Windows 2003單網(wǎng)卡實現(xiàn)VPN+NAT完整攻略
當(dāng)前位置:點晴教程→知識管理交流
→『 技術(shù)文檔交流 』
一、問題的提出 如圖1所示,在單位有個私有地址為192.168.0.0的網(wǎng)絡(luò),各電腦是通過ADSL共享方式接入Internet,在家中有臺電腦也通過ADSL訪問Internet,現(xiàn)在想在家中隨時安全地訪問單位192.168.0.2這臺機器,實現(xiàn)方法很多,最為安全的是通過VPN。 二、什么是VPN 以本例來說就是現(xiàn)在單位192.168.0.2這臺機器上設(shè)置好VPN服務(wù),在家中通過VPN客戶端訪問單位這臺機器,建立連接后,這兩臺機器通信時就像在局域網(wǎng)中一樣,比如:要在192.168.1.10這臺電腦中下載192.168.0.2這臺機器的文件(假設(shè)該機已設(shè)好FTP服務(wù)),可以直接在瀏覽器中鍵入:ftp://192.168.0.2下載文件了。雖然是通過Internet進(jìn)行通信,但整個過程都是加密的,就像是在Internet中穿了一條只有兩臺機器才能通過的隧道,這就是VPN( Virtual Private Networks )虛擬專用網(wǎng)。  圖1 三、優(yōu)點 通過VPN最大的優(yōu)點就是安全。這點將在后面介紹到。 四、設(shè)置VPN服務(wù) 實現(xiàn)VPN的方式非常多,用帶VPN功能的路由器或用Linux、windows操作系統(tǒng)等,在windows系統(tǒng)下用雙網(wǎng)卡建立VPN服務(wù)器更容易實現(xiàn)、但要增加一塊網(wǎng)卡。介紹這方面的內(nèi)容很多,不再贅述。本文介紹的是在windows 2003中用單網(wǎng)卡來實現(xiàn)。下面介紹實際實現(xiàn)過程,首先是在192.168.0.2這臺機器上配置VPN服務(wù)。 選擇"開始"'"所有程序"'"管理工具"'"路由和遠(yuǎn)程訪問"。 設(shè)置過程如圖2至圖9所示,出現(xiàn)圖10界面就完成了單網(wǎng)的VPN服務(wù)器端的設(shè)置,這里特別指出的是用單網(wǎng)卡一定要在圖6處選擇"自定義配置",否則就進(jìn)行不下去了。  圖2  圖3  圖4  圖5  圖6  圖7  圖8  圖9  圖10 五、從客戶端連接到VPN服務(wù)器 1、新建有撥入權(quán)限的用戶 要登錄到VPN服務(wù)器,必須要知道該服務(wù)器的一個有撥入權(quán)限的用戶,為了講得更明白,下面在該VPN服務(wù)器上新建個用戶并賦予該用戶撥入的權(quán)限,過程如圖11至圖12是建立一個用戶,圖13是給這個用戶遠(yuǎn)程登錄的權(quán)限,一定要在"遠(yuǎn)程訪問權(quán)限"處選擇"允許訪問",不然就無法登錄了。  圖11  圖12  圖13  圖14 2、在本機測試連接 在遠(yuǎn)程連接到VPN服務(wù)器之前,最好先在VPN服務(wù)器的本機測試一下,測試過程如下: 鼠標(biāo)右鍵"網(wǎng)上鄰居",如圖14,點擊"新建連接向?qū)?,按圖15至圖21的步驟建立連接,因為現(xiàn)在做的是本機的測試,所以其中圖18中的IP地址為本機的地址,圖21中的用戶dzq就是我們剛才新建的用戶。出現(xiàn)圖22的連接圖標(biāo)表示連接成功。這樣就可以進(jìn)行遠(yuǎn)程連接測試了。如果此時用ipconfig /all看網(wǎng)卡狀態(tài),就會看見三個網(wǎng)卡,其中一個IP地址為192.168.0.2的就是本機網(wǎng)卡,另外兩個是剛才做本機測試時建立的,它們的IP地址為169.x.xx . xxx .. xxx,這是VPN默認(rèn)的IP地址,是正常的,不用管它。  圖15  圖16  圖17  圖18  圖19  圖20  圖21  圖22  圖23 3、遠(yuǎn)程連接前準(zhǔn)備 在遠(yuǎn)程連接之前要做好兩個準(zhǔn)備。 第一要獲得VPN服務(wù)器接入Internet的公共IP地址,如果是分配的靜態(tài)IP,那就簡單了,如果是動態(tài)IP,那必須在遠(yuǎn)程能隨時獲得這個IP地址,本例如圖1,192.168.0.2這臺機器的公網(wǎng)IP實際上就是ADSL貓接入Internet時,是ISP給自動分配的,獲得動態(tài)IP的方法請參考拙作《獲取動態(tài)IP地址的幾種方法》。 第二要做個端口映射,從圖1的拓?fù)淇梢钥闯觯纠峭ㄗ髟贏DSL貓中通過NAT轉(zhuǎn)換接入Internet的,通過這種方式一定要在ADSL中作端口映射,由于windows 2003的VNP服務(wù)用的是1723端口,所以如圖23,將1723端口映射到192.168.0.2這臺設(shè)有VPN服務(wù)的機器。如果用的是直接撥號,那在防火墻中將這個端口放開就行了。  圖24 4、遠(yuǎn)程連接 上面的服務(wù)器中的測試完成后,就可以在家中進(jìn)行遠(yuǎn)程連接了,其過程和在本機連接測試的過程一樣,如圖14至圖21所示,在實際連接時到圖18這一步時,輸入VPN服務(wù)器所在的公網(wǎng)IP就行了。 實際應(yīng)用中我是按照圖1的拓?fù)溥B接的,連接很順利,但遇到一個問題,在家通過VPN連入單位的機器后,和單位的機器通信完全正常,但不能正常上網(wǎng)。用route print檢查路由(如表1所示)發(fā)現(xiàn)有兩個到目標(biāo)0.0.0.0的路由,網(wǎng)關(guān)一個是本來的網(wǎng)關(guān)192.168.1.1,一個是建立VPN后的網(wǎng)關(guān)169.254.101.219,這樣在訪問Internet網(wǎng)絡(luò)時就有問題了。 C:/>route print 。。。。。。。 Active Routes: Network Destination Netmask Gateway Interface Metric 0.0.0.0 0.0.0.0 169.254.101.219 169.254.101.219 1 0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.10 2 61.55.13.163 255.255.255.255 192.168.1.1 192.168.1.10 1 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 169.254.101.219 255.255.255.255 127.0.0.1 127.0.0.1 50 169.254.255.255 255.255.255.255 169.254.101.219 169.254.101.219 50 192.168.1.0 255.255.255.0 192.168.1.10 192.168.1.10 20 192.168.1.10 255.255.255.255 127.0.0.1 127.0.0.1 20 192.168.1.255 255.255.255.255 192.168.1.10 192.168.1.10 20 224.0.0.0 240.0.0.0 192.168.1.10 192.168.1.10 20 224.0.0.0 240.0.0.0 169.254.101.219 169.254.101.219 1 255.255.255.255 255.255.255.255 192.168.1.10 192.168.1.10 1 Default Gateway: 169.254.101.219 =========================================================================== Persistent Routes: None 解決的辦法: 刪除接入VPN后的路由,命令如下所示: C:/>route delete 0.0.0.0 mask 0.0.0.0 169.254.101.219 加一條指向VPN服務(wù)器所在網(wǎng)絡(luò)的路由,本例(如圖1)VPN服務(wù)器的地址為192.168.0.2,所以只要將到192.168.0.0這個網(wǎng)絡(luò)的指向VPN的地址169.254.101.219就行了。 C:/>route add 192.168.0.0 mask 255.255.255.0 169.254.101.219 5、幾點說明 1)、建立完VPN連接后,兩臺電腦的VPN的IP地址都是169.0.0.0中的地址,好像不能修改,但這并不影響使用,如圖1建立連接后,在192.168.1.10這臺電腦中ping 192.168.0.2是通的,也就是說要訪問這臺機器的資源,只要用192.168.0.2這個地址就行了。就像在局域網(wǎng)中一樣。 2)、做為VPN服務(wù)器的這臺機器的安全設(shè)置,如果沒有特殊需要很多服務(wù)完全可以限制在局域網(wǎng)內(nèi),例如FTP服務(wù)只允許192.168.0.0網(wǎng)內(nèi)的電腦訪問。這樣只要把VPN的安全做好就行了。換句話說,以本例來說,192.168.0.2這臺機器訪問Internet時是通過NAT地址轉(zhuǎn)換,如果在ADSL貓中不做端口映射,從Internet的其它電腦上是看不到這臺機器的,本例只做了VPN服務(wù)的1723端口的映射,雖然本機開了很多的服務(wù),開放了很多端口,但這些都是對局域網(wǎng)開放的,要想從Internet訪問這臺機器,只有先建立了VPN才能訪問其它的資源。只做一個服務(wù)的安全總比做許多服務(wù)的安全要容易些。VPN服務(wù)器有許多安全設(shè)置,以后再探討。 3)、建立完VPN連接后,可以通過WWW、FTP互相訪問,也可通過終端服務(wù)等登錄到這臺機器上,進(jìn)而訪問局域網(wǎng)中的其它電腦。圖24就是192.168.1.10在建立完VPN后直接利用遠(yuǎn)程桌面連接,登錄到192.168.0.2的機器上的登錄界面。  圖25 至此,已完成VPN的架設(shè),但是如果沒開NAT的話,是無法通過NAT上網(wǎng)的,也就是上面出現(xiàn)需要手工修改路由表才能上網(wǎng)的情況,下面介紹如何開NAT實現(xiàn)通過VPN上網(wǎng)方法: 在路由和遠(yuǎn)程訪問-本地-IP路由選擇-常規(guī)-選擇“新增路由協(xié)議”-選擇“NAT/基本防火墻” 然后右鍵“NAT/基本防火墻”-新建接口-選擇“本地連接”-然后將其"設(shè)置為公用接口連接至internet"-勾上“在此接口上啟用NAT” 如圖:  再次訪問www.ip138.com看看噢,IP已經(jīng)是VPN服務(wù)器的IP了~ 并且本地不需要做其它任何設(shè)置 |
400 186 1886
