Windows Server 2003搭建VPN
服务器(图)
, z# M5 d5 v" [( g
' h! J% Q. g/ a- D
第一步:
系统前期准备工作 服务器硬件:双网卡,一块接外网,一块接局域网。在
windows2003中VPN服务称之为“路由和远程访问”,默认状态已经安装。只需对此服务进行必要的配置使其生效即可。
# H% i/ `. u& E3 Z# z, D
首先确定是否开启了Windows Firewall/Internet Connection Sharing (ICS)服务,如果开启了Windows Firewall/Internet Connection Sharing (ICS)服务的话,在配置“路由和远程访问”时系统会弹出如下对话框。
3 J" J: l; c% |
3 O1 U6 L7 v; I
我们只要去“开始”-“程序”-“管理
工具”-“服务”里面把Windows Firewall/Internet Connection Sharing (ICS)停止,并设置启动类型为禁用,如下图所示:
5 e- p# {( | y) e+ d+ g8 d6 [ 3 i3 L6 N- b( g7 N- S
第二步:开启VPN和NAT服务
. `( }2 k& U, S8 k2 K
然后再依次选择“开始”-“程序”-“管理工具”-“路由和远程访问”,打开“路由和远程访问”服务窗口;再在窗口左边右击本地
计算机名,选择“配置并启用路由和远程访问”,如下图所示:
4 V& e# O$ ?# w) F
$ k4 w1 {3 H! W' o4 }' r7 W; u' V/ W
在弹出的“路由和远程访问服务器安装向导”中点下一步,出现如下对话框。
. D2 E0 T$ t7 G& ^1 z* t: @2 [" W! s1 i" L
+ Y1 w6 j4 s7 a8 c8 f n+ M3 P8 T
由于我们要实现NAT共享上网和VPN拨入服务器的功能,所以我们选择“自定义配置”选项,点下一步;
B$ ^ \# p0 Q
" Z# \; P( C- i# H( n
6 x9 F4 Y$ z) B$ |/ w& [
在这里我们选择“VPN访问”和“NAT和基本防火墙”选项,点下一步,在弹出的对话框中点“完成”,系统会提示是否启动服务,点“是”,系统会按刚才的配置启动路由和远程访问服务,最后如下图所示;
: n4 ]5 o8 ~% w* ~' d
第三步:配置NAT服务
: r) s8 \, D; `; H6 t( {/ O; Z& E8 d
右击“NAT/基本防火墙”选项,选择“新增接口”,弹出如下对话框;
0 m& I* P+ n. P ( R `# D0 i/ n9 B& j3 V
在这里我们根据自己的
网络环境选择连接Internet的接口,选择“wan”接口,点“确定”,弹出“
网络地址转换-wan属性”对话框,进行如下图所示配置;
4 t( D+ Q! b9 h. x* {
, E: H2 O7 Z! l) v8 j
由于我们这个网卡是连接外网的所以选择“公用接口连接到Internet”和“在此接口上启用NAT”选项并选择“在此接口上启用基本防火墙”选项,这对服务器的安全是非常重要的。
9 x2 c: D7 l- ~% B R0 K) c' \
下面我们点“服务和端口”设置服务器允许对外提供PPTP VPN服务,在“服务和端口”界面里点“VPN网关(PPTP)”,在弹出的“编辑服务”对话框中进行如下图设置;
6 @( j- D q0 J9 O$ `8 e! o. j
) p g. f/ n: u6 K& ?
点“确定”,回到“服务和端口”选项卡,确保选中“VPN网关(PPTP)”,如下图;
: S% K- I5 l$ V+ Q
第四步:根据需要设置VPN服务
( V5 n: T4 g& Z W, M7 i
设置连接数:右击右边树形目录里的端口选项,选择属性,弹出如下对话框;
& X0 l0 D( b, r. j
; c6 V9 P- u, V
Windows Server 2003 企业版VPN服务默认支持128个PPTP连接和128个L2TP连接,因为我们这里使用PPTP协议,所以我们双击“WAN微型端口(PPTP)选项,在弹出的对话框里根据自己的需要设置所需的连接数;Windows Server 2003企业版最多支持30000个L2TP端口,16384个PPTP端口。
( b# S, W+ N4 B4 x# n, b
设置IP地址:右击右边树形目录里的本地服务器名,选择“属性”并切换到IP选项卡(如下图所示)。
6 {: w( Q' D. S: i% [2 C8 b% }- m7 S
4 M% g8 \* p% d* A
这里我们选择“静态地址池”点“添加”,根据需要接入数量任意添加一个地址范围,但是不要和本地IP地址冲突,如下图所示;
2 x$ u+ h }/ d( q. r$ z
8 Y1 N* D: t& {9 E6 w2 h( E; g" c4 E
点“确定”回到“IP”选项卡,点“确定”应用设置;
+ b1 a% Y( v8 H5 Q
第五步:设置远程访问策略,允许指定用户拨入
3 f- Z; e T3 e
新建用户和组:点“开始”-“程序”-“管理工具”-“计算机管理”,弹出“计算机管理”对话框,如下图;
+ z. K- g, k* T5 m+ v: U9 A
/ B1 \; A t- B, x+ [
选择“本地用户和组”,右击“用户”-“新用户”进行如下图所示设置;
% N7 c6 E# P7 c4 o7 g: [
点击“创建”新增一个用户;
/ I) K% ~6 E$ Z Q$ Q4 m" Q, L 在右边的树形目录中右击“组”-“新建组”,添入“组名”,点“添加”在弹出的“选择用户”对话框中,点“高级”-“立即查找”,选择刚才建立的“TEST”用户,把用户加入刚才建立的组,如下图;
+ j( G2 s: T0 G% }, v0 u; f
) Y8 a0 W% R9 f& I" _( ?2 F- W
设置远程访问策略:在“路由和远程访问”窗口,右击右面树形目录中的“远程访问策略”,选择“新建远程访问策略”,在弹出的对话框中点“下一步”,填入方便记忆的“策略名”,点“下一步”,选择“VPN”选项,点“下一步”,点“添加”把刚才新建的组加入到这里,点“下一步”, “下一步”, “下一步”,“完成”,就完成了远程策略的设置,后面如果需要新的用户需要VPN服务,只要为该用户新建一个帐号,并加入刚才新建的“TEST”组就可以了。
- U6 y$ P4 x- o) i( [
第六步:设置动态域名
% ~- ~3 d' h3 ~4 n! a. A5 b
我们把动态域名放在这里来说。因为一般企业接入互联网应该有固定IP,这样客户机便可随时随地对服务端进行访问;而如果你是家庭用户采用的 ADSL宽带接入的话,那一般都是每次上网地址都不一样的动态IP,所以需在VPN服务器上安装动态域名解析
软件,才能让客户端在网络中找到服务端并随时可以拨入。笔者常用的动态域名解析
软件为:花生壳,可以在
www.oray.net下载,其安装及注意事项请参阅相关资料,这里不再详述
, {" H1 J" ~3 c. e4 {
六、VPN客户端配置
& c2 S D9 H) p1 X- M 这一端配置相对简单得多,只需建立一个到VPN服务端的专用连接即可。首先肯定客户端也要接入internet网络,接着笔者同样以windows 2003客户端为例说明,其它的win2K
操作系统设置都大同小异:
! q) `3 I E- j& {" F6 t! f( l& L. E 第一步:在桌面“网上邻居”图标点右键选属性,之后双击“新建连接向导”打开向导窗口后点下一步;接着在“网络连接类型”窗口里点选第二项“连接到我的工作场所的网络”,继续下一步,在如下图所示网络连接方式窗口里选择第二项“虚拟专用网络连接”;接着为此连接命名后点下一步。
" w. T; @2 `" C
) E" L A3 C4 H
第二步:在“VPN服务器选择”窗口里,等待我们输入的是VPN服务端的固定内容,可以是固定IP,也可以是由花生壳软件解析出来的动态域名(此域名需要在提供花生壳软件的www.oray.net网站下载);接着出现的“可用连接”窗口保持“只是我使用”的默认选项;最后,为方便操作,可以勾选“在桌面上建立快捷方式”选项,单击完成即会先出现如下图所示的VPN连接窗口。输入访问VPN服务端合法帐户后的操作就跟XP下“远程桌面”功能一样了。连接成功后在右下角状态栏会有图标显示。
* y/ ~9 Q1 h: v2 e- D" ]4 D7 E
第三步:连接后的共享操作,只要有过一些局域网使用经验的朋友应该知道怎么做了吧?一种办法是通过“网上邻居”查找VPN服务端共享目录;另一种办法是在
浏览器里输入VPN服务端固定IP地址或动态域名也可打开共享目录资源。这其实已经跟在同一个局域网内的操作没什么区别了,自然也就可以直接点击某个
视频节目播放,省去下载
文件这一步所花时间了。
. e* h: \0 o2 L, U$ Z T
七、总结
* y' b" S- z; B 到这里我们已经实现了用一台Windows Server 2003操作系统做一台NAT和VPN远程接入服务器,实现公司或家庭共享上网和VPN远程接入访问本地局域网,实现移动办公。但是这台服务器在安全性和功能上还有一定缺陷,我将在后面的文章中陆续介绍搭建基于L2TP OVER IPSEC的VPN服务器,以增强数据在网络传输中的安全性。介绍搭建基于
Microsoft Internet Security and Acceleration (ISA) Server 2006防火墙的远程接入服务器,介绍基于
Microsoft Internet Security and Acceleration (ISA) Server 2006的站点到站点的虚拟专用网络。
