比如公司人员出差到外地或在家中,需要访问公司企业网资源。如果直接拨入的话,经过internet这部分的安全性无法保证,未加密的数据包很容易被人监听或利用网络嗅探器捕获。再者如果用户出差到外地,直接拨入到公司网络,上网费花的是长途话费。如果使用vpn,可以先拨到当时的isp,通过internet再到公司的企业网,这样上网费花的是市话费。这就是vpn的两个功能,当然我们一般更关心前者。
实现vpn,可以通过硬件,也可以利用windows 2000 server的rras实现vpn服务器,这就是本文要讨论的。
一、 vpn服务器端配置
要求:一台2000s/as,是否域成员均可实现,但细节上有差别,后面讨论。两块网卡,一块连internet,一块连公司企业内部网(intranet)。
操作:
1、 开始/程序/管理工具/路由和远程访问/计算机名上右键/配置并启用路由和远程访问。
2、 将启动向导,下一步/第三项:虚拟专用网络(vpn)服务器。
说明:如果选第三项vpn服务器,那么它仅仅只接受vpn用户连入,默认vpn端口数为:pptp端口128个,l2tp端口128个。而且需要说明的是:即使当vpn用户拨通vpn服务器后,已经可以通过vpn网关访问企业内部网资源了,但这时远程vpn用户ping vpn服务器的对外网卡,仍是不通的,因为它这时已经是隧道的一部分了。但内网用户ping vpn服务器的对外网卡是通的。
如果想使vpn服务器既接受vpn客户连入,也接受非vpn客户(即普通用户)连入,这时可选第二项:远程访问服务器,默认vpn端口数为:pptp端口5个,l2tp5端口5个;也可以选第五项:手动配置服务器。这时的现象是远程的vpn用户可以ping通vpn服务器的对外网卡。
3、 协议:tcp/ip等。
说明:协议一般必须保证有tcp/ip,如果需要其它协议也可以添加上,但用户端也必须有相应协议才能拨通。
4、 internet连接:对外网卡
5、 内部网络:对内网卡
注意:对外,对内网卡看清楚,切不可选错。
6、 远程客户ip分配:自动或来自一个指定的地址范围
说明:网络中若有可用的dhcp服务器,选自动。如果没有,手动指定一个内部网的合法ip地址段(注意不要冲突)即可。至少2个,因为一个分配给远程vpn用户,vpn服务器对外的虚拟ppp/slip网卡还需要一个内部ip。
7、 是否使用radius服务器:否
说明:如果不需要统一的验证、不需要记录用户上网情况进行收费,不必使用。
若要使用radius(ias服务器)验证,必须结合域,注意:应以域管理员身份配置ias,并且在ias上右键/在ad中注册服务,否则需要手动在ad用户和计算机的“ras and ias servers”组成员中添加ias服务器的计算机帐号。
8、 完成
9、 要求配置dhcp中继代理
说明:只有在第6步选自动,且dhcp服务器与vpn服务器不在同一网段,才需要配置dhcp中继代理:指明dhcp服务器的ip。
二、设置用户拨入权限
1、如果vpn服务器不在域中,只能让远程vpn用户利用vpn服务器的本地帐号拨入。在vpn服务器上操作如下:
我的电脑/右键/管理/创建本地帐号/属性/拨入/允许访问
2、如果vpn服务器在域中,还可让远程vpn用户利用域帐户拨入,在ad用户和计算机中设置,简单设置方法同上。复杂设置:可利用远程访问策略,需要考虑域是本机模式还是混合模式,这里就不详细说了。
注意:应以域管理员身份配置rras,否则需要手动在ad用户和计算机的“ras and ias servers”组成员中添加rras即vpn服务器的计算机帐号。
三、vpn客户端配置
操作如下:
1、 网上邻居/右键属性/新建连接/向导:下一步
2、 选第三项:通过internet连接到专用网络(vpn)
3、 公用网络:不拨初始连接或自动拨此初始连接
说明:如果用户是拨号上internet(modem或adsl),可设置自动拨此初始连接:到isp的连接;如果是固定ip上网,选不拨初始连接。
4、 目标地址:vpn服务器对外网卡的ip
5、 所用用户或仅自己使用此连接
6、 是否启用此连接的ics共享
说明:如果想ics,上一步必须选所有用户使用此连接。
另外就是关于“虚拟专用连接”属性设置:
1、 如果企业内部网是多层域结构,需要指明登录的域,可在“虚拟专用连接”/属性/选项/选中:包含windows登录域
2、 如果需要指明拨入vpn服务器的类型(即所用vpn协议是pptp、还是l2tp)可在可在“虚拟专用连接”/属性/网络/呼叫vpn服务器类型选择:自动、pptp、l2tp。需要说明的是如果想使用l2tp,必须在服务器端和客户机上安装来自共同信任ca颁发的证书。否则会出现:错误781,由于没有找到有效的证书,加密尝试失败。
四、常见问题
1、 用户拨通后,如同企业网本地用户一样,只要他有权限,可以访问公司企业网内的所有资源。但可能速度会慢一些,因为企业内部网用户一般10mbps或100mbps甚至1000mbps连接,也就是说慢一些是正常的。
2、 如果用户拨通后,只能访问vpn服务器,不能访问企业内部网其它服务器上的资源。应在“虚拟专用连接”/属性/网络/tcp/ip/高级/常规下,保证选中“在远程网络上使用默认网关”选项。
3、 如果用户拨通后,不能访问任何资源。这是由于vpn用户没有租到一个合法的企业内部网ip所致的,可在客户机上运行ipconfig /all,查看它的虚拟ppp/slip网卡的ip,如果是win2000及以上的系统,没租到ip,将会以一个自动的私有ip(apipa)地址配置自己,形式如169.254.*.*。也可在“虚拟专用连接”/右键/状态/详细信息中查看。
4、 如果企业内部网是一个大型的路由式网络,只要vpn服务器的对内网卡上指明了正确的默认网关,远程vpn客户即可访问企业中与vpn服务器不在同一网段的计算机。
5、 用户拨入时出现:错误678,没有应答。这是由于vpn服务器上的rras未有效启动,应检查rras配置,或禁用后,重新配置。
6、 对于大型企业,可能会同时有许多远程vpn用户拨入。如果当初选第二项:远程访问服务器,默认vpn端口数为:pptp端口5个,l2tp5端口5个;由于我们一般只使用pptp,使用l2tp比较麻烦需要证书,所以第6个用户就无法连入;如果当初选第三项vpn服务器,默认vpn端口数为:pptp端口128个,l2tp5端口128个,第129个用户就无法连入。
解决办法很简单:vpn端口不像普通远程访问(ras)端口那样受物理端口的限制,它的端口数可任意设置。在rras/端口/右键/属性/pptp/配置/指明最多端口数。
当然有时管理员可能会基于性能的考虑,不想让太多的用户并发(同时)连接到vpn服务器上,也可以设置适应的值,当重要用户上不来时,把某用户踢下线去。方法:在rras/远程访问客户端/拨入用户名上,可以查看连接时间、状态、发消息给他或所有人、断开(踢下)等。在rras/端口下也可以踢下,看状态。
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
