![](https://habrastorage.org/files/804/41f/d2a/80441fd2ad0248d58a1e8a5c9d1054fc.png)
В данной статье мы хотели бы поделиться с Вами особенностями развёртывания VPN-сервера с помощью стандартных средств Windows Server 2012 R2 на вашем VPS-сервере. О плюсах и минусах различных протоколов туннелирования для организации VPN на хабре уже писали тут. Про развертывание openVPN на *nix можно почитать тут, тут и тут. Мы же попытались создать максимально простое и понятное руководство, предназначенное в первую очередь для тех, кто хотел бы скрыть свой реальный IP-адрес при помощи VPN-сервера.
Настройка сервера
Для того, чтобы развернуть VPN-сервер на базе протокола туннелирования PPTP (Point-to-Point Tunneling Protocol) на вашем VPS с Windows Server 2012 R2 прежде всего нам понадобится установить компонент Remote Access. Для этого воспользуемся панелью управления сервером (Server Manager).
![](https://habrastorage.org/files/e75/1a1/7b4/e751a17b487a470886d7bf62649787d3.jpg)
![](https://habrastorage.org/files/cf2/b37/18f/cf2b3718f8814c26ae386781c5c77e81.jpg)
![](https://habrastorage.org/files/ed0/313/735/ed03137356b44551ab5366d56126de2a.jpg)
Нажимаем далее, пока процесс установки не будет запущен. Установка завершена, приступаем к настройке. Открываем панель управления сервера и запускаем Мастер конфигурации, в котором выбираем “Deploy VPN only”
![](https://habrastorage.org/files/e32/efa/537/e32efa5374eb4bcd8c895628a70457aa.jpg)
![](https://habrastorage.org/files/1ec/f16/533/1ecf1653326d4702b66945ae383b490b.jpg)
Идём дальше. Запускаем мастер конфигурации маршрутизации и удалённого доступа.
![](https://habrastorage.org/files/03c/501/e04/03c501e044ae422d89b83f014a10f680.jpg)
![](https://habrastorage.org/files/347/761/718/347761718dc64c9aba0127f577b665ba.jpg)
Выбираем пункт Custom Configuration. Это нужно для того, чтобы избежать ошибки «Less than two interfaces were detected on this machine» (на вашем сервере обнаружено менее двух сетевых интерфейсов):
![](https://habrastorage.org/files/d67/6d3/b6f/d676d3b6f87546d1bbdf0bf36470f3fb.jpg)
Помечаем пункты NAT и VPN (NAT нам понадобится для того, чтобы использовать наш VPN-сервер для выхода в интернет) и после завершения мастера запускаем службу Маршрутизация и удалённый доступ.
![](https://habrastorage.org/files/5f8/6b9/4cc/5f86b94ccaa742daae6186015aad8361.jpg)
![](https://habrastorage.org/files/d39/87a/7c3/d3987a7c3e584441a4595b510425ac94.jpg)
Переходим в свойства сервера маршрутизации и удалённого доступа.
![](https://habrastorage.org/files/75a/a97/500/75aa97500b9a40779ac04944ddf1aa33.jpg)
Во вкладке IPv4 активируем статический пул адресов.
![](https://habrastorage.org/files/e34/fe5/b98/e34fe5b9803b40ccbfc6bbe47dc03fb8.jpg)
Остальные настройки оставляем по умолчанию.
![](https://habrastorage.org/files/da0/c35/f57/da0c35f578a64852ac03987be466557f.jpg)
Применяем и двигаемся дальше…
Создадим нового пользователя, которого мы будет использовать для подключения к нашему VPN-серверу.
Это можно сделать с помощью оснастки lusrmgr.msc. Открываем свойства созданного пользователя, вкладку Dial-In.
![](https://habrastorage.org/files/00f/40d/f56/00f40df5625e4038b298bbb792c7d9f6.jpg)
По умолчанию, доступ каждого пользователя регулируется с помощью сетевой политики сервера защиты сети (NPS Network Policy). Для того, чтобы разрешить подключение к нашему серверу, открываем оснастку nps.msc, разворачиваем раздел Политики (Policies) / Сетевые политики (Network policies) и заходим в свойства политики «Connections to Microsoft Routing and Remove Access Server»
![](https://habrastorage.org/files/8ce/e48/3e6/8cee483e6f9b40c6a995198cea523ee5.jpg)
![](https://habrastorage.org/files/f7a/ff4/276/f7aff42765334eeea655db6c13d8bf08.jpg)
Разрешаем доступ в случае, если соединение удовлетворяет требованиям данной политики.
Во вкладке Constraints вы можете выбрать различные методы аутентификации, установить таймаут сессии (Session timeout) и таймаут бездействия (Idle timeout), установить дневные ограничения доступа (например в рабочие дни с 8:00 до 17:00) и так далее.
Во вкладке Settings можно настроить фильтрацию входящих и исходящих пакетов для ipv4 / ipv6, ограничить доступ к сети в определённые интервалы времени, настроить параметры многоканальных подключений, настроить правила назначения IP-адресов клиентам. Подробно останавливаться на данных настройках мы не будем. Если какой-либо из пунктов данного руководства требует дополнительного освещения, пожалуйста, укажите это в комментариях.
Теперь нам необходимо настроить NAT, чтобы можно было использовать данный сервер для доступа в интернет. Добавляем новый интерфейс в разделе NAT для IPv4 в сервере маршрутизации и удалённого доступа. В нашем случае, Ethernet 5 — внешний интерфейс с публичным IP адресом, на котором нам и следует активировать NAT.
![](https://habrastorage.org/files/ce4/c45/a7c/ce4c45a7cd44479ead828361d0b9fc94.jpg)
![](https://habrastorage.org/files/156/67e/e9f/15667ee9f22a4fdeba24c7e50cc1c8e8.jpg)
На заключительном шаге указываем тип интерфейса и активируем NAT. Серверная часть готова.
![](https://habrastorage.org/files/3cf/f23/ee0/3cff23ee02d54048943baef92d196e5d.jpg)
Создание VPN — подключения (Windows 8)
Для того, чтобы создать VPN-подключение, переходим в центр управления сетями и общим доступом в панели управления windows и выбираем пункт «Создание и настройка нового подключения».
![](https://habrastorage.org/files/415/6a4/380/4156a4380dd54820b511a4195f1316ef.jpg)
![](https://habrastorage.org/files/984/eaf/2ef/984eaf2efef044af923f0c3fcc2f669d.jpg)
![](https://habrastorage.org/files/2cc/aeb/d83/2ccaebd83deb452aadcc4798d731921e.jpg)
![](https://habrastorage.org/files/11a/f88/a50/11af88a50b93449bac96a4c103de9704.jpg)
Подключение создано, приступим к настройке. Выполняем команду ncpa.cpl (оснастка windows для управления сетевыми подключениями). Заходим в свойства созданного подключения и выполняем следующее.
![](https://habrastorage.org/files/d8c/84f/626/d8c84f626a11481d912cb33fd12202be.jpg)
Далее переходим открываем дополнительный параметры TCP / IP. Пункт «использовать основной шлюз удалённой сети» должен быть отмечен.
![](https://habrastorage.org/files/cd9/61b/1a3/cd961b1a36dc4b1095cd2648bd73a8f5.jpg)
Всё готово, пробуем подключиться.
![](https://habrastorage.org/files/677/09d/ce9/67709dce9dab47c5bdd64976f3ae4083.jpg)
![](https://habrastorage.org/files/8f9/4e7/9c9/8f94e79c93cf4cafa4eb9bfbe9d2b438.jpg)
Подключились!
Запускаем cmd.exe и выполняем route print -4:
![](https://habrastorage.org/files/487/b30/11a/487b3011aad9474ab25c3b2d518a3241.jpg)
Выделенный маршрут становится наиболее предпочтительным (метрика 21 — наименьшая), поэтому весь наш исходящий трафик будет направлен через PPTP-туннель. Далее, в дело вступает компонент NAT сервера маршрутизации и удалённого доступа, который отправляет трафик дальше через инфраструктуру интернет провайдера вашего VPS-сервера, благодаря чему возможно скрыть свой публичный IP-адрес (если он был предоставлен вашим интернет провайдером).
В качестве проверки корректности настроек сервера и подключения на клиенте открываем сайт www.whatismyip.com и видим IP-адрес вашего VPN-сервера. Разумеется, если вы всё сделали правильно.
Мы в компании RUVDS постоянно улучшаем качество излагаемого материала в нашем корпоративном блоге на хабре. После выпуска первых статей мы получили некоторое количество рекомендаций, которые помогли нам понять направление работ при публикации последующих статей. Обратная связь с нашими читателями имеет для нас большое значение, поэтому, если материал Вам понравился или наоборот, если мы не осветили какие-то важные моменты, не стесняйтесь делиться Вашим мнением в комментариях.
Комментарии (14)
ibKpoxa
05.05.2016 15:48А насколько безопасен EAP-MSCHAP? Помню что MSCHAPv2 был взломан.
ru_vds
05.05.2016 16:31Да, вы правы. EAP-MSCHAPv2 в настоящий момент не является безопасным EAP-методом аутентификации при использовании PPTP-туннелирования.
Для усиления безопасности для данного типа туннелирования microsoft рекомендует использовать PEAP-MS-CHAP v2, так как в этом случае трафик EAP-MS-CHAP v2 инкапсулирован в TLS
ayurtaykin
05.05.2016 16:51-1Как скрыть свой реальный IP-адрес при помощи VPN-сервера
Я так понимаю статья адресована тем кто испугался фразы — «Да я тебя по айпи вычислю!!1»
Теперь они смогут отвечать что-то в стиле — «Да фиг тебе! На защите моего адреса стоит Windows!»
Shultz
06.05.2016 09:50К сожалению, с развитием html5, даже VPN не поможет скрыть ваш IP. При желании хозяин сайта получит все ваше сетевое окружение вместе с реальным IP.
JerleShannara
06.05.2016 17:58Угу, local_ip=10.0.0.15, local_gw=10.0.0.1, printer=10.0.0.2, nas_porno=10.0.0.3. Очень сильно поможет наверное
omsknews
11.05.2016 13:26а почему http://www.mapdevelopers.com/where-am-i.php в ряде случаев вдруг рисует на карте правильное местоположение даже с включенным vpn?
ruvds2
11.05.2016 15:24Уточните о каких именно случаях идёт речь?
А также устройство для подключения, тип подключения, конфигурация VPN-сервера/VPN-клиента?
Jump
Я конечно все понимаю, ситуации бывают разные, но использовать Windows Server 2012 R2 для поднятия VPN сервера, с целью скрыть свой адрес, это не слишком ли ...?
ru_vds
Статья предназначена в первую очередь для тех, у кого возникли трудности с настройкой VPN-сервера на Windows Server 2012 R2. Мы, в свою очередь, постарались предоставить максимально простое и наглядное руководство для того, чтобы помочь их преодолеть. Вы можете использовать другой VPN-сервер на другой ОС с любой другой целью.
Jump
Да я ничего не имею против VPN сервера на Windows, и сам им пользуюсь.
Удивление вызывает именно цель поднятия данного сервера указанная в заголовке статьи.
navion
С одной стороны у него хорошая интеграция с встроенным виндовым клиентом. А с другой можно купить подписку у vpn-провайдера за 30 баксов в год с выбором страны, защитой от DNS leak и другими плюшка.
procfg
OpenVPN наше все)