Назад | Перейти на главную страницу

Как настроить сервер L2TP IPsec VPN на Windows Server 2008 R2?

Компьютер с Windows 2008 R2 (SBS) ранее был настроен для запуска VPN-сервера PPTP. Из соображений безопасности я хочу заменить PPTP на сервер L2TP / IPsec VPN.

Сервер находится за маршрутизатором NAT, где созданы 3 правила пересылки на сервер Windows:

  1. протокол 50 (ESP)
  2. порт UDP 500 (IKE)
  3. порт UDP 4500 (обход NAT)

Я нахожусь в точке, где я вижу, что пакеты, поступающие на сервер Windows, блокируются фильтрацией брандмауэра Windows. Средство просмотра событий Windows показывает записи с идентификатором события 5152 (платформа фильтрации Windows заблокировала пакет) для целевого порта 500 и протокола 17 (UDP).

Какие дополнительные шаги необходимо предпринять, чтобы запустить L2TP-VPN-сервер на Windows Server 2008 R2 для клиентов Mac OS X?

1. Проверьте наличие портов L2TP.

Сначала проверьте, действительно ли существует порт L2TP, настроенный для маршрутизации и удаленного доступа (RRAS).

  • Нажмите Началонажмите Инструменты управления, а затем щелкните Маршрутизация и удаленный доступ.
  • Развернуть ваш сервер, а затем разверните порты.
  • Если нет записей для Минипорт WAN (L2TP) ..., добавьте их, щелкнув правой кнопкой мыши порты.

2. Проверьте предварительный общий ключ RAS.

Убедитесь, что настроен предварительный общий ключ RAS. Проверка безопасности предварительного общего ключа RAS также выполняется в MMC маршрутизации и удаленного доступа.

  • Открой свойства вашего сервера через его контекстное меню (щелчок правой кнопкой мыши по имени вашего сервера).
  • Затем откройте вкладку безопасность.
  • Установите флажок «Разрешить настраиваемую политику IPsec для L2TP-подключения».
  • И заполните Предварительный общий ключ.

3. Добавьте правила брандмауэра Windows.

Как ни странно Windows 2008 R2 содержит по умолчанию Брандмауэр Windows правила в Маршрутизация и RAS Группа (RRAS) для L2TP (дважды UDP 1701) и GRE (для PPTP) думала, что Microsoft забыла (?) Создать правила брандмауэра по умолчанию для ESP, IKE и NAT-T. Поскольку эти правила брандмауэра Windows отсутствуют, вы должны создать их сами.

  • Нажмите Началонажмите Инструменты управления, а затем щелкните Брандмауэр Windows с повышенной безопасностью.
  • На левой панели щелкните правой кнопкой мыши Правила для входящих подключений, а затем выберите Новое правило из меню
  • Для UDP 500 и 4500 Порт исходя из Тип правила можно выбрать, для ESP (протокол 50) выберите На заказ чтобы создать это правило.