内网 PPTP 搭建测试

easy

这里构建 PPTP VPN 环境描述如下：

一个域控制器，域名为 groad.net，同时该域控制器上也装有 DNS 服务器，DHCP 服务器，WINS 服务器。该台域控制器的 IP 为 192.168.2.1 。

一台 VPN 服务器，有两张网卡, 一张内网卡上 IP 为 192.168.2.11，另一张外网卡上 IP 设为 192.168.1.211 ，该台服务器已经加入 groad.net 域中。

域控制器，其 Active Directory 数据库内存储着与用户账户，VPN 客户端的用户将利用域用户账户来连接 VPN 服务器。

DHCP 服务器，用来分配 IP 地址与 DHCP 选项设置给 VPN 客户端。

WINS 服务器，让 VPN 客户端可以利用 NetBIOS 计算机名来与内部计算机通信。

DNS 服务器，用来支持 Active Directory，还有对内部客户端与 VPN 客户端提供 DNS 名称解析服务。

关于域控制器，DNS 服务器，DHCP 服务器，WINS 服务器的安装和设置细节在此不赘述，请参考版内的相关帖子或其它资料。

为了方便起见，现在在两台机器上都将防火墙关闭。

在 Windows Server 2008 R2 上是由 “路由和远程访问服务”(RRAS)来提供 VPN 服务器的功能；在该服务启动时，它会先向 DHCP 服务器租用 10 个 IP 地址，当客户端连接进来时，就从这 10 个 IP 地址中分配一个给客户端，如这 10 个地址都用完的话，它再向 DHCP 服务器租用 10 个 IP。也可以在 VPN 服务器上修改下面的注册表项来更改每次租用 IP 地址的数量：

1. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Parameters\Ip\InitialAddressPoolSize

复制代码

如果没有该注册值，则自行添加，数据类型为 REG_DWORD 。

“路由和远程访问服务” 向 DHCP 服务器租用 IP 时，不会获得 DHCP 选项设置，除非 VPN 服务器本身也扮演 DHCP 中继代理的角色。


VPN 客户端可以使用 VPN 服务器的本地用户账户来连接：


1. 如果使用 VPN 服务器的本地用户账户，那么就直接由 VPN 服务器通过其本地安全数据库来验证（用户名与密码）。


2. 如果使用 Active Directory 用户账户，如果 VPN 服务器也已经加入了域，则 VPN 服务器会通过域控制器的 Active Directory 数据库来验证用户；若 VPN 服务器还没有加入域，就需要通过 RADIUS 机制来验证了。下面要展示的是将 VPN 服务器加入域，而没有 RADIUS 的情况。


安装设置开始：

1. 先安装路由远程访问服务。添加 “网络策略和访问服务” 角色：



勾选 “路由和远程访问服务”：



完成后，在 “服务器管理器” 里，右击 “网络策略和访问服务” 底下的 “路由和远程访问” ，在弹出菜单中选择 “配置并启用路由和远程访问”：



选择 “远程访问”，然后点 “下一步”：


上图中，如果你同时也要让内部客户端可以通过 VPN 服务器上网的话，可以选择 “虚拟专用网络(VPN)访问和 NAT”。


勾选 “VPN” ：



选择连接到 Internet 的网络接口：


在上图中，我们看到默认勾选使用了 “静态数据包筛选器”，这样就只让此网络接口只接受与 VPN 有关的数据包，其它类型的数据包不会被通过。因此如果计算机如果还要扮演 NAT 服务器等其它角色，建议取消该选项。


选择 “自动” 分配 IP 地址：


上图中，选择 “自动” 方式，VPN 服务器会先向 DHCP 服务器租用 IP 地址来分配给客户端。如果 VPN 服务器无法得到 DHCP 服务器的分配，那么 VPN 客户端得到的将是 169.254.x.x 这样的 IP 地址，这样就不能通过此 IP 来与内部计算机通讯。



选择 “否，使用路由和远程访问来对连接请求进行身份验证” ，然后单击 “下一步” 以完成配置：



在即将完成安装时，可能会看到弹出一个警告框：

要支持对来自远程访问客户端的 DHCP 消息的中继，您必须用您的 DHCP 服务器的 IP 地址配置 DHCP 中继代理程序的属性。单击 “帮助” 以获得更多信息。

这里点击 “确定” 按钮即可。

这个的意思是，安装程序要顺便将 VPN 服务器设置为 DHCP 中继代理。这也就是提醒我们还要在安装完成后，需要在 “中继代理” 里指定 DHCP 服务器的 IP 地址，以便将 DHCP 选项设置的请求转发给 DHCP 服务器。

在 “DHCP 中继代理” 里指定 DHCP 服务器如下图所示：





剩下最后一项工作是赋予用户远程访问的权限。系统在默认情况下是不允许所有用户连接 VPN 服务器的，下面我们登陆到域控制器上，设置让 Administrator 这个用户具有远程连接的权限，方法是：开始 ---> 管理工具 ---> Active Directory 用户和计算机 ---> 单击 "Users" 容器 ---> 双击用户 "Administrator" ---> 切换到 “拨入” 标签，然后点选 “允许访问” ，如下图所示：


如果是要开放让用户利用 VPN 服务器本地用户账户来连接的话，那么就在 VPN 服务器上通过在 “计算机管理” --->“系统工具” ---> “本地用户和组” 里设置。



现在设置客户端来连接 VPN 服务器，检查服务器的设置是否生效，客户端系统以 Windows 7 为例。打开控制面板中的 “网络和共享中心”，然后 “更改网络设置”下面的 “设置新的连接或网络”：




然后选择 “连接到工作区”：




然后点击 “使用我的 Internet” 连接(VPN)” ：




输入 IP 地址和目标名称，可以勾选 “现在不连接；仅进行设置以便稍后连接”：




输入用户名和密码：




实际上，到了这里，尝试连接一下，也是可以接入 VPN 的：


从上图可以看到，已经获得了 192.168.2.0 网段的 IP 了，亦可以做一下网络共享的实验，以进一步验证连入的成功；或者是在断开 VPN 连接后，再 ping 一下 192.168.2.0 网段中主机的 IP ，如果 ping 不通，那么也可以证明拨入是成功的。

连入后的网络连接状态：