Входящие VPN-подключения поддерживаются в Windows 7 (все редакции), Windows 8 и 8.1, Windows Vista, Windows XP. Подключения осуществляются по протоколу PPTP. Одновременно допускается только одно подключение.
При создании подключения сеть должна быть настроена, и сетевой кабель подключен, иначе при создании подключения возникнет ошибка.
Открываем центр управления сетями и общим доступом.
Переходим к изменению параметров адаптера.
Нажимаем Alt или F10 для вызова меню, выбираем Файл, Новое входящее подключение.
В мастере создания подключения выбираем пользователей, которые могут подключаться к нашему VPN-серверу.
Русские имена пользователей не поддерживаются, добавляем нового пользователя с именем на латинице.
Созданные мастером пользователи не входят ни в одну группу, следовательно, не имеют никаких прав, кроме установки VPN-подключения и не будут отображаться на экране приветствия.
На следующем шаге, устанавливаем флажок: «Через интернет».
Задаем настройки протоколов и служб.
В свойствах протокола Интернета версии 4 (TCP/IPv4) указываем IP-адреса для VPN-клиентов в локальной сети.
Сохраняем параметры и нажимаем кнопку «Разрешить доступ».
В результате, будет создано новое сетевое подключение.
При создании входящего подключения брандмауэр Windows настраивается автоматически. Если используется другой брандмауэр, необходимо вручную открыть входящие подключения на порт TCP 1723, и разрешить протокол GRE (47).
Если интернет подключен через маршрутизатор, необходимо присвоить серверу статический IP-адрес в настройках подключения по локальной сети, либо привязать IP-адрес к MAC-адресу сервера в настройках DHCP на роутере. Затем настроить трансляцию входящих соединений на порт TCP 1723 с маршрутизатора на VPN-сервер. О том, как пробросить порт на вашем маршрутизаторе, читаем здесь, проверяем доступность порта 1723 здесь.
Во время подключения клиента, создается сетевой интерфейс «RAS (Dial In) interface». При первом подключении брандмауэр Windows применит к нему профиль: «Общественная сеть», в котором запрещены входящие подключения. Чтобы задать подключению частный профиль на этапе настройки, необходимо установить VPN-подключение. Для этого создаем VPN-подключение на самом сервере или на другом доступном компьютере, подключаемся и задаем сетевое расположение. Если сетевое расположение не было запрошено автоматически, переходим в Центр управления сетями и общим доступом и задаем профиль вручную.
Подключения клиентов записываются в лог-файлы в папке %SystemRoot%\System32\LogFiles, с именем IN????.log, где ???? год и месяц отчета.
При настройке клиентского подключения в качестве интернет-адреса используем IP-адрес, выданный провайдером. В данный момент вы зашли с IP-адреса: 95.105.19.227. При подключении используем имя и пароль пользователя, которому на этапе настройки был разрешен VPN-доступ. Чтобы предотвратить туннелирование интернет трафика в удаленную сеть, в дополнительных настройках протокола TCP/IP, отключаем флажок «Использовать основной шлюз в удаленной сети». В этом случае будет туннелироваться только трафик для удаленной сети.
Если провайдером выдаются динамические IP-адреса, настраиваем динамический DNS, например DtDNS или ДинРУ. VPN будет работать и без динамического DNS, но вам придется каждый раз прописывать актуальный IP-адрес в настройках VPN-подключения.
После настройки входящих VPN-подключений, значок сети в трее будет постоянно отображаться перечеркнутым: , не зависимо от фактического состояния сети. Это ошибка разработчиков. Патча, исправляющего проблему нет. В качестве обходного пути, дефектный значок можно скрыть в настройках значков области уведомлений. При удалении интерфейса входящих подключений, работоспособность значка восстанавливается.
Ошибка подключения 807
Ошибка 807: Сетевое подключение компьютера к серверу виртуальной частной сети прервано.
Если данная ошибка возникает на этапе установки связи с VPN-сервером, значит, недоступен порт TCP 1723. Если соединение было успешно установлено, но затем разорвано с данной ошибкой, значит, произошел сбой канала связи.
В первом случае проблема может быть VPN-сервере, стороннем брандмауэре (если установлен) или настройках маршрутизатора. Для локализации проблемы, на стороне сервера выполняем следующие действия.
Проверяем, запущена ли служба: «Маршрутизация и удаленный доступ». В меню «Пуск», находим «Компьютер», щелкаем правой кнопкой мыши, в меню выбираем «Управление». В открывшейся консоли слева разворачиваем группу «Службы и приложения» и выбираем «Службы», справа находим службу «Маршрутизация и удаленный доступ», проверяем состояние — выполняется, тип запуска — авто.
Проверяем, слушается ли порт 1723. Запускаем командную строку, выполняем команду netstat -a | find "1723", в результате должна отобразиться строка: «TCP 0.0.0.0:1723 hostname:0 LISTENING„. Если вывод команды пуст, настраиваем VPN-сервер повторно.
Временно отключаем или удаляем программы, фильтрующие сетевой трафик. Брандмауэр Windows настраивается автоматически при создании VPN-сервера, его отключение не требуется.
Выполняем тестовое VPN-подключение на самом сервере на адрес внешнего сетевого интерфейса и на адрес 127.0.0.1.
Выполняем тестовое VPN-подключение с другого компьютера внутри локальной сети.
Проверяем настройки маршрутизатора. Сервер должен иметь статический IP-адрес, заданный в настройках подключения по локальной сети, либо привязанный к MAC-адресу сервера в настройках DHCP на роутере. Должен быть проброшен порт TCP 1723 на IP-адрес VPN-сервера. О настройке конкретного маршрутизатора читаем здесь.
Проверяем, доступен ли порт 1723 из интернета с помощью сервиса проверки портов.
Проверяем доступность порта 1723 на стороне клиента с помощью tracetcp. Загружаем и устанавливаем WinPcap. Загружаем и распаковываем tracetcp. Запускаем в командной строке: “tracetcp адрес:1723».
В особо тяжелых случаях используем монитор сетевого трафика Wireshark c фильтром: «port 1723 or ip proto 0x2f».
Включение отладочных логов VPN-сервера
В командной строке включаем трассировку: netsh ras set tracing * enabled
Устанавливаем VPN-подключение.
Отключаем трассировку: netsh ras set tracing * disabled
Переходим в папку %windir%\tracing, изучаем полученные логи:
- PPP.log
- RASMAN.log
- IASHLPR.log
- RASAPI32.log
- RASIPCP.log
Также проверяем журнал событий на предмет сообщений от RemoteAccess.
Альтернативы
SoftEther VPN
OpenVPN — только для постоянных подключений, управления сеансовыми подключениями не предусмотрено.
К сожалению, перечисленные выше свободные реализации VPN достаточно сложны, их настройка может стать серьезной проблемой для неподготовленного пользователя.
В обоих случаях для передачи данных используются стандартные UDP или TCP протоколы, что может быть полезным при проблемах с маршрутизацией GRE-трафика.
