1、无 须购买软件硬件VPN ,既实现ERP远程接入,轻松搭无须购买软件硬件VPN,既实现ERP远程接入,轻松搭建小型企业远程系统平台2011年05月06日星期五下午01:211如果分布客户端和服务器在同一城市,本人觉得无须购买任何VPN,达到VPN效果,速度和VPN无差别!2。接入速度与服务器连网带宽和客户端连网带宽有关,本人实验,4MADSL效果就相当不错!第一章VPN实现第一步:系统前期准备工作服务器硬件:双网卡,一块接外网,一块接局域网。在windows2003中VPN服务称之为“路由和远程访问“,默认状态已经安装。只需对此服务进行必要的配置使其生效即可。首先确定是否开启了Windows
2、Firewall/Internet Connection Sharing(ICS)服务,如果开启了Windows Firewall/Internet Connection Sharing(ICS)服务的话,在配置“路由和远程访问“时系统会弹出如下对话框。我们只要去“开始“-“程序“-“工具“-“服务“里面把Windows Firewall/Internet Connection Sharing(ICS)停止,并设置启动类型为禁用,如下图所示:第二步:开启VPN和NAT服务然后再依次选择“开始“-“程序“-“管理工具“-“路由和远程访问“,打开“路由和远程访问“服务窗口;再在窗口左边右击本地计算
3、机名,选择“配置并启用路由和远程访问“,如下图所示:在弹出的“路由和远程访问服务器安装向导“中点下一步,出现如下对话框。由于我们要实现NAT共享上网和VPN拨入服务器的功能,所以我们选择“自定义配置“选项,点下一步;在这里我们选择“VPN访问“和“NAT和基本防火墙“选项,点下一步,在弹出的对话框中点“完成“,系统会提示是否启动服务,点“是“,系统会按刚才的配置启动路由和远程访问服务,最后如下图所示;第三步:配置NAT服务右击“NAT/基本防火墙“选项,选择“新增接口“,弹出如下对话框;在这里我们根据自己的网络环境选择连接Internet的接口,选择“wan“接口,点“确定“,弹出“网络地址转
4、换-wan属性“对话框,进行如下图所示配置;由于我们这个网卡是连接外网的所以选择“公用接口连接到Internet“和“在此接口上启用NAT“选项并选择“在此接口上启用基本防火墙“选项,这对服务器的安全是非常重要的。下面我们点“服务和端口“设置服务器允许对外提供PPTP VPN服务,在“服务和端口“界面里点“VPN网关(PPTP)“,在弹出的“编辑服务“对话框中进行如下图设置;点“确定“,回到“服务和端口“选项卡,确保选中“VPN网关(PPTP)“,如下图;第四步:根据需要设置VPN服务设置连接数:右击右边树形目录里的端口选项,选择属性,弹出如下对话框;Windows Server 2003企业
5、版VPN服务默认支持128个PPTP连接和128个L2TP连接,因为我们这里使用PPTP协议,所以我们双击“WAN微型端口(PPTP)选项,在弹出的对话框里根据自己的需要设置所需的连接数;Windows Server 2003企业版最多支持30000个L2TP端口,16384个PPTP端口。设置IP地址:右击右边树形目录里的本地服务器名,选择“属性“并切换到IP选项卡(如下图所示)。这里我们选择“静态地址池“点“添加“,根据需要接入数量任意添加一个地址范围,但是不要和本地IP地址冲突,如下图所示;点“确定“回到“IP“选项卡,点“确定“应用设置;第五步:设置远程访问策略,允许指定用户拨入新建用
6、户和组:点“开始“-“程序“-“管理工具“-“计算机管理“,弹出“计算机管理“对话框,如下图;选择“本地用户和组“,右击“用户“-“新用户“进行如下图所示设置;点击“创建“新增一个用户;在右边的树形目录中右击“组“-“新建组“,添入“组名“,点“添加“在弹出的“选择用户“对话框中,点“高级“-“立即查找“,选择刚才建立的“TEST“用户,把用户加入刚才建立的组,如下图;设置远程访问策略:在“路由和远程访问“窗口,右击右面树形目录中的“远程访问策略“,选择“新建远程访问策略“,在弹出的对话框中点“下一步“,填入方便记忆的“策略名“,点“下一步“,选择“VPN“选项,点“下一步“,点“添加“把刚才
7、新建的组加入到这里,点“下一步“,“下一步“,“下一步“,“完成“,就完成了远程策略的设置,后面如果需要新的用户需要VPN服务,只要为该用户新建一个帐号,并加入刚才新建的“TEST“组就可以了。第六步:设置动态域名我们把动态域名放在这里来说。因为一般企业接入互联网应该有固定IP,这样客户机便可随时随地对服务端进行访问;而如果你是家庭用户采用的ADSL宽带接入的话,那一般都是每次上网地址都不一样的动态IP,所以需在VPN服务器上安装动态域名解析软件,才能让客户端在网络中找到服务端并随时可以拨入。笔者常用的动态域名解析软件为:花生壳,可以在下载,其安装及注意事项请参阅相关,这里不再详述六、VPN客
8、户端配置这一端配置相对简单得多,只需建立一个到VPN服务端的专用连接即可。首先肯定客户端也要接入internet网络,接着笔者同样以windows 2003客户端为例说明,其它的win2K操作系统设置都大同小异:第一步:在桌面“网上邻居“图标点右键选属性,之后双击“新建连接向导“打开向导窗口后点下一步;接着在“网络连接类型“窗口里点选第二项“连接到我的工作场所的网络“,继续下一步,在如下图所示网络连接方式窗口里选择第二项“虚拟专用网络连接“;接着为此连接命名后点下一步。第二步:在“VPN服务器选择“窗口里,等待我们输入的是VPN服务端的固定内容,可以是固定IP,也可以是由花生壳软件解析出来的动
9、态域名(此域名需要在提供花生壳软件的网站下载);接着出现的“可用连接“窗口保持“只是我使用“的默认选项;最后,为方便操作,可以勾选“在桌面上建立快捷方式“选项,单击完成即会先出现如下图所示的VPN连接窗口。输入访问VPN服务端合法帐户后的操作就跟XP下“远程桌面“功能一样了。连接成功后在右下角状态栏会有图标显示。第三步:连接后的共享操作,只要有过一些局域网使用经验的朋友应该知道怎么做了吧?一种办法是通过“网上邻居“查找VPN服务端共享目录;另一种办法是在浏览器里输入VPN服务端固定IP地址或动态域名也可打开共享目录资源。这其实已经跟在同一个局域网内的操作没什么区别了,自然也就可以直接点击某个视
10、频节目播放,省去下载文件这一步所花时间了。不花一分钱,轻松搭建小型企业远程系统平台原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处、作者信息和本声明。否则将追究法律责任。利用花生壳+终端服务器搭建小型企业远程系统平台案例说明:Myhat公司最近在西安搭了一个分点,由于公司在ERP上使用的是同一套系统,之前一直是使用VPN来连的.最近因为公司需要减少相关的费用决定使用其他方式来实现远程访问.应用分析:因为金融危机,公司决定在网络应用方式减少相关的费用.因为公司大部分费用是用于VPN上,公司VPN主要是使用SDH的方式来实现的,大家知道SDH一般都很贵的!所以,就从它下手吧!因为VPN
11、主要是用于分点对总部的访问,总部对分部的访问同乎为0,所以我们只需要让分点能够访问到我们总部就行了.按照这个思想,觉得使用微软的终端服务器可以实现这个需求!通过终端服务器,我们可以实现多个用户并发访问!并且可以清晰的管理用户的会话,通过放弃SDH,公司决定从普通的ADSL方式实现总部与分部间的访问。实验环境:1.拓补如图相关说明:1.终端服务器系统使用windows server 2003 R2企业版2.利用花生壳获取终端服务器的免费域名为 3.如果你确定需要使用IE访问的话,那么终端服务器需要有固定的公网IP(动态IP经博主测试,无法登入系统,只能打开WEB登陆界面.估计是由于动态解析供应商
12、做了相关的限制吧)来自湖北和西安的用户通过网络直接连到我们的终端服务器,直接使用上面的ERP软件.相信这可能是部分公司目前正在使用的拓补吧!好的.现在我们来看看如何实现Terminal Server的安装部署吧!Terminal Server的安装部署需要这安装以下组件(当你需要安装WEB方式时,你就需要安装万维网服务)如果你希望从远程方式管理你的服务器,你就需要把下面这个也勾上!哈哈,终端服务器授权我就不多说了!非安装不可的嘛!按照这个步骤走吧!当然是要选择完整安全模式在这里我们需要选择终端服务需要对哪些进行授权,是设备还是用户.我想只要你的授权许可证允许或是足够多,你选哪个都一样!在这里我
13、就对用户进行授权吧!将这台服务器指定为许可证服务器(许可证服务器主要是对用户或是设备进行授权的)OK,终于完成了组件的安装!现在我们来看看:终端管理服务器现在博主给你看一下,博主测试使用的域名(哈,只在晚上开放)这个域名还没有申请,那我就多搞几个,反正放哪里也是没人用,况且只有一个字母之差,忘记了好也找嘛!有关域名的申请在此就不多说了,到花生壳网站注册一个不到5分钟!当然光是这样,远程用户仍无法登入!我们还需要在路由上映射相关的端口!ADSL直连用户除外!如果你的网络里有ISA,你需要发布RDP服务器!更改路由器设定:哈哈,我们使用的是TP-Link402路由器,大部分家用都会选这个!那就来设
14、定吧!无论哪种路由器,方法都是将相应的端口映射到相应的计算机上!配置一下虚拟服务器(映射80,6060,3389)再设定一下DMZ区吧,这样利于外部用户的快速访问:现在我们使用MSTSC远程桌面连接连过去看看吧!打开IE输入内网测试OK,估计使用公网IP同样也行)OK,远程的远程Web使用平台搭建成功,去试试吧!OK,现在我们做了这么多,是啊!平台是搭建好了,可是如何来保障它是安全的呢?除了给他配置相应的防护软件以外,我们还需要修改终端服务器的相关端口.我们都知道终端服务器的相关端口为3389,现在很多黑客工具都会对这个端口进行扫描,所以我们需要更改这个端口,不让有恶意企图的人知道我们在跑什么
15、服务!至少让他要花费一翻功夫吧!在互联网上有不少教大家如何来手动改这个端口,今天博主给大家带来一个脚本!当然声明一下:这个脚本不是我写的,作者嘛,脚本上已经标明了.我就不多说了,在此非常感谢他提供了这么好的脚本!(附件提供下载哟)*BY r05e*改变终端服务端口号*Set WshShell=CreateObject(“W.Shell“)Function Imput()imputport=InputBox(“请输入一个端口号,注意:这个端口号目前不能被其它程序使用,否则会影响终端服务“,“更改终端端口号“,“3389“,100,100)If imputport“Then If IsNumeri
16、c(imputport)Then WshShell.RegWrite“HKLMSYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcpPortNumber“,imputport,“REG_DWORD“WshShell.RegWrite“HKLMSYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-TcpPortNumber“,imputport,“REG_DWORD“w.echo“操作成功“Else w.echo“输入出错,请重新输入“Imput()End If El
17、se w.echo“操作已经取消“End If End Function Imput()set WshShell=nothing现在博主就给大家演示一下吧!打开这个脚本(你需要有管理员权限哟)现在我将其改为9023完成这个动作之后,我们就要改路由器上的端口映射了.贴张图吧!为了让其生效,我们重启我们的服务器.现在我们再来访问一下:OK,端口更改成功!不要忘记哟:你修改了终端服务器的默认端口号,此时你需要修改路由器上的映射哟!后话:使用MSTSC远程连接到终端服务器成功!使用IE方式,虽然我们看到了这个登陆画面,但是经过测试,会出现找不到相应的服务器,这是博主在这个实验中略感郁闷的地方!有关这个博主继续测试中.OK,1点了,博主要也休息了!相关建议:1.使用IE主要是针对windows 2000客户端了,因为这个问题不是不存在,所有在此建议大家可以建一个批处理让客户端可以自行COPY运行MSTSC所需要的两个文件,然后让他们执行就可以了!哈哈!相关问题可以在博客上讨论!2.如果你们公司对安全性要求比较高的话,那么你最好同时启用证书!
