Windows这个操蛋的系统,屁事很多的,按照我这样搭,并不是最最最最完整详细的,但是日常生活最简便快捷稳定可用的。
虽然对VPN协议我没有太多的研究,不过一个内网环境的机器搭成VPN让外网的机器去拨入,恐怕还实现不了吧。所以嘛,先决条件是外网机器且能开端口。
像一些大学,整段整段ip都是他们的,可是呢,出入口网关给封死了,机器分配到外网端口也连不上,这种机器也直接pass,外网能开端口才能拨入。
其次的条件就是网络环境,带宽足,流量够,等等。
说句题外话,好的机器就像好的妹子,遇到了就要珍惜,当年一台高配韩国机器,带宽足还稳定,每个晚上10G的流量,搞得站长都快吐血,天天重装系统,最后关服务器关站了。
Windows自带VPN技能,要想开启,首先要把一些该关的服务关掉,该开的服务开开。
该关掉的服务是ICS服务,其服务名:SharedAccess
,在Windows服务列表中的全称是:Windows Firewall/Internet Connection Sharing (ICS)
,其描述是:
为家庭或小型办公网络提供网络地址转换,定址以及名称解析和/或防止入侵服务。
该开启的服务器是工作站服务,其服务名:lanmanworkstation
,在Windows服务列表中的全称是:Workstation
,其描述是:
创建和维护到远程服务的客户端网络连接。如果服务停止,这些连接将不可用。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。
需要注意的是,有些2K8 R2关闭了这个防火墙服务,立马就傻逼了,3389直接断,各种连不上,所以用2K8的时候,如果没提示必须关闭,先不要关。
至于workstation,有些自觉得有点水平的管理员可能会选择关闭,如果不开启这个服务,可能会无法验证身份拨入。
VPN服务无论是2K3还是08 R2,基本上都是差不多的。先看一下大体流程。
开始菜单 –> 程序 –> 管理工具 –> 路由和远程访问
有一些管理员可能会将在这个组件删掉,没关系,随便找台机器拷贝个rrasmgmt.msc
过去就行了,而且不一定非要放到system32目录,放到桌面也可以开。
开始创建的时候选择自定义或者选择第一个都可以,我这里习惯性的选择了自定义,Windows的尿性是你不自定义他就给你各种不自在,这与是否配置VPN无关。
这里嘛,其实我选择的是只有VPN,没有NAT防火墙,这个选择相信也是大多数人的选择,我后面会讲问题出在哪里。
开启服务以后,就开始VPN的设置了。第一个设置在右键属性。
这里需要配置的是ip分配。在ip v4那一个选项卡,指派静态的ip地址,按个人爱好吧,如果限制人数,自己划分。
有的人喜欢用192.168,像我。有的人喜欢用10.x,还有的人。。。就不说了了,自己分配。连的人超过这个数量,就连不上了。
再后面有个记录选项卡, 选择记录或者不记录都无所谓。
这个时候虽然完成了配置,开启了服务,但是大多数机器只到这一步还不行。通常是可以连接上,但是无Internet访问。
服务端没有配置NAT防火墙就可能会出现这种情况。
在IPv4那个上面右键选择新增路由通讯协议之后,我们把NAT防火墙加上去。之后就会看到IPv4下面出现了一个NAT的链接。
事实上呢,到这一步还不算完。。。因为NAT防火墙还需要配置。。。尼玛
在NAT上面右键鼠标,新增接口,然后会出现服务器上的网络连接信息,选择当前正在用的网卡(外网ip),把他加上去。
如果你不知道是哪个,把鼠标放在开始菜单栏闪闪着的正在活动的网络连接的图标上,就会有个气球窗告诉你是本地连接1,本地连接2,是哪个加哪个就可以了。
加上去以后,首先会有一个窗口让你设置,这里选择“连接到互联网”并且选中“启用NAT”,但是不要着急关闭,继续点开第3个选项卡。
将这里的VPN通道(PPTP)前面的选项卡打上对勾,在弹出来的窗口里面,把ip写为127.0.0.1,最后确认就可以了。
至此,服务器已经开启了PPTV服务,可以连接上去并以这台机器的身份上网了。
一切工作就绪,就差拨入了。那么拨入的账号和密码是什么呢?
在服务器上右键“我的电脑”,“管理”,找到用户管理窗口,右键你想使用的用户(不一定要是管理员,guest等都可以)
在拨入那个选项卡,将是否可以拨入VPN设置为“允许拨入”就可以了。
连接的时候登录名和密码和Windows中的登录名密码一致。
还是那句话,Windows的屁事多。Windows 8拨入自架VPN同样会出一些莫名其妙的错误。
在控制面板的网络共享中心,找到自己添加的VPN,右键属性。
在安全选项卡中,“允许使用以下协议
”中打上对勾,然后把微软的那个玩意给悬赏,确定就可以了。如果这样都连不上,那服务器挺奇葩的了。要果断换机器再搭了。
在确认可以成功连接 PPTP 并且可以正常访问网络后,拓展 L2TP 只需要额外增加 L2TP 验证密钥即可。
右键“路由和远程访问”-“属性”,点击“安全”选项卡,勾选“允许 L2TP/IKEv2 连接使用自定义 IPSec 策略(L)” ,并输入“预共享的密钥”,在客户端配置时使用这个“预共享的密钥”验证连接。
同时在 NAT 设置中勾选 L2TP 连接。
如果只配置了 VPN 但没配置 NAT 则可能导致客户端可以连接 VPN 但无法访问因特网的情况。
Silic.Org