WindowsServer2003搭建vpn服务器(图)第一步:系统前期准备工作服务器硬件:双网卡,一块接外网,一块接局域网。在windows2003中vpn服务称之为路由和远程访问,默认状态已经安装。只需对此服务进行必要的配置使其生效即可。首先确定是否开启了WindowsFirewall/InternetConnectionSharing(ICS)服务,如果开启了WindowsFirewall/InternetConnectionSharing(ICS)服务的话,在配置路由和远程访问时系统会弹出如下对话框。我们只要去开始-程序-管理工具-服务里面把WindowsFirewall/InternetConnectionSharing(ICS)停止,并设置启动类型为禁用,如下图所示:第二步:开启VPN和NAT服务然后再依次选择开始-程序-管理工具-路由和远程访问,打开路由和远程访问服务窗口;再在窗口左边右击本地计算机名,选择配置并启用路由和远程访问,如下图所示:在弹出的路由和远程访问服务器安装向导中点下一步,出现如下对话框。由于我们要实现NAT共享上网和VPN拨入服务器的功能,所以我们选择自定义配置选项,点下一步;在这里我们选择VPN访问和NAT和基本防火墙选项,点下一步,在弹出的对话框中点完成,系统会提示是否启动服务,点是,系统会按刚才的配置启动路由和远程访问服务,最后如下图所示;第三步:配置NAT服务右击NAT/基本防火墙选项,选择新增接口,弹出如下对话框;在这里我们根据自己的网络环境选择连接Internet的接口,选择wan接口,点确定,弹出网络地址转换-wan属性对话框,进行如下图所示配置;由于我们这个网卡是连接外网的所以选择公用接口连接到Internet和在此接口上启用NAT选项并选择在此接口上启用基本防火墙选项,这对服务器的安全是非常重要的。下面我们点服务和端口设置服务器允许对外提供PPTPVPN服务,在服务和端口界面里点VPN网关(PPTP),在弹出的编辑服务对话框中进行如下图设置;点确定,回到服务和端口选项卡,确保选中VPN网关(PPTP),如下图;第四步:根据需要设置VPN服务设置连接数:右击右边树形目录里的端口选项,选择属性,弹出如下对话框;WindowsServer2003企业版VPN服务默认支持128个PPTP连接和128个L2TP连接,因为我们这里使用PPTP协议,所以我们双击WAN微型端口(PPTP)选项,在弹出的对话框里根据自己的需要设置所需的连接数;WindowsServer2003企业版最多支持30000个L2TP端口,16384个PPTP端口。设置IP地址:右击右边树形目录里的本地服务器名,选择属性并切换到IP选项卡(如下图所示)。这里我们选择静态地址池点添加,根据需要接入数量任意添加一个地址范围,但是不要和本地IP地址冲突,如下图所示;点确定回到IP选项卡,点确定应用设置;第五步:设置远程访问策略,允许指定用户拨入新建用户和组:点开始-程序-管理工具-计算机管理,弹出计算机管理对话框,如下图;选择本地用户和组,右击用户-新用户进行如下图所示设置;点击创建新增一个用户;在右边的树形目录中右击组-新建组,添入组名,点添加在弹出的选择用户对话框中,点高级-立即查找,选择刚才建立的TEST用户,把用户加入刚才建立的组,如下图;设置远程访问策略:在路由和远程访问窗口,右击右面树形目录中的远程访问策略,选择新建远程访问策略,在弹出的对话框中点下一步,填入方便记忆的策略名,点下一步,选择VPN选项,点下一步,点添加把刚才新建的组加入到这里,点下一步,下一步,下一步,完成,就完成了远程策略的设置,后面如果需要新的用户需要VPN服务,只要为该用户新建一个帐号,并加入刚才新建的TEST组就可以了。第六步:设置动态域名我们把动态域名放在这里来说。因为一般企业接入互联网应该有固定IP,这样客户机便可随时随地对服务端进行访问;而如果你是家庭用户采用的ADSL宽带接入的话,那一般都是每次上网地址都不一样的动态IP,所以需在VPN服务器上安装动态域名解析软件,才能让客户端在网络中找到服务端并随时可以拨入。笔者常用的动态域名解析软件为:花生壳,可以在下载,其安装及注意事项请参阅相关资料,这里不再详述六、VPN客户端配置这一端配置相对简单得多,只需建立一个到VPN服务端的专用连接即可。首先肯定客户端也要接入internet网络,接着笔者同样以windows2003客户端为例说明,其它的win2K操作系统设置都大同小异:第一步:在桌面网上邻居图标点右键选属性,之后双击新建连接向导打开向导窗口后点下一步;接着在网络连接类型窗口里点选第二项连接到我的工作场所的网络,继续下一步,在如下图所示网络连接方式窗口里选择第二项虚拟专用网络连接;接着为此连接命名后点下一步。第二步:在VPN服务器选择窗口里,等待我们输入的是VPN服务端的固定内容,可以是固定IP,也可以是由花生壳软件解析出来的动态域名(此域名需要在提供花生壳软件的网站下载);接着出现的可用连接窗口保持只是我使用的默认选项;最后,为方便操作,可以勾选在桌面上建立快捷方式选项,单击完成即会先出现如下图所示的VPN连接窗口。输入访问VPN服务端合法帐户后的操作就跟XP下远程桌面功能一样了。连接成功后在右下角状态栏会有图标显示。第三步:连接后的共享操作,只要有过一些局域网使用经验的朋友应该知道怎么做了吧?一种办法是通过网上邻居查找VPN服务端共享目录;另一种办法是在浏览器里输入VPN服务端固定IP地址或动态域名也可打开共享目录资源。这其实已经跟在同一个局域网内的操作没什么区别了,自然也就可以直接点击某个视频节目播放,省去下载文件这一步所花时间了。七、总结到这里我们已经实现了用一台WindowsServer2003操作系统做一台NAT和VPN远程接入服务器,实现公司或家庭共享上网和VPN远程接入访问本地局域网,实现移动办公。但是这台服务器在安全性和功能上还有一定缺陷,我将在后面的文章中陆续介绍搭建基于L2TPOVERIPSEC的VPN服务器,以增强数据在网络传输中的安全性。介绍搭建基于MicrosoftInternetSecurityandAcceleration(ISA)Server2006防火墙的远程接入服务器,介绍基于MicrosoftInternetSecurityandAcceleration(ISA)Server2006的站点到站点的虚拟专用网络。鸡翅膀..烤鱼…口水ingGMT+8,2009-11-600:26,Processedin0.043698second(s),27queries,Gzipenabled.北京皓辰网域网络信息技术有限公司.版权所有
Monday, June 27, 2011
WindowsServer2003搭建VPN服务器(图
WindowsServer2003搭建vpn服务器(图)第一步:系统前期准备工作服务器硬件:双网卡,一块接外网,一块接局域网。在windows2003中vpn服务称之为路由和远程访问,默认状态已经安装。只需对此服务进行必要的配置使其生效即可。首先确定是否开启了WindowsFirewall/InternetConnectionSharing(ICS)服务,如果开启了WindowsFirewall/InternetConnectionSharing(ICS)服务的话,在配置路由和远程访问时系统会弹出如下对话框。我们只要去开始-程序-管理工具-服务里面把WindowsFirewall/InternetConnectionSharing(ICS)停止,并设置启动类型为禁用,如下图所示:第二步:开启VPN和NAT服务然后再依次选择开始-程序-管理工具-路由和远程访问,打开路由和远程访问服务窗口;再在窗口左边右击本地计算机名,选择配置并启用路由和远程访问,如下图所示:在弹出的路由和远程访问服务器安装向导中点下一步,出现如下对话框。由于我们要实现NAT共享上网和VPN拨入服务器的功能,所以我们选择自定义配置选项,点下一步;在这里我们选择VPN访问和NAT和基本防火墙选项,点下一步,在弹出的对话框中点完成,系统会提示是否启动服务,点是,系统会按刚才的配置启动路由和远程访问服务,最后如下图所示;第三步:配置NAT服务右击NAT/基本防火墙选项,选择新增接口,弹出如下对话框;在这里我们根据自己的网络环境选择连接Internet的接口,选择wan接口,点确定,弹出网络地址转换-wan属性对话框,进行如下图所示配置;由于我们这个网卡是连接外网的所以选择公用接口连接到Internet和在此接口上启用NAT选项并选择在此接口上启用基本防火墙选项,这对服务器的安全是非常重要的。下面我们点服务和端口设置服务器允许对外提供PPTPVPN服务,在服务和端口界面里点VPN网关(PPTP),在弹出的编辑服务对话框中进行如下图设置;点确定,回到服务和端口选项卡,确保选中VPN网关(PPTP),如下图;第四步:根据需要设置VPN服务设置连接数:右击右边树形目录里的端口选项,选择属性,弹出如下对话框;WindowsServer2003企业版VPN服务默认支持128个PPTP连接和128个L2TP连接,因为我们这里使用PPTP协议,所以我们双击WAN微型端口(PPTP)选项,在弹出的对话框里根据自己的需要设置所需的连接数;WindowsServer2003企业版最多支持30000个L2TP端口,16384个PPTP端口。设置IP地址:右击右边树形目录里的本地服务器名,选择属性并切换到IP选项卡(如下图所示)。这里我们选择静态地址池点添加,根据需要接入数量任意添加一个地址范围,但是不要和本地IP地址冲突,如下图所示;点确定回到IP选项卡,点确定应用设置;第五步:设置远程访问策略,允许指定用户拨入新建用户和组:点开始-程序-管理工具-计算机管理,弹出计算机管理对话框,如下图;选择本地用户和组,右击用户-新用户进行如下图所示设置;点击创建新增一个用户;在右边的树形目录中右击组-新建组,添入组名,点添加在弹出的选择用户对话框中,点高级-立即查找,选择刚才建立的TEST用户,把用户加入刚才建立的组,如下图;设置远程访问策略:在路由和远程访问窗口,右击右面树形目录中的远程访问策略,选择新建远程访问策略,在弹出的对话框中点下一步,填入方便记忆的策略名,点下一步,选择VPN选项,点下一步,点添加把刚才新建的组加入到这里,点下一步,下一步,下一步,完成,就完成了远程策略的设置,后面如果需要新的用户需要VPN服务,只要为该用户新建一个帐号,并加入刚才新建的TEST组就可以了。第六步:设置动态域名我们把动态域名放在这里来说。因为一般企业接入互联网应该有固定IP,这样客户机便可随时随地对服务端进行访问;而如果你是家庭用户采用的ADSL宽带接入的话,那一般都是每次上网地址都不一样的动态IP,所以需在VPN服务器上安装动态域名解析软件,才能让客户端在网络中找到服务端并随时可以拨入。笔者常用的动态域名解析软件为:花生壳,可以在下载,其安装及注意事项请参阅相关资料,这里不再详述六、VPN客户端配置这一端配置相对简单得多,只需建立一个到VPN服务端的专用连接即可。首先肯定客户端也要接入internet网络,接着笔者同样以windows2003客户端为例说明,其它的win2K操作系统设置都大同小异:第一步:在桌面网上邻居图标点右键选属性,之后双击新建连接向导打开向导窗口后点下一步;接着在网络连接类型窗口里点选第二项连接到我的工作场所的网络,继续下一步,在如下图所示网络连接方式窗口里选择第二项虚拟专用网络连接;接着为此连接命名后点下一步。第二步:在VPN服务器选择窗口里,等待我们输入的是VPN服务端的固定内容,可以是固定IP,也可以是由花生壳软件解析出来的动态域名(此域名需要在提供花生壳软件的网站下载);接着出现的可用连接窗口保持只是我使用的默认选项;最后,为方便操作,可以勾选在桌面上建立快捷方式选项,单击完成即会先出现如下图所示的VPN连接窗口。输入访问VPN服务端合法帐户后的操作就跟XP下远程桌面功能一样了。连接成功后在右下角状态栏会有图标显示。第三步:连接后的共享操作,只要有过一些局域网使用经验的朋友应该知道怎么做了吧?一种办法是通过网上邻居查找VPN服务端共享目录;另一种办法是在浏览器里输入VPN服务端固定IP地址或动态域名也可打开共享目录资源。这其实已经跟在同一个局域网内的操作没什么区别了,自然也就可以直接点击某个视频节目播放,省去下载文件这一步所花时间了。七、总结到这里我们已经实现了用一台WindowsServer2003操作系统做一台NAT和VPN远程接入服务器,实现公司或家庭共享上网和VPN远程接入访问本地局域网,实现移动办公。但是这台服务器在安全性和功能上还有一定缺陷,我将在后面的文章中陆续介绍搭建基于L2TPOVERIPSEC的VPN服务器,以增强数据在网络传输中的安全性。介绍搭建基于MicrosoftInternetSecurityandAcceleration(ISA)Server2006防火墙的远程接入服务器,介绍基于MicrosoftInternetSecurityandAcceleration(ISA)Server2006的站点到站点的虚拟专用网络。鸡翅膀..烤鱼…口水ingGMT+8,2009-11-600:26,Processedin0.043698second(s),27queries,Gzipenabled.北京皓辰网域网络信息技术有限公司.版权所有
Subscribe to:
Post Comments (Atom)
No comments:
Post a Comment