none
RRAS в Windows Server 2008 R2 Enterprise, не поднимаются vpn-соединения RRS feed

  • Вопрос

  • Столкнулся с проблемой.
    Имеется Windows Server 2008 R2 Enterprise, из RRAS(routing and remote access service) не удается настроить vpn-подключения ни по L2TP+IPSec, ни по PPTP. Удаленный сервер - Mikrotik. При всем этом спокойно из центра управления сетями и общим доступом все взлетает по обоим означенным протоколам.

    L2TP+IPSec
    [url=http://fastpic.ru/][img=410x165, 52.6Kb]http://i85.fastpic.ru/big/2016/1009/da/03c30fe558dcdd8c657bfe79966592da.jpg[/img][/url]

    PPTP
    [url=http://fastpic.ru/][img=387x165, 51.3Kb]http://i83.fastpic.ru/big/2016/1009/d4/bd7b8b9c6827c33a7aa068540ce930d4.jpg[/img][/url]

    С настройкой портов в одноименном разделе уигрался, настройки pptp пробовал разные.

    Помогите разобраться.

    9 октября 2016 г. 20:53

Ответы

  • В свойствах RRAS на вкладке Безопасность установил галку "Разрешить особые IPsec-политики для L2TP подключения" с последующим вводом там же предварительного ключа, после чего в разделе порты появились L2TP-порты и соединение сразу взлетело.

    • Помечено в качестве ответа alex-mrrc 25 октября 2016 г. 15:09
    24 октября 2016 г. 17:26

Все ответы

  • Доброе утро,

    Нет, это обычное подключение, скажем, к удаленному офису фирмы для доступа по RDP к 1С серверу.
    Технология и механика оттренирована уже и не вызывает затруднений по настройке как со стороны удаленного сервера, так и пользователей операционных сред XP, Win7.

    В Win2008 Server R2 же столкнулся с невозможностью поднять соединение из службы RRAS, при этом из центра управления сетями и общим доступом также спокойно все работает. Но хотелось бы разобраться, в чем дело.

    10 октября 2016 г. 5:22
  • не совсем понятно, через RRAS не работает то, что работает через центр управления сетями... RRAS - это сервер. в центре сетей настраивается клитент.

    и не понятно, при чём тут mikrotik?

    10 октября 2016 г. 6:17
    Модератор
  • Давайте уточним.
    В RRAS я хочу настроить подключение к удаленному офису, т.е. настроить клиентское подключение по L2TP\IPSec или PPTP к удаленному узлу. Win2008SR2 в данном случае будет выступать как клиент, а не как сервер, принимающий подключения.

    Про MikroTik упомянул, наверное, зря. Он в обсуждаемом ключе лишний и используется в качестве удаленного сервера, к которым пытаюсь настроить подключения из RRAS.

    К сожалению, не могу прикрепить здесь ссылку, аналогичная проблема описывалась здесь на форуме:

    Серверные ОС Windows > Windows server 2008R2/2008 - Ошибка при подключении VPN-интерфейса маршрутизатора вызова по требованию.

    10 октября 2016 г. 7:18
  • протестировал на 2012 R2 - там работает.
    Проверьте, что все настройки в RRAS совпадают с настройками сетевого подключения в Центре Сетей.

    так же не забудьте добавить новый интерфейс:

    10 октября 2016 г. 13:55
    Модератор
  • Спасибо, после добавления интерфейса по приведенному вами примеру, подключение по PPTP взлетело сразу.

    В настройках подключений я уверен, плюс имею доступ на сам VPN-сервер, собственно куда и производится подключение.

    А вот подключение по L2TP+IPSec по-прежнему выдает ошибку "Произошла ошибка при подключении интерфейса. Маршрутизатор вызовов по требованию попытался подключиться через порт, который зарезервирован только для клиентов удалённого доступа".

    В разделе ПОРТЫ в свойствах на портах L2TP стоят обе галки, соответственно их комбинация или снятие эффекта не дают, максимум "Произошла ошибка при подключении интерфейса. Модем или другое устройство связи уже используется или не настроено". В журналах Windows можно наблюдать в определенных случаях появление "Ошибка IP-безопасности на порте "VPN2-0" из-за ошибки: Не удалось найти сертификат. Подключениям, которые используют этот L2TP-протокол через IPsec, требуется установка на компьютере сертификата компьютера.. Никакие вызовы не будут приниматься на этот порт".

    Стоит отметить, что в настройках подключения в дополнительных свойствах L2TP+IPSec установлено для проверки подлинности использовать дополнительный ключ (т.е. IPsec authentication for L2TP = Pre-shared key), а не вариант использования сертификата для проверки подлинности.

    В логах самого VPN-сервера попыток подключения при L2TP+IPSec не происходит, т.е. затык еще на уровне винды происходит и ничего никуда не идет.

    Хотелось бы все же победить вопрос до конца на будущее, можете проверить у себя?

    UPD.
    Я по-прежнему не могу постить в сообщениях ссылки, пока не буду проверен (кем, чем, когда и как?)
    В сети есть статьи, из которых можно сделать вывод, что необходимо наличие сертификата в системе для возможности подключения по L2TP именно средствами RRAS, потому как через центр управления сетями и общим доступом все работает.
    И кстати, в RRAS в разделе  порты отсутствуют какие-либо порты WAN Miniport L2TP.

    • Изменено alex-mrrc 10 октября 2016 г. 20:16 добавление информации
    10 октября 2016 г. 19:20
  • В сети есть статьи, из которых можно сделать вывод, что необходимо наличие сертификата в системе для возможности подключения по L2TP именно средствами RRAS, потому как через центр управления сетями и общим доступом все работает. И кстати, в RRAS в разделе порты отсутствуют какие-либо порты WAN Miniport L2TP.

    "сертификат клиента" нужен не только для RRAS-подключения, но и для обычного тоже.
    если не хотите использовать сертификат клиента - используйте PSK. Это зависит от настройки Mikrotik.


    позже выложу ещё скришоты. но у меня VPN сервер на Windows 2012 R2


    10 октября 2016 г. 22:07
    Модератор
  • Если под обычным подключением мы понимаем его осуществление из центра управления сетями и общим доступом ОС, то там все поднимается без какого-либо "сертификата клиента", как я и говорил, используется предварительный ключ, задаваемый в настройках подключения в обоих случаях.

    Микротик настроен на подключение по L2TP+IPSec именно на базе указываемого предварительного ключа (pre-shared key, т.н. IPSec Secret), проще говоря дополнительно задаваемого пароля, без каких-либо сертификатов.

    Про назначение портов не совсем понятно. В настройках фигурируют такие понятия, как подключения по требованию входящие и исходящие или только исходящие, это вроде же как раз наш случай рассматриваемый (кстати, последний вариант неактивен в настройках ни на одном порту, только у PPPoE).

    Хорошо, буду ждать информации. Отмечу, интересует именно поднять исходящее подключение из RRAS по L2TP+IPSec.
    Здесь в смежной теме в этом же подразделе форума есть аналогичная тема, называется "Ошибка при подключении VPN-интерфейса маршрутизатора вызова по требованию", там как раз идет речь о необходимости наличия сертификата в системе, либо это общее правило для возможности требуемого мне подключения, либо в моем случае должно решаться иначе (правка реестра сервера\подсовывание любого не используемого сертификата, etc).

    • Предложено в качестве ответа DesN 15 декабря 2019 г. 22:25
    11 октября 2016 г. 6:16
  • обратите внимание на нижнюю часть. я добавил сетевые протоколы:

    про порты ничего не могу сказать. оставил их по умолчанию.

    и п.с. у меня 2012 R2, не могу проверить на 2008 R2.

    11 октября 2016 г. 16:02
    Модератор
  • Хм, я вижу, что у вас работает.

    Как видно из моего скрина (UPD: а картинку я тоже прикрепить не могу сюда, пока не проверена учетная запись, что за форум в конце концов?) окна настройки подключения, в указанном вами выпадающем списке отсутствует возможность выбора соответствующего (какого-либо) протокола вообще, за исключением единственного "Microsoft: Смарт-карта или иной сертификат (шифрование включено)". Того, что выбран у вас, у меня попросту нет. Кнопка Свойства ниже ясности не добавила.
    Наличие\отсутствие включения протоколов на соответствующей вкладке окна настроек подключения, ни на что не повлияло.

    А в случае выбора разрешить следующие протоколы ниже и отметки MS-CHAP v2 (как обычно и настраивается из центра управления сетями и общим доступом любой операционки - где связь поднимается) в RRAS получаю ранее означенную ошибку порта.

    Если еще есть мысли, как поправить ситуацию, буду благодарен вам, истина где-то рядом.
    Я до 23.10 буду в отъезде и по возвращению непременно вернусь к этому вопросу!

    11 октября 2016 г. 20:24
  • (UPD: а картинку я тоже прикрепить не могу сюда, пока не проверена учетная запись, что за форум в конце концов?)

    это обсуждается тут.

    А в случае выбора разрешить следующие протоколы ниже и отметки MS-CHAP v2 (как обычно и настраивается из центра управления сетями и общим доступом любой операционки - где связь поднимается) в RRAS получаю ранее означенную ошибку порта.

    все эти пункты должны соответсвовать настройкам вашего VPN сервера на Mikrotik.

    на днях проверю 2008 R2. было бы хорошо, увидеть как у Вас настроен Mikrotik.

    11 октября 2016 г. 20:33
    Модератор
  • Спасибо, запрос на верификацию аккоунта написал..

    Пункты разумеется соответствуют настройкам VPN-сервера.
    На других системах и в т.ч. в Win'2008 Serv R2, через центр управления сетями и общим доступом настройка и подключение по L2TP+IPSec сложности не вызывает и работает.

    А вот по аналогии с вашими скринами выше настроить то же самое из RRAS возможности нет, как я и говорил.

    Буду благодарен, если проверите. Может какой компонент безопасности у меня в RRAS не включен при установки в 2008 R2, не знаю.
    Смогу вернуться к вопросу теперь уже только 23 октября.
    Спасибо Вам.

    12 октября 2016 г. 2:52
  • Вопрос актуален, вы смогли проверить на 2008 R2 по вопросу?
    23 октября 2016 г. 13:33
  • Статья Deploying VPN Site-to-Site Access понимания по вопросу не принесла.

    В приведенной вами теме "Site to Site VPN Windows Server 2008 R2" имеется ссылка на статью, в которой описывается процесс установки локального самоподписанного сертификата, после установки которого в RRAS в разделе портов появляются L2TP порты, судя из скринов.Примерно об том же идет речь и в этой теме.

    Мне бы хотелось принципиально понять и чтобы кто-то попробовал у себя на платформе с 2008 R2 настроить в RRAS подключение по L2TP+IPSec, можно ли наладить работу без установки сертификатов, как это выше делал Anahaym на 2012 R2.


    • Изменено alex-mrrc 23 октября 2016 г. 18:14
    23 октября 2016 г. 18:13
  • Добрый день.

    Тестировать за вас на тестовом стенде врятли кто либо будет.

    Вам дали ссылки на статьи по настройке но как я понимаю вы не удосужились посмотреть ниже пары строк.

    А именно Configure the Routing and Remote Access Service and Demand-Dial Interfaces

    и Create User Accounts for the Site-to-Site Connection

    Если вы хотите что бы вам настроили за вас то вы явно не по адресу обратились


    Я не волшебник, я только учусь MCP, MCTS. Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий. Блог IT Инженера и IT Reviews

    Если вы внимательно прочли тему с самого начала, то должно быть понятно, что RRAS настраивается ни как сервер для приема подключений, а как клиент для подключения по L2TP+IPSec к удаленному маршрутизатору, именно с этим и возникает проблема, решение которой ни в одной из приведенных статей не обнаружено. По PPTP подключение при этом устанавливается, об этом и в целом я подробно выше указывал в переписке.

    Если же я что-то упустил в опубликованных вами инструкциях, укажите на верный порядок действий.

    23 октября 2016 г. 18:52
  • Спасибо, запрос на верификацию аккоунта написал..

    Пункты разумеется соответствуют настройкам VPN-сервера.
    На других системах и в т.ч. в Win'2008 Serv R2, через центр управления сетями и общим доступом настройка и подключение по L2TP+IPSec сложности не вызывает и работает.

    А вот по аналогии с вашими скринами выше настроить то же самое из RRAS возможности нет, как я и говорил.

    Буду благодарен, если проверите. Может какой компонент безопасности у меня в RRAS не включен при установки в 2008 R2, не знаю.
    Смогу вернуться к вопросу теперь уже только 23 октября.
    Спасибо Вам.

    Странно, что у вас нет возможности настроить: настройка в Win2K8 R2 находится ровно в том же месте, что и на скриншоте Anahaym для Win2012 R2: в свойствах интерфейса соединения по требованию (узел Network Interfaces),  в окне, которое вызывается кнопкой Advanced Settings (она - сразу ниже комбобокса с выбором типа VPN: Automatic/L2TP/PPTP) со вкладки Security.

    PS Естественно, порты L2TP должны быть сконфигурированы для Demand-dial routing


    Слава России!

    23 октября 2016 г. 19:50
  • Странно, что у вас нет возможности настроить: настройка в Win2K8 R2 находится ровно в том же месте, что и на скриншоте Anahaym для Win2012 R2: в свойствах интерфейса соединения по требованию (узел Network Interfaces),  в окне, которое вызывается кнопкой Advanced Settings (она - сразу ниже комбобокса с выбором типа VPN: Automatic/L2TP/PPTP) со вкладки Security.

    PS Естественно, порты L2TP должны быть сконфигурированы для Demand-dial routing


    Вот и я диву даюсь, что казалась бы стандартная процедура вызвала такие сложности и данный топик...

    Я так понимаю, копать нужно в сторону появления L2TP портов, которые отсутствуют в одноименном разделе RRAS как таковые.

    Судя из вычитанного в сети, появляются они после установки самоподписанных сертификатов в систему?

    24 октября 2016 г. 5:59
  • Я так понимаю, копать нужно в сторону появления L2TP портов, которые отсутствуют в одноименном разделе RRAS как таковые.

    их количество задаётся в свойствах VPN сервера. от сертификата никак не зависят.

    Вопрос актуален, вы смогли проверить на 2008 R2 по вопросу?
    ещё нет. сегодня гляну.
    24 октября 2016 г. 6:15
    Модератор
  • Верно, значит в рассматриваемом случае они нас не интересуют.

    Спасибо, буду ждать от вас вестей!

    24 октября 2016 г. 6:25
  • Вот и я диву даюсь, что казалась бы стандартная процедура вызвала такие сложности и данный топик...

    Я так понимаю, копать нужно в сторону появления L2TP портов, которые отсутствуют в одноименном разделе RRAS как таковые.

    Судя из вычитанного в сети, появляются они после установки самоподписанных сертификатов в систему?


    Нет. Порты появляются в списке, если их сконфигурировать для удалённого доступа и/или маршрутизации по требованию. Делается в свойствах узла Ports: выбираете там L2TP и жмёте кнопку Configure, и в появившемся окне ставите нужные галочки.

    Слава России!

    24 октября 2016 г. 7:58
  • проверил. всё работает (правда во время настройки ругнулось на порт). вот скрин (отличается от 2012 R2):

    Хочу обратить внимание на настройку самого RRAS:

    24 октября 2016 г. 8:19
    Модератор
  • поправочка: порты нужны и для исходящих соединений тоже. Как описано выше, просто добавьте порт для L2TP:

    без порта будет ошибка: модем не найден.
    24 октября 2016 г. 8:33
    Модератор
  • Перепроверил и перенастроил заново RRAS, в выборочной конфигурации выбрал все позиции, кроме Dial-up access, на что вы обратили внимание выше. Ну не появляются у меня L2TP порты, конфигурировать их возможность есть в соответствующем разделе, но в список портов они  не добавляются.
    24 октября 2016 г. 14:04
  • Перепроверил и перенастроил заново RRAS, в выборочной конфигурации выбрал все позиции, кроме Dial-up access, на что вы обратили внимание выше. Ну не появляются у меня L2TP порты, конфигурировать их возможность есть в соответствующем разделе, но в список портов они  не добавляются.
    выберете только Demand-dial connections. Если, конечно, этот сервер не является NAT-ом и шлюзом в сети.
    Все порты поставьте в 0, а L2TP сделайте 10, для примера.
    24 октября 2016 г. 14:29
    Модератор
  • Сервер является и натом и шлюзом, дело даже не в этом.
    Попробовал, никаких изменений, не все порты можно задать меньше единицы, но не суть, L2TP не появляется.

    24 октября 2016 г. 14:47
  • Сервер является и натом и шлюзом, дело даже не в этом.
    ну не знаю, не знаю. я то настраивал без. может это и влияет. завтра попробую с другими настрйоками. и похоже Вам всё же надо прочитать про Site-to-site
    24 октября 2016 г. 15:52
    Модератор
  • В свойствах RRAS на вкладке Безопасность установил галку "Разрешить особые IPsec-политики для L2TP подключения" с последующим вводом там же предварительного ключа, после чего в разделе порты появились L2TP-порты и соединение сразу взлетело.

    • Помечено в качестве ответа alex-mrrc 25 октября 2016 г. 15:09
    24 октября 2016 г. 17:26
  • В свойствах RRAS на вкладке Безопасность установил галку "Разрешить особые IPsec-политики для L2TP подключения" с последующим вводом там же предварительного ключа, после чего в разделе порты появились L2TP-порты и соединение сразу взлетело.
    т.е проблема у Вас действительно была в портах. попробуйте теперь удалить "особые политики" - останутся порты?
    24 октября 2016 г. 21:24
    Модератор
  • т.е проблема у Вас действительно была в портах. попробуйте теперь удалить "особые политики" - останутся порты?

    Да, вернее в их отсутствии.
    Давайте попробуем, где они удаляются?
    25 октября 2016 г. 5:59
  • Давайте попробуем, где они удаляются?
    да я про политики IPsec - где Вы указали PSK. на скрине выше.
    25 октября 2016 г. 6:17
    Модератор
  • Вернул как было, после перезапуска сервера L2TP-порты благополучно вновь исчезли)
    25 октября 2016 г. 6:40
  • что ж, раз подключение теперь работает, предлагаю Вам пометить тему решённой, выбрав один из ответов в качестве решения.
    Почему нет портов без настройки PSK - это уже отдельный вопрос.
    25 октября 2016 г. 9:39
    Модератор
  • Спасибо вам за помощь и активное участие, Anahaym

    Тему пометил как решенную.

    25 октября 2016 г. 15:13
  • Ради интереса проверил сейчас то же самое на свежеустановленной 2012 R2 - результат один в один, порты L2TP появляются только после включения все той же опции в свойствах RRAS на вкладке Безопасность с внесением предварительного ключа и перезапуска службы.
    26 октября 2016 г. 16:55
  • попробуйте без настройки NAT, ради интереса.
    26 октября 2016 г. 17:03
    Модератор
  • попробуйте без настройки NAT, ради интереса.
    Поэкспериментировал - сразу появляются порты L2TP только в случае выбора в конфигураторе RRAS средней позиции - доступа по требованию, во все остальных сочетаниях требуется донастройка вкладки Безопасность для активации портов.
    26 октября 2016 г. 20:19
  • Поэкспериментировал - сразу появляются порты L2TP только в случае выбора в конфигураторе RRAS средней позиции - доступа по требованию

    вот я как раз так и делал.
    значит, по каким-то причинам порты не уживаются с NAT без IPSec-PSK

    26 октября 2016 г. 20:45
    Модератор
  • вот я как раз так и делал.
    значит, по каким-то причинам порты не уживаются с NAT без IPSec-PSK

    да, причем нигде об этом не говорится и ни разу не встречалось как решение.
    27 октября 2016 г. 5:50