如何使用自定义预共享密钥设置 L2TP VPN Server 2016 进行身份验证

在本教程中，您将找到在 Windows Server 2016 上设置 L2TP VPN 访问服务器的分步说明。虚拟专用网络 (VPN) 允许您从 Internet 位置安全地连接到您的专用网络，并保护您免受 Internet 攻击和数据的侵害拦截。要在 Server 2016 上安装和配置 L2TP/IPSec VPN 访问，这是一个多步骤过程，因为您必须在 VPN 服务器端配置多项设置才能完成VPN 操作成功。

如何使用自定义预共享密钥安装 L2TP/IPSec VPN Server 2016。

在本分步指南中，我们将使用第二层隧道协议 (L2TP/IPSEC) 和自定义预共享密钥来完成 L2TP VPN Server 2016 设置，以获得更安全的 VPN 连接。

步骤 1. 在 Server 2016 上安装路由和远程访问角色。

步骤 2. 在 Server 2016 上配置并启用路由和远程访问。

步骤 3. 配置 L2TP/IKEv2 连接的预共享密钥。

步骤 4. 在 Windows 防火墙中打开所需的端口。

步骤 5. 配置 VPN 服务器以允许网络访问。

步骤 6. 启用 NAT 后面的 L2TP/IPsec 连接。

步骤 7. 检查所需的 L2TP 服务是否正在运行。

步骤 8. 选择 VPN 用户。

步骤 9. 配置 ISP 的防火墙以允许 L2TP VPN 访问。

步骤 10. 在客户端上设置 L2TP/IPSec VPN 连接。

步骤 1. 如何在 Server 2016 上添加远程访问（VPN 访问）角色。

将 Windows Server 2016 设置为 VPN 服务器的第一步是将远程访问角色{直接访问和 VPN (RAS) 服务}安装到您的 Server 2016。 *

* 信息： 在本示例中，我们将在 Windows Server 2016 计算机上设置 VPN，名为“Srv1”，IP 地址为“192.168.1.8”。

1. 要在 Windows Server 2016 上安装 VPN 角色，请打开“服务器管理器”并单击添加角色和功能。

2. 在“添加角色和功能向导”的第一个屏幕上，保留基于角色或基于功能的安装选项，然后单击下一步。 >

3. 在下一个屏幕上，保留默认选项“从服务器池中选择服务器”，然后单击下一步。

4. 然后选择远程访问角色并单击下一步。

5. 在“功能”屏幕上保留默认设置，然后单击下一步。

6. 在“远程访问”信息屏幕上，单击下一步。

7. 在“远程服务”中，选择直接访问和 VPN (RAS) 角色服务，然后单击下一步。

8. 然后点击添加功能。

9. 再次点击下一步。

10. 保留默认设置，然后在“Web 服务器角色 (IIS)”和“角色服务”屏幕上单击下一步（两次）。

11. 在“确认”屏幕上，选择自动重新启动目标服务器（如果需要），然后单击安装。

12. 在最后一个屏幕上，确保远程访问角色安装成功并关闭向导。

13. 然后（从服务器管理器）工具菜单中，单击远程访问管理。

14. 选择左侧的直接访问和 VPN，然后单击运行入门向导。

15. 然后单击仅部署 VPN。

16. 继续下面的第 2 步配置路由和远程访问。

步骤 2. 如何在 Server 2016 上配置和启用路由和远程访问。

下一步是在 Server 2016 上启用并配置 VPN 访问。为此：

1. 右键单击服务器名称并选择配置并启用路由和远程访问。 *

* 注意： 您还可以使用以下方式启动路由和远程访问设置：

1. 打开服务器管理器，然后从工具菜单中选择计算机管理。

2.展开服务和应用程序
3.右键单击路由和远程访问，然后选择配置并启用路由和远程访问。

2. 在“路由和远程访问服务器安装向导”中单击下一步。

3.选择自定义配置，然后单击下一步。

4. 仅在这种情况下选择VPN 访问，然后单击下一步。

5.最后点击完成。

6. 当提示启动服务时，单击启动。

7. 现在您将在服务器名称旁边看到一个绿色箭头（例如本例中的“Svr1”）。

步骤 3. 如何为 L2TP/IKEv2 连接启用自定义 IPsec 策略。

现在是时候在路由和远程访问服务器上允许自定义 IPsec 策略并指定自定义预共享密钥了。

1. 在路由和远程访问面板中，右键单击服务器名称并选择属性。

2. 在安全选项卡中，选择允许 L2TP/IKEv2 连接自定义 IPsec 策略，然后键入预共享密钥（在本例中我键入： “TestVPN@1234”）。

3. 然后单击身份验证方法按钮（上方）并确保选择Microsoft 加密身份验证版本 2 (MS-CHAP v2)，然后单击 >好的。

4. 现在选择IPv4选项卡，选择静态地址池，然后单击添加。

5. 在此输入将分配给 VPN 连接客户端的 IP 地址范围，然后单击确定（两次）关闭所有窗口。

例如在本示例中，我们将使用 IP 地址范围：192.168.1.200 - 192.168.1.202。

6. 当系统弹出消息提示您：“要为 L2TP/IKEv2 连接启用自定义 IPsec 策略，您必须重新启动路由和远程访问”时，单击确定。

7. 最后右键单击您的服务器（例如“Svr1”）并选择所有任务 > 重新启动。

步骤 4. 在 Windows 防火墙中打开所需的端口。

1. 转至控制面板 > 所有控制面板项目 > Windows 防火墙。

2.点击左侧的高级设置。

3. 在左侧，选择入站规则。

4a. 双击路由和远程访问 (L2TP-In)

4b. 在“常规”选项卡中，选择已启用、允许连接，然后单击确定。

5. 现在，右键单击左侧的入站规则，然后选择新建规则。

6. 在第一个屏幕上，选择端口，然后单击下一步。

7. 现在选择 UDP 协议类型，然后在“特定本地端口”字段中键入：50、500、4500。

完成后单击“下一步”。

8.保留默认设置“允许连接”，然后单击下一步。

9. 在下一个屏幕上，再次单击下一步。

10. 现在，输入新规则的名称（例如“允许 L2PT VPN”），然后单击完成。

11.关闭防火墙设置。

步骤 5. 如何配置网络策略服务器以允许网络访问。

为了允许 VPN 用户通过 VPN 连接访问网络，请按如下所示继续并修改网络策略服务器：

1. 右键单击远程访问日志记录和策略，然后选择启动 NPS

2. 在“概述”选项卡中，选择以下设置并单击确定：

• Grant access: If the connection request matches this policy.Remote Access Server (VPN-Dial up)

3. 现在打开与其他访问服务器的连接策略，选择相同的设置并单击确定。

• • 授予访问权限：如果连接请求符合此
    政策。
• 远程访问服务器（VPN-Dial
  向上）

4.关闭网络策略服务器设置。

步骤 6. 如何在 NAT 后面启用 L2TP/IPsec 连接。

默认情况下，如果 Windows 计算机或 VPN 服务器位于 NAT 之后，现代 Windows 客户端（Windows 10、8、7 或 Vista）和 Windows Server 2016、2012 和 2008 操作系统不支持 L2TP/IPsec 连接。要绕过此问题，您必须在 VPN 服务器和客户端中修改注册表，如下所示：

1.同时按Windows+R键打开运行命令框。

2. 输入regedit 并按Enter。

3. 在左侧窗格中，导航至此键：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Sevices\PolicyAgent

4. 右键单击PolicyAgent，然后选择新建 -> DWORD（32 位）值。

5. 对于新密钥名称，输入：AssumeUDPEncapsulationContextOnSendRule 并按Enter。

* 注意： 该值必须如上所示输入，且不得有空格。

6. 双击这个新的 DWORD 键并输入值数据：2

7. 关闭注册表编辑器。 *

* 重要提示： 为避免从 Windows 客户端计算机（Windows Vista、7、8、10、和 2008 Server），您也必须将此注册表修复应用到客户端。

8.重新启动机器。

步骤 7. 验证 IKE 和 IPsec 策略代理服务是否正在运行。

重新启动后，转到服务控制面板并确保以下服务已启动并正在运行。要做到这一点：

1.同时按Windows+R键打开运行命令框。

2。在运行命令框中，键入：services.msc并按Enter键。

3. 确保以下服务正在运行：*

1. 1. IKE 和 AuthIP IPsec 密钥模块
2. IPsec 策略代理

* 注意：
1.如果上述服务未运行，则双击每个服务并将启动类型设置为自动 。然后单击确定并重新启动服务器。

2. 您必须确保上述服务也在 Windows 客户端计算机上运行。

步骤 8. 如何选择哪些用户将具有 VPN 访问权限。

现在是时候指定哪些用户能够连接到 VPN 服务器（拨入权限）。

1. 打开服务器管理器。

2. 从工具菜单中，选择Active Directory 用户和计算机。 *

* 注意： 如果您的服务器不属于某个域，请转到计算机管理 -> 本地用户和群组。

3. 选择用户，然后双击您想要允许 VPN 访问的用户。

4. 选择拨入选项卡，然后选择允许访问。然后点击确定。

步骤 9. 如何配置防火墙以允许 L2TP VPN 访问（端口转发）。

下一步是在防火墙中允许 VPN 连接。

1.登录路由器的Web界面。

2. 在路由器配置设置中，将端口 1701、50、500 和 4500 转发到 VPN 服务器的 IP 地址。 （有关如何配置端口转发的信息，请参阅路由器手册）。

For example, if the VPN Server has the IP address "192.168.1.8" then you have to forward all the above mentioned ports to that IP.

其他帮助：

• 为了能够远程连接到您的 VPN 服务器，您必须知道 VPN 服务器的公共 IP 地址。要查找公共 IP 地址（来自 VPN 服务器 PC），请导航至此链接：http://www.whatismyip.com/
• 为了确保您始终可以连接到 VPN 服务器，最好拥有静态公共 IP 地址。要获取静态公共 IP 地址，您必须联系您的互联网服务提供商。如果您不想支付静态 IP 地址费用，则可以在路由器（VPN 服务器）上设置免费的动态 DNS 服务（例如no-ip。） ） 边。

步骤 10. 如何在 Windows 客户端计算机上设置 L2TP VPN 连接。

最后一步是按照以下说明在客户端计算机上创建到 VPN Server 2016 的新 L2TP/IPSec VPN 连接：

Related article: How to Setup a PPTP VPN Connection on Windows 10.

注意： 在继续创建 VPN 连接之前，请在客户端计算机上继续并应用上面步骤 6 中的注册表修复程序也。

1. 打开网络和共享中心。

2.点击设置新连接或网络

3. 选择连接到工作场所，然后单击下一步。

4. 然后选择使用我的互联网连接 (VPN)。

5.在下一个屏幕上输入VPN服务器公共IP地址和您在路由器端分配的VPN端口，然后单击创建 。

例如如果外部 IP 地址是：108.200.135.144，则在“互联网地址”框中键入：“108.200.135.144”，并在“目标名称”字段中键入您想要的任何名称（例如“L2TP-VPN”）。

6. 输入 VPN 连接的用户名和密码，然后单击连接。

7. 如果您在 Windows 7 客户端计算机上设置 VPN，它将尝试连接。按跳过，然后单击关闭，因为您需要为 VPN 连接指定一些其他设置。

8. 在网络和共享中心，单击左侧的更改适配器设置。

9. 右键单击新的 VPN 连接（例如“L2TP-VPN”）并选择属性。

10. 选择安全选项卡并选择第 2 层（带 IPsec 的隧道协议 (L2TP/IPsec)），然后单击高级设置.

11. 在“高级设置”中，输入预共享密钥（例如本例中的“TestVPN@1234”），然后单击确定

12. 然后单击允许这些协议并选择Microsoft CHAP 版本 2 (MS-CHAP v2)

13.然后选择网络选项卡。我们将双击Internet 协议版本 4 (TCP/IPv4) 以打开其属性。

14. 对于首选 DNS 服务器，键入 VPN 服务器的本地 IP 地址（例如本例中的“192.168.1.8”）。 *

* 注意： 此设置是可选的，因此仅在需要时应用它。

15.然后单击“高级”按钮并取消选中在远程网络上使用默认网关，因为我们希望将 PC 互联网浏览与 VPN 连接分开。

16.最后不断点击确定关闭所有窗口。

17. 现在双击新的 VPN 连接，然后单击连接，以连接到您的工作场所。

就是这样！请留下您对您的经历的评论，让我知道本指南是否对您有帮助。请喜欢并分享本指南以帮助他人。