1、VPN 服务器架设方法 +客户端图文|win2003环境首先依次打开:开始设置控制面板管理工具路由和远程访问,选择“配置并启用路由和远程访问”,如下图所示:2.系统会提示你安装路由和远程访问,点击下一步。3.选择“自定义配置” ,因为我们是使用单网卡,只能选择自定义配置,再点击下一步,如下图所示:4.选择“VPN 访问” ,我们只启用 VPN 服务,如图1-3所示:5.VPN 服务基本配置完毕,现将开始服务,选择 “是”,最后点击完成即可。6.再次打开“路由和远程访问 ”,鼠标右击“计算机名(本地) ”,选择属性,对 VPN 进行详细配置,譬如 IP 地址池配置(建议设置为静态地址,且静态地址
2、池使用 VPN 服务器所在的网段) ,如下图所示:7.现在配置用户拥有拨入 VPN 的权限。依次打开:开始设置控制面板管理工具计算机管理;首先建立一个用户组 VPN Users 以及用户 Weiguo,并将新建立的用户加入VPN Users 用户组 ”,然后,在拨入选项,选择“通过远程访问策略访问控制”;如下图所示:8.配置 VPN 用户组远程访问策略。依次打开:管理工具路由和远程访问远程访问策略,新建一个远程访问策略,点击下一步;选择“使用向导来设置普通情况下的典型策略”,再输入策略名,譬如:VPN acl,如下图所示:9.选择您想创建的策略的访问方法,选择“VPN”,再点击下一步。10.根
3、据以下授予访问权限。在这里有两个选项,建议选择“组” ,然后添加之前建立的用户组 VPN Users,如下图所示:注:如果在这里没有选择组,而选择了“用户”,那么在图1-5中拨入选项中应该选择“允许访问”。11.配置 VPN 客户端访问内网 IP 访问控制。依次点击:管理工具路由和远程访问远程访问策略VPN acl编辑配置文件IP,如下图所示:12.再依次点击:输入筛选器新建勾选“目标网络”,再填入内部网络中指定的 IP 地址,子网掩码填写:255.255.255.555,协议选择“任何”,再点击确定。筛选操作项选择“仅允许下面列出的数据包”,最后依次点击确定,保存刚才的设置。如下图所示:目的
4、:便于内网访问控制,譬如:只允许 VPN 客户端访问某些计算机!13.重新启动“路由和远程访问”。14.参看 VPN 服务器端客户端连接情况,如图1-10所示:从客户端连接到 VPN 服务器1. 在本机测试连接在远程连接到 VPN 服务器之前,最好先在 VPN 服务器的本机测试一下,测试过程如下:鼠标右键“网上邻居 “,如图14,点击“新建连接向导“,按图15至图21 的步骤建立连接,因为现在做的是本机的测试,所以其中图18中的 IP 地址为本机的地址,图21中的用户 dzq就是我们刚才新建的用户。出现图22的连接图标表示连接成功。这样就可以进行远程连接测试了。如果此时用 ipconfig /
5、all 看网卡状态,就会看见三个网卡,其中一个 IP 地址为192.168.0.2的就是本机网卡,另外两个是刚才做本机测试时建立的,它们的 IP 地址为169.x.xx . xxx xxx,这是 VPN 默认的 IP 地址,是正常的,不用管它。2、远程连接前准备在远程连接之前要做好两个准备。第一要获得 VPN 服务器接入 Internet 的公共 IP 地址,如果是分配的静态 IP,那就简单了,如果是动态 IP,那必须在远程能随时获得这个 IP 地址,本例如图 1,192.168.0.2这台机器的公网 IP 实际上就是 ADSL 猫接入 Internet 时,是 ISP 给自动分配的,获得动态
6、 IP 的方法请参考拙作获取动态 IP 地址的几种方法 。第二要做个端口映射,从图1的拓扑可以看出,本例是通作在 ADSL 猫中通过 NAT 转换接入 Internet 的,通过这种方式一定要在 ADSL 中作端口映射,由于 windows 2003的 VNP服务用的是1723端口,所以如图23,将1723端口映射到 192.168.0.2这台设有 VPN 服务的机器。如果用的是直接拨号,那在防火墙中将这个端口放开就行了。图243、远程连接上面的服务器中的测试完成后,就可以在家中进行远程连接了,其过程和在本机连接测试的过程一样,如图14至图21所示,在实际连接时到图18这一步时,输入 VPN
7、服务器所在的公网 IP 就行了。实际应用中我是按照图1的拓扑连接的,连接很顺利,但遇到一个问题,在家通过 VPN 连入单位的机器后,和单位的机器通信完全正常,但不能正常上网。用 route print 检查路由(如表1所示)发现有两个到目标0.0.0.0的路由,网关一个是本来的网关192.168.1.1,一个是建立 VPN 后的网关169.254.101.219 ,这样在访问 Internet 网络时就有问题了。解决的办法:删除接入 VPN 后的路由,命令如下所示:C:/route delete 0.0.0.0 mask 0.0.0.0 169.254.101.219加一条指向 VPN 服务器
8、所在网络的路由,本例(如图1)VPN 服务器的地址为192.168.0.2,所以只要将到192.168.0.0 这个网络的指向 VPN 的地址169.254.101.219就行了。C:/route add 192.168.0.0 mask 255.255.255.0 169.254.101.2194、几点说明1) 、建立完 VPN 连接后,两台电脑的 VPN 的 IP 地址都是 169.0.0.0中的地址,好像不能修改,但这并不影响使用,如图1建立连接后,在192.168.1.10这台电脑中 ping 192.168.0.2是通的,也就是说要访问这台机器的资源,只要用192.168.0.2这个
9、地址就行了。就像在局域网中一样。2) 、做为 VPN 服务器的这台机器的安全设置,如果没有特殊需要很多服务完全可以限制在局域网内,例如 FTP 服务只允许192.168.0.0 网内的电脑访问。这样只要把 VPN 的安全做好就行了。换句话说,以本例来说,192.168.0.2这台机器访问 Internet 时是通过 NAT地址转换,如果在 ADSL 猫中不做端口映射,从 Internet 的其它电脑上是看不到这台机器的,本例只做了 VPN 服务的1723端口的映射,虽然本机开了很多的服务,开放了很多端口,但这些都是对局域网开放的,要想从 Internet 访问这台机器,只有先建立了 VPN 才能访问其它的资源。只做一个服务的安全总比做许多服务的安全要容易些。VPN 服务器有许多安全设置,以后再探讨。3) 、建立完 VPN 连接后,可以通过 WWW、FTP 互相访问,也可通过终端服务等登录到这台机器上,进而访问局域网中的其它电脑。图24就是192.168.1.10在建立完 VPN 后直接利用远程桌面连接,登录到192.168.0.2的机器上的登录界面。
