Защищённый удалённый доступ без DirectAccess
Традиционные VPN-решения, такие как PPTP и L2TP/IPsec, давно не отвечают современным требованиям безопасности и удобства: они либо не обеспечивают надёжного шифрования, либо требуют от пользователя ручного запуска подключения. DirectAccess, предлагавший прозрачный доступ к корпоративной сети, был сложен в настройке и требовал обязательного наличия IPv6 и доменной инфраструктуры, а с выходом новых версий Windows Server его поддержка фактически заморожена. Организациям, переходящим на гибридную или удалённую модель работы, необходимо решение, которое позволяет сотрудникам автоматически и безопасно подключаться к внутренним ресурсам сразу после включения ноутбука, ещё до входа в учётную запись. Always on vpn закрывает этот пробел, предоставляя полностью интегрированную в Windows платформу для постоянного VPN-подключения с современными протоколами аутентификации и гибкой маршрутизацией трафика.
Решение
Always on vpn это встроенная технология Windows Server 2016/2019/2022 и Windows 10/11, которая пришла на смену DirectAccess. Она поддерживает автоматическую установку защищённого туннеля IKEv2 или SSTP, аутентификацию по сертификатам компьютера или пользователя, интеграцию с Azure AD, а также раздельное туннелирование (split tunneling), при котором только трафик к корпоративным ресурсам направляется в VPN, а остальной трафик идёт напрямую в интернет. Центральными компонентами выступают Routing and Remote Access Service (RRAS) как VPN-сервер и Network Policy Server (NPS) как RADIUS-сервер для проверки подлинности и авторизации. Официальная документация по архитектуре и планированию Always On VPN доступна в обзоре решения на Microsoft Learn, а подробное руководство по развёртыванию в разделе Deploy Always On VPN. Конфигурационные параметры VPN-профиля, распространяемого на клиентов, описаны в VPN profile options.
Пошаговая инструкция
Шаг 1. Подготовка инфраструктуры
Перед развёртыванием Always On VPN убедитесь, что выполнены базовые требования:
-
Сервер VPN: Windows Server 2016 или новее, два сетевых интерфейса (WAN и LAN), статический IP-адрес на внешнем интерфейсе, доменное имя (FQDN), разрешающееся в этот адрес (например,
vpn.company.com). - Центр сертификации (PKI): требуется для выдачи сертификатов компьютера (для аутентификации сервера VPN и клиентов) и, при необходимости, сертификатов пользователя. Можно использовать внутренний корпоративный CA (Active Directory Certificate Services) или публичные сертификаты.
- NPS-сервер (RADIUS): может быть совмещён с VPN-сервером или развёрнут отдельно. Мы рассмотрим вариант с совмещением на одном хосте.
- Active Directory: для проверки членства компьютеров и пользователей в домене.
Шаг 2. Установка ролей RRAS и NPS
На сервере, который будет VPN-шлюзом, откройте Диспетчер серверов → Добавить роли и компоненты.
- В разделе Роли сервера отметьте:
- Удалённый доступ (Remote Access). Внутри роли выберите DirectAccess и VPN (RAS) и Маршрутизация.
- Сервер политики сети (Network Policy and Access Services). Внутри роли достаточно установить Сервер политики сети (Network Policy Server).
- Завершите мастер установки и перезагрузите сервер при необходимости.
Подробнее об установке роли удалённого доступа: Install Remote Access as a VPN server.
Шаг 3. Настройка RRAS как VPN-сервера
- Откройте консоль Маршрутизация и удалённый доступ (
rrasmgmt.msc). - Щёлкните правой кнопкой по имени сервера и выберите Настроить и включить маршрутизацию и удалённый доступ.
- В мастере выберите Особая конфигурация → VPN-доступ и, при необходимости, Трансляция сетевых адресов (NAT), если VPN-клиентам нужен выход в интернет через этот сервер.
- Завершите мастер и запустите службу.
- В свойствах сервера (правая кнопка → Свойства) на вкладке IPv4 убедитесь, что включён IPv4-маршрутизатор и настроен пул статических адресов для VPN-клиентов (например,
10.10.10.1 — 10.10.10.254). - На вкладке Безопасность в разделе Поставщик проверки подлинности выберите Сервер политики сети (NPS) и нажмите Настроить. Укажите локальный сервер NPS или удалённый, если он развёрнут отдельно.
Шаг 4. Настройка NPS для аутентификации VPN-клиентов
Network Policy Server будет принимать RADIUS-запросы от RRAS и проверять подлинность клиентов.
- Откройте консоль Сервер политики сети (
nps.msc). - В разделе RADIUS-клиенты и серверы → RADIUS-клиенты добавьте новую запись:
- Понятное имя: RRAS (или любое).
-
Адрес: IP-адрес сервера VPN (обычно
127.0.0.1, если NPS на том же хосте). - Общий секрет: задайте сложный пароль и сохраните его для последующей настройки RRAS.
- В разделе Политики → Политики запросов на подключение создайте новую политику, разрешающую подключения от VPN-клиентов. Укажите условие Тип порта NAS →
Виртуальный (VPN)и установите разрешение на доступ. - В разделе Политики → Сетевые политики создайте политику для авторизации. Условия: Членство в группе Windows →
Domain Computers(илиDomain Users, в зависимости от сценария). В настройках проверки подлинности выберите метод EAP с типом Microsoft: Защищённый пароль (EAP-MSCHAP v2) или Сертификат компьютера (PEAP). Для сертификатной аутентификации на вкладке Ограничения выберите метод проверки Microsoft: смарт-карта или другой сертификат. - Назначьте IP-фильтры и параметры шифрования (рекомендуется Самый стойкий только AES-256).
- Вернитесь в консоль RRAS, в свойствах сервера на вкладке Безопасность укажите общий секрет, заданный в RADIUS-клиенте NPS.
Подробная инструкция по настройке NPS: Install and Configure NPS.
Шаг 5. Настройка сертификатов для аутентификации
Сертификаты необходимы для аутентификации сервера (чтобы клиент мог проверить его подлинность) и клиентских компьютеров.
- На внутреннем корпоративном CA запросите или выпустите:
-
Сертификат сервера с шаблоном
Web Server(илиRAS and IAS Server), содержащим FQDN VPN-шлюза в полеCN. -
Сертификаты компьютеров для всех клиентских машин с шаблоном
Workstation Authentication(илиComputer).
-
Сертификат сервера с шаблоном
- Установите серверный сертификат в хранилище локального компьютера (в оснастке
certlm.msc) в раздел Личные → Сертификаты. Привяжите его к службе RRAS: в свойствах порта VPN (например,WAN Miniport (IKEv2)) в консоли RRAS выберите этот сертификат. - Клиентские сертификаты должны быть автоматически выданы доменным компьютерам через автозапрос (autoenrollment) групповой политики. Настройте GPO:
Конфигурация компьютера → Политики → Параметры безопасности → Политики открытого ключа → Клиент служб сертификации — Автоматическая регистрация. Включите политику, выберите шаблон сертификата компьютера.
Документация по сертификатам для Always On VPN: Certificate requirements.
Шаг 6. Создание и распространение VPN-профиля на клиентах
Для автоматического подключения клиенту нужен профиль Always On VPN, который можно распространить через Intune, SCCM, групповые политики (GPO) или вручную через PowerShell.
Пример PowerShell-скрипта для создания профиля (сохранить как Profile.ps1 и выполнить на клиенте с правами администратора):
powershell
$ProfileName = "Always On VPN"
$ServerAddress = "vpn.company.com"
$TunnelType = "IKEv2"
$AuthenticationMethod = "MachineCertificate"
Add-VpnConnection -Name $ProfileName -ServerAddress $ServerAddress -TunnelType $TunnelType -AuthenticationMethod $AuthenticationMethod -AllUserConnection -SplitTunneling $True
-
-AllUserConnectionделает профиль доступным для всех пользователей и позволяет подключаться до входа в систему. -
-SplitTunneling $Trueвключает раздельное туннелирование: только трафик к указанным корпоративным подсетям пойдёт в VPN.
Для централизованного развёртывания через GPO можно использовать XML-профиль, импортируемый через VPNv2 CSP. Пример XML и инструкций по развёртыванию через Intune описан в VPN profile options.
Шаг 7. Проверка подключения
На клиентском компьютере после применения профиля Always On VPN автоматически установит соединение. Проверьте:
- В сетевых подключениях (
ncpa.cpl) появится профиль с именем, заданным в скрипте. Статус должен быть «Подключено». - Команда
Get-VpnConnectionв PowerShell покажет активное подключение. - Попробуйте обратиться к внутреннему ресурсу (например, открыть общую папку на файловом сервере). Если раздельное туннелирование настроено верно, трафик к корпоративным IP-адресам пойдёт через VPN, а остальной напрямую.
Устранение распространённых проблем
| Симптом | Вероятная причина | Решение |
|---|---|---|
| Клиент не подключается, ошибка «Не удалось проверить подлинность сервера» | У клиента нет доверия к сертификату VPN-сервера | Убедитесь, что корневой сертификат внутреннего CA установлен в хранилище «Доверенные корневые центры сертификации» клиента. |
| Подключение устанавливается, но нет доступа к внутренним ресурсам | Не настроена маршрутизация или DNS | Проверьте, что VPN-клиентам выдаются правильные DNS-суффиксы и что сервер DNS доступен через туннель. В свойствах RRAS настройте DHCP-ретранслятор или статический пул. |
| Профиль не применяется автоматически | Ошибка в XML-профиле или CSP | Проверьте конфигурацию профиля на клиенте с помощью Get-VpnConnection. При использовании GPO убедитесь, что политика применяется (gpresult /r). |
| Ошибка аутентификации NPS (событие 6273) | Не совпадает общий секрет RADIUS или неверный метод аутентификации | Сравните общий секрет в свойствах RADIUS-клиента NPS и в консоли RRAS. Проверьте, что в политике NPS выбран поддерживаемый клиентом метод EAP. |
| После перезагрузки сервер RRAS не запускается | Конфликт с брандмауэром или другим VPN-сервисом | Проверьте журнал событий Windows → Система. Убедитесь, что порты 500 (IKE) и 4500 (NAT-T) UDP не заняты. |
Always on vpn обеспечивает современный, безопасный и полностью автоматический удалённый доступ к корпоративным ресурсам, заменяя устаревшие технологии. Благодаря интеграции с Active Directory, PKI и NPS решение поддерживает аутентификацию на уровне компьютера, что позволяет подключаться к сети ещё до входа пользователя. Централизованное распространение профилей через Intune или GPO сводит к минимуму ручную настройку клиентов, а раздельное туннелирование снижает нагрузку на VPN-шлюз. Несмотря на кажущуюся сложность первоначальной настройки, Always On VPN после развёртывания работает прозрачно для сотрудников и практически не требует администрирования, что делает его идеальным выбором для организаций любого размера.







