Windows VPN 配置

    |     2012年11月1日   |   应用心得   |     0 条评论   |    1747

666[1]

VPN属于远程访问技术,简单地说就是利用公网链路架设私有网络。例如公司员工出差到外地,他想访问企业内网的服务器资源,这种访问就属于远程访问。怎么才能让外地员工访问到内网资源呢?VPN的解决方法是在内网中架设一台VPN服务器,VPN服务器有两块网卡,一块连接内网,一块连接公网。外地员工在当地连上互联网后,通过互联网找到VPN服务器,然后利用VPN服务器作为跳板进入企业内网。为了保证数据安全,VPN服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密,就可以认为数据是在一条专用的数据链路上进行安全传输,就如同专门架设了一个专用网络一样。但实际上VPN使用的是互联网上的公用链路,因此只能称为虚拟专用网。即:VPN实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了VPN技术,用户无论是在外地出差还是在家中办公,只要能上互联网就能利用VPN非常方便地访问内网资源,这就是为什么VPN在企业中应用得如此广泛。

 

 

系统前期准备工作

服务器硬件:双网卡,一块接外网,一块接局域网。在windows2003中VPN服务称之为“路由和远程访问”,默认状态已经安装。只需对此服务进行必要的配置使其生效即可。

首先确定是否开启了Windows Firewall/Internet Connection Sharing (ICS)服务,如果开启了 Windows Firewall/Internet Connection Sharing (ICS) 服务的话,在配置“路由和远程访问”时系统会弹出如下对话框。

001[1]

这时需要根据提示去“开始”-“程序”-“管理工具”-“服务”里面把Windows Firewall/Internet Connection Sharing (ICS)停止,并设置启动类型为禁用。

 

 

一、Windows 2003 VPN 服务端安装配置

在windows2003中VPN服务称之为“路由和远程访问”,默认状态已经安装。只需对此服务进行必要的配置使其生效即可。

第一步:依次选择“开始”-“管理工具”-“路由和远程访问”,打开“路由和远程访问”服务窗口;再在窗口右边右击本地计算机名,选择“配置并启用路由和远程访问”,如下图:

111[1]

 

 

第二步:在出现的配置向导窗口点下一步,进入服务选择窗口,下图。需要注意的是如果你的服务器只有一块网卡,那只能选择“自定义配置”;而标准VPN配置是需要两块网卡的,如果你服务器有两块网卡,则可有针对性的选择第一项或第三项。强烈建议双网卡情况下首先选择“远程访问(拨号或VPN)”然后一路点击下一步,完成开启配置后即可开始VPN服务了。

112[1]

 

第三步:到这里还没完,以上两步只是开启了VPN服务,还要经过必要的设置才能符合我们的实际使用环境。设置一为关于IP地址的问题,右击右边树形目录里的本地服务器名,选择“属性”并切换到IP选项卡。

这里要说的是:如果你的internet接入方式为宽带路由接入即DHCP方式,那就不需要改,也可自行定义,比如常见的局域网段“192.168.0.X”;如果你的内网为特殊网段,希望连接成功后接入的电脑需要为内网的IP,那么这里需要设置成和你内网一致的网段,这时就需要点“静态地址池”再“添加”相应的IP地址。

113[1]

 

当然也可以把动态域名放在这里来说。因为一般企业接入互联网应该有固定IP,这样客户机便可随时随地对服务端进行访问;而如果你是家庭用户采用的ADSL宽带接入的话,那一般都是每次上网地址都不一样的动态IP,所以需在VPN服务器上安装动态域名解析软件,才能让客户端在网络中找到服务端并随时可以拨入。推荐动态域名解析软件为:花生壳。经过以上的步骤,你的服务端VPN已正式开始工作了。

 

 

二、添加VPN用户

每个客户端拨入VPN服务器都需要有一个帐号,默认是windows身份验证,所以要给每个需要拨入到VPN的客户端设置一个用户,并为这个用户制定一个固定的内部虚拟IP以便客户端之间相互访问。

在管理工具中的计算机管理里添加用户,这里以添加一个chnking用户为例,先新建一个叫“chnking”的用户,创建好后,查看这个用户的属性,在“拨入”标签中做相应的设置,如图:
222[1]

远程访问权限设置为“允许访问”,以允许这个用户通过VPN拨入服务器。

如果有多个客户端机器要接入VPN,那么还需要“分配静态IP地址”,请给每个客户端都新建一个用户,并设定一个虚拟IP地址,各个客户端都使用分配给自己的用户拨入VPN,这样各个客户端每次拨入VPN后都会得到相同的IP(但尽量不要超出VPN服务端的地址范围)。如果用户没设置为“分配静态IP地址”,客户端每次拨入到VPN,VPN服务器会随机给这个客户端分配一个范围内的IP。

 

 

三、VPN客户端配置

这一端配置相对简单得多,只需建立一个到VPN服务端的专用连接即可。首先肯定客户端也要接入internet网络,同样以windows 2003客户端为例说明,其它的操作系统设置都大同小异:

 

第一步:在桌面“网上邻居”图标点右键选属性,之后双击“新建连接向导”打开向导窗口后点下一步;接着在“网络连接类型”窗口里点选第二项“连接到我的工作场所的网络”,继续下一步,在下图所示网络连接方式窗口里选择第二项“虚拟专用网络连接”;接着为此连接命名后点下一步。

114[1]

 

第二步:在“VPN服务器选择”窗口里,等待我们输入的是VPN服务端的固定内容,可以是固定IP,也可以是由花生壳软件解析出来的动态域名;接着出现的“可用连接”窗口保持“只是我使用”的默认选项;

最后,为方便操作,可以勾选“在桌面上建立快捷方式”选项,单击完成即会先出现下图所示的VPN连接窗口。输入访问VPN服务端合法帐户后的操作就跟XP下“远程桌面”功能一样了。连接成功后在右下角状态栏会有图标显示。

115[1]

 

 

四、连接后的操作

连接成功后我们可以:

1、通过“网上邻居”查找VPN服务端共享目录;

2、是在浏览器里输入VPN服务端固定IP地址或动态域名也可打开共享目录资源。

3、直接浏览内网其它服务器的资源,这其实已经跟在同一个局域网内的操作没什么区别了。

回复 取消