Реализация, l2TP /IPsec, vPN сервера стандартными средствами

Настройка второго VPN-сервера (KOM-AD01-VPN02). Настройка службы Routing and Remote Access. В дереве навигации оснастки выбираем пункты NPS Policies Network Policies. На виртуальных серверах устанавливается, windows Server 2012 R2 Standard.

VPN (pptp l2TP /OpenVPN) на сетевом

Если потребности в наличии такой избыточности нет, то описанную ниже конфигурацию вполне можно реализовать в рамках одного виртуального сервера, совместив соответствующие серверные роли на нём. Поэтому я специально каждый шаг прописал для GUI Mikrotik - Winbox, тем более что не так уж тут и много всего надо сделать.

Настраиваем, vPN сервер L2TP и IPsec на Mikrotik RouterOS

Не обращаем пока внимание на Kerberos, жмем «Добавить». Чтобы было понятнее, мы создадим отдельную подсеть для клиентов подключающихся через L2TP, а оттуда уже настроим маршрутизацию туда куда нам нужно. Настройка правил Windows Firewall. Проверка подключения VPN-клиента из Интернет по протоколу L2TP/IPSec.

L2TP VPN l2TP over IPSec)

Проверка подключения по протоколу pptp. Тот сертификат, у которого поля «Кому выдан» и «Кем выдан» одинаковые, нужно перенести в категорию «Доверенные корневые центры сертификации». Он обеспечивает более высокий уровень безопасности но и более требователен к ресурсам системы, а также поддерживается не всем оборудованием, например, только самыми последними версиями Andriod на 100, по крайней мере, мне не попадались современные телефоны которые его не поддерживают. Как так работает, не знаю. Аутентификация - Выберите один из доступных способов аутентификации.

VPN, iPSec l2TP сервера Mikrotik

Все прочие настройки при добавлении узла кластера можно оставить по умолчанию. Устанавливаем загруженный файл корневого сертификата в хранилище Доверенные корневые центра сертификации ( Trusted Root Certification Authorities ) хранилища Локальный компьютер (эту операцию нужно выполнять с правами администратора certutil -addstore Root " C:TempCertificateRootCA. Для возможности подключения необходимо сделать проброс портов (Port Forwarding) для портов UDP 17 UDP 500 к нашему VPN серверу.

VPN сервер L2TP / IPsec

На финальном шаге Completing New Network Policy ещё раз проверим все настройки, которые будут включены в создаваемую политику, и нажмём Finish Открываем свойства только что созданной политики и на первой закладке Overview включим опцию Ignore user account dial-in properties Таким образом, возможность удалённого подключения будет. ОК, ОК и возвращаемся в список IP-фильтров.