на сервере:
1.
Генерируем SSL-сертификат:
в поле "имя хоста" пишем имя, по которому будет происходить соединение в ВПН-сервером "из интернетов".
Если есть вероятность что коннектиться будут по ip-адресу И/ИЛИ предполагается использование ВПН-сервера для локальных клиентов, то в поле "альтернативные имена хостов" указываем ip-адрес на который будет происходить соединение И\ИЛИ локальное имя сервера.
2.
Активируем работу ВПН-сервера, в его настройках указываем использование сертификата (п.1).
3.
Экспорт сертификата сервера VPN:
выбираем в списке сертификатов тот который мы создали для использования ВПН-сервером,
жмём "дополнительные действия\экспорт\экспорт сертификата в PKCS#12",
устанавливаем пароль, галку "включить все сертификаты..." снимаем, сохраняем файл с именем VPN.p12 .
4.
Экспорт коневого сертификата VPN-сервера:
выбираем в списке сертификатов корневой сертификат LocalAuthority , устанавливаем пароль,
галку "включить все сертификаты..." можно и оставить, файлу даём название соответственно LocalAuthority.p12 .
5.
Распространяем сертификаты нуждающимся:
отправляем (по e-mail, бандеролью или как ещё) оба получившихся файла на компьютер, откуда будет происходить ВПН-соединение с нашим сервером Control.
На стороне клиента:
1.
В Windows создаём новое ВПН-подключение, заходим в его совойства, на закладке "общие" указываем ДНС-имя сервера, куда будем подключаться или ip-адрес (те, которые указывались при создании сертификата, если имена в сертификате не будут совпадать с тем что будет указано в самом соединениии - ВПН не подключится)
2.
На закладке "параметры" снимаем галку "включать домен входа в Windows".
3.
На закладке "безопасность" делаем как на картинке:
4.
жмём "дополнительные параметры" и указываем использование сертификата:
5.
На закладке "сеть" снимаем все галки кроме TCP\IPv4, в свойствах TCP\IPv4:
- если пох на локальные ресурсы, то галку "использовать шлюз в удалённой сети" оставляем
- если во время работы ВПН-тоннеля нужны ещё и локальные ресурсы, то галку "использовать шлюз в удалённой сети" снимаем, но при этом нужно будет прописать статический маршрут в удалённую сеть.
6.
Открываем оснастку "сертификаты" для импорта:
пуск\выполнить\mmc , в открывшейся консоли жмём "файл\добавить или удалить оснастку" , слева выбираем "сертификаты",
жмём кнопку "добавить" , делаем как на картиинке:
жмём "готово", потом "ок" .
5.
Импортируем серверный сертификат:
разворачиваем список, правой клавишей на
хранилище "
личное", далее все задачи\импорт , выбираем файл VPN.p12, из него будет импортирован сертификат сервера.
6.
Импортируем корневой сертификат:
таким же образом в
хранилище "
доверенные корневые центры сертификации" импортируем корневой сертификат Control-а из файла LocalAuthority.p12 .
На этом всё, можно подключать ВПН-соединение и пользоваться тоннелем.
PS
Нужные для ВПН правила трафика:
