Windows Server 2016 で L2TP VPN サーバーを作成する - DailySysAdmin | IT全般に！ (2024)

自宅のインターネット接続 (Sky Fibre) にアクセスするために使用できる VPN サーバーを作成したいと考えていました。 iPhone/iPad で頻繁に VPN に接続したいので、このタスクでは L2TP を選択しました。 IOS デバイスには L2TP VPN クライアントが組み込まれており、サードパーティ製のクライアントに依存したくなかったので、これを簡単に選択できました。 Windows 10 マシンが VPN に接続している場合、同じサーバー上に SSTP VPN 接続をセットアップしました。その理由は、Windows 10 が NAT ファイアウォールの内側で L2TP とうまく連携できないためです。 L2TP VPNの設定は以下の通りです。

まず、Windows 2016 サーバーを構築します。VM か物理かはあまり関係ありません。必要に応じてスピンアップ/スピンダウンし、スナップショットを作成できるため、VM を使用しました。 Windows 2016 Server のインストールに関する注意事項については、を参照してください。ここ。

次に、リモート アクセスの役割をインストールする必要があります。これを行うには、サーバー マネージャーを開き、役割と機能の追加ウィザードを開始します。リモート アクセス ロールを選択し、「次へ」をクリックします。

もう一度「次へ」をクリックします

もう一度「次へ」をクリックします

「機能の追加」をクリックし、「次へ」をクリックします

「次へ」をクリックします

Web サーバーの役割サービスの選択を受け入れ、「次へ」をクリックします

「インストール」をクリックします

インストールが完了するまで待ちます

役割がインストールされたら、サーバー マネージャーから [開始ウィザードを開く] オプションをクリックします。

「VPN のみを展開」を選択します

これで、ルーティングとリモート アクセス コンソールにアクセスできるようになりました。

サーバー名を右クリックし、「ルーティングとリモート アクセスの構成と有効化」を選択します。

「次へ」をクリックします

ネットワーク インターフェイスが 1 つしかない場合は、[カスタム構成] を選択し、[次へ] をクリックします。

「VPN アクセス」を選択し、「次へ」をクリックします

。

「完了」をクリックします

「サービスの開始」をクリックします

サービスが開始されるまで待ちます

サーバー名を右クリックし、「プロパティ」をクリックします。 「全般」タブはそのままにして「セキュリティ」をクリックします

EAP と MS-CHAP v2 のみが選択されていることを確認してください

[L2TP/IKEv2 接続のカスタム IPsec ポリシーを許可する] チェックボックスをオンにします。これには強力なパスワードを入力してください。私は 62 文字を使用します。

[IPv4] タブをクリックし、[静的アドレス プール] を選択します。 VPN 上で DHCP に使用するアドレスの範囲を入力します。

[ログ] タブを選択し、[追加のルーティングとリモート アクセス情報をログに記録する] ボックスをオンにします。

[OK] をクリックすると、ルーティングとリモート アクセス サービスを再起動するように求められます。今すぐ再起動してください。

次に、VPN にアクセスするための安全なユーザー アカウントを作成する必要があります。 [スタート] > [ファイル名を指定して実行] をクリックし、「compmgmt.msc」と入力してコンピューター管理にアクセスします。 「ユーザー」を右クリックし、「新規ユーザー」をクリックします。ユーザーに名前と強力なパスワードを与えます。

ユーザーアカウントを右クリックし、「プロパティ」をクリックします。 「ダイヤルイン」タブをクリックして「アクセスを許可」を選択し、「OK」をクリックします。この時点で NPS を使用してアクセスを制御する場合は、[NPS ネットワーク ポリシーによるアクセスの制御] を選択します。

高度なセキュリティを備えた Windows ファイアウォール アプレットを開きます。

[受信ルール] を右クリックして [新しいルール] をクリックし、[ポート] をクリックして [次へ] をクリックします。

「UDP」を選択し、「ポート 1701」と入力して「次へ」をクリックします。

「接続を許可する」をクリックし、「次へ」をクリックします

ルールをすべてのプロファイルに適用し、「次へ」をクリックします

ルールに名前を付けて、「完了」をクリックします。このルールを作成したら、UDP ポート 500 と 4500 に対してこのプロセスを繰り返します。

ルールは以下のように表示されるはずです

このサーバーには固定の外部 IP アドレスがなく、NAT ファイアウォールの内側に座っているため (ブロードバンド サプライヤー Sky によって提供され、変更できません)、ルーターから RRAS VPN サーバーにポートを転送する必要があります。 。これを行うには、以下のような設定を行う必要があります。

あとは、クライアント (この場合は iPhone) で VPN プロファイルを作成するだけです。サーバー名を入力します (これはインターネット接続の外部 DNS 名または IP アドレスです)。動的外部 IP アドレスに制限されているため、IP を追跡できずに接続できなくなることのないように、ドメイン名に DuckDNS を使用しています。これを設定する方法についてのステップバイステップのガイドを作成しましたここ。タイプとして L2TP を選択し、前に作成したアカウントの詳細と共有秘密を入力します。

これで問題なく接続できるようになったはずです

NAT-T は、Windows 10 および一部のブロードバンド接続に付属する基本的なホーム ルーターではうまく機能しないようです。 Protocol 50 ESP を Windows 10 クライアントから正しく転送できませんでした。このため、同じサーバー上に SSTP VPN をセットアップしました。これについては、次の投稿で説明します。

Windows 10クライアントを動作させるためにパケットをUDPとしてカプセル化するレジストリ修正がありますが、これは私にとってはうまくいきませんでした。 Microsoft からの修正がリストされていますここ試してみたい場合は。私が言うように、私にとっては実際には効果がありませんでしたが、他の人はそれで成功したと言っています。

基本的には、ここで新しい DWORD を作成する必要があります。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent

DWORD に名前を付けます。

UDPEncapsulationContextOnSendRule を想定

次に、値を 2 に設定します