在Windows Server路由和远程访问服务中启用L2TP/IPsec VPN
背景
路由和远程访问服务(Routing and Remote Access Services,RRAS)是Windows Server上的一个角色,包含很多功能,可以用来搭建VPN。然而,在什么也不做的初始配置中,它只允许PPTP协议连接。然而,PPTP以现代的标准来看并不够安全。我们需要使用诸如L2TP/IPsec之类的更安全的协议,但这需要额外的配置。
这篇文章将讲述如何在RRAS中启用最简单的L2TP/IPsec协议——使用预共享密钥的L2TP/IPsec(L2TP/IPsec with Pre-shared key)。
网络设计
在这里,我们将在同一台服务器上安装网络策略服务器(Network Policy Server,NPS)角色和RRAS。这将使得RRAS自动用本机作为远程身份验证拨入用户服务(Remote Authentication Dial-In User Service,RADIUS)器,一个专门用来验证来访的VPN请求的服务器。我们将在NPS控制台中配置网络策略(Network Policy)来决定哪些VPN连接请求可以验证通过。
先前的步骤
假设你已经成功安装完并成功启动了RRAS,也将NPS装在了同一台服务器上,设置了一个网络策略,并确认客户端可以正常以PPTP协议连接。
对于如何完成这些步骤,参考这篇文章。其中你可能会遇到一些令人昏头的问题,请参考同一篇文章。
启用使用预共享密钥的L2TP/IPsec
配置此功能,请打开RRAS控制台,右键单击本地服务器,勾选来启用此功能并输入一个预共享密钥(Pre-shared Key,PSK)。
Windows 可能会提醒你重启RRAS服务,但不会自动为你重启它。
你必须手动完成重启,新的配置才会生效,使用预共享密钥的L2TP/IPsec才会启用。方法也很简单,进入服务,找到RRAS服务,并手动完成重启。
之后,在一台客户机上新建一个VPN连接并连接至它。
正常情况下,你应该看到它连接成功。
故障排查?
有时,事情并不那么一帆风顺。你可能会在尝试连接时遇到诸如这样的错误。
对于此,请参考这篇文章。