[转]VPN服务器配置详解

借助VPN，企业外出人员可随时连到企业的VPN服务器，进而连接到企业内部网络。借助windows2003的“路由和远程访问”服务，可以实现基于软件的VPN。

VPN（Virtual Private Network）即虚拟专用网络，通过一个公用网络（如Internet）建立一个临时的、安全的、模拟的点对点连接。这是一条穿越公用网络的信息隧道，数据可以通过这条隧道在公用网络中安全地传输。因此也可形象地称之为“网络中的网络”。而保证数据安全传输的关键就在于VPN使用了隧道协议，目前常用的隧道协议有PPTP、L2TP和IPSec。

VPN是基于Windows 2003，通过ADSL接入Internet的服务器和客户端，连接方式为客户端通过Internet与服务器建立VPN连接。

VPN服务器需要两块网卡，一个连入内网一个连入外网。

Authentication(验证)：设置哪些用户可以通过VPN访问服务器资源。在DC上做身份验证。

Authorization（授权）：检查客户端是否可以拨入服务器，是否符合拨入条件（时间，协议……）

VPN工作原理：

VPN客户端请求VPN服务器（请求拨入服务器）

VPN 服务器请求DC进行身份验证，然后得到授权信息

VPN 服务器回应VPN客户端拨号请求。

VPN 服务器与客户端建立连接，并开始传送数据。

工作组模型下VPN服务器做身份验证，拨号请求发送至SAM数据库做身份验证。

1. VPN使用的协议（隧道协议）：PPTP，L2TP

2. PPTP：点对点传输协议，使用nicrosoft point-to-point encryption（MPPE）加密算法（默认采用协议）针对于internet。

L2TP：默认无加密算法，若想使用加密算法，结合IPsec。针对于internet、X.25、ATM

用户帐号拨入权限：条件、权限、配置文件决定了客户端是否可以拨入VPN网络。

配置文件包括：拨入时间，IP地址范围，是否支持多链路，何种身份验证，是否加密。

配置过程：路由和远程访问-远程访问策略-进行相应时间，配置文件设置

配置VPN服务器步骤如下：

首先安装“路由和远程访问”，或者在运行里输入“rrasmgmt.msc”，在弹出的“路由和远程访问”管理控制台窗口中，单击配置并启用路由和远程访问，如图所示：

弹出“路由和远程访问服务器安装向导”对话框，单击下一步，选中自定义配置，下一步，选择自定义配置，如图：

选中VPN访问，下一步，如图所示：

单击完成。

在弹出的路由和远程访问对话框中，单击是，如图所示。

随即，VPN服务即成功启动。单击服务器名称-属性，在弹出的对话框中选中 IP 选项卡，在IP地址指派中选中静态地址池，单击添加，如图所示：

在起始IP地址和结束IP地址编辑框中输入IP地址，单击确定，如图：

单击确定；

提示：使用静态IP地址池为客户端分配IP地址可以减少IP地址解析时间，提高连接速度。

起始IP地址和结束IP地址可以自定义一段IP地址（如192.168.0.10至192.168.0.50）如这台主机已经配置了DHCP服务，也可以选择动态主机配置协议（DHCP），会延长连接时间。

返回属性对话框，单击确定，完成初步配置操作。

提示：如果服务器端有固定的IP地址，则客户端可随时与服务器建立VPN连接。如果服务器采用ADSL拨号方式接入Internet，则需要在每次更改IP地址后通知客户端，或者申请动态域名解析服务。

赋予用户远程连接的权限

出于安全考虑，VPN服务器配置完成以后所有用户均被拒绝拨入到服务上（初始状态）因此需要为指定用户赋予拨入权限，操作步骤如下：

1． VPN服务器中右击我的电脑，选择管理。

在弹出的计算机管理窗口，展开本地用户和组，选中用户。如图：

如果计算机加入了域，则单击AD用户和计算机中的user组中的用户，如图：

2． 在test属性对话框中，单击拨入选项卡。在远程访问权限中选中允许访问，单击确定，如图所示：

提示：如果域功能级别为windows2000混合模式，则“通过远程访问策略控制访问”不可选，提升域功能级别即可。

3． 其实此为安全性最差的拨入方式，建议选中通过远程访问策略控制访问，这需要在服务器中定制远程访问策略（若为AD域环境下，须将域功能级别提升到03以上）

完成VPN服务器的配置操作，并赋予特定用户远程连接VPN服务器的权限以后，还需要在客户端中创建VPN连接并拨入VPN服务器，才能实现对企业内部网络的访问。