基于PPTP的VPN.docx
《基于PPTP的VPN.docx》由会员分享,可在线阅读,更多相关《基于PPTP的VPN.docx(21页珍藏版)》请在冰豆网上搜索。
基于PPTP的VPN
111
基于PPTP的VPN
本实验使用虚拟机的win2kserversp4做VPN接入服务器,组建基于PPTP的VPN。
1.首先将外部实际计算机地址与内部VPN服务器个网段,以便可以相互访问。
2.为VPN服务器增加VPN组和VPN用户
控制面板----管理工具-----计算机管理
新建vpn用户,需要多少自行决定
本例中建了2个用户
查看任意用户属性,设置拨入属性中权限由远程策略决定,当然也可以在此直接选择允许访问,两者的区别在于在用户拨入属性中设置允许拨入,则对所有用户必须逐一设定,但是使用远程策略可以一次指定一个组,这样可以大大减轻管理员的工作量提高管理效率。
将这些用户加入VPN组
打开VPN组属性
选择添加,并查找添加所有VPN用户
再次查看VPN组,可以看到用户已经被加入了VPN组
3.启动VPN服务器中的远程访问及路由服务
控制面板-----管理工具------路由及远程访问
开始配置
选择VPN服务器
选择所需要支持的协议,注意,在2000中还支持IPX协议,但是在2003中已经不再支持ipx了。
由于VPN只有一个网卡,所以选择无Internet即可,但是在2003中,必须有两个网卡才能够构建VPN服务器
选择在哪个网卡上提供VPN服务,注意机房实验环境只有一个网卡
设定如何为对端VPN客户提供IP地址,如果没有DHCP,可以选择指定范围。
这里的地址绝不能和网卡的地址在一个网段,由于机房的计算机都在一个网段内,为了防止地址冲突,请大家将这个地方的ip地址设置的比较特殊最好。
选择使用VPN服务器自己的帐户系统来验证用户
启动服务后,可以看到系统默认开启了128个PPTP和128个L2TP端口,当然这个端口数量可以由管理员设定。
设定端口属性,可以看到端口数量。
4.设定远程访问策略
新建一个策略,名字自行决定
添加一个windows-grooup用户组条件
将VPN组添加进该条件
添加完成以后的效果
设定满足该条件的用户授予访问权限,即允许拨入VPN服务器
编辑配置文件,可以在拨入限制中可以限制拨入时间和空闲多久可以断开连接,也可以设定什么样的网络接入VPN。
选择身份验证,注意,不能选择PAP,否则无法实现加密,一般建议ms-chap2
加密方式中,可以选择密钥长度,基本为40位,强为56位,最强为128,建议最强加密,另注意,winxp只支持56和128密钥。
注意,此时策略在系统默认拒绝的策略之下,会造成客户机无法拨入,所以需要将此策略上移至最顶。
4.客户机设定:
创建一个新连接
选择使用VPN
名字可以随意
由于我们使用局域网,所以选择不拨初始连接
选择要连接的目标VPN服务器
选择VPN连接属性,在网络中指定VPN类型位PPTP,确定后使用前边设定的VPN帐户拨号。
可以看到拨号成功后客户机相关的信息。
同时可以看到服务器上的某一个端口已经置为活动状态了。
6.,在外部XP系统上开启telnet服务,在内部VPN上telnet外部xo主机并使用嗅探软件再次抓取telnet数据(相关过程参照远程控制实验和嗅探实验),此时注意telnet外部XP主机获取到的VPN地址,并查看数据,应该看到所有数据没有VPN的地址,只有原始的ip数据包,同时所有到外部XP主机的telnet数据全部被GRE封装加密了。