家里公司安全互访且看VPN的梦幻魔力完结篇教学教材.doc

《家里公司安全互访且看VPN的梦幻魔力完结篇教学教材.doc》由会员分享，可在线阅读，更多相关《家里公司安全互访且看VPN的梦幻魔力完结篇教学教材.doc（14页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Good is good, but better carries it.精益求精，善益求善。家里公司安全互访且看VPN的梦幻魔力完结篇-从客户端连接到VPN服务器1、新建有拨入权限的用户要登录到VPN服务器，必须要知道该服务器的一个有拨入权限的用户，为了讲得更明白，下面在该VPN服务器上新建个用户并赋予该用户拨入的权限，过程如图11至图12是建立一个用户，图13是给这个用户远程登录的权限，一定要在远程访问权限处选择允许访问，不然就无法登录了。图11图12图13图142、在本机测试连接在远程连接到VPN代理软件之前，最好先在VPN服务器的本机测试一下，测试过程如下：鼠标右键网上邻居，如图14，点

2、击新建连接向导，按图15至图21的步骤建立连接，因为现在做的是本机的测试，所以其中图18中的IP地址为本机的地址，图21中的用户dzq就是我们刚才新建的用户。出现图22的连接图标表示连接成功。这样就可以进行远程连接测试了。如果此时用ipconfig/all看网卡状态，就会看见三个网卡，其中一个IP地址为192.168.0.2的就是本机网卡，另外两个是刚才做本机测试时建立的，它们的IP地址为169.x.xx.xxx.xxx，这是VPN默认的IP地址，是正常的，不用管它。图15图16图17图18图19图20图21图22图233、远程连接前准备在远程连接之前要做好两个准备。第一要获得免费VPN服务器

3、接入Internet的公共IP地址，如果是分配的静态IP，那就简单了，如果是动态IP，那必须在远程能随时获得这个IP地址，阿三的情况，如图1，192.168.0.2这台机器的公网IP实际上就是ADSL猫接入Internet时，是ISP给自动分配的。第二要做个端口映射，从图1的拓扑可以看出，阿三的情况是通作在ADSL猫中通过NAT转换接入Internet的，通过这种方式一定要在ADSL中作端口映射，由于windows2003的VNP服务用的是1723端口，所以如图23，将1723端口映射到192.168.0.2这台设有VPN服务的机器。如果用的是直接拨号，那在防火墙中将这个端口放开就行了。图24

4、4、远程连接上面的服务器中的测试完成后，就可以在家中进行远程连接了，其过程和在本机连接测试的过程一样，如图14至图21所示，在实际连接时到图18这一步时，输入VPN服务器所在的公网IP就行了。实际应用中我是按照图1的拓扑连接的，连接很顺利，但遇到一个问题，在家通过VPN连入单位的机器后，和单位的机器通信完全正常，但不能正常上网。用routeprint检查路由（如下段所示）发现有两个到目标0.0.0.0的路由，网关一个是本来的网关192.168.1.1，一个是建立VPN后的网关169.254.101.219，这样在访问Internet网络时就有问题了。C:routeprint。ActiveRou

5、tes:NetworkDestinationNetmaskGatewayInterfaceMetric0.0.0.00.0.0.0169.254.101.219169.254.101.21910.0.0.00.0.0.0192.168.1.1192.168.1.10261.55.13.163255.255.255.255192.168.1.1192.168.1.101127.0.0.0255.0.0.0127.0.0.1127.0.0.11169.254.101.219255.255.255.255127.0.0.1127.0.0.150169.254.255.255255.255.255.2

6、55169.254.101.219169.254.101.21950192.168.1.0255.255.255.0192.168.1.10192.168.1.1020192.168.1.10255.255.255.255127.0.0.1127.0.0.120192.168.1.255255.255.255.255192.168.1.10192.168.1.1020224.0.0.0240.0.0.0192.168.1.10192.168.1.1020224.0.0.0240.0.0.0169.254.101.219169.254.101.2191255.255.255.255255.255

7、.255.255192.168.1.10192.168.1.101DefaultGateway:169.254.101.219=PersistentRoutes:None解决的办法：删除接入VPN后的路由，命令如下所示：C:routedelete0.0.0.0mask0.0.0.0169.254.101.219加一条指向VPN服务器所在网络的路由，阿三的情况中（如图1）VPN服务器的地址为192.168.0.2,所以只要将到192.168.0.0这个网络的指向VPN的地址169.254.101.219就行了。C:routeadd192.168.0.0mask255.255.255.0169.2

8、54.101.2195、几点说明1）、建立完VPN连接后，两台电脑的VPN的IP地址都是169.0.0.0中的地址，好像不能修改，但这并不影响使用，如图1建立连接后，在192.168.1.10这台电脑中ping192.168.0.2是通的，也就是说要访问这台机器的资源，只要用192.168.0.2这个地址就行了。就像在局域网中一样。2）、做为VPN服务器的这台机器的安全设置，如果没有特殊需要很多服务完全可以限制在局域网内，例如FTP服务只允许192.168.0.0网内的电脑访问。这样只要把VPN的安全做好就行了。换句话说，以阿三的情况来说，192.168.0.2这台机器访问Internet时是

9、通过NAT地址转换，如果在ADSL猫中不做端口映射，从Internet的其它电脑上是看不到这台机器的，本例只做了VPN服务的1723端口的映射，虽然本机开了很多的服务，开放了很多端口，但这些都是对局域网开放的，要想从Internet访问这台机器，只有先建立了VPN才能访问其它的资源。只做一个服务的安全总比做许多服务的安全要容易些。VPN服务器有许多安全设置，以后再探讨。3）、建立完VPN连接后，可以通过WWW、FTP互相访问，也可通过终端服务等登录到这台机器上，进而访问局域网中的其它电脑。图24就是192.168.1.10在建立完VPN后直接利用远程桌面连接，登录到192.168.0.2的机器上的登录界面。-