Win 2003单网卡实现VPN+NAT完整攻略

鸿鹄

一、问题的提出　　如图1所示，在单位有个私有地址为192.168.0.0的网络，各电脑是通过ADSL共享方式接入Internet，在家中有台电脑也通过ADSL访问Internet，现在想在家中随时安全地访问单位192.168.0.2这台机器，实现方法很多，最为安全的是通过VPN。
　　二、什么是VPN
　　以本例来说就是现在单位192.168.0.2这台机器上设置好VPN服务，在家中通过VPN客户端访问单位这台机器，建立连接后，这两台机器通信时就像在局域网中一样，比如：要在192.168.1.10这台电脑中下载192.168.0.2这台机器的文件(假设该机已设好FTP服务)，可以直接在浏览器中键入：ftp://192.168.0.2下载文件了。虽然是通过Internet进行通信，但整个过程都是加密的，就像是在Internet中穿了一条只有两台机器才能通过的隧道，这就是VPN( Virtual Private Networks )虚拟专用网。

                               
登录/注册后可看大图

图1

　　三、优点
　　通过VPN最大的优点就是安全。这点将在后面介绍到。
　　四、设置VPN服务

　　实现VPN的方式非常多，用带VPN功能的路由器或用Linux、windows操作系统等，在windows系统下用双网卡建立VPN服务器更容易实现、但要增加一块网卡。介绍这方面的内容很多，不再赘述。本文介绍的是在windows 2003中用单网卡来实现。下面介绍实际实现过程，首先是在192.168.0.2这台机器上配置VPN服务。
　　选择"开始"'"所有程序"'"管理工具"'"路由和远程访问"。
　　设置过程如图2至图9所示，出现图10界面就完成了单网的VPN服务器端的设置，这里特别指出的是用单网卡一定要在图6处选择"自定义配置"，否则就进行不下去了。

                               
登录/注册后可看大图

图2

                               
登录/注册后可看大图

图3

                               
登录/注册后可看大图

图4

                               
登录/注册后可看大图

图5

                               
登录/注册后可看大图

图6

                               
登录/注册后可看大图

图7

                               
登录/注册后可看大图

图8

                               
登录/注册后可看大图

图9

五、从客户端连接到VPN服务器

　　1、新建有拨入权限的用户
　　要登录到VPN服务器，必须要知道该服务器的一个有拨入权限的用户，为了讲得更明白，下面在该VPN服务器上新建个用户并赋予该用户拨入的权限，过程如图11至图12是建立一个用户，图13是给这个用户远程登录的权限，一定要在"远程访问权限"处选择"允许访问"，不然就无法登录了。

                               
登录/注册后可看大图

图11

                               
登录/注册后可看大图

图12

                               
登录/注册后可看大图

图13

                               
登录/注册后可看大图

图14　2、在本机测试连接

　　在远程连接到VPN服务器之前，最好先在VPN服务器的本机测试一下，测试过程如下：
　　鼠标右键"网上邻居"，如图14，点击"新建连接向导"，按图15至图21的步骤建立连接，因为现在做的是本机的测试，所以其中图18中的IP地址为本机的地址，图21中的用户dzq就是我们刚才新建的用户。出现图22的连接图标表示连接成功。这样就可以进行远程连接测试了。如果此时用ipconfig /all看网卡状态，就会看见三个网卡，其中一个IP地址为192.168.0.2的就是本机网卡，另外两个是刚才做本机测试时建立的，它们的IP地址为169.x.xx . xxx .. xxx，这是VPN默认的IP地址，是正常的，不用管它。

                               
登录/注册后可看大图

图15

                               
登录/注册后可看大图

图16

                               
登录/注册后可看大图

图17

                               
登录/注册后可看大图

图18

                               
登录/注册后可看大图

图19

                               
登录/注册后可看大图

图20

                               
登录/注册后可看大图

图21

                               
登录/注册后可看大图

图22

                               
登录/注册后可看大图

图235、几点说明

　　1)、建立完VPN连接后，两台电脑的VPN的IP地址都是169.0.0.0中的地址，好像不能修改，但这并不影响使用，如图1建立连接后，在192.168.1.10这台电脑中ping 192.168.0.2是通的，也就是说要访问这台机器的资源，只要用192.168.0.2这个地址就行了。就像在局域网中一样。
　　2)、做为VPN服务器的这台机器的安全设置，如果没有特殊需要很多服务完全可以限制在局域网内，例如FTP服务只允许192.168.0.0网内的电脑访问。这样只要把VPN的安全做好就行了。换句话说，以本例来说，192.168.0.2这台机器访问Internet时是通过NAT地址转换，如果在ADSL猫中不做端口映射，从Internet的其它电脑上是看不到这台机器的，本例只做了VPN服务的1723端口的映射，虽然本机开了很多的服务，开放了很多端口，但这些都是对局域网开放的，要想从Internet访问这台机器，只有先建立了VPN才能访问其它的资源。只做一个服务的安全总比做许多服务的安全要容易些。VPN服务器有许多安全设置，以后再探讨。
　　3)、建立完VPN连接后，可以通过WWW、FTP互相访问，也可通过终端服务等登录到这台机器上，进而访问局域网中的其它电脑。图24就是192.168.1.10在建立完VPN后直接利用远程桌面连接，登录到192.168.0.2的机器上的登录界面。

                               
登录/注册后可看大图

图25

　　至此，已完成VPN的架设，但是如果没开NAT的话，是无法通过NAT上网的，也就是上面出现需要手工修改路由表才能上网的情况，下面介绍如何开NAT实现通过VPN上网方法：
　　在路由和远程访问-本地-IP路由选择-常规-选择“新增路由协议”-选择“NAT/基本防火墙”
　　然后右键“NAT/基本防火墙”-新建接口-选择“本地连接”-然后将其"设置为公用接口连接至internet"-勾上“在此接口上启用NAT”
　　如图：

                               
登录/注册后可看大图

　　再次访问www.ip138.com看看噢，IP已经是VPN服务器的IP了~
　　并且本地不需要做其它任何设置

maxioqng

echo

xiaolei

这么好的贴子，当然要支持了

wkt1986

就一个字

comservice

dddddddddddddddddddddddddddddddddddddddddddddddddddddd

CONGBOY

tanxiaoguoguo

电脑爱好者X

cj169

这么好的贴子，当然要支持了

maqizhao

都快过来围观，楼主的好帖赞爆了

nunsn

lucient