基于PPTP的VPN.docx

基于PPTP的VPN.docx

《基于PPTP的VPN.docx》由会员分享，可在线阅读，更多相关《基于PPTP的VPN.docx（21页珍藏版）》请在冰豆网上搜索。

基于PPTP的VPN

111

基于PPTP的VPN

本实验使用虚拟机的win2kserversp4做VPN接入服务器，组建基于PPTP的VPN。

1.首先将外部实际计算机地址与内部VPN服务器个网段，以便可以相互访问。

2.为VPN服务器增加VPN组和VPN用户

控制面板----管理工具-----计算机管理

新建vpn用户，需要多少自行决定

本例中建了2个用户

查看任意用户属性，设置拨入属性中权限由远程策略决定，当然也可以在此直接选择允许访问，两者的区别在于在用户拨入属性中设置允许拨入，则对所有用户必须逐一设定，但是使用远程策略可以一次指定一个组，这样可以大大减轻管理员的工作量提高管理效率。

将这些用户加入VPN组

打开VPN组属性

选择添加，并查找添加所有VPN用户

再次查看VPN组，可以看到用户已经被加入了VPN组

3.启动VPN服务器中的远程访问及路由服务

控制面板-----管理工具------路由及远程访问

开始配置

选择VPN服务器

选择所需要支持的协议，注意，在2000中还支持IPX协议，但是在2003中已经不再支持ipx了。

由于VPN只有一个网卡，所以选择无Internet即可，但是在2003中，必须有两个网卡才能够构建VPN服务器

选择在哪个网卡上提供VPN服务，注意机房实验环境只有一个网卡

设定如何为对端VPN客户提供IP地址，如果没有DHCP，可以选择指定范围。

这里的地址绝不能和网卡的地址在一个网段，由于机房的计算机都在一个网段内，为了防止地址冲突，请大家将这个地方的ip地址设置的比较特殊最好。

选择使用VPN服务器自己的帐户系统来验证用户

启动服务后，可以看到系统默认开启了128个PPTP和128个L2TP端口，当然这个端口数量可以由管理员设定。

设定端口属性，可以看到端口数量。

4．设定远程访问策略

新建一个策略，名字自行决定

添加一个windows-grooup用户组条件

将VPN组添加进该条件

添加完成以后的效果

设定满足该条件的用户授予访问权限，即允许拨入VPN服务器

编辑配置文件，可以在拨入限制中可以限制拨入时间和空闲多久可以断开连接，也可以设定什么样的网络接入VPN。

选择身份验证，注意，不能选择PAP，否则无法实现加密，一般建议ms-chap2

加密方式中，可以选择密钥长度，基本为40位，强为56位，最强为128，建议最强加密，另注意，winxp只支持56和128密钥。

注意，此时策略在系统默认拒绝的策略之下，会造成客户机无法拨入，所以需要将此策略上移至最顶。

4.客户机设定：

创建一个新连接

选择使用VPN

名字可以随意

由于我们使用局域网，所以选择不拨初始连接

选择要连接的目标VPN服务器

选择VPN连接属性，在网络中指定VPN类型位PPTP，确定后使用前边设定的VPN帐户拨号。

可以看到拨号成功后客户机相关的信息。

同时可以看到服务器上的某一个端口已经置为活动状态了。

6.，在外部XP系统上开启telnet服务，在内部VPN上telnet外部xo主机并使用嗅探软件再次抓取telnet数据（相关过程参照远程控制实验和嗅探实验），此时注意telnet外部XP主机获取到的VPN地址，并查看数据，应该看到所有数据没有VPN的地址，只有原始的ip数据包，同时所有到外部XP主机的telnet数据全部被GRE封装加密了。