web-dev-qa-db-fra.com

Comment configurer le serveur VPN IPSec L2TP sur Windows Server 2008 R2?

La machine Windows 2008 R2 (SBS) était la configuration antérieure pour exécuter A PPTP VPN Server. En raison de problèmes de sécurité, je souhaite remplacer le PPTP par l2TP/Server VPN IPsec.

Le serveur est derrière A NAT où 3 règles d'avance vers le serveur Windows sont créées:

  1. protocole 50 (ESP)
  2. port UDP 500 (Ike)
  3. port UDP 4500 (trershasal NAT)

Je suis au point où je peux voir les paquets arrivant sur le serveur Windows et être bloqué par le filtrage du pare-feu Windows. La visionneuse de l'événement Windows affiche les entrées avec l'ID d'événement 5152 (la plate-forme de filtrage Windows bloqua un paquet.) Pour le port cible 500 et le protocole 17 (UDP).

Quelles mesures supplémentaires doivent être prises pour obtenir le serveur L2TP-VPN et exécuter sur Windows Server 2008 R2 pour les clients Mac OS X?

windows-server-2008-r2vpnipsecrrasl2tp
3
Pro Backup

1. Vérifiez l'existence des ports L2TP

Vérifiez d'abord s'il existe en réalité un port L2TP configuré dans le routage et l'accès à distance (RRAS).

  • Cliquez -Démarrer, cliquez sur Outils d'administration, puis cliquez sur routage et accès à distance.
  • Développez votre serveur, puis développez ports.
  • Au cas où il n'y a pas d'entrées pour WAN MiniPort (L2TP) ..., ajoutez-les par clic droit ports.

2. Check RAS Clé pré-partagée

Assurez-vous que A RAS Touche pré-partagée est configuré. Vérification du RAS La sécurité de clé pré-partagée est également effectuée dans le routage et l'accès à distance MMC.

  • Ouvrez le -Propriétés de votre serveur via le serveur son menu contextuel (clic droit sur votre nom de serveur).
  • Ensuite, ouvrez l'onglet Sécurité.
  • Cochez la case "Autoriser la stratégie IPsec personnalisée pour la connexion L2TP".
  • Et remplir une clé pré-partagée.

3. Ajouter des règles de pare-feu Windows

Étrangement Windows 2008 R2 contient des règles par défaut pare-feu Windows dans le groupe Routing et RAS (RRAS) pour L2TP (UDP 1701 deux fois) et GRE (pour PPTP) pensé que Microsoft a oublié ( ?) Pour créer des règles de pare-feu par défaut pour ESP, IKE et NAT-T. Comme ces règles de pare-feu Windows sont manquantes, vous devez les créer.

  • Cliquez -Démarrer, cliquez sur Outils d'administration, puis cliquez sur pare-feu Windows avec sécurité avancée.
  • Dans le volet de gauche, cliquez avec le bouton droit de la souris Règles pour les connexions entrantes, puis choisir nouvelle règle dans le menu
  • Pour UDP 500 et 4500 le port Basé type de règle peut être choisi, pour ESP (protocole 50) Choisir personnalisé pour créer cette règle.
7
Pro Backup