1、Win2000/2003 配置 VPN+NAT 图解一、问题的提出 如图 1所示,在单位有个私有地址为 192.168.0.0的网络,各电脑是通过 ADSL共享方式接入Internet,在家中有台电脑也通过 ADSL访问 Internet,现在想在家中随时安全地访问单位 192.168.0.2这台机器,实现方法很多,最为安全的是通过 VPN。 二、什么是 VPN 以本例来说就是现在单位 192.168.0.2这台机器上设置好 VPN服务,在家中通过 VPN客户端访问单位这台机器,建立连接后,这两台机器通信时就像在局域网中一样,比如:要在 192.168.1.10这台电脑中下载 192.168.
2、0.2这台机器的文件(假设该机已设好 FTP服务),可以直接在浏览器中键入:ftp:/192.168.0.2下载文件了。虽然是通过 Internet进行通信,但整个过程都是加密的,就像是在Internet中穿了一条只有两台机器才能通过的隧道,这就是 VPN( Virtual Private Networks )虚拟专用网。 图 1 三、优点 通过 VPN最大的优点就是安全。四、设置 VPN服务实现 VPN 的方式非常多,用带 VPN 功能的路由器或用 Linux、 windows 操作系统等,在 windows 系统下用双网卡建立 VPN 服务器更容易实现、但要增加一块网卡。介绍这方面的内容很
3、多,不再赘述。本文介绍的是在 windows 2003 中用单网卡来实现。下面介绍实际实现过程,首先是在 192.168.0.2 这台机器上配置 VPN 服务。选择“开始“ 所有程序 “管理工具“路由和远程访问“ 。制作过程如下添加的 IP 为局域网内的 IP 段:192.168.0.0192.168.255.25510.10.0.010.10.255.255有时会遇到多网卡的情况没开 NAT 的话,是无法通过 NAT 上网的,下面介绍如何开 NAT 实现通过 VPN 上网方法: 在路由和远程访问-本地-IP 路由选择-常规-选择“新增路由协议”-选择“NAT/基本防火墙” 建立好 VPN 后
4、,要在服务器上建立用户不必要有ADMINISTRATOR 权限只要有拔入权限就可以了。DOS 下建立:1、建立用户:Net user 用户名 密码 /add 2、有拔入权限:netsh ras set 用户名 permit 来实现拨入选项通过“管理”实现用 VPN 连接器就可以实现 VPN 连接,也可以在电脑上添加.通过网络连接向导来实现连接Vpn 连接不上的情况在 2000 下要加的内部命令netsh routing ip nat add interface internal private在 2003 不用加的内部命令不能连接 VPN, 重新启动路由器net1 stop remoteacc
5、essnet1 start remoteaccesspause重新启动路由器不行,重新启动服务器多网卡的情况网卡没有选对1.前提服务里 windows 防火墙停止(或者麻烦点可以把 router 协议,端口1723 配进去)远程注册表服务必须开启server 服务必须开启router 路由服务必须开启两块以上网卡的 win2000 做 vpn 很方便,添加 nat 协议后,客户端拨入,能够使用远程网络连接 internet。 使得部分客户端可提高网络速度,并达到代理的作用。一块网卡的 winxp,win2003 做类似的 vpn 仍然很方便,nat 协议添加后,再添加两个接口,一个是本地连接,
6、一个是内部,设置本地连接为全转发,内部为私有模式,既可让有权限的用户拨入。一块网卡的 win2000,做类似的 vpn 就不方便了,nat 协议添加后,再添加接口,只可以添加上本地连接,内部不容许图形界面的添加,察看了 netsh dump c:1.txt 后,尝试在 netsh 命令添加内部接口,通过。 命令为:netsh routing ip nat add interface 内部 private下面是部分常用命令:netsh ras set user username permit /设置用户授权,该用户不能为tsinternetuser support_388945a0 等。nets
7、h ras ip set addrassign pool /设置静态地址池模式netsh ras ip add range 10.10.1.1 10.10.10.254 / 设置静态池范围 ,要用标准的局域网地址,避免将来在访问 internet 时候地址转发错误。netsh routing ip nat install /添加 nat 协议netsh routing ip nat add interface 本地连接 full /添加 nat 接口本地连接全转发netsh routing ip nat add interface 内部 private /添加 nat 借口内部私有模式igmp
8、 同样可以在 netsh 配置,命令行很长:netsh routing ip igmp installnetsh routing ip igmp add interface 内部 igmpprototype=IGMPRTRV2 ifenabled=enable robustvar=2 startupquerycount=2 startupqueryinterval=31 genqueryinterval=125 genqueryresptime=10 lastmemquerycount=2 lastmemqueryinterval=1000 accnonrtralertpkts=YESnets
9、h routing ip igmp add interface name=”本地连接” igmpprototype=IGMPPROXY ifenabled=enable如果配置前已经有接口,就要先删除:netsh routing ip igmp delete interface 内部 /与此类似路由和远程访问服务会在系统、安全日记中记录不少信息,比如ipsec、登陆信息。修改一下注册表可以避免:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRasManParametersProhibitIPsec=dword:00000001HKEY_LOC
10、AL_MACHINESYSTEMCurrentControlSetServicesRemoteAccessParametersLoggingFlags=dword:00000000现在除了登陆信息,ipsec,remoteaccess 警告,已经不记录。-还有值得一提的是建立好地 vpn,通常使用的都是 pptp 协议,tcp1723 端口,如果我们在网卡的 ip 策略添加了 tcp1723 的容许条目,基 本上可以拨入。为什么是基本呢,因为 pptp 除了 tcp1723 外还有一个 ip47 号协议,不同于 tcp 不同于 udp,此协议对于认证很重要。如果网络上的防火墙割断的话,会出现拨号-用户认证 -不通过认证断开的问题。在配置 vpn 的时候,还需要 remoteregister 服务的支持,建立好以后可以关掉。workstation , server,rpc 同样在配置时候需要。-经测试,全命令行的建立 vpn 后,rrasmgmt.msc 不出现具体配置信息。也就是说只有看网络连接文件夹,才能看出来一个拨入的连接交流 QQ 113309858
