Windows Server 2012配置L2TP服务环境

在上一篇文章《Windows Server 2012配置VPN服务环境》中讲解了在Windows Server2012环境中的基础VPN搭建，但是只能支持PPTP的VPN连接。这篇文章进一步完善了VPN基于L2TP的连接讲解。

在百度上也没有找到一个Windows2012 很全的L2TP服务搭建的方案，所以自己编辑了一个给有需要的朋友们参考。

准备环境：Windows Server 2012R2 数据中心版64位，基础的VPN服务环境已经搭建完成。

功能需求：完善VPN服务器来支持L2TP类型的连接

1.1、由于L2TP要用到 IPSec共享密钥，在Windows环境中默认是禁用掉了的，我们需要修改注册表来启用它。“开始”->“运行”->输入“regedit”打开注册表。

1.2、依次打开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan”右键“RasMan”，新建一个“DWORD”值。

1.3、在弹出的方框里面填写名称为"ProhibitIPSec"，数据值为“1”确定保存，

1.4、在修改注册表后，确认是否已经显示在列表框内，然后重启电脑生效。

1.5、重启后感觉很久才能连接VPN，我们可以修改“服务”的启动类型“延迟自动启动”为“自动启动”，这样当我们系统启动后，路由远程访问服务就能够及时的启动，供客户端连接。

2、修改阿里云服务器的DNS地址

由于阿里云服务器的DNS默认为阿里云的内网DNS，我们需要改成公共DNS，这样，我们才能在连接到VPN后，能通过公共DNS上外网，否则通过阿里云的内网DNS无法连接外网。

2.1、依次打开“控制面板\网络和 Internet\网络连接”，选中“更改适配器”，右键“本地连接2”，弹出属性菜单，选中“Internet协议版本4(TCP/IPv4)”

2.2、修改红色方框里面的DNS为公共DNS地址，

可以选择DNSPod DNS ：首选：119.29.29.29  备选：182.254.116.116

也可以选择114DNS：首选：114.114.114.114  备选：114.114.114.115

阿里AliDNS:  首选：223.5.5.5   备选：223.6.6.6

这里我选择使用DNSPod 的DNS，然后点击“确定”保存更改。

3、配置共享密钥和VPN的静态路由

3.1、在“iZ233w18q93Z(本地)”上点击右键选择“属性”

3.2、在弹出的窗口里面选择“安全”选项卡，并且启用“允许L2TP/IKEv2连接使用自定义IPsec策略(L)”，并在“预共享密钥(K)”中填写共享密钥。

3.3、点击“确定”按钮保存配置，弹出重启路由远程访问的窗口，点击“确定”重启服务。

3.4、在“路由和远程访问”中的“iZ233w18q93Z(本地)”-“IPv4”-“静态路由” 上点击右键选择“创建静态路由”

3.5、在弹出框中填写静态路由信息，我们添加默认路由指向公网IP地址。

4、配置VPN信息后，我们配置网络访问策略

4.1、在“路由和远程访问”中的“iZ233w18q93Z(本地)”-“远程访问日志记录和策略” 上点击右键选择“启动NPS”

4.2、在“网络策略服务器”中的“NPS(本地)”-“网络策略”，

4.3、右键“到 Microsoft 路由和远程访问服务器的连接”->“属性”-->“概述”-->启用“授予访问权限”，“网络访问服务器的类型”改为“远程访问服务器(VPN拨号)”，然后点击应用。

4.4、修改到 Microsoft 路由和远程访问服务器的连接”访问策略权限，由于默认的权限只允许Windows客户端的登录，我们可以先添加一个隧道协议类型的条件，然后删除默认的条件。

4.5、修改“到 Microsoft 路由和远程访问服务器的连接”的“设置”选项卡里面的“加密”

4.6、右键“到其他访问服务器的连接”->“属性”-->“概述”-->启用“授予访问权限”，“网络访问服务器的类型”改为“远程访问服务器(VPN拨号)”，然后点击应用。

4.7、修改“到其他访问服务器的连接”的“设置”选项卡里面的“加密”

5、重启路由和远程访问服务，确保重启后能生效

5.1、重启路由远程访问服务

5.2、验证连接是否成功，在客户端通过L2TP连接VPN服务器，外网IP是否变成VPN服务的地址

最后我们设置一下阿里云的安全组，