使用WindowsServer的VPN服务Word下载.docx
《使用WindowsServer的VPN服务Word下载.docx》由会员分享,可在线阅读,更多相关《使用WindowsServer的VPN服务Word下载.docx(24页珍藏版)》请在冰豆网上搜索。
两者中至少有一个应该是网络适配器。
毕竟,远程访问的VPN提供的是从企业的外部来访问内部的网络资源。
其次,检查核实在你的服务器和工作站上运行的协议的正确性。
随着不同协议的提出,现在为了确保安全,典型的VPN使用一种是TCP/IP协议,另一种是PPTP或者L2TP协议。
为了保证用户能够通过VPN连接访问内部网络的资源,你必须给用户分配IP地址。
当然,你可以通过网络中的DHCP服务器或者通过在路由和远程访问服务配置中定义一个地址池来完成这项工作。
这为远程的客户端提供了恰当的地址信息,使得DNS和WINS能够有效的进行名字查询。
允许和限制访问
虽然可以采取一定的步骤来减小滥用或者未授权访问内部网络的风险,但是任何类型的远程访问都为它们打开了潜在的大门。
例如,在使用WindowsServer2003的RRAS/VPN功能时,必须明确指出允许每个用户在自己的规范内通过拨号上网优先权来使用这些服务。
另外,你可以在服务器上创建一些严格的策略——例如每天时间的限制、最大会话的次数以及MAC地址的限制——来降低系统本身的安全风险。
激活VPN服务
为了激活VPN服务,必须激活路由和远程访问服务,其中包括VPN服务。
首先在想要支持VPN的服务器上打开“开始”|“所有程序”|“管理员工具”|“路由和远程访问”。
然后,在服务器名字上单击右键并选择“配置并激活路由和远程访问”,这时将弹出一个向导来帮助你配置这些服务。
RRAS除了包含VPN服务外,还包含了大量的其他性能,例如NAT服务和拨号上网(PPP)。
在“配置”屏幕(见图A)上,你可以指定你想要激活的服务。
如我只激活拨号上网/VPN服务。
图A:
在本地服务器上激活VPN和拨号上网服务
选择拨号上网/VPN后,下一步是“远程访问”(见图B)。
在这里,你必须选择这个服务器要提供什么样的服务,可以是一个,也可以两者都选。
例如,我选择的只是使用VPN组件。
图B:
该服务器只允许VPN连接
由于VPN服务器通常都是安装一个接口来实现从企业的外部支持远程连接,向导现在显示的是VPN连接(见图C)。
你需要指定由哪一个接口执行这个功能。
图C:
192.168.1.120接口用于远程连接
在实验室的这次练习中,我的VPN服务器上有两个接口。
一个接口的地址是192.168.1.120/24,另一个是192.168.2.2/24。
由于这个服务器只是在我的实验室中,所以它没有一个真正的公用网的IP地址。
但是,为了能够完成这个例子,我使用192.168.1.120接口。
在接口列表的下面,你可以发现一个复选框,如果选择这个复选框,将在这个接口上使用静态包过滤策略,只允许VPN数据通信。
在这里我建议激活这个特性,尤其是在该接口处于公司的防火墙之外时。
要想访问公司的内部网络资源,远程的客户端需要一个IP地址才能实现这一功能。
“IP地址分配”(见图D)给出了两种选择自动分配IP地址。
第一种选择是在确认DHCP服务器已经正确的配置后,使用网络中现存的DHCP服务器分配地址。
第二种选择是为VPN服务器提供一个地址范围,VPN服务器能够将其分发给客户端。
图D:
选择一个IP地址的机制
我喜欢第二种方式,因为这种方式让我觉得能够更好的进行控制。
因此我必须提供一个地址范围,这样使得我能够通过查找连接服务器的IP地址列表来快速判断该连接是内部访问还是VPN客户端。
如果你选择了这种方式而又使用了与你的内部网络相同的地址空间,需要确认你已经选择的地址范围不在其他的DHCP服务器定义的DHCP范围之内,以防止出现地址冲突。
对于本文,我选择这个选项。
因为我是从一个指定的地址池中分配地址,地址池必须建立,建立地址池的工作将在“指定地址范围”屏幕上实现。
除非你有特殊的需求,否则你可以指定与VPN服务器一端的局域网类似的地址范围。
在这个例子中,这个网络地址是192.168.2.0/24。
要增加地址范围,单击“新建”按钮。
你需要指定地址范围的首地址,然后指定该地址池中的结束地址或者指定地址个数。
在这个例子中,我创建了一个有25个地址的地址池,从192.168.2.100到192.168.2.124。
提供远程访问服务的关键问题是认证。
如果没有认证,任何人只要能够到达你的VPN服务器就能够访问你的内部网络。
如果你的网络中有一个远程认证拨号用户服务(RADIUS)的服务器,WindowsServer2003VPN服务将利用该服务器来进行认证。
如果没有RADIUS服务器,你将只好使用RRAS服务来处理认证工作。
你将在“管理多个远程访问服务器”屏幕上指定如何认证。
完成这些工作之后,向导将根据你指定的参数来配置RRAS服务。
这一过程完成后,如果你选择了使用现存的DHCP服务器,向导将通知你必须允许DHCP转发给客户端。
然后,在RRAS屏幕上的本地服务器旁边有一个绿箭头(见图E),该箭头说明此服务已经激活。
图E:
由于RRAS已经激活,更多的选项可以使用
连接客户端
由于VPN服务器的最小化安装已经支持PPTP和L2TP连接,所以只要用户有使用VPN服务的权限,现在就可以初始化这些连接。
使用RRAS好的方面就是Windows并不自动激活每个用户的RRAS服务。
更确切地说,管理员需要根据每个用户的需要激活这个服务。
要激活某个用户的VPN服务,首先从“活动目录用户和计算机(ActiveDirectoryUsersAndComputers)”开始。
然后在一个用户对象上单击右键并选择属性。
在该用户的属性页面上,选择“拨号上网”标签并在“远程访问权限(拨号上网或者VPN)”下选择“允许访问”选项。
单击“应用(Apply)”按钮或者“确定(OK)”按钮继续。
现在用户就可以使用VPN服务了。
在图F中,管理员用户的VPN拨号权限是激活的,但是这只是用于示范而已。
我建议除非是在实验室的设置中,一般不要激活管理员用户的权限,因为这个账号是最容易被非法利用的。
图G:
通过配置属性页能够使某个用户使用VPN服务器
测试连接
如果这一切都没有出现异常,客户端的计算机使用它的用户凭证就可以连接到VPN服务器上。
对于这一步,我将使用WindowsXPProfessionalSP1的客户端。
该系统位于网络的外部,需要使用VPN服务来访问内部网络。
开始,选择“开始”|“我的网络位置”,并从“网络任务”快捷菜单中选择“查看网络连接”。
然后点击“创建一个新的连接”。
这将弹出一个向导帮助你建立连接。
该向导首先会询问你,想创建什么样的连接。
由于当前的例子是用于测试新的VPN服务器的,选择“连接到我的工作区网络”选项。
下一步将询问该连接是一个拨号上网连接还是一个VPN连接。
由于你的用户将连接到一个VPN服务器,所以很自然地,选择一个VPN连接。
向导同时还会对该连接要求一个名字。
在建立VPN连接之前,你需要拨号到一个ISP,当你建立连接的时候VPN连接先完成这项工作。
如果你使用的是DSL,一个电缆调制解调器或者其他一直在线的连接,预先不必做任何拨号的工作。
向导的下一步将要求VPN服务器的IP地址或者DNS名字。
最后,你需要提供允许拨号访问该网络的用户名和用户。
WindowsServer2003VPN
一、需求描述
单位项目组在局域网中使用VSS(VisualSourceSafe6.0CandVisualSourceSafe2005,分别对应VisualStudio2003和VisualStudio2005)进行源代码管理协同开发。
一般VSS在局域网内工作(VSS2005可以通过http在整个英特网使用,不过没有使用过,不知道好不好用,还是习惯于局域网的使用方式)。
近阶段在学习biztalk,在单位完成正常工作之余,会拿出一些时间做biztalk文档所带的tutorial的示例项目,还会做些测试项目,回家之后也会继续白天正在做的项目,所以有必要把家里的机器跟单位自己的机器连起来用VSS管理所做的项目,这样单位所做的工作和家里所做的工作可以相互衔接。
单位的机器是局域网之后通过路由接入公网,本身也不具有公网IP,家中的机器是通过adsl上网路由上网,也不具公网IP。
正好单位有一台在公网的服务器我可以控制,通过这个服务器可以搭建一个VPN虚拟局域网,把单位我用的机器和家里的机器都拨入这个VPN服务器,两台机器就处于一个虚拟局域网中了,在单位的机器上设置VSS数据库,然后共享,家里的机器通过虚拟局域网访问共享VSS数据库。
二、配置windows2003VPN服务器
服务器是Windows2003系统,2003中VPN服务叫做“路由和远程访问”,系统默认就安装了这个服务,但是没有启用。
在管理工具中打开“路由和远程访问”
在列出的本地服务器上点击右键,选择“配置并启用路由和远程访问”。
下一步
在此,由于服务器是公网上的一台一般的服务器,不是具有路由功能的服务器,是单网卡的,所以这里选择“自定义配置”。
下一步。
这里选“VPN访问”,我只需要VPN的功能。
下一步,配置向导完成。
点击“是”,开始服务。
看启动了VPN服务后,“路由和远程访问”的界面
下面开始配置VPN服务器
在服务器上点击右键,选择“属性”,在弹出的窗口中选择“IP”标签,在“IP地址指派”中选择“静态地址池”。
然后点击“添加”按钮设置IP地址范围,这个IP范围就是VPN局域网内部的虚拟IP地址范围,每个拨入到VPN的服务器都会分配到一个范围内的IP,在虚拟局域网中用这个IP相互访问。
这里设置为10.240.60.1-10.240.60.10,一共10个IP,默认的VPN服务器占用第一个IP,所以,10.240.60.1实际上就是这个VPN服务器在虚拟局域网的IP。
至此,VPN服务部分配置完毕。
三、添加VPN用户
每个客户端拨入VPN服务器都需要有一个帐号,默认是Windows身份验证,所以要给每个需要拨入到VPN的客户端设置一个用户,并为这个用户制定一个固定的内部虚拟IP以便客户端之间相互访问。
在管理工具中的计算机管理里添加用户,这里以添加一个chnking用户为例
先新建一个叫“chnking”的用户,创建好后,查看这个用户的属性,在“拨入”标签中做相应的设置,如图:
远程访问权限设置为“允许访问”,以允许这个用户通过VPN拨入服务器。
点选“分配静态IP地址”,并设置一个VPN服务器中静态IP池范围内的一个IP地址,这里设为10.240.60.2
如果有多个客户端机器要接入VPN,请给每个客户端都新建一个用户,并设定一个虚拟IP地址,各个客户端都使用分配给自己的用户拨入VPN,这样各个客户端每次拨入VPN后都会得到相同的IP。
如果用户没设置为“分配静态IP地址”,客户端每次拨入到VPN,VPN服务器会随机给这个客户端分配一个范围内的IP。
四配置Windows2003客户端
客户端可以是windows2003,也可以是WindowsXP,设置几乎一样,这里以2003客户端设置为例。
选择程序――附件――通讯――新建连接向导,启动连接向导
这里选择第二项“连接到我的工作场所的网络”,这个选项是用来连接VPN的。
选择“虚拟专用网络连接”,下一步。
在“连接名”窗口,填入连接名称szbti,下一步。
这里要填入VPN服务器的公网IP地址。
下一步,完成新建连接。
完成后,在控制面板的网络连接中的虚拟专用网络下面可以看到刚才新建的szbti连接
在szbti连接上点击右键,选“属性”,在弹出的窗口中点击“网络”标签,然后选中“internet协议(tcp/ip)”,点击属性按钮,在弹出的窗口中再点击“高级”按钮,如图,把“在远程网络上使用默认网关”前面的勾去掉。
如果不去掉这个勾,客户端拨入到VPN后,将使用远程的网络作为默认网关,导致的后果就是客户端只能连通虚拟局域网,上不了因特网了。
下面就可以开始拨号进入VPN了,双击szbti连接,输入分配给这个客户端的用户名和密码,拨通后在任务栏的右下角会出现一个网络连接的图标,表示已经拨入到VPN服务器。
一旦进入虚拟局域网,客户端设置共享文件夹,别的客户端就可以通过其他客户端ip地址访问它的共享文件夹。
五配置VSS
VSS是在一台机器上配置VSS数据库,把数据库的文件夹设置共享,局域网内别的机器可以访问到这个共享文件夹,就可以从源代码数据库中打开项目。
配置好VPN后,客户端之间就是相当于在局域网内,VSS的设置就跟局域网内一样的设置。
IPSECVPN服务器配置步骤
(WindowsServer2003)
如果你已经熟悉了Windows2000,现在来用WindowsServer2003,相信你会有不少惊喜发现,在外观改变不大的情况下,功能确实处处在增强,今天我们就来利用WindowsServer2003的“路由与远程访问”组件搭建一个L2TP/IPSECVPN服务器,让你从外部以更安全的L2TP方式访问内网,windows2003的VPN支持NAT-T,这使得外部内网中的用户也能够使用L2TP的方式访问VPN服务器及内网,在以前,由于NAT与IPSEC的不兼容,使得我们只能通过PPTP的方式从一个内网中访问远方的VPN服务器及内网,比如从网吧访问自己的网络,有了WindowsServer2003,你也可以从任何地方以更安全的L2TP方式进行VPN访问了。
本文的大致网络环境如图1所示,以典型的ADSL共享上网为因特网接入方式,这里ADSL猫以一条网线连接到双网卡的WindowsServer2003上,然后WindowsServer2003再以内网卡连接到内部交换机上,两块网卡都配置了不同网段的IP,但网关和DNS都为空,内网中的客户机通过WindowsServer2003上的ADSL共享上网,这里将在这台WindowsServer2003上创建L2TPVPN服务器。
为了完成这个工作,我们将做以下几部分工作:
1,启用“路由与远程访问”
2,创建ADSL连接
3,用NAT实现共享上网
4,配置VPN
5,安装独立根CA
6,为VPN服务器安装服务器证书
7,L2TP客户端证书的安装
8,L2TP客户端相关问题
下面将依次讲述。
一、启用“路由与远程访问”
1,在管理工具中运行“路由与远程访问”,默认情况下“路由与远程访问”是禁用的,所以右击服务器图标,选择“配置并启用路由与远程访问”;
2,进入“配置”窗口,选择“自定义配置”项;
3,在“自定义配置”窗口,勾选“VPN访问”、“NAT和基本防火墙”和“LAN路由”项,其他的可以以后根据需要再配置。
二、创建ADSL用的PPPoE连接
WindowsServer2003的“路由与远程访问”组件支持直接创建PPPoE的请求拨号接口,方法如下:
1,展开服务器图标,右击“网络接口”,选择“新建请求拨号接口”,点击下一步;
2,在“接口名称”窗口给这个接口取个有意义的名字,比如PPPoE;
3,在“连接类型”中选择“使用以太网上的PPP(PPPOE)连接”项;
4,在“服务名称”中取个有意义的名称,也可以不填,直接点下一步;
5,在“协议及安全措施”窗口中勾选上“在此接口上路由选择IP数据包”;
6,在“远程网络的静态路由”窗口中添加一条默认路由,也即是添加一条到目的0.0.0.0的默认路由,点击“添加”按钮,然后弹出一个窗口,这里只添加一条默认路由,所以直接确定此窗口即可(如图2)。
7,在“拨出凭据”窗口中,填入你ADSL虚拟拨号的用户名和密码,域一栏保持为空。
上面的过程就完成了PPPOE连接的创建,但要想拨号成功,还需要修改一个地方,右击刚创建的PPPoE接口,选择“属性”,在弹出的窗口中选择“安全”标签(如图3),在其中选择“典型”项,“验证我的身份为”栏选择“允许没有安全措施的密码”项。
为了保持这个接口的永久在线,切换到“选项”标签,在“连接类型”中选择“持续型连接”。
完成了上面的操作后就可以右击PPPOE连接,然后选择“连接”项来建立ADSL连接了。
要说明的一点是之所以在这里创建PPPoE连接而不是直接通过“网络连接”中的“创建一个新的连接”来创建ADSL连接,是因为“网络连接”窗口中创建的连接不能为NAT识别,而在NAT中又需要选择此PPPOE连接为外部连接以进行地址转换,所以就只有在这里创建了。
三,用NAT安全共享此ADSL连接
NAT就是NetworkAddressTranslation,也就是把不能直接与公网IP通信的私有IP翻译成公网IP(还有端口),以便能完成与公网的通信,关于它的介绍已很多了,这里就不细述,只强调一下设置NAT主要是设置好内部接口和外部接口,因为地址翻译就是在它们之间进行的。
下面是基本操作方法:
1,定位到“IP路由选择”下的“NAT/基本防火墙”,右击之,选“新增接口”,这里首先选择内部接口,也就是内网卡所代表的那个本地连接,在弹出的窗口中选择“专用接口连接到专用网络”项。
2,再次添加接口,这次选择外部接口,即上面创建的PPPoE接口(注意不要选连ADSL那块网卡所在的本地连接),在弹出窗口中选择“公用接口连接到Internet”,并勾选上“在些接口上启用NAT”和“在此接口上启用基本防火墙”两项(图4)。
这里的基本防火墙是一种动态包过滤防火墙,相当于一个小型的状态检测防火墙,当外部的通信到达外部接口时,基本防火墙会检测NAT表中是否有相应的会话,如果没有就将拒绝通信。
之所以这里要启用基本防火墙,是因为启用了“路由与远程访问”之后就不能启用操作系统内置的ICF(Internet连接防火墙)了。
另外也可以利用图4中的静态数据包筛选器静态地进行包过滤。
启用了基本防火墙之后最好也不要再安装其他防火墙了,如果要安装,请先在这里取消基本防火墙(即取消图4的“在此接口上启用基本防火墙”项)。
通过上面的配置,内网客户端只要把网关和DNS都指向这台windowsserver2003的内网卡地址就可以共享且安全地上网了。
注意不要再去启用ICS(Internet连接共享)。
四、配置VPN
(一)配置端口
在第一部分启用“VPN访问”选项之后,在“端口”中就已经有了PPTP和L2TP端口,默认情况下各自分配了128个,可以根据实际情况自行调整数量,调整方法是右击“端口”项进入“属性”窗口,双击其中的L2TP端口进行调整。
现在你还可以保留一定量的PPTP端口,因为后面申请证书时可能要用,如果不需要PPTP端口,把它的数量设置为0。
(二)配置VPN客户端要使用的IP范围
右击服务器图标进入属性窗口,选择“IP”标签,在“IP地址指派”栏选择“静态地址池”,添加一段静态IP。
之所以不用DHCP分配IP,是因为静态IP范围更容易识别VPN客户端。
(三)启用用户拨入权限或创建远程访问策略
要启用用户拨入权限,如果是域,请在“AD用户和计算机”管理工具中右击相应用户,在属性窗口中选择“拨入”标签,在“远程访问权限”中选择“允许访问”或“通过远程访问策略控制访问”(如图5),如果不用域帐户验证,就在VPN服务器的“计算机管理”工具下的“本地用户和组”中启用用户的拨入权限。
如果上面选择的是“通过远程访问策略控制访问”(此选项只有域是windows2003本地模式时才会启用),可以再创建一个组,以包含所有有远程拨入权限的用户,然后进入“路由与远程访问”窗口,右击“远程访问策略”,新建一个远程访问策略,在“访问方法”中选择“VPN”项,“用户或组访问”中选择刚创建的组,在“身份验证方法”中默认选择了MS-CHAPv2,也可以把MS-CHAP选上,在“策略加密级别”中默认全部都选上了的,这是因为以前的操作系统版本可能不支持高位加密,这里根据客户端情况选择。
通过上面的配置后用户即可以PPTP的方式访问了,但要以L2TP的方式访问,还需要进行下面的工作。
五、在内网中安装独立根CA
为什么要安装证书服务(CA)呢?
这是因为L2TP/IPSEC通信的双方需要先验证对方的计算机身份,通常有三种验证方法,一是用kerberos协议进行计算机身份验证,但kerberos不适合这种网络访问环境,另一种验证方法是通过预共享密钥,但这种方法容易导致预共享密钥的泄露,这就降低了安全性,还有一种方法就是通过证书来验证计算机身份,当通信开始时,双方都要向对方出示证书以证明自己的合法身份。
比较三种方法,我们这里就选择用证书来验证计算机身份,所以这就需要在内网中安装可以发布计算机证书的CA服务。
那为什么要安装独立根CA
升级会员 