|
虚拟专用网络(VPN-virtual private network)在VPN客户机与VPN网关之间创建一个加密的、虚拟的点对点连接,保障经过Internet部分的安全性。
比如公司人员出差到外地或在家中,需要访问公司企业网资源。如果直接拨入的话,经过Internet这部分的安全性无法保证,未加密的数据包很容易被人监听或利用网络嗅探器捕获。再者如果用户出差到外地,直接拨入到公司网络,上网费花的是长途话费。如果使用VPN,可以先拨到当时的ISP,通过Internet再到公司的企业网,这样上网费花的是市话费。这就是VPN的两个功能,当然我们一般更关心前者。
实现VPN,可以通过硬件,也可以利用Windows 2000 Server的RRAS实现VPN服务器,这就是本文要讨论的。
一、 VPN服务器端配置
要求:一台2000S/AS,是否域成员均可实现,但细节上有差别,后面讨论。两块网卡,一块连Internet,一块连公司企业内部网(Intranet)。
操作:
1、 开始/程序/管理工具/路由和远程访问/计算机名上右键/配置并启用路由和远程访问。
2、 将启动向导,下一步/第三项:虚拟专用网络(VPN)服务器。
说明:如果选第三项VPN服务器,那么它仅仅只接受VPN用户连入,默认VPN端口数为:PPTP端口128个,L2TP端口128个。而且需要说明的是:即使当VPN用户拨通VPN服务器后,已经可以通过VPN网关访问企业内部网资源了,但这时远程VPN用户Ping VPN服务器的对外网卡,仍是不通的,因为它这时已经是隧道的一部分了。但内网用户Ping VPN服务器的对外网卡是通的。
如果想使VPN服务器既接受VPN客户连入,也接受非VPN客户(即普通用户)连入,这时可选第二项:远程访问服务器,默认VPN端口数为:PPTP端口5个,L2TP5端口5个;也可以选第五项:手动配置服务器。这时的现象是远程的VPN用户可以Ping通VPN服务器的对外网卡。
3、 协议:TCP/IP等。
说明:协议一般必须保证有TCP/IP,如果需要其它协议也可以添加上,但用户端也必须有相应协议才能拨通。
4、 Internet连接:对外网卡
5、 内部网络:对内网卡
注意:对外,对内网卡看清楚,切不可选错。
6、 远程客户IP分配:自动或来自一个指定的地址范围
说明:网络中若有可用的DHCP服务器,选自动。如果没有,手动指定一个内部网的合法IP地址段(注意不要冲突)即可。至少2个,因为一个分配给远程VPN用户,VPN服务器对外的虚拟PPP/SLIP网卡还需要一个内部IP。
7、 是否使用RADIUS服务器:否
说明:如果不需要统一的验证、不需要记录用户上网情况进行收费,不必使用。
若要使用RADIUS(IAS服务器)验证,必须结合域,注意:应以域管理员身份配置IAS,并且在IAS上右键/在AD中注册服务,否则需要手动在AD用户和计算机的“RAS and IAS Servers”组成员中添加IAS服务器的计算机帐号。
8、 完成
9、 要求配置DHCP中继代理
说明:只有在第6步选自动,且DHCP服务器与VPN服务器不在同一网段,才需要配置DHCP中继代理:指明DHCP服务器的IP。
二、设置用户拨入权限
1、如果VPN服务器不在域中,只能让远程VPN用户利用VPN服务器的本地帐号拨入。在VPN服务器上操作如下:
我的电脑/右键/管理/创建本地帐号/属性/拨入/允许访问
2、如果VPN服务器在域中,还可让远程VPN用户利用域帐户拨入,在AD用户和计算机中设置,简单设置方法同上。复杂设置:可利用远程访问策略,需要考虑域是本机模式还是混合模式,这里就不详细说了。
注意:应以域管理员身份配置RRAS,否则需要手动在AD用户和计算机的“RAS and IAS Servers”组成员中添加RRAS即VPN服务器的计算机帐号。
三、VPN客户端配置
操作如下:
1、 网上邻居/右键属性/新建连接/向导:下一步
2、 选第三项:通过Internet连接到专用网络(VPN)
3、 公用网络:不拨初始连接或自动拨此初始连接
说明:如果用户是拨号上Internet(Modem或ADSL),可设置自动拨此初始连接:到ISP的连接;如果是固定IP上网,选不拨初始连接。
4、 目标地址:VPN服务器对外网卡的IP
5、 所用用户或仅自己使用此连接
6、 是否启用此连接的ICS共享
说明:如果想ICS,上一步必须选所有用户使用此连接。
另外就是关于“虚拟专用连接”属性设置:
1、 如果企业内部网是多层域结构,需要指明登录的域,可在“虚拟专用连接”/属性/选项/选中:包含WINDOWS登录域
2、 如果需要指明拨入VPN服务器的类型(即所用VPN协议是PPTP、还是L2TP)可在可在“虚拟专用连接”/属性/网络/呼叫VPN服务器类型选择:自动、PPTP、L2TP。需要说明的是如果想使用L2TP,必须在服务器端和客户机上安装来自共同信任CA颁发的证书。否则会出现:错误781,由于没有找到有效的证书,加密尝试失败。
四、常见问题
1、 用户拨通后,如同企业网本地用户一样,只要他有权限,可以访问公司企业网内的所有资源。但可能速度会慢一些,因为企业内部网用户一般10Mbps或100Mbps甚至1000Mbps连接,也就是说慢一些是正常的。
2、 如果用户拨通后,只能访问VPN服务器,不能访问企业内部网其它服务器上的资源。应在“虚拟专用连接”/属性/网络/TCP/IP/高级/常规下,保证选中“在远程网络上使用默认网关”选项。
3、 如果用户拨通后,不能访问任何资源。这是由于VPN用户没有租到一个合法的企业内部网IP所致的,可在客户机上运行ipconfig /all,查看它的虚拟PPP/SLIP网卡的IP,如果是WIN2000及以上的系统,没租到IP,将会以一个自动的私有IP(APIPA)地址配置自己,形式如169.254.*.*。也可在“虚拟专用连接”/右键/状态/详细信息中查看。
4、 如果企业内部网是一个大型的路由式网络,只要VPN服务器的对内网卡上指明了正确的默认网关,远程VPN客户即可访问企业中与VPN服务器不在同一网段的计算机。
5、 用户拨入时出现:错误678,没有应答。这是由于VPN服务器上的RRAS未有效启动,应检查RRAS配置,或禁用后,重新配置。
6、 对于大型企业,可能会同时有许多远程VPN用户拨入。如果当初选第二项:远程访问服务器,默认VPN端口数为:PPTP端口5个,L2TP5端口5个;由于我们一般只使用PPTP,使用L2TP比较麻烦需要证书,所以第6个用户就无法连入;如果当初选第三项VPN服务器,默认VPN端口数为:PPTP端口128个,L2TP5端口128个,第129个用户就无法连入。
解决办法很简单:VPN端口不像普通远程访问(RAS)端口那样受物理端口的限制,它的端口数可任意设置。在RRAS/端口/右键/属性/PPTP/配置/指明最多端口数。
当然有时管理员可能会基于性能的考虑,不想让太多的用户并发(同时)连接到VPN服务器上,也可以设置适应的值,当重要用户上不来时,把某用户踢下线去。方法:在RRAS/远程访问客户端/拨入用户名上,可以查看连接时间、状态、发消息给他或所有人、断开(踢下)等。在RRAS/端口下也可以踢下,看状态。 ,
|
本类阅读TOP10