Windows 2016 Server RAS/VPN

Question

我不知道从哪里开始，所以我会描述需求，希望有人能帮我找出需要组装的积木。

我们目前正在运行Windows2016ServerRAS/ VPN服务器，我们有Windows、macOS和Linux客户机，它们通过L2TP通过IPSec连接到VPN端点。用户标识使用Windows登录/密码。机器身份验证使用共享秘密。

从那里，我们希望获得更多的控制，客户端计算机可以连接到VPN端点。这意味着不再使用共享秘密进行机器身份验证。

目前，我不知道我们是否能够/应该继续使用LT2P，或者是否应该迁移到IKEv2。由于我的知识有限，我甚至不确定Windows2016ServerRAS/VPN是否允许我们限制允许连接哪个客户端计算机。

有人能帮我组装这个拼图吗？谢谢!

PS:理想情况下，我们希望继续使用Windows2016ServerRAS，因为与部署OpenVPN相比，它使我们能够在客户端计算机上使用股票网络设置

编辑

当我写

我们希望更多地控制客户端计算机可以连接到VPN端点。

我的意思是，我们不希望人们重用他们的凭据来将个人设备连接到VPN。我们只想让可信的机器/工作机器连接起来。

Answer 1

您可以使用网络策略服务器(NPS)。它是Windows的一个特性，您可以将它添加到任何Windows Server、网络策略和访问服务(NPAS)功能中。然后，您可以向连接的客户端添加策略，例如，如果完全修补了这些策略，可以进行一些检查。当然，您可以继续使用Windows2016ServerRAS。

我过去曾在Windows2008Windows服务器上有效地使用过它。我们后来转向了OpenVPN。

L2TP over IPSec应该是可以的，它仍然被广泛使用；然而IKEv2更现代，被认为更安全和更快。

Answer 2

关于你的澄清，

我们不希望人们重用他们的凭据来将个人设备连接到VPN。我们只希望被信任的机器/工作机器连接。

您可以使用证书而不是凭据在客户端上建立VPN连接。证书可以是不可导出的，至少在Windows客户端计算机上是如此，因此它们不能导出并用于个人设备。这样，您就可以确信只有受信任的/工作机器才会连接。