Trong hướng dẫn này, bạn sẽ tìm thấy từng bước hướng dẫn để thiết lập Máy chủ truy cập VPN L2TP trên Windows Server 2016. Mạng riêng ảo (VPN) cho phép bạn kết nối an toàn với mạng riêng của mình từ các vị trí trên Internet và nó đang bảo vệ bạn khỏi các cuộc tấn công và dữ liệu trên Internet Để cài đặt và định cấu hình quyền truy cập L2TP / IPSec VPN trên Server 2016, đó là một quá trình gồm nhiều bước, vì bạn phải định cấu hình một số cài đặt ở phía máy chủ VPN để thực hiện hoạt động VPN thành công.
Cách cài đặt Máy chủ VPN L2TP / IPSec 2016 với Khóa chia sẻ trước tùy chỉnh.
Trong hướng dẫn từng bước này, chúng tôi thực hiện thiết lập L2TP VPN Server 2016 bằng Giao thức đường hầm lớp hai (L2TP / IPSEC) với khóa PreShared tùy chỉnh, để có kết nối VPN an toàn hơn.
Bước 1. Cài đặt vai trò định tuyến và truy cập từ xa trên máy chủ 2016.
Bước 2. Định cấu hình và kích hoạt tính năng định tuyến và truy cập từ xa trên máy chủ 2016.
Bước 3. Định cấu hình Khóa chia sẻ trước cho các kết nối L2TP / IKEv2.
Bước 4. Mở các cổng cần thiết trong Tường lửa của Windows.
Bước 5. Định cấu hình Máy chủ VPN để Cho phép Truy cập Mạng.
Bước 6. Bật kết nối L2TP / IPsec đằng sau NAT.
Bước 7. Kiểm tra xem các Dịch vụ L2TP Bắt buộc có đang chạy hay không.
Bước 8. Chọn Người dùng VPN.
Bước 9. Định cấu hình Tường lửa của ISP để Cho phép Truy cập VPN L2TP.
Bước 10. Thiết lập Kết nối VPN L2TP / IPSec trên máy khách.
Bước 1. Cách thêm vai trò Truy cập Từ xa (VPN Access) trên Máy chủ 2016.
Bước đầu tiên để thiết lập Windows Server 2016, làm máy chủ VPN là cài đặt Truy cập từ xa đóng vai trò {các dịch vụ Truy cập Trực tiếp &VPN (RAS)} đối với Máy chủ của bạn 2016. *
* Thông tin:Đối với ví dụ này, chúng tôi sẽ thiết lập VPN trên máy Windows Server 2016, có tên "Srv1" và với Địa chỉ IP "192.168.1.8".
1. Để cài đặt vai trò VPN trên Windows Server 2016, hãy mở 'Trình quản lý máy chủ' và nhấp vào Thêm vai trò và tính năng .
2. Tại màn hình đầu tiên của 'Trình hướng dẫn Thêm Vai trò và Tính năng', thoát khỏi Cài đặt dựa trên vai trò hoặc tính năng và nhấp vào Tiếp theo.
3. Ở màn hình tiếp theo, hãy để tùy chọn mặc định " Chọn máy chủ từ nhóm máy chủ "và nhấp vào Tiếp theo.
4. Sau đó chọn Truy cập từ xa vai trò và nhấp vào Tiếp theo .
5. Tại màn hình 'Tính năng', hãy để lại cài đặt mặc định và nhấp vào Tiếp theo .
6. Tại màn hình thông tin 'Truy cập từ xa', nhấp vào Tiếp theo .
7. Tại 'Dịch vụ từ xa', chọn Truy cập trực tiếp và VPN (RAS) dịch vụ vai trò và sau đó nhấp vào Tiếp theo .
8. Sau đó, nhấp vào Thêm tính năng.
9. Nhấp vào Tiếp theo một lần nữa.
10. Để lại cài đặt mặc định và nhấp vào Tiếp theo (hai lần) tại màn hình 'Vai trò Máy chủ Web (IIS)' và 'Dịch vụ Vai trò'.
11. Tại màn hình 'Xác nhận', chọn Tự động khởi động lại máy chủ đích (nếu cần) và nhấp vào Cài đặt.
12. Ở màn hình cuối cùng, hãy đảm bảo rằng quá trình cài đặt vai trò Truy cập Từ xa thành công và Đóng trình hướng dẫn.
13. Sau đó (từ Trình quản lý máy chủ) Công cụ , nhấp vào Quản lý truy cập từ xa.
14. Chọn Truy cập trực tiếp và VPN ở bên trái, sau đó nhấp để Chạy Trình hướng dẫn Bắt đầu.
15. Sau đó, nhấp vào Triển khai VPN chỉ.
16. Tiếp tục đến bước 2 bên dưới để định cấu hình Định tuyến và Truy cập Từ xa.
Bước 2. Cách định cấu hình và kích hoạt tính năng định tuyến và truy cập từ xa trên máy chủ 2016.
Bước tiếp theo là kích hoạt và định cấu hình quyền truy cập VPN trên Server 2016. Để thực hiện điều đó:
1. Nhấp chuột phải vào tên Máy chủ và chọn Định cấu hình và kích hoạt tính năng định tuyến và truy cập từ xa. *
* Lưu ý:Bạn cũng có thể khởi chạy cài đặt Định tuyến và Truy cập từ xa bằng cách sử dụng theo cách sau:
1. Mở Trình quản lý máy chủ và từ Công cụ trình đơn, chọn Quản lý máy tính.
2. Mở rộng Dịch vụ và Ứng dụng
3. Nhấp chuột phải vào Định tuyến và truy cập từ xa và chọn Định cấu hình và bật tính năng định tuyến và truy cập từ xa.
2. Nhấp vào Tiếp theo tại 'Trình hướng dẫn Thiết lập Máy chủ Truy cập Từ xa và Định tuyến'.
3. Chọn Cấu hình tùy chỉnh và nhấp vào Tiếp theo.
4. Chọn Quyền truy cập VPN chỉ trong trường hợp này và nhấp vào Tiếp theo.
5. Cuối cùng nhấp vào Hoàn tất .
6. Khi được nhắc Bắt đầu dịch vụ, hãy nhấp vào Bắt đầu .
7. Bây giờ, bạn sẽ thấy một mũi tên màu xanh lục bên cạnh tên Máy chủ của mình (ví dụ:"Svr1" trong ví dụ này).
Bước 3. Cách Bật chính sách IPsec tùy chỉnh cho kết nối L2TP / IKEv2.
Giờ đã đến lúc cho phép Chính sách IPsec tùy chỉnh trên máy chủ Định tuyến và Truy cập từ xa và chỉ định khóa Chia sẻ trước tùy chỉnh.
1. Tại Định tuyến và truy cập từ xa , nhấp chuột phải vào tên máy chủ của bạn và chọn Thuộc tính.
2. Tại Bảo mật , chọn Cho phép chính sách IPsec tùy chỉnh cho kết nối L2TP / IKEv2 và sau đó nhập khóa Chia sẻ trước (đối với ví dụ này, tôi nhập:"TestVPN @ 1234").
3. Sau đó, nhấp vào Phương thức xác thực (ở trên) và đảm bảo rằng Xác thực được mã hóa của Microsoft phiên bản 2 (MS-CHAP v2) được chọn và sau đó nhấp vào OK.
4. Bây giờ chọn IPv4 , chọn Nhóm địa chỉ tĩnh và nhấp vào Thêm .
5. Tại đây, nhập Dải địa chỉ IP sẽ được chỉ định cho các máy khách được kết nối VPN và nhấp vào OK (hai lần) để đóng tất cả các cửa sổ.
ví dụ. Đối với ví dụ này, chúng tôi sẽ sử dụng dải địa chỉ IP:192.168.1.200 - 192.168.1.202.
6. Khi bạn được nhắc với thông báo bật lên:"Để bật chính sách IPsec tùy chỉnh cho kết nối L2TP / IKEv2, bạn phải khởi động lại Định tuyến và Truy cập từ xa", hãy nhấp vào OK .
7. Cuối cùng nhấp chuột phải vào máy chủ của bạn (ví dụ:"Svr1") và chọn Tất cả công việc> Khởi động lại.
Bước 4. Mở các cổng cần thiết trong Tường lửa của Windows.
1. Đi tới Bảng điều khiển > Tất cả các mục trong bảng điều khiển > Tường lửa của Windows .
2. Nhấp vào Cài đặt nâng cao ở bên trái.
3. Ở bên trái, chọn Quy tắc đến .
4a. Nhấp đúp vào Định tuyến và truy cập từ xa (L2TP-In)
4b. Tại tab 'Chung', chọn Đã bật, Cho phép kết nối và nhấp vào OK.
5. Bây giờ, nhấp chuột phải vào Quy tắc đến ở bên trái và chọn Quy tắc mới.
6. Ở màn hình đầu tiên, chọn Cổng và nhấp vào Tiếp theo.
7. Bây giờ chọn UDP loại giao thức và tại trường 'Cổng cục bộ cụ thể', hãy nhập: 50, 500, 4500.
Khi hoàn tất, hãy nhấp vào Tiếp theo.
8. Để cài đặt mặc định "Cho phép kết nối" và nhấp vào Tiếp theo .
9. Ở màn hình tiếp theo, nhấp vào Tiếp theo một lần nữa.
10. Bây giờ, hãy nhập tên cho quy tắc mới (ví dụ:"Cho phép L2PT VPN") và nhấp vào Hoàn tất .
11. Đóng cài đặt Tường lửa.
Bước 5. Cách Định cấu hình Máy chủ Chính sách Mạng để Cho phép Truy cập Mạng.
Để cho phép người dùng VPN truy cập mạng thông qua kết nối VPN, hãy tiến hành và sửa đổi Máy chủ chính sách mạng như sau:
1. Nhấp chuột phải vào Chính sách và ghi nhật ký truy cập từ xa và chọn Khởi chạy NPS
2. Tại tab 'Tổng quan', chọn cài đặt sau và nhấp vào OK :
-
- Cấp quyền truy cập:Nếu yêu cầu kết nối phù hợp với chính sách này.
- Máy chủ truy cập từ xa (VPN-Quay số)
3. Bây giờ, hãy mở Kết nối với các máy chủ truy cập khác chính sách, chọn cài đặt tương tự và nhấp vào OK.
-
- Cấp quyền truy cập:Nếu yêu cầu kết nối phù hợp với chính sách
này. - Máy chủ truy cập từ xa (VPN-Quay số
lên)
- Cấp quyền truy cập:Nếu yêu cầu kết nối phù hợp với chính sách
4. Đóng cài đặt Máy chủ chính sách mạng.
Bước 6. Cách bật kết nối L2TP / IPsec đằng sau NAT.
Theo mặc định, Máy khách Windows hiện đại (Windows 10, 8, 7 hoặc Vista) và hệ điều hành Windows Server 2016, 2012 &2008 không hỗ trợ kết nối L2TP / IPsec nếu máy tính Windows hoặc máy chủ VPN được đặt sau NAT. Để vượt qua sự cố này, bạn phải sửa đổi sổ đăng ký như sau, trong Máy chủ VPN và Máy khách:
1. Đồng thời nhấn phím Windows 
+ R các phím để mở hộp lệnh chạy.
2. Nhập regedit và nhấn Enter .
3. Ở ngăn bên trái, điều hướng đến khóa này:
- HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Sevices \ PolicyAgent
4. Nhấp chuột phải vào PolicyAgent và chọn Mới -> Giá trị DWORD (32 bit) .
5. Đối với loại tên khóa mới: AssumeUDPEncapsulationContextOnSendRule và nhấn Enter .
* Lưu ý:Giá trị phải được nhập như hình trên và không có khoảng trắng.
6. Nhấp đúp vào khóa DWORD mới này và nhập dữ liệu Giá trị: 2
7. Đóng Trình chỉnh sửa sổ đăng ký. *
* Quan trọng: Để tránh sự cố khi kết nối với máy chủ VPN của bạn từ máy khách Windows (Windows Vista, 7, 8, 10 và 2008 Server), bạn cũng phải áp dụng bản sửa lỗi đăng ký này cho máy khách.
8. Khởi động lại máy móc.
Bước 7. Xác minh rằng các dịch vụ IKE &IPsec Policy Agent đang chạy.
Sau khi khởi động lại, hãy chuyển đến bảng điều khiển dịch vụ và đảm bảo rằng các dịch vụ sau đang hoạt động. Để làm điều đó:
1. Đồng thời nhấn phím Windows + R các phím để mở hộp lệnh chạy.
2 . Trong hộp lệnh chạy, nhập: services.msc và nhấn Enter.
3. Đảm bảo rằng các dịch vụ sau đang chạy:*
-
- Mô-đun khóa IPsec IKE và AuthIP
- Tác nhân chính sách IPsec
* Lưu ý:
1. Nếu các dịch vụ trên không chạy, hãy nhấp đúp vào từng dịch vụ và đặt Loại khởi động sang Tự động . Sau đó nhấp vào OK và khởi động lại máy chủ.
2. Bạn phải đảm bảo rằng các dịch vụ trên cũng đang chạy trong máy khách Windows.
Bước 8. Cách Chọn người dùng nào sẽ có Quyền truy cập VPN.
Bây giờ đã đến lúc chỉ định người dùng nào sẽ có thể kết nối với máy chủ VPN (quyền Dial-IN).
1. Mở Trình quản lý máy chủ .
2. Từ Công cụ , chọn Người dùng và máy tính Active Directory . *
* Lưu ý:Nếu máy chủ của bạn không thuộc miền, hãy đi tới Quản lý máy tính -> Người dùng và nhóm cục bộ .
3. Chọn Người dùng và nhấp đúp vào người dùng mà bạn muốn cho phép Truy cập VPN.
4. Chọn Quay số và chọn Cho phép truy cập . Sau đó nhấp vào OK .
Bước 9. Cách định cấu hình tường lửa để cho phép truy cập VPN L2TP (Chuyển tiếp cổng).
Bước tiếp theo là cho phép các kết nối VPN trong Tường lửa của bạn.
1. Đăng nhập vào giao diện web của bộ định tuyến.
2. Bên trong thiết lập cấu hình Bộ định tuyến, chuyển tiếp các cổng 1701, 50, 500 &4500 tới địa chỉ IP của Máy chủ VPN. (Xem hướng dẫn sử dụng Bộ định tuyến của bạn về cách định cấu hình Cổng chuyển tiếp).
- Ví dụ:nếu Máy chủ VPN có địa chỉ IP "192.168.1.8" thì bạn phải chuyển tiếp tất cả các cổng được đề cập ở trên tới IP đó.
Trợ giúp Bổ sung:
- Để có thể kết nối với máy chủ VPN của bạn từ xa, bạn phải biết Địa chỉ IP công cộng của máy chủ VPN. Để tìm Địa chỉ IP công khai (từ Máy chủ VPN), hãy điều hướng đến liên kết sau:https://www.whatismyip.com/
- Để đảm bảo rằng bạn luôn có thể kết nối với máy chủ VPN của mình, tốt hơn là nên có Địa chỉ IP Công cộng Tĩnh. Để có được Địa chỉ IP Công cộng Tĩnh, bạn phải liên hệ với nhà cung cấp dịch vụ internet của mình. Nếu bạn không muốn trả tiền cho Địa chỉ IP tĩnh, thì bạn có thể thiết lập dịch vụ DNS động miễn phí (ví dụ: no-ip .) ở phía bộ định tuyến (Máy chủ VPN) của bạn.
Bước 10. Cách thiết lập kết nối VPN L2TP trên máy tính khách Windows.
Bước cuối cùng là tạo kết nối VPN L2TP / IPSec mới với VPN Server 2016 của chúng tôi trên máy tính khách, bằng cách làm theo hướng dẫn bên dưới:
- Bài viết có liên quan: Cách thiết lập kết nối VPN PPTP trên Windows 10.
CHÚ Ý: Trước khi bạn tiếp tục tạo Kết nối VPN, hãy tiến hành và áp dụng bản sửa lỗi sổ đăng ký ở bước 6 ở trên, trên cả máy khách.
1. Mở Trung tâm Mạng và Chia sẻ.
2. Nhấp vào Thiết lập kết nối hoặc mạng mới
3. Chọn Kết nối với nơi làm việc và nhấp vào Tiếp theo.
4. Sau đó, chọn Sử dụng kết nối Internet của tôi (VPN).
5. Trên màn hình tiếp theo, nhập Địa chỉ IP công cộng của máy chủ VPN và Cổng VPN mà bạn đã chỉ định ở phía bộ định tuyến, sau đó nhấp vào Tạo .
ví dụ. Nếu địa chỉ IP bên ngoài là:108.200.135.144, sau đó nhập:"108.200.135.144" vào hộp Địa chỉ Internet và tại mục 'Tên đích' đã nộp, hãy nhập bất kỳ tên nào bạn muốn (ví dụ:"L2TP-VPN").
6. Nhập tên người dùng và mật khẩu cho kết nối VPN và nhấp vào Kết nối.
7. Nếu bạn thiết lập VPN trên máy khách Windows 7, nó sẽ cố gắng kết nối. Nhấn Bỏ qua và sau đó nhấp vào Đóng , vì bạn cần chỉ định một số cài đặt bổ sung cho kết nối VPN.
8. Trên Trung tâm mạng và chia sẻ, nhấp vào Thay đổi cài đặt bộ điều hợp ở bên trái.
9. Nhấp chuột phải vào kết nối VPN mới (ví dụ:"L2TP-VPN") và chọn Thuộc tính .
10. Chọn Bảo mật và chọn Lớp 2 (Giao thức đường hầm với IPsec (L2TP / IPsec) và sau đó nhấp vào Cài đặt nâng cao.
11. Trong 'Cài đặt nâng cao', nhập khóa Chia sẻ trước (ví dụ:"TestVPN @ 1234" trong ví dụ này) và nhấp vào OK
12. Sau đó, nhấp vào Cho phép các giao thức này và chọn Microsoft CHAP Phiên bản 2 (MS-CHAP v2)
13. Sau đó, chọn Mạng chuyển hướng. Chúng tôi sẽ nhấp đúp vào Giao thức Internet Phiên bản 4 (TCP / IPv4) để mở Thuộc tính của nó .
14. Đối với Máy chủ DNS ưa thích nhập Địa chỉ IP cục bộ của Máy chủ VPN (ví dụ:"192.168.1.8" trong ví dụ này). *
* Lưu ý:Cài đặt này là tùy chọn, vì vậy chỉ áp dụng nếu bạn cần.
15. Sau đó, nhấp vào nút Nâng cao và bỏ chọn Sử dụng cổng mặc định trên mạng từ xa vì chúng tôi muốn tách việc duyệt Internet trên PC của mình khỏi kết nối VPN.
16. Cuối cùng nhấp vào OK liên tục để đóng tất cả các cửa sổ.
17. Bây giờ, hãy nhấp đúp vào kết nối VPN mới và nhấp vào Kết nối , để kết nối với nơi làm việc của bạn.
Đó là nó! Hãy cho tôi biết nếu hướng dẫn này đã giúp bạn bằng cách để lại nhận xét của bạn về trải nghiệm của bạn. Hãy thích và chia sẻ hướng dẫn này để giúp đỡ những người khác.