В Интернете довольно много инструкций по автоматизации подключений к VPN через CMAK, однако все они так или иначе содержали неясные моменты, на решение которых потребовалось некоторое время, поэтому я решил написать свои инструкции и сделать их доступными для другие – в надежде, что это поможет сэкономить драгоценное время или прояснить какой-то неясный момент. 
Итак, предположим, что мы устали писать и обновлять инструкции по созданию подключений к нашему VPN-серверу для пользователей Windows и хотели бы автоматизировать этот процесс, предоставив пользователю готовую программу, создающую соединение с предопределенными нами параметрами и Готов работать в нашей сети.
Осуществить это нам поможет встроенный в Windows Server 2008 и Windows Server 2008 R2 компонент — «Комплект администрирования диспетчера подключений» (в русской версии «Пакет администрирования диспетчера подключений»).
Итак, чтобы установить CMAK, вам необходимо запустить «Диспетчер серверов» и установить новый компонент «Пакет администрирования Connection Manager».
Весь текущий пример основан на Windows Server 2008 R2 SP1, русская версия.
Установка компонента в Диспетчере серверов: 
После установки пакет администрирования доступен из меню «Пуск» или из апплета «Администрирование» на панели управления.
После запуска CMAK нас встретит Мастер пакетов администрирования.
Не долго думая нажмите «Далее».
В следующем окне мастер предложит нам выбрать семейство операционных систем, для которых мы создаем подключение.
В Windows Server 2008 R2 это «Windows 7, Vista» или «Windows Server 2003, Windows XP и Windows 2000».
Однако если мы выберем пункт с Windows 7 и Vista, то подключение подойдет и для Windows 8. 
После выбора операционных систем мы должны создать новый профиль или отредактировать существующий, если он есть (в нашем примере мы создаем новый).
Далее необходимо ввести имя создаваемого подключения (именно так подключение будет отображаться в сетевых подключениях Windows) и имя файла, который будет запускать пользователь.
Имя файла не должно превышать восьми символов и иметь расширение.
После присвоения имени нашему соединению мастер предоставит вам возможность добавить имя сферы.
Если мы не планируем использовать нашего провайдера в качестве шлюза аутентификации на нашем VPN-сервере, то этот пункт пропускаем.
На следующем этапе нас просят добавить данные из телефонной книги других существующих профилей, чтобы не входить в них повторно.
Т.
к.
других профилей у нас не создано — идем дальше.
Далее нам нужно указать IP-адрес VPN-сервера, к которому нужно подключиться.
Мы можем указать один постоянный адрес или текстовый файл, содержащий набор адресов подключения, которые будут предоставлены пользователю на выбор.
Файл имеет следующий формат: [Настройки] default=Имя VPN-сервера, которое будет использоваться по умолчанию (одно из следующих, например «Мой VPN-сервер1»).
UpdateURL=Ссылка на текстовый файл со списком серверов (при каждом подключении этот файл будет обновляться с указанного URL).
Message=Сообщение для пользователя, например, «пожалуйста, выберите сервер для подключения».
[VPN-серверы] Мой VPN-сервер1=my1.example.com Мой VPN-сервер2=my2.example.com Мой VPN-сервер3=my3.example.com В нашем примере мы ограничимся одним сервером.
Кстати, на этой же странице мы можем поставить галочку, чтобы использовать одни и те же учетные данные для аутентификации как на VPN-сервере, так и при коммутируемом соединении (если, конечно, мы хотим использовать их перед созданием VPN-соединения).
Все это хорошо видно на скриншоте выше.
Следующее окно позволяет перейти к настройкам нашего туннеля.
Нажав «изменить», мы можем настроить основные параметры нашего VPN-соединения.
На вкладке «Общие» мы можем выбрать типы адресов, которые мы хотим использовать «IPv4», «IPv6» или оба, а также отключить «совместный доступ к файлам и принтерам», если он нам не нужен.
Вкладка «IPv4» позволяет указать настройки одноименного протокола.
Настройки включают в себя: DNS, WINS, использование соединения в качестве шлюза по умолчанию и сжатие.
В некоторых инструкциях, если нам нужно было не использовать VPN-соединение в качестве шлюза по умолчанию, предлагалось оставить здесь эту настройку включенной, а затем использовать директиву REMOVE_GATEWAY в файле со статическими маршрутами.
Экспериментально установлено, что данная инструкция работает некорректно и приводит к ошибке, когда хост после подключения полностью перестает использовать свой шлюз по умолчанию.
Но эта настройка сработала вполне корректно, т.е.
если нам не нужно использовать VPN-сервер в качестве шлюза по умолчанию, то мы просто снимаем здесь этот флажок и добавляем позже статические маршруты для сетей, в которые нам нужно заходить через VPN. 
Практически те же настройки для протокола IPv6. 
На вкладке «безопасность» можно выбрать нужный нам протокол туннеля (PPTP, L2TP, SSTP), а можем выбрать единственный, а можем выбрать порядок попыток подключения.
Например, если мы выберем сначала использовать L2TP, затем после L2TP будет использоваться PPTP, а затем SSTP и т. д. Здесь также доступны различные варианты шифрования.
Например, для L2TP вы можете указать общий ключ.
В этом случае после настройки VPN-соединения мастер предложит зашифровать наш ключ ПИН-кодом, который пользователь должен будет ввести при установлении соединения.
В этом же окне вы можете настроить методы аутентификации — например, более безопасный EAP или MS-CHAP 2. Для этой статьи был выбран приоритет L2TP с общим ключом.
На вкладке «Дополнительно» вы можете указать DNS-суффикс, который будет использоваться клиентским подключением.
Окно для ввода общего ключа и ПИН-кода для его шифрования.
Далее мастер предложит вам ввести телефонную книгу для подключения к серверу коммутируемого доступа.
В настоящее время я думаю, что это не актуально, поэтому снимите флажок «автоматически загружать обновления телефонной книги» и нажмите «Далее».
Если дозвон для нас не актуален, то следующее окно пропускаем аналогичным образом.
Далее нам предлагается возможность внести обновление в таблицу маршрутизации.
Если это актуально, добавьте файл маршрутов.
Позвольте мне привести вам пример файла маршрута.
Допустим, мы хотим, чтобы клиент имел доступ к сети 192.168.0.0/24 через наше VPN-соединение (сеть VPN имеет другую адресацию, чем сеть 192.168.0.0/24), при этом у него по-прежнему должен быть собственный шлюз по умолчанию.
Затем мы должны добавить текстовый файл с маршрутом следующего содержания: «ДОБАВИТЬ 192.168.0.0 МАСКА 255.255.255.0 по умолчанию МЕТРИЧЕСКАЯ по умолчанию ЕСЛИ по умолчанию».
Внимание! Файл должен быть в кодировке ANSI, а не UTF-8, например.
Если мы сняли флажок «Сделать это соединение шлюзом клиента по умолчанию», никаких директив REMOVE_GATEWAY здесь прописывать не нужно.
Вы также можете указать URL-адрес файла, содержащего таблицу маршрутизации, и в этом случае он будет обновляться при каждом подключении.
В следующем окне мастера вы можете указать настройки прокси-сервера для Internet Explorer при VPN-подключении.
Возможны следующие варианты: вообще не настраивать параметры прокси (первый пункт), использовать пользовательские настройки (второй пункт) или использовать заранее настроенный файл, содержащий параметры прокси (третий вариант).
В следующем окне мы можем настроить дополнительные действия.
Например, нам может потребоваться запускать какую-то программу или скрипт каждый раз при запуске соединения.
В этом случае нажмите «Создать» и зайдите в настройки.
Здесь помимо нашей программы или скрипта можно выбрать различные события, при наступлении которых будет выполняться действие.
Например, после подключения или в случае ошибки.
Если поставить галочку «включить указанную программу действий пользователя в этот профиль службы», программа будет скопирована в профиль подключения (полезно в случае, если мы запускаем что-то нестандартное, чего нет на других компьютерах).
Если программа предполагает взаимодействие с пользователем, то на этом этапе необходимо поставить соответствующий флажок.
Далее вы можете определить картинку, отличную от картинки, отображаемой в соединении по умолчанию.
А также для телефонной книги: 
Вы можете изменить значок подключения: 
На следующем экране вы можете установить свой собственный файл справки или оставить справочную информацию по умолчанию.
Далее вы можете указать информацию о технической поддержке (например, номера круглосуточной службы и т.п.
).
А куда же без лицензионного соглашения? В общем, если вам нужно подтверждение согласия пользователя на что-то, вы также можете запросить это, выбрав текстовый файл.
Если нам нужно включить в наш созданный профиль дополнительные файлы (например, они могут использоваться нашей программой, или скриптом, который мы могли выбрать выше), то нам следует выбрать их на следующем экране.
На этом настройка завершена и остается только нажать «Далее» в следующем окне и «Готово» в финальном.
Мы увидим путь, по которому был создан профиль подключения.
Прежде чем копировать этот профиль клиенту, на мой взгляд, стоит упомянуть еще один момент: если оставить все как есть, то в случае PPTP соединение будет настойчиво предлагать указать региональные настройки телефона, которые мы совершенно не нужен.
Исправить дело можно отредактировав файл с расширением cms, который находится в профиле созданного нами соединения.
Итак, вам нужно добавить в этот файл, в раздел «[Диспетчер соединений]» параметр «connectiontype=1» и сохранить файл.
Это следует делать после создания подключения, так как после завершения создания или редактирования профиля файлы перезаписываются и параметр, скорее всего, будет утерян.
Вот и все, собственно.
Папку с нашим профилем можно скопировать на клиент и установить соединение в два клика.
Запускаем exe-файл с именем нашего подключения: 
После утвердительного ответа появится окно, в котором можно выбрать, будет ли соединение устанавливаться только для этого пользователя или для всех, а также указать создать ярлык подключения на рабочем столе.
Пользователю останется только ввести данные подключения и, возможно, подтвердить механизму UAC свое желание предоставить системные привилегии нашему соединению (на случай, если необходимо ввести маршрут, или запустить программу, требующую системные привилегии).
Вот и все.
Надеюсь, что эта инструкция будет кому-то полезна.
Теги: #Системное администрирование #vpn #windows server 2008 r2 #cmak
-
Британские Учителя Просят Закрыть Youtube
19 Oct, 24 -
Sc И Unity: Две Загрузки — Пара
19 Oct, 24 -
Атомная Бомба: Ударная Волна И Разрушение
19 Oct, 24 -
Проект Дикто Закрыт
19 Oct, 24
