VPN на Windows нужен для доступа к ресурсам компании: файловым папкам, CRM, Git, RDP-шлюзам, бухгалтерским системам и порталам. Ноутбук подключается к корпоративному шлюзу, а трафик к закрытым сервисам идет через зашифрованный туннель.
В Windows есть встроенный VPN-клиент, но для рабочей сети одного профиля мало. Нужны сервер, сертификаты, MFA, DNS, маршруты. Иначе VPN включен, а нужный ресурс все равно не открывается.
Коротко: что важно перед настройкой
Сначала стоит понять, кто подключается, какие ресурсы нужны и как компания управляет устройствами. Для одного тестового ноутбука хватит ручного профиля. Для отдела лучше использовать Intune, групповые политики или фирменный клиент поставщика.
- Встроенный клиент Windows поддерживает IKEv2, SSTP, L2TP/IPsec и PPTP.
- Для новых корпоративных схем обычно выбирают IKEv2 или SSTP.
- Always On VPN заменил DirectAccess в новых внедрениях Microsoft.
- Intune помогает раздать профиль, сертификаты, DNS и правила подключения.
- Cisco Secure Client, GlobalProtect и FortiClient нужны для соответствующих шлюзов.
Встроенный VPN-клиент Windows
В Windows 11 профиль добавляют через «Параметры», «Сеть и Интернет», «VPN», «Добавить VPN». В поле «Поставщик VPN» выбирают «Windows (встроенный)», затем указывают имя подключения, адрес сервера, тип VPN и способ входа.
В поле «Имя подключения» пишут понятное название, например Corp VPN. В поле «Имя или адрес сервера» лучше указать полное доменное имя шлюза, например vpn.company.example. Такой адрес проще менять при миграции, чем IP из старой инструкции.
IKEv2 подходит для сертификатов и управляемых профилей. SSTP работает поверх HTTPS и помогает в сетях, где закрыты лишние протоколы. L2TP/IPsec встречается в старых схемах. PPTP не стоит использовать для новых внедрений: протокол устарел.
Ручной профиль хорош для пилота и маленькой команды. В большой компании лучше раздавать настройки централизованно: так меньше ошибок с протоколами, паролями, адресами серверов и сертификатами.
Always On VPN и Intune
Always On VPN включает туннель автоматически: после входа пользователя, смены сети, выхода из спящего режима или обращения к рабочему ресурсу. В новых внедрениях Microsoft этот механизм заменил DirectAccess.
У Always On VPN есть пользовательский туннель и туннель устройства. Первый включается после входа сотрудника. Второй поднимается до входа пользователя и помогает ноутбуку получить политики, обновления, доступ к контроллеру домена или сменить пароль вне офиса.
Туннель устройства работает только с IKEv2, требует сертификат компьютера и рассчитан на Windows Enterprise или Education, присоединенные к домену. Пользовательский туннель можно строить на IKEv2 или SSTP.
Через Microsoft Intune администратор раздает VPN-профиль, включает «Always On», указывает сервер, DNS, прокси, способ входа и правила трафика. Для сложных схем используют VPNv2 CSP и XML-конфигурацию.
| Вариант | Как работает | Где подходит | Что проверить |
|---|---|---|---|
| Ручной профиль | Пользователь включает VPN сам | Пилот, маленькая команда | Тип VPN, DNS, сертификаты |
| Always On VPN | Windows подключает туннель автоматически | Корпоративные ноутбуки | Сон, смена сети, вход |
| Туннель устройства | Работает до входа пользователя | Доменные устройства | Windows Enterprise или Education, IKEv2, сертификат |
| Intune-профиль | Настройки приходят централизованно | Средние и крупные компании | Группы, сертификаты, DNS, маршруты |
Настройка через интерфейс и PowerShell
Для быстрой проверки откройте «Параметры», «Сеть и Интернет», «VPN», «Добавить VPN». После сохранения профиль появится в списке подключений. Нажмите «Подключиться» и проверьте рабочие ресурсы, а не только статус VPN.
В корпоративной инструкции лучше указывать конкретный протокол в поле «Тип VPN». В поле «Тип данных для входа» выбирают имя пользователя и пароль, смарт-карту, одноразовый пароль или сертификат.
Администраторы часто создают профиль через PowerShell:
Add-VpnConnection `
-Name "Corp VPN" `
-ServerAddress "vpn.company.example" `
-TunnelType Ikev2 `
-AuthenticationMethod Eap `
-SplitTunneling `
-AllUserConnection `
-RememberCredential:$falseПосле настройки откройте внутренний сайт по доменному имени, файловую папку, RDP-шлюз, Git или рабочее веб-приложение. Если ресурс открывается по IP, но не по имени, сначала проверяют DNS.
- Получите адрес VPN-шлюза, протокол и способ входа.
- Установите сертификаты, если они нужны.
- Создайте подключение через «Добавить VPN», Intune или PowerShell.
- Проверьте внутренние ресурсы по доменным именам.
- Проверьте сон, смену Wi-Fi и перезагрузку.
Корпоративные клиенты для Windows
Если компания использует отдельный шлюз безопасности, чаще ставят фирменный клиент. У Cisco это Cisco Secure Client, у Palo Alto Networks - GlobalProtect, у Fortinet - FortiClient.
Cisco Secure Client вырос из AnyConnect и работает с Cisco-шлюзами, профилями доступа и многофакторной проверкой. GlobalProtect подключается к порталу Palo Alto Networks или Prisma Access. FortiClient используют вместе с FortiGate и FortiClient EMS, но перед запуском надо сверить версии клиента, FortiOS и доступные функции.
OpenVPN Connect применяют с OpenVPN Access Server, CloudConnexa или совместимым сервером. WireGuard ставят отдельным клиентом и заранее продумывают выдачу ключей, отзыв доступа и учет подключений.
Проверка перед запуском
На Windows чаще всплывают проблемы с DNS, маршрутами и состоянием подключения после сна. VPN подключается, но общая папка не открывается. Внутренний портал доступен по IP, но не по имени. RDP работает из офиса, но падает из домашней сети.
Для рабочих доменов нужны внутренние DNS-серверы и правила для отдельных имен. Полные доменные имена обычно надежнее коротких имен серверов.
При раздельной маршрутизации через VPN идут только корпоративные подсети. При принудительной маршрутизации весь трафик уходит через шлюз компании. Второй вариант проще контролировать, но он сильнее нагружает инфраструктуру и может замедлить облачные сервисы.
- Проверьте VPN на домашнем Wi-Fi, мобильной точке доступа и офисной сети.
- Проверьте вход по паролю, сертификату и MFA.
- Откройте ресурсы по доменным именам, а не только по IP.
- Проверьте RDP, SMB-папки, Git, CRM и рабочие веб-приложения.
FAQ
Какой VPN лучше выбрать для Windows?
Для встроенного клиента чаще выбирают IKEv2 или SSTP. Если компания уже использует Cisco, Palo Alto Networks, Fortinet, OpenVPN или WireGuard, лучше начинать с клиента под существующий шлюз.
Почему VPN подключился, а внутренний сайт не открывается?
Чаще всего проблема в DNS или маршрутах. Проверьте IP-доступ, DNS-серверы VPN-интерфейса и нужную подсеть в туннеле.
Можно ли настроить VPN без Intune?
Да, через «Параметры» или PowerShell. Но для большого парка устройств Intune или другая система управления удобнее.
