利用Windows 2000 Server的RRAS實現VPN服務器

　虛擬專用網絡（VPN-virtual private.network）在VPN客戶機與VPN網關之間創建一個加密的、虛擬的點對點連接，保障經過Internet部分的安全性。
　　比如公司人員出差到外地或在家中，需要訪問公司企業網資源。如果直接撥入的話，經過Internet這部分的安全性無法保證，未加密的數據包很容易被人監聽或利用網絡嗅探器捕獲。再者如果用戶出差到外地，直接撥入到公司網絡，上網費花的是長途話費。如果使用VPN，可以先撥到當時的ISP，通過Internet再到公司的企業網，這樣上網費花的是市話費。這就是VPN的兩個功能，當然我們一般更關心前者。
　　實現VPN，可以通過硬件，也可以利用Windows 2000 Server的RRAS實現VPN服務器，這就是本文要討論的。

一、 VPN服務器端配置
　　要求：一臺2000S/AS，是否域成員均可實現，但細節上有差別，后面討論。兩塊網卡，一塊連Internet，一塊連公司企業內部網（Intranet）。
　　操作：
　　1、 開始/程序/管理工具/路由和遠程訪問/計算機名上右鍵/配置并啟用路由和遠程訪問。
　　2、 將啟動向導，下一步/第三項：虛擬專用網絡（VPN）服務器。
說明：如果選第三項VPN服務器，那么它僅僅只接受VPN用戶連入，默認VPN端口數為：PPTP端口128個，L2TP端口128個。而且需要說明的是：即使當VPN用戶撥通VPN服務器后，已經可以通過VPN網關訪問企業內部網資源了，但這時遠程VPN用戶Ping VPN服務器的對外網卡，仍是不通的，因為它這時已經是隧道的一部分了。但內網用戶Ping VPN服務器的對外網卡是通的。
　　如果想使VPN服務器既接受VPN客戶連入，也接受非VPN客戶（即普通用戶）連入，這時可選第二項：遠程訪問服務器，默認VPN端口數為：PPTP端口5個，L2TP5端口5個；也可以選第五項：手動配置服務器。這時的現象是遠程的VPN用戶可以Ping通VPN服務器的對外網卡。
　　3、 協議：TCP/IP等。
　　說明：協議一般必須保證有TCP/IP，如果需要其它協議也可以添加上，但用戶端也必須有相應協議才能撥通。
　　4、 Internet連接：對外網卡
　　5、 內部網絡：對內網卡
注意：對外，對內網卡看清楚，切不可選錯。
　　6、 遠程客戶IP分配：自動或來自一個指定的地址范圍
說明：網絡中若有可用的DHCP服務器，選自動。如果沒有，手動指定一個內部網的合法IP地址段（注意不要沖突）即可。至少2個，因為一個分配給遠程VPN用戶，VPN服務器對外的虛擬PPP/SLIP網卡還需要一個內部IP。
　　7、 是否使用RADIUS服務器：否
說明：如果不需要統一的驗證、不需要記錄用戶上網情況進行收費，不必使用。
　　若要使用RADIUS（IAS服務器）驗證，必須結合域，注意：應以域管理員身份配置IAS，并且在IAS上右鍵/在AD中注冊服務，否則需要手動在AD用戶和計算機的“RAS and IAS Servers”組成員中添加IAS服務器的計算機帳號。
　　8、 完成
　　9、 要求配置DHCP中繼代理
說明：只有在第6步選自動，且DHCP服務器與VPN服務器不在同一網段，才需要配置DHCP中繼代理：指明DHCP服務器的IP。

二、設置用戶撥入權限
　　1、如果VPN服務器不在域中，只能讓遠程VPN用戶利用VPN服務器的本地帳號撥入。在VPN服務器上操作如下：
　　　　我的電腦/右鍵/管理/創建本地帳號/屬性/撥入/允許訪問
　　2、如果VPN服務器在域中，還可讓遠程VPN用戶利用域帳戶撥入，在AD用戶和計算機中設置，簡單設置方法同上。復雜設置：可利用遠程訪問策略，需要考慮域是本機模式還是混合模式，這里就不詳細說了。
　　注意：應以域管理員身份配置RRAS，否則需要手動在AD用戶和計算機的“RAS and IAS Servers”組成員中添加RRAS即VPN服務器的計算機帳號。

三、VPN客戶端配置
　　操作如下：
　　1、 網上鄰居/右鍵屬性/新建連接/向導：下一步
　　2、 選第三項：通過Internet連接到專用網絡（VPN）
　　3、 公用網絡：不撥初始連接或自動撥此初始連接
說明：如果用戶是撥號上Internet（Modem或ADSL），可設置自動撥此初始連接：到ISP的連接；如果是固定IP上網，選不撥初始連接。
　　4、 目標地址：VPN服務器對外網卡的IP
　　5、 所用用戶或僅自己使用此連接
　　6、 是否啟用此連接的ICS共享
說明：如果想ICS，上一步必須選所有用戶使用此連接。

另外就是關于“虛擬專用連接”屬性設置：
　　1、 如果企業內部網是多層域結構，需要指明登錄的域，可在“虛擬專用連接”/屬性/選項/選中：包含WINDOWS登錄域
　　2、 如果需要指明撥入VPN服務器的類型（即所用VPN協議是PPTP、還是L2TP）可在可在“虛擬專用連接”/屬性/網絡/呼叫VPN服務器類型選擇：自動、PPTP、L2TP。需要說明的是如果想使用L2TP，必須在服務器端和客戶機上安裝來自共同信任CA頒發的證書。否則會出現：錯誤781，由于沒有找到有效的證書，加密嘗試失敗。

四、常見問題
　　1、 用戶撥通后，如同企業網本地用戶一樣，只要他有權限，可以訪問公司企業網內的所有資源。但可能速度會慢一些，因為企業內部網用戶一般10Mbps或100Mbps甚至1000Mbps連接，也就是說慢一些是正常的。
　　2、 如果用戶撥通后，只能訪問VPN服務器，不能訪問企業內部網其它服務器上的資源。應在“虛擬專用連接”/屬性/網絡/TCP/IP/高級/常規下，保證選中“在遠程網絡上使用默認網關”選項。
　　3、 如果用戶撥通后，不能訪問任何資源。這是由于VPN用戶沒有租到一個合法的企業內部網IP所致的，可在客戶機上運行ipconfig /all，查看它的虛擬PPP/SLIP網卡的IP，如果是WIN2000及以上的系統，沒租到IP，將會以一個自動的私有IP（APIPA）地址配置自己，形式如169.254.*.*。也可在“虛擬專用連接”/右鍵/狀態/詳細信息中查看。
　　4、 如果企業內部網是一個大型的路由式網絡，只要VPN服務器的對內網卡上指明了正確的默認網關，遠程VPN客戶即可訪問企業中與VPN服務器不在同一網段的計算機。
　　5、 用戶撥入時出現：錯誤678，沒有應答。這是由于VPN服務器上的RRAS未有效啟動，應檢查RRAS配置，或禁用后，重新配置。
　　6、 對于大型企業，可能會同時有許多遠程VPN用戶撥入。如果當初選第二項：遠程訪問服務器，默認VPN端口數為：PPTP端口5個，L2TP5端口5個；由于我們一般只使用PPTP，使用L2TP比較麻煩需要證書，所以第6個用戶就無法連入；如果當初選第三項VPN服務器，默認VPN端口數為：PPTP端口128個，L2TP5端口128個，第129個用戶就無法連入。
　　解決辦法很簡單：VPN端口不像普通遠程訪問（RAS）端口那樣受物理端口的限制，它的端口數可任意設置。在RRAS/端口/右鍵/屬性/PPTP/配置/指明最多端口數。
當然有時管理員可能會基于性能的考慮，不想讓太多的用戶并發（同時）連接到VPN服務器上，也可以設置適應的值，當重要用戶上不來時，把某用戶踢下線去。方法：在RRAS/遠程訪問客戶端/撥入用戶名上，可以查看連接時間、狀態、發消息給他或所有人、斷開（踢下）等。在RRAS/端口下也可以踢下，看狀態。

,

原文轉自：http://www.kjueaiud.com