который использует маршрутизатор, мы можем использовать значок поиска для быстрого ввода Base Distinguished Name . В этом примере мы хотим разрешить пользователям OU RD1, RD2 и RD3 доступ к VPN, поэтому мы выбираем сотрудников OU, которые содержат OU RD1, RD2 и RD3, для Base Distinguished Name. Затем нажмите ОК .
5. (Необязательно) DN группы для дополнительной фильтрации. Если указаны и базовое DN, и групповое DN, только пользователи, доступные в обоих путях, могут пройти аутентификацию.
6. Настройте маршрутизатор для аутентификации Host-to-LAN VPN с внешним сервером: Перейдите в раздел VPN and Remote Access >> PPP General Setup, в разделе Методы аутентификации PPP включите AD/LDAP и профиль, созданный на предыдущих шагах, и выберите PAP Only как метод аутентификации PPP Dial In.
С приведенной выше конфигурацией удаленные клиенты VPN смогут устанавливать VPN с учетными записями пользователей на сервере LDAP.
- Существует 4 метода аутентификации PPP: удаленный пользователь с коммутируемым доступом (локальная база данных), RADIUS, AD/LDAP, TACACS+. Когда все они включены, маршрутизатор сначала проверит локальную базу данных, и если она не соответствует ни одной, он перешлет информацию для аутентификации на сервер RADIUS. Затем сервер LDAP/AD, если аутентификация на сервере RADIUS также не удалась.
- При использовании сервера LDAP для аутентификации, в качестве ограничения аутентификации LDAP, мы должны выбрать PAP в качестве протокола безопасности при дозвоне через Smart VPN Client, что приведет к установлению PPTP VPN без шифрования; поэтому для большей безопасности рекомендуется использовать аутентификацию RADIUS.
Исправление проблем
При использовании сервера Windows AD для аутентификации мы можем проверить привязку учетной записи «vpn-user», запустив ldp.exe. для подключения к контроллеру домена сервера Windows AD, затем выполните простую привязку на сервере AD. Если Simple Bind на сервере AD работает, но VPN по-прежнему не может пройти аутентификацию AD, свяжитесь с нами по адресу support@digitalangel.ru и предоставьте информацию ниже.
- пакеты wireshark на сервере LDAP/AD
- скриншоты учетной записи пользователя на сервере AD/LDAP
- скриншоты конфигураций LDAP/AD на маршрутизаторе
- Информация об удаленном управлении маршрутизатором
- Учетная запись/пароль на сервере LDAP/AD для тестирования