Что такое vpn-соединение на компьютере?

Открытие портов в брандмауэре Server 2012


Важно: в настройках брандмауэра не оставляем активными только раздел «Доменные сети» остальные отключаем

Открытие портов в брандмауэре позволит пользователям подключаться с помощью удаленного рабочего стола по VPN. Передача информации и трафика проходит по определенным протоколам, которые по умолчанию не открыты в брандмауэре, соответственно если пренебречь данной настройкой, то пользователи просто не смогут подключиться, поэтому:

Запустите «Панель управления» и в элементах выбираем «Брандмауэр Windows»

После чего в левом меню ищем вкладку «Дополнительные параметры»

В открывшимся окне правил нажимаем правой кнопкой мыши по разделу: «Правила для входящих подключений» в открывшийся панели кликаем «Создать правило»

В мастере установки выберите функцию «Для порта» затем «Далее»

В соответствующем меню для протокола «TCP» через запятую указываем следующие порты: «1723,443» и жмем «Далее»

Указываем действие «Разрешить подключение» и нажимаем «Далее»

В профилях все оставляем по умолчанию и переходим к следующему шагу кнопкой «Далее»

В поле где необходимо указать название правила введите название подключения и нажмите «Готово»

На этом еще не все, теперь создадим правило для протокола UDP, для этого так же жмем ПКМ по вкладке «Правила для входящих подключений» затем «Создать правило»

Как было показано ранее выбираем раздел «Для порта» но теперь указываем «Протокол UDP» и прописываем следующие порты: «1701,500,50»

После чего нажмите 2 раза «Далее» и заполните поле имя, затем «Готово»

Итак, порты, которые нужно было открыть мы открыли теперь перейдем к следующему шагу, а именно нам необходимо дать разрешение на подключение пользователей к нашему доменному серверу.

Дело в том, что в локальной политике безопасности, подключаться по VPN могут только пользователи с правами администратора, а пользователь с обычными правами подключиться не может так как стоит запрет на подключение VPN для пользователя с обычными правами, давайте произведем настройку локальной политике безопасности:

Установка роли VPN на Server 2012

Откройте «Диспетчер серверов» и в открывшимся окне запустите оснастку «Добавить роли и компоненты»

Затем оставляем все по умолчанию и останавливаемся на вкладке «Роли сервера» ставим галочку напротив надписи: «Удаленный доступ» у вас откроется окно, в котором в котором необходимо кликнуть «Добавить компоненты» ну и для продолжения жмем «Далее»

Останавливаемся на вкладке «Службы ролей» и убедившись, что выбрана роль «DirectAccess и VPN (RAS)» нажимаем «Далее»

Во вкладке «Подтверждение» ставим птичку напротив надписи: «Автоматический перезапуск конечного сервера, если требуется» и нажимаем «Установить»

После того как установка роли удаленного доступа завершена, нам потребуется провести начальную настройку, для того что бы это сделать кликните по надписи: «Запуск мастера начальной настройки»


У вас сразу должен открыться мастер начальной настройки удаленного доступа, в нем потребуется выбрать 3-й пункт с названием: «Развернуть только VPN»

После выполнения вышеуказанных настроек добавьте текущий сервер нажав в верхнем меню «Действие» затем «Добавить сервер» после чего «Ок»

Далее жмите правой кнопкой мыши по серверу, на котором будет сконфигурирована роль VPN и выберите пункт «Настроить и включить маршрутизацию и удаленный доступ»

В мастере установки для продолжения конфигурации нажмите «Далее»

Затем выберете пункт «Особая конфигурация» и снова «Далее»

В появившимся окне выбираем службу под названием: «Доступ к виртуальной частной сети (VPN)» ну и соответственно «Далее»

После чего мастер потребует от вас запуск службы поэтому жмем «Запустить службу»

Примечание: если у вас не открыты порты в брандмауэре, то перед запуском службы у вас всплывет окно с примечанием – игнорируйте его, так как добавлять порты мы будем чуть позже…

Как вы можете заметить мы почти сконфигурировали наш VPN сервер, дальнейшая настройка будет заключаться в том, чтобы задать статистический пул адресов для пользователей удаленного рабочего стола.

Кликните правой кнопкой мыши по серверу VPN и зайдите в его «Свойства»

Затем перейдите во вкладку «iPv4» выбираем «Статистический пул адресов» ну и задаем параметры кнопкой «Добавить»

Вбиваем диапазон адресов для пула, в качестве примера я указал эти настройки, вы можете задать любые, после того как вы ввели данные нажмите «Ок»

Сохраняем текущую конфигурацию настроек кнопкой «Применить»

На данном этапе мы сконфигурировали роль удаленного доступа VPN теперь как я писал выше необходимо открыть порты в брандмауэре

Настройка локальной политике безопасности для подключения по VPN

Откройте «Панель управления» затем выберите вкладку «Администрирование»

Затем нам необходимо открыть вкладку: «Локальная политика безопасности»

В левом меню раскройте папку «Локальные политики» и двойным щелчком мыши кликните по папке «Назначение прав пользователя» затем в правом меню найдите вкладку «Разрешить вход в систему через службу удаленных рабочих столов» и перейдите в нее

Как вы можете увидеть подключаться через службу удаленных рабочих столов могут только администраторы. Нам необходимо дать аналогичное право пользователям домена, поэтому жмем «Добавить пользователя или группу»

В открывшимся окне кликаем «Дополнительно»


Затем при помощи поиска выберите нужное подразделение, а именно «Пользователи домена» двойным щелчком мыши

После того как было добавлено нужное нам подразделение нажмите «Ок»

Ну и как обычно сохраняем настройки нажав «Применить»

На этом этапе мы завершили настройку локальной политике для VPN теперь переходим к следующему шагу:

Создание VPN-сервера

После нехитрой регистрации вы сможете перейти в панель управления услугами. Чтобы не искать нужную, просто вбиваем в поиск lightsail:

Как мы уже обсудили, выбираем систему Debian:

Для работы нам понадобится статический ip-адрес, поэтому переходим на вкладку networking и ищем кнопку Create static ip:

Далее привязываем нашу машину и жмем create:

Этот статический ip-адрес появится в настройках, рекомендую его куда-нибудь записать:

Теперь нам нужно скачать наш публичный ключ, он понадобится нам в будущем. Переходим в аккаунт:

Кликаем на вкладку SSH keys и скачиваем ключ:

Сохраните ключ в удобном для вас месте, он нужен будет для доступа через ftp-клиент.

Переходим обратно на вкладку connect:

Там мы видим кнопочку connect using SSH, жмем ее. Это браузерная ssh консоль. Сначала нам нужно в консоли получить права root юзера:

sudo su

Затем обновить систему с помощью этих двух команд:

apt-get update

apt-get upgrade

После нам нужно перезагрузить систему. Не выходя из консоли, это можно сделать командой:

reboot

После перезагрузки я предлагаю установить firewall:

sudo su

apt-get install ufw

Необходимо открыть затребованные порты, такие как SHH port 22, 80, 443 и так далее:


ufw allow 22

ufw allow 80

ufw allow 443

Для включения фаервола запустим:

ufw enable

Состояние правил фаервола:

ufw status

Теперь установим скрипт openvpn-install.sh

wget https://git.io/vpn -O openvpn-install.sh

Запустим скрипт openvpn-install.sh для установки и настройки сервера OpenVPN автоматически:

bash openvpn-install.sh

Далее:

Жмем кнопки, как указано на скриншоте. Порт вы можете указать любой, но не забудьте добавить его в firewall, как мы делали это выше.

Скрипт сгенерирует файл с расширением .ovpn – это настроечный файл для ваших клиентов (устройств, с которых вы будете пользоваться vpn). Он находится в защищенной папке, из которой его трудно достать при помощи ftp клиента. Поэтому скопируем файл в другую папку:

cp /root/имя_вашего_файла /home/admin/

Далее устанавливаем ftp клиент. У меня – filezilla. После установки запускаем. Жмем:

Настройки должны быть, как указаны тут:

Жмем Соединиться и находим папку home/admin/. Копируем оттуда наш файл с настройками куда-то себе.

У Lightsail есть встроенный firewall и нам нужно добавить в него наш порт, который мы указали при настройке VPN.

Переходим в панель управления нашей машиной, на вкладку Networking.

 Жмем add rule:

Добавляем порт:

Далее установим OpenVPN клиент, скачать его можно тут.

Заходим в клиент после установки и загружаем наш файл настроек:

Для работы на мобильных устройствах точно так же устанавливаем OpenVPN клиент, а затем присылаем себе файл с настройками почтой. Затем открываем этот файл при помощи клиента (открыть с помощью) и импортируем наши настройки.


С этим читают