Настройка Always On VPN в Windows Server

Настройка Always On VPN в Windows Server

Защищённый удалённый доступ без DirectAccess

Традиционные VPN-решения, такие как PPTP и L2TP/IPsec, давно не отвечают современным требованиям безопасности и удобства: они либо не обеспечивают надёжного шифрования, либо требуют от пользователя ручного запуска подключения. DirectAccess, предлагавший прозрачный доступ к корпоративной сети, был сложен в настройке и требовал обязательного наличия IPv6 и доменной инфраструктуры, а с выходом новых версий Windows Server его поддержка фактически заморожена. Организациям, переходящим на гибридную или удалённую модель работы, необходимо решение, которое позволяет сотрудникам автоматически и безопасно подключаться к внутренним ресурсам сразу после включения ноутбука, ещё до входа в учётную запись. Always on vpn закрывает этот пробел, предоставляя полностью интегрированную в Windows платформу для постоянного VPN-подключения с современными протоколами аутентификации и гибкой маршрутизацией трафика.

Решение

Always on vpn  это встроенная технология Windows Server 2016/2019/2022 и Windows 10/11, которая пришла на смену DirectAccess. Она поддерживает автоматическую установку защищённого туннеля IKEv2 или SSTP, аутентификацию по сертификатам компьютера или пользователя, интеграцию с Azure AD, а также раздельное туннелирование (split tunneling), при котором только трафик к корпоративным ресурсам направляется в VPN, а остальной трафик идёт напрямую в интернет. Центральными компонентами выступают Routing and Remote Access Service (RRAS) как VPN-сервер и Network Policy Server (NPS) как RADIUS-сервер для проверки подлинности и авторизации. Официальная документация по архитектуре и планированию Always On VPN доступна в обзоре решения на Microsoft Learn, а подробное руководство по развёртыванию в разделе Deploy Always On VPN. Конфигурационные параметры VPN-профиля, распространяемого на клиентов, описаны в VPN profile options.

Пошаговая инструкция

Шаг 1. Подготовка инфраструктуры

Перед развёртыванием Always On VPN убедитесь, что выполнены базовые требования:

  • Сервер VPN: Windows Server 2016 или новее, два сетевых интерфейса (WAN и LAN), статический IP-адрес на внешнем интерфейсе, доменное имя (FQDN), разрешающееся в этот адрес (например, vpn.company.com).
  • Центр сертификации (PKI): требуется для выдачи сертификатов компьютера (для аутентификации сервера VPN и клиентов) и, при необходимости, сертификатов пользователя. Можно использовать внутренний корпоративный CA (Active Directory Certificate Services) или публичные сертификаты.
  • NPS-сервер (RADIUS): может быть совмещён с VPN-сервером или развёрнут отдельно. Мы рассмотрим вариант с совмещением на одном хосте.
  • Active Directory: для проверки членства компьютеров и пользователей в домене.

Шаг 2. Установка ролей RRAS и NPS

На сервере, который будет VPN-шлюзом, откройте Диспетчер серверов → Добавить роли и компоненты.

  1. В разделе Роли сервера отметьте:
    • Удалённый доступ (Remote Access). Внутри роли выберите DirectAccess и VPN (RAS) и Маршрутизация.
    • Сервер политики сети (Network Policy and Access Services). Внутри роли достаточно установить Сервер политики сети (Network Policy Server).
  2. Завершите мастер установки и перезагрузите сервер при необходимости.

Подробнее об установке роли удалённого доступа: Install Remote Access as a VPN server.

Шаг 3. Настройка RRAS как VPN-сервера

  1. Откройте консоль Маршрутизация и удалённый доступ (rrasmgmt.msc).
  2. Щёлкните правой кнопкой по имени сервера и выберите Настроить и включить маршрутизацию и удалённый доступ.
  3. В мастере выберите Особая конфигурация → VPN-доступ и, при необходимости, Трансляция сетевых адресов (NAT), если VPN-клиентам нужен выход в интернет через этот сервер.
  4. Завершите мастер и запустите службу.
  5. В свойствах сервера (правая кнопка → Свойства) на вкладке IPv4 убедитесь, что включён IPv4-маршрутизатор и настроен пул статических адресов для VPN-клиентов (например, 10.10.10.1 — 10.10.10.254).
  6. На вкладке Безопасность в разделе Поставщик проверки подлинности выберите Сервер политики сети (NPS) и нажмите Настроить. Укажите локальный сервер NPS или удалённый, если он развёрнут отдельно.

Шаг 4. Настройка NPS для аутентификации VPN-клиентов

Network Policy Server будет принимать RADIUS-запросы от RRAS и проверять подлинность клиентов.

  1. Откройте консоль Сервер политики сети (nps.msc).
  2. В разделе RADIUS-клиенты и серверы → RADIUS-клиенты добавьте новую запись:
    • Понятное имя: RRAS (или любое).
    • Адрес: IP-адрес сервера VPN (обычно 127.0.0.1, если NPS на том же хосте).
    • Общий секрет: задайте сложный пароль и сохраните его для последующей настройки RRAS.
  3. В разделе Политики → Политики запросов на подключение создайте новую политику, разрешающую подключения от VPN-клиентов. Укажите условие Тип порта NAS → Виртуальный (VPN) и установите разрешение на доступ.
  4. В разделе Политики → Сетевые политики создайте политику для авторизации. Условия: Членство в группе Windows → Domain Computers (или Domain Users, в зависимости от сценария). В настройках проверки подлинности выберите метод EAP с типом Microsoft: Защищённый пароль (EAP-MSCHAP v2) или Сертификат компьютера (PEAP). Для сертификатной аутентификации на вкладке Ограничения выберите метод проверки Microsoft: смарт-карта или другой сертификат.
  5. Назначьте IP-фильтры и параметры шифрования (рекомендуется Самый стойкий только AES-256).
  6. Вернитесь в консоль RRAS, в свойствах сервера на вкладке Безопасность укажите общий секрет, заданный в RADIUS-клиенте NPS.

Подробная инструкция по настройке NPS: Install and Configure NPS.

Шаг 5. Настройка сертификатов для аутентификации

Сертификаты необходимы для аутентификации сервера (чтобы клиент мог проверить его подлинность) и клиентских компьютеров.

  1. На внутреннем корпоративном CA запросите или выпустите:
    • Сертификат сервера с шаблоном Web Server (или RAS and IAS Server), содержащим FQDN VPN-шлюза в поле CN.
    • Сертификаты компьютеров для всех клиентских машин с шаблоном Workstation Authentication (или Computer).
  2. Установите серверный сертификат в хранилище локального компьютера (в оснастке certlm.msc) в раздел Личные → Сертификаты. Привяжите его к службе RRAS: в свойствах порта VPN (например, WAN Miniport (IKEv2)) в консоли RRAS выберите этот сертификат.
  3. Клиентские сертификаты должны быть автоматически выданы доменным компьютерам через автозапрос (autoenrollment) групповой политики. Настройте GPO: Конфигурация компьютера → Политики → Параметры безопасности → Политики открытого ключа → Клиент служб сертификации — Автоматическая регистрация. Включите политику, выберите шаблон сертификата компьютера.

Документация по сертификатам для Always On VPN: Certificate requirements.

Шаг 6. Создание и распространение VPN-профиля на клиентах

Для автоматического подключения клиенту нужен профиль Always On VPN, который можно распространить через Intune, SCCM, групповые политики (GPO) или вручную через PowerShell.

Пример PowerShell-скрипта для создания профиля (сохранить как Profile.ps1 и выполнить на клиенте с правами администратора):

powershell

$ProfileName = "Always On VPN"
$ServerAddress = "vpn.company.com"
$TunnelType = "IKEv2"
$AuthenticationMethod = "MachineCertificate"

Add-VpnConnection -Name $ProfileName -ServerAddress $ServerAddress -TunnelType $TunnelType -AuthenticationMethod $AuthenticationMethod -AllUserConnection -SplitTunneling $True
  • -AllUserConnection делает профиль доступным для всех пользователей и позволяет подключаться до входа в систему.
  • -SplitTunneling $True включает раздельное туннелирование: только трафик к указанным корпоративным подсетям пойдёт в VPN.

Для централизованного развёртывания через GPO можно использовать XML-профиль, импортируемый через VPNv2 CSP. Пример XML и инструкций по развёртыванию через Intune описан в VPN profile options.

Шаг 7. Проверка подключения

На клиентском компьютере после применения профиля Always On VPN автоматически установит соединение. Проверьте:

  1. В сетевых подключениях (ncpa.cpl) появится профиль с именем, заданным в скрипте. Статус должен быть «Подключено».
  2. Команда Get-VpnConnection в PowerShell покажет активное подключение.
  3. Попробуйте обратиться к внутреннему ресурсу (например, открыть общую папку на файловом сервере). Если раздельное туннелирование настроено верно, трафик к корпоративным IP-адресам пойдёт через VPN, а остальной напрямую.

Устранение распространённых проблем

СимптомВероятная причинаРешение
Клиент не подключается, ошибка «Не удалось проверить подлинность сервера»У клиента нет доверия к сертификату VPN-сервераУбедитесь, что корневой сертификат внутреннего CA установлен в хранилище «Доверенные корневые центры сертификации» клиента.
Подключение устанавливается, но нет доступа к внутренним ресурсамНе настроена маршрутизация или DNSПроверьте, что VPN-клиентам выдаются правильные DNS-суффиксы и что сервер DNS доступен через туннель. В свойствах RRAS настройте DHCP-ретранслятор или статический пул.
Профиль не применяется автоматическиОшибка в XML-профиле или CSPПроверьте конфигурацию профиля на клиенте с помощью Get-VpnConnection. При использовании GPO убедитесь, что политика применяется (gpresult /r).
Ошибка аутентификации NPS (событие 6273)Не совпадает общий секрет RADIUS или неверный метод аутентификацииСравните общий секрет в свойствах RADIUS-клиента NPS и в консоли RRAS. Проверьте, что в политике NPS выбран поддерживаемый клиентом метод EAP.
После перезагрузки сервер RRAS не запускаетсяКонфликт с брандмауэром или другим VPN-сервисомПроверьте журнал событий Windows → Система. Убедитесь, что порты 500 (IKE) и 4500 (NAT-T) UDP не заняты.

Always on vpn обеспечивает современный, безопасный и полностью автоматический удалённый доступ к корпоративным ресурсам, заменяя устаревшие технологии. Благодаря интеграции с Active Directory, PKI и NPS решение поддерживает аутентификацию на уровне компьютера, что позволяет подключаться к сети ещё до входа пользователя. Централизованное распространение профилей через Intune или GPO сводит к минимуму ручную настройку клиентов, а раздельное туннелирование снижает нагрузку на VPN-шлюз. Несмотря на кажущуюся сложность первоначальной настройки, Always On VPN после развёртывания работает прозрачно для сотрудников и практически не требует администрирования, что делает его идеальным выбором для организаций любого размера.

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest
0 комментариев
Популярные
Новые Старые

0
Оставьте комментарий! Напишите, что думаете по поводу статьи.x
Menu