Содержание:

Ниже - практическая инструкция, как поднять VPN-сервер на Windows Server 2008 R2 через RRAS (Маршрутизация и удаленный доступ). Разберём установку роли, включение нужного типа VPN, открытие портов, разрешения пользователям и выдачу IP-адресов клиентам. Плюс покажу, где чаще всего ломается подключение.

Что именно вы настраиваете на Windows Server 2008 R2

VPN на Windows Server 2008 R2 обычно делают через роль «Службы политики сети и доступа» (Network Policy and Access Services), внутри которой используется компонент RRAS: Маршрутизация и удаленный доступ.

Ожидаемая схема такая:

  • вы включаете на сервере VPN-доступ в RRAS
  • разрешаете пользователю «Входящие звонки» (Network Access Permission)
  • настраиваете выдачу адресов VPN-клиентам (локальный пул RRAS или DHCP-сценарий)
  • открываете нужные порты на сервере и перенаправляете их на внешнем периметре

Шаг 1. Установите роль RRAS для VPN

  1. Откройте Диспетчер сервера.
  2. Нажмите Добавить роли.
  3. Выберите роль Службы политики сети и доступа.
  4. Внутри выберите Службы маршрутизации и удаленного доступа.
  5. Дальше нажмите Установить и Закрыть.

После установки роль нужно включить и настроить через RRAS.

Шаг 2. Включите RRAS и укажите тип VPN (VPN Access)

  1. Откройте Диспетчер сервера.
  2. Разверните ветку Роли.
  3. Найдите Службы политики сети и доступа.
  4. ПКМ по Маршрутизация и удаленный доступ.
  5. Выберите Настроить и включить маршрутизацию и удаленный доступ.
  6. Дальше обычно удобно идти по мастеру:
  7. выберите Особая конфигурация / Custom configuration
  8. отметьте Доступ к виртуальной частной сети (VPN) / VPN Access
  9. Завершите мастер и запустите службу.

На этом этапе RRAS должен быть готов принимать подключения VPN.

Шаг 3. Откройте порты на сервере (и на внешнем контуре)

Для корректной работы VPN сервер должен принимать соединения по протоколам, которые соответствуют выбранному типу.

Тип VPN Порты/протоколы Что это значит
PPTP 1723/TCP Основной управляющий канал PPTP
L2TP 1701/TCP и 500/UDP L2TP + вспомогательный канал для IPsec
SSTP 443/TCP SSTP работает поверх HTTPS-подобного транспорта

На практике это означает два слоя работы:
- Windows firewall на самом сервере - разрешить входящие правила для этих портов
- роутер/межсетевой экран перед сервером - пробросить внешние запросы на IP сервера

Шаг 4. Разрешите пользователю подключаться к VPN

Права назначаются на уровне пользователя в RRAS.

  1. Откройте: Диспетчер сервера -> Конфигурация -> Локальные пользователи и группы -> Пользователи.
  2. Откройте свойства нужного пользователя.
  3. Перейдите на вкладку «Входящие звонки» / Incoming Calls.
  4. В Права доступа к сети / Network Access Permission поставьте «Разрешить доступ» / Allow access.

Если пользователь доменный и вы хотите управлять это аккуратно через правила, часто делают через политику домена, но базовая проверка всегда одна: у пользователя должно быть разрешение на VPN-доступ.

Шаг 5. Настройте выдачу IP-адресов VPN-клиентам

Обычно VPN-клиенты должны получить адреса в отдельной VPN подсети, которую вы выберете под свою схему.

Вариант A. Статический пул адресов прямо в RRAS (самый частый)

  1. Откройте свойства RRAS:
    Диспетчер сервера -> Роли -> Службы политики сети и доступа -> Маршрутизация и удаленный доступ -> Свойства
  2. Перейдите на вкладку IPv4.
  3. Включите Пересылку IPv4 / Enable IPv4 forwarding.
  4. Выберите Статический пул адресов / Static address pool.
  5. Нажмите Добавить.
  6. Укажите диапазон адресов (например, из вашей приватной подсети VPN).
Рекомендация Почему это важно
VPN пул должен отличаться от адресации вашей локальной сети клиента иначе маршрутизация и доступ «в никуда» ломаются
Пул должен не пересекаться с сетью, которую вы реально используете снаружи/внутри пересечения часто дают «подключение есть, доступа нет»

После этого RRAS выдаст адреса при подключении.

Вариант B. DHCP сервер раздаёт IP (нужно реже, но бывает)

Если вы хотите, чтобы IP для VPN выдавал внешний DHCP, тогда задача меняется:
- на RRAS включается режим с ретрансляцией/получением адресов от DHCP
- указывается IP адрес DHCP сервера, который будет отвечать за выдачу

В большинстве «быстрых» сценариев лучше начать со статического пула и только потом усложнять.

Шаг 6. Проброс портов на роутере (если сервер за NAT)

Если VPN сервер стоит за роутером, то на внешнем адресе вы должны пробросить порты на внутренний IP сервера.

Типовой пример для PPTP:
- внешний интерфейс роутера
- правило NAT/port forwarding
- внешний TCP 1723 -> внутренний IP сервера -> TCP 1723

Убедитесь, что проброс направлен на тот IP сервера, который реально доступен изнутри роутера (а не «адрес, который вы видели в моменте по DHCP»).

Шаг 7. Настройте VPN клиент в Windows

На клиентском Windows (например, Windows 7) создаётся новое подключение:
- Подключение к рабочему месту
- Использовать мое подключение к интернету (VPN)
- введите внешний адрес (IP/домен) VPN сервера
- укажите логин/пароль пользователя, которому дали доступ

Дальше обычно правки такие:
- в свойствах VPN соединения откройте параметры IPv4
- уберите использование «основного шлюза» в удаленной сети (если это мешает маршрутизации в вашей схеме)

Проверка: как понять, что всё настроено

Когда VPN «не поднимается», почти всегда виновато одно из пяти: роль, права, порты, адреса, маршрутизация.

Что проверять по очереди:

Что проверить Как понять, что проблема там
RRAS запущен в службах RRAS должен быть в состоянии Running
У пользователя есть права вкладка «Входящие звонки» должна быть с «Разрешить доступ»
Порты открыты проверьте firewall и проброс на внешнем контуре
VPN пул адресов работает сервер должен выдавать адрес клиенту из настроенного диапазона
Маршрутизация до ресурсов есть если вы VPN подняли, но не пингуете/нет доступа к ресурсам, значит сети конфликтуют или не настроена маршрутизация

Для быстрого теста с клиента удобно:
- пропинговать адрес VPN подсети сервера (часто это первый адрес диапазона)
- если нужно - смотреть маршрут, по которому ходит трафик (tracert)

Частые ошибки в Windows Server 2008 R2 VPN

Ошибка Симптом Что сделать
Пересечение VPN подсети и другой сети подключение есть, но доступов нет, странные маршруты поменяйте диапазон VPN пула так, чтобы сети не пересекались
Порты открыты только на сервере, но не проброшены на роутере клиент не может подключиться сделайте port forwarding на внешний контур
Пользователю не выдано право «Входящие звонки» отказ авторизации включите «Разрешить доступ» на вкладке Incoming Calls
DHCP не соответствует ожиданиям адреса не те или не выдаются используйте статический пул или корректно укажите DHCP сервер/сценарий выдачи
Не включена пересылка IPv4 на RRAS клиенты подключаются, но трафик не проходит между интерфейсами включите IPv4 forwarding в свойствах RRAS

Если вы хотите “под ключ”, но в рамках Windows: с чего начать

Честный порядок действий, чтобы быстрее добраться до результата:
- сначала поднимите RRAS VPN Access
- затем назначьте статический пул адресов (без усложнений)
- затем дайте пользователям «Входящие звонки» -> Разрешить доступ
- после этого откройте порты и сделайте проброс
- и только потом переходите к тонкостям вроде DHCP, интеграций и более сложной авторизации

Важное про безопасность (когда выбираете протокол)

PPTP и некоторые режимы L2TP в корпоративной жизни часто требуют аккуратности: поддержка есть, но риски зависят от конфигурации, криптографии и политики сети. Если вы выбираете между вариантами, SSTP (порт 443) обычно проще «проталкивается» через сети, но решение всегда привязано к вашей инфраструктуре и требованиям безопасности.

С таким набором шагов вы уверенно поднимете сервер VPN на Windows Server 2008 R2: установите роль, включите RRAS, разрешите пользователю доступ, зададите выдачу IP и доведёте подключение клиента до рабочего состояния.