VPN服务器配置教程.doc

在众多实现远程办公的方法中，使用VPN技术应该是一种安全高效的方法。借助VPN技术，企业外出办公人员可以随时连接到企业的VPN服务器，进而连接到企业内部网络。然而遗憾的是，由于资金方面的限制，基于硬件的VPN解决方案并不能被小企业或一般用户所接受。不过借助Windows 2000/2003系统的“路由和远程访问”服务，用户完全可以实现基于软件的VPN。VPN（Virtual Private Network）即虚拟专用网络，它通过一个公用网络（如Internet）建立一个临时的、安全的、模拟的点对点连接。这是一条穿越公用网络的信息隧道，数据可以通过这条隧道在公用网络中安全地传输。因此用户也可形象地称之为“网络中的网络”。而保证数据安全传输的关键就在于VPN使用了隧道协议，目前常用的隧道协议有PPTP、L2TP和IPSec，如图7-217所示。           图7-217 VPN网络示意图        VPN的适用范围非常广泛，如企业原有专线网络的带宽升级；企业远程用户需要实现远程访问的情况；对通信线路的保密性和可用性要求较高的用户（如证券、保险企业）；企业原有专线网络连接的备份；等等。组建VPN有多种方法，而用户的讨论则是基于Windows Server 2003（SP1）提供的“路由和远程访问”服务的。利用该服务，用户可以在企业内部搭建VPN服务器，然后通过企业外部客户端的VPN拨号连接对企业内部网进行访问。下面的操作环境基于运行Windows Server 2003（SP1）系统、通过ADSL接入Internet的服务器环境和运行Windows XP（SP2）系统、通过ADSL接入Internet的客户端，连接方式为客户端通过Internet与服务器建立VPN连接。1. 配置VPN服务器    Windows Server 2003（SP1）的“路由和远程访问”服务默认已经安装好，但需要对该服务进行必要的配置才能使其内置的VPN服务生效，操作步骤如下所述：Step1 在开始菜单中依次单击【管理工具】【路由和远程访问】菜单项，打开“路由和远程访问”窗口。在左窗格中右键单击服务器名称，选择【配置并启用路由和远程访问】命令，如图7-218所示。    图7-218 路由和远程访问窗口    Step2 打开“路由和远程访问服务器安装向导”对话框，在欢迎对话框中直接单击【下一步】按钮。在打开的“配置”对话框中选中【自定义配置】单选钮，并单击【下一步】按钮，如图7-219所示。  图7-219 选中【自定义配置】单选钮    Step3 在打开的“自定义配置”对话框中，选中【VPN访问】复选框，并依次单击【下一步】按钮，如图7-220所示。  Step4 打开正在完成对话框，单击【完成】按钮。在随后打开的“路由和远程访问”对话框中直接单击【是】按钮即可，如图7-221所示。              图7-221 “路由和远程访问”对话框    Step5 几秒钟后VPN服务即可成功启动。在左窗格中右键单击服务器名称（如jinshouzhi），选择【属性】命令。在“jinshouzhi（本地）属性”对话框中切换到【IP】选项卡，然后在“IP地址指派”区域中选中【静态地址池】单选钮，并单击【添加】按钮，如图7-222所示。  图7-222 选中【静态地址池】单选钮    Step6 打开“新建地址范围”对话框，在【起始IP地址】和【结束IP地址】编辑框中分别输入起止IP地址，并依次单击【确定】【确定】按钮使设置生效，如图7-223所示。  图7-223 “新建地址范围”对话框    提示：使用静态IP地址池为客户端分配IP地址可以减少IP地址解析时间，提高连接速度。起始IP地址和结束IP地址可以自定义一段IP地址（如192.168.0.10至192.168.0.50）。如果这台主机已经配置了DHCP服务，也可以选择【动态主机配置协议（DHCP）】选项，不过这会延长连接时间。    Step7 返回“jinshouzhi（本地）属性”对话框，单击【确定】按钮完成初步配置操作。提示：如果服务器端有固定的IP地址，则客户端随时可以与服务器建立VPN连接。而如果服务器采用ADSL虚拟拨号方式接入Internet，则需要在每次更改IP地址后通知客户端，或者申请动态域名解析服务2. 赋予用户远程连接的权限    出于安全考虑，VPN服务器配置完成以后所有用户均被拒绝拨入到服务上。因此需要为指定用户赋予拨入权限，操作步骤如下所述：    Step1 在VPN服务器中右键单击【我的电脑】图标，选择【管理】命令。    Step2 打开“计算机管理”窗口，在左窗格中展开“本地用户和组”目录，并选中【用户】文件夹。在右窗格中右键单击指定的用户名称（如ithanjiang），选择【属性】命令，如图7-224所示。          图7-224 “计算机管理”窗口    Step3 在打开的“ithanjiang属性”对话框中切换到【拨入】选项卡。然后在“远程访问权限”区域选中【允许访问】单选钮，并单击【确定】按钮，如图7-225所示。  图7-225 【拨入】选项卡提示：为便于读者理解，这里选中了【允许访问】单选钮。其实这是安全性最差的拨入方式，建议用户选中【通过远程访问策略控制访问】单选钮，这需要在服务器中定制远程访问策略。完成VPN服务器的配置操作，并赋予特定用户远程连接VPN服务器的权限以后，还需要在客户端计算机中创建VPN连接并拨入VPN服务器，才能实现对企业内部网络的访问。1. 在客户端创建VPN连接    客户端的配置比较简单，只需建立一个VPN的专用连接即可。假设客户端已经建立了一个接入Internet的ADSL连接，以Windows XP（SP2）系统为例，创建VPN连接的步骤如下所述：    Step1 在桌面上右键单击【网上邻居】图标，选择【属性】命令，打开“网络连接”窗口。在左窗格中单击【创建一个新的连接】按钮，打开“新建连接向导”。在欢迎页中单击【下一步】按钮，如图7-226所示。         图7-226 单击【创建一个新的连接】按钮    提示：如果是第一次建立连接，系统会要求你输入所在地区的电话区号。如果在建立VPN连接前已经建立了其他连接（如ADSL接入Internet的连接）则不会出现该提示。    Step2 打开“网络连接类型”对话框，选中【连接到我的工作场所的网络】单选钮，并单击【下一步】按钮，如图7-227所示。  图7-227 “网络连接类型”对话框    Step3 在打开的“网络连接”对话框中选中【虚拟专用网络连接】单选钮并单击【下一步】按钮，如图7-228所示。  图7-228 选中【虚拟专用网络连接】单选钮Step4 打开“连接名”对话框，在【公司名】编辑框中输入一个连接名称（如“企业VPN连接”），单击【下一步】按钮，如图7-229所示。              图7-229 “连接名”对话框    Step5 在打开的“公用网络”对话框中选中【自动拨此初始连接】单选钮，并在下拉菜单中选中一个拨号连接（如ADSL），然后单击【下一步】按钮，如图7-230所示。  图7-230 “公用网络”对话框    Step6 打开“VPN服务器选择”对话框，在【主机名或IP地址】编辑框中输入VPN服务器端的IP地址或域名。这就用到了用户在配置VPN服务器时所提到的固定IP地址或动态域名。本例输入固定IP地址，并单击【下一步】按钮，如图7-231所示。  图7-231 “VPN服务器选择”对话框    Step7 在打开的完成创建对话框中选中【在桌面上创建此连接的快捷方式】复选框，并选择【完成】按钮。这时可能会提示用户是否连接到初始连接上，选中【不再显示此提示】复选框，并单击【否】按钮即可。    提示：为了避免出现成功连接VPN服务器后客户端不能访问Internet的问题，用户还需要对刚刚创建的“企业VPN连接”做简单的配置。在“网络连接”窗口中右键单击【企业VPN连接】图标，选择【属性】命令。在打开的“VPN连接属性”对话框中切换至【网络】选项卡，然后选中【Internet协议（TCP/IP）】选项，并依次单击【属性】【高级】按钮。在“高级TCP/IP设置”对话框的【常规】选项卡中取消选中【在远程网络上使用默认网关】复选框，如图7-232所示。  图7-232 “高级TCP/IP设置”对话框2. 拨入VPN服务器    至此，用户已经具备了在VPN服务器和客户端建立VPN连接的条件了。但是如何从客户端拨入VPN服务器呢？其实很简单，直接双击桌面上的【企业VPN连接】图标，系统会要求先通过初始连接（输入该连接的用户名和密码）接入Internet。然后再通过VPN连接（输入被赋予拨入权限的用户名和密码）与VPN服务器建立连接，如图7-233所示。          图7-233 输入远程访问用户名和密码    成功建立VPN连接以后，用户可以通过双击桌面右下角的VPN连接图标查看其状态，如图7-234所示。  图7-234 VPN连接状态    那么如何访问VPN服务器上的共享资源呢，有两种方法：一是通过“网上邻居”直接访问共享资源，二是通过UNC路径访问，即在地址栏中输入“服务器名”或“服务器地址”（如hanjiangit或221.192.182.56），通过浏览器窗口访问共享资源，如图7-235所示。  图7-235 通过UNC路径访问共享资源    提示：在成功建立VPN连接后可能会出现客户端和服务端的“网上邻居”窗口中无法找到对方的问题，这时应该检查两者是否均安装了NetBEUI协议。如果没有应该马上安装，一般情况下可以解决该问题。如果客户端在访问服务器端的共享资源的时候可能会出现长时间的搜索过程。如果迟迟找不到服务器，可以使用“搜索计算机”进行搜索。如果VPN服务器端同时又作为局域网内的一台主机，用户还可以让VPN客户端进一步访问局域网内的其他主机。这需要VPN服务端开启了路由器功能并启用了IP路由，不过在VPN服务器配置完成后这些功能都是默认启用的。通过设置“远程访问策略”，用户可以对VPN服务器进行简单管理。如，如果VPN服务器对客户端的访问时段有所限制，则可以定制VPN服务的开放时段，操作步骤如下所述：    Step1 打开“路由和远程访问”窗口，在左窗格中展开本地计算机目录。右键单击【远程访问策略】选项，选择【新建远程访问策略】命令，如图7-236所示。             图7-236 选择“新建远程访问策略”命令    Step2 打开“新建远程访问策略向导”，在欢迎对话框中单击【下一步】按钮。在打开的“策略配置方法”对话框中选中【设置自定义策略】单选钮，然后在【策略名】编辑框中输入策略名称（如“允许拨入时段”），并单击【下一步】按钮，如图7-237所示。  图7-237 “策略配置方法”对话框    Step3 在打开的“策略状况”对话框中单击【添加】按钮，打开“选择属性”对话框。在“属性类型”列表中选中【Day-And-Time-Restrictions】选项，并单击【添加】按钮，如图7-238所示。  图7-238 “选择属性”对话框    Step4 打开“时间限制”对话框，在时间区域选中允许访问的时间段。然后选中【允许】单选钮，并单击【确定】按钮，如图7-239所示。  图7-239 “时间限制”对话框Step5 返回“策略状况”对话框，这时在“策略状况”列表中可以看到刚刚添加的策略。单击【下一步】按钮，如图7-240所示。              图7-240 “策略状况”对话框    Step6 打开“权限”对话框，在此处可以设置当一个连接请求匹配添加的策略时服务器的动作。选中【授予远程访问权限】单选钮，并依次单击【下一步】【下一步】【完成】按钮完成配置，如图7-241所示。  图7-241 “权限”对话框    Step7 要想使这些策略生效，需要在赋予用户远程连接权限的时候选中【通过远程访问策略控制访问】单选钮，如图7-242所示。  图7-242 选中【通过远程访问策略控制访问】单选钮    经过上述设置，如果指定用户在允许拨入时段以外的时间长时拨入VPN服务器，将被VPN服务器拒绝拨入，如图7-243所示。  图7-243 拒绝拨入VPN服务器    提示：在客户端和服务端均为ADSL接入Internet的环境下，用户可以轻松建立VPN连接。如果网络环境比较复杂，如小区宽带接入Internet的客户端访问ADSL接入Internet的服务端、采用Cable Modem接入Internet的客户端访问ADSL接入Internet的服务端、ADSL接入Internet的客户端访问小区宽带接入Internet的服务端等等，则还需要作进一步的配置才能实现连接。VPN常见问题原因与解决  VPN服务器什么地方可能出现故障当客户端与某个ISP建立连接时（这种连接使用VPN连接中的点对点协议-PPP-部分），ISP将为客户端分配一个IP地址、一个DNS服务器地址以及一个缺省网关。当客户端发起一个PPTP连接时，这项操作将创建第二个TCP/IP会话（这个会话是VPN连接的隧道部分），并将其嵌入到用以提供数据包加密与封装功能的第一个会话内部。当客户端连接成功后，VPN服务器将为客户端分配第二个IP地址、第二个DNS服务器地址、可选WINS服务器以及另一个缺省网关。因此在连接中的每一条链接上，均有可能出现故障。1.多宿主服务器：如果的PPTP服务器配备了两块网卡，一块针对LAN，一块针对WAN，那么，请将LAN适配器上的网关设置为空（请注意，这里要求设置为空而非设置为0）。在WAN网络接口的网关字段中输入ISP所定义的IP地址；网关地址通常指向ISP所属的一台路由器。需要保持LAN网关设置为空，以便使服务器能够将网络数据包路由至客户端。当为服务器配置多个网络适配器时，保持LAN网关设置为空是一种标准实现方式。在测试过程中，建议手工输入LAN NIC的IP地址与WINS服务器地址（而不要通过DHCP为其分配）。 2.RAS：当安装RAS时，请仅为那些真正需要提供支持的活动客户端连接配置必要数量的VPN端口。如果将RAS配置为从静态地址池中分配客户端地址，那么，客户端将从RAS服务器继承DNS与WINS设置。如果的RAS服务器能够浏览网络，那么，客户端同样可以利用相同的设置来浏览网络。 3.使用DHCP，请确保DHCP“范围选项44”（WINS/NetBIOS名称服务器）指向WINS服务器且“范围选项6”显示的DNS服务器地址。如果未能定义这些选项，那么几乎肯定会在客户端浏览过程中遇到问题。 4.启用PPTP过滤功能：如果在具备高度安全性的环境中运行服务器，便可以放心的将服务器置于防火墙外部并将允许进入的唯一VPN通信内容限制为PPTP数据包。从控制面板中启用PPTP过滤功能，请依次选择“网络”、“协议”、“TCP/IP协议”、“WAN适配器”、“高级”，并选中“启用PPTP过滤功能”复选框。当启用PPTP过滤器后，服务器拒绝所有非PPTP请求。PPTP过滤功能具有一个重要的副作用：当启用过滤功能后，由于其阻挡了进入的HTTP与FTP通信内容，LAN客户端将无法通过RAS服务器的WAN连接对Internet进行浏览。 5.使用防火墙：请首先确认的防火墙软件能够接收PPTP数据包。防火墙在某些情况下可能无法接受PPTP连接。这种情况下，尝试与RAS服务器建立连接的客户端将报出事件编号为721的错误消息-PPP远端未能响应。所以当将VPN服务器置于防火墙后方时，请确保启用IP协议端口47（通用路由封装-GRE）和TCP端口1723。VPN连接使用1723端口完成诸如PPTP隧道创建、维护与终止之类的日常管理工作。47端口则用于在客户端与服务器（包含GRE协议）之间传送隧道数据。 6.在尝试与VPN客户端建立连接之前，首先确保RAS服务器能够执行所有典型网络操作（例如浏览LAN、连接LAN资源、连接Internet或浏览Internet等）。此后，请针对的测试帐号的启用拨号权限。另外，可能还需要在最初测试过程中启用PPP日志功能。  VPN客户端什么地方可能出现故障为确保操作成功，PPTP客户端必须正确维护两套TCP/IP协议栈设置：其中一套面向于ISP与Internet连接，另一套面向于VPN服务器连接。客户端路由表同样必须包含两条记录：其中一条负责将网络数据包定向至提供Internet浏览服务的ISP，另一条指向用于实现LAN浏览的VPN服务器接口。当协议栈设置不正确时，客户端将会遇到严重问题。通常情况下，T客户端维护独立的TCP/IP协议栈设置，然而，当同时配备网卡和调制解调器时，Windows客户端则会经常出现协议栈设置问题。在建立PPTP连接后，Windows缺省网关可能仍旧指向ISP，从而使客户端无法成功浏览LAN。常见的客户端连接问题。 -客户端无法连接PPTP服务器：1.尽可能指定IP ,而不是使用DHCP自动分配2.配置正确的DNS SERVER地址 3.关闭PPTP过滤功能  命令:Net Stop RASPPTPF 4.开启IP协议端口47（通用路由封装-GRE）和TCP端口1723-客户端能够连接但无法登录1.确保是使用有效的用户帐号2.确保用户帐号具备拨入权限 3.协商客户端身份验证方式 RAS服务器可以通过三种不同身份验证协议对PPTP用户进行身份验证。客户端与服务器通过协商方式确定的登录身份验证协议取决于在配置服务器进入端口与客户端PPTP连接网络设置时所选择的加密设置。按照由低到高的安全性顺序，这三种协议分别是PAP、CHAP和MSCHAP。PAP:通过明文方式实现的口令身份验证协议CHAP:通过加密与Hash算法实现的质询式握手身份验证协议MSCHAP:通过加密和带有校验和的双重Hash算法实现的Microsoft质询式握手身份验证协议从系统的安全日志分析出错原因1.启用组策略的审核策略并再次尝试建立连接。2.查看事件查看器安全日志中所存储的记录时，就能够获得相关障碍的清晰描述信息。可以看到用户名称是否合法，口令是否错误或者已经过期，计算机是否缺少一个合法帐号以及是否不存在可用VPN端口。当用户能够成功登录后，应用程序事件日志将记录登录的日期与时间。此外,用户注销时间和会话持续时间也会被记录。 -客户端能够登录但无法浏览LAN1.请确保已在所有Windows客户端上将工作组设置为目标NT域的名称2.客户端TCP/IP设置 面向VPN会话的TCP/IP设置将采用与面向LAN连接的TCP/IP设置相同的方式运行。先理解四种TCP/IP设置如何对网络连接与浏览方式产生影响：  DNS服务器: 能够将域名转换为相应的IP地址。  WINS服务器: 能够将NetBIOS名称转换为相应的IP地址。 DHCP服务器: 至少能够为LAN客户端分配IP地址并在连接时为RAS客户端分配IP地址。      可以分配的范围选项还包括域名、缺省网关、DNS服务器以及WINS服务器等。  缺省网关：能够在数据传输目标为本地子网以外的系统时将数据发送至一台特定计算机或路由器。3.使用route命令添加静态路由!4.安装NetBEUI协议5.使用net use 命令  如net use z: myservermyshare  通过手工方式与共享资源建立连接是一种访问文件及打印机的良好工作机制。 -已经建立连接的客户端无法浏览Internet当出现这种问题时，尽管VPN会话处于活动状态，但客户端却无法浏览Internet。导致这种问题的常见原因有两种:1.当远程客户端具备网络连接时，VPN服务器可能不允许远程客户端访问Internet。而当关闭VPN连接后，由于缺省网关恢复为ISP所定义的网关，因此，客户端将能够浏览Internet。2.当客户端处于连接状态时，Windows可能会使用VPN服务器所定义的网关来覆盖ISP网关，从而切  断客户端访问Internet的路径。解决:通过手工方式添加静态路由记录（首先尝试VPN网关，其次尝试ISP网关