CSDN博客

img Jaron

VPN搭建,问题集锦,实例

发表于2004/6/23 16:58:00  2667人阅读

分类: Windows2000/2003

Microsoft VPN 白皮书:http://support.microsoft.com/default.aspx?scid=kb;zh-cn;810761
VPN搭建:http://whtland.myrice.com/windows/vpn1.htm
Win2K配置VPN的实例:http://www.postedu.cn/dtsy/nettech/lan/40064650.htm
VPN解决方案集锦:http://www0.ccidnet.com/tech/app/2001/03/05/58_1781.html
VPN常见问题原因与解决:
http://expert.csdn.net/Expert/topic/2415/2415011.xml?temp=.7754633

VPN快速搭建 

一.VPN服务器的配置

服务器的地址为202.100.100.100(此地址为虚构地址).注意服务器的地址可以是公网的真实地址也可以是专网的地址,只要客户机拨入网络后能够访问到此服务器即可.


配置过程如下:

1.打开"路由和远程访问".

2.右击要配置的服务器->"配置并启用路由和远程访问".

3.跳过欢迎页面,在"路由和远程访问服务器安装向导"页面中选择"虚拟专用网络(VPN)服务器".下一步.

4.在"远程客户协议"页面根据需要选择合适的协议,这儿选择"TCP/ip",下一步.

5.在"internet连接"页面,选择一个用来让远程计算机连接的internet连接,这儿我们选择地址为202.100.100.100的连接,下一步.

6.在"IP地址指定"页面,选择合适的地址分配方案,为灵活起见选择DHCP好一些.如果仅是几个地址的话可以指定一个地址范围.下一步.

7.在"管理多个远程访问服务器"页面,选择"不,我现在不想设置此服务器使用RADIUS".下一步.

8.完成.


二.用户的配置

用户的配置比较简单,就是允许用户有拨入的权限.

客户端的配置:


(一).建立新的拨号连接


(注意如果是VPN服务器与此客户机都在同一局域网内,那么就不必建立拨号连接,直接使用当前的连接就是)

 

1、选择“开始”->“设置”->“网络和拨号连接”,单击“新建连接”,启动网络连接向导。


2、跳过欢迎屏幕,在第二页网络连接类型中选择“拨号到Internet”,下一步。


3、在跳出的Internet连接向导对话框第一页中,选择“手动设置Internet连接或通过局域网(LAN)连接”,下一步。


4、在第2步设置您的Internet连接页面,选择“通过电话线和调制解调器连接”,下一步。


5、在第3步Internet账户连接的信息第1步页面,不选择“使用区号和拨号规则”,在电话号码框内添加“163”,下一步。


6、在第3步Internet账户连接的信息第2步页面,填写上拨号上网所用的用户名和密码,下一步。


7、在第3步Internet账户连接的信息第3步页面配置您的计算机中,将连接名改为“163”,默认也可,下一步。


8、在第4步设置Internet mail账户页面选“否”,下一步完成连接向导。


9、测试刚建立的这个拨号连接,直至正常。

 

(二).建立VPN连接


1、选择“开始”->“设置”->“网络和拨号连接”,单击“新建连接”,启动网络连接向导。


2、跳过欢迎屏幕,在第二页网络连接类型中选择“通过Internet连接到虚拟专用网络”,下一步。


3.在"公用网络"页面,如果你是在局域网中与服务器已经通过网卡建立了连接,那么可以选择"不拨初始连接",如果不是这样,那么可以选择下面的"自动拨此初始连接",这里应该选择我们刚才建立的连接"163".下一步.


4.在"目标地址"页面,填写上你的VPN服务器的主机名或IP地址,我们这儿就要填写"202.100.100.100".下一步.


5.在"可用连接"页面,根据需要选择让所有用户都使用此连接或只有自己使用此连接.为简化起见,我们选择"只是我自己使用此连接".下一步.


6.最后输入合适的连接名称如"到公司的VPN连接",完成.

 

(三).连接


在网络和拨号连接中,单击"到公司的VPN连接",即可进行连接

 

三.远程访问策略的配置

远程访问策略可以灵活的对远程访问进行配置,如需要建议进行配置.


vpn应该是很好配的。

注意几个问题:

1、服务器必须要有一个真实的ip(如果用RAS则无所谓)

2、客户端必须是win2000或xp

3、最好采用防火墙,推荐用微软的ISA

VPN服务器

什么地方可能出现故障

当客户端与某个ISP建立连接时(这种连接使用VPN连接中的点对点协议--PPP--部分),ISP将为客户端分配一个IP地址、一个DNS服务器地址以及一个缺省网关。当客户端发起一个PPTP连接时,这项操作将创建第二个TCP/IP会话(这个会话是VPN连接的隧道部分),并将其嵌入到用以提供数据包加密与封装功能的第一个会话内部。当客户端连接成功后,VPN服务器将为客户端分配第二个IP地址、第二个DNS服务器地址、可选WINS服务器以及另一个缺省网关。因此在连接中的每一条链接上,均有可能出现故障。


1.多宿主服务器:如果的PPTP服务器配备了两块网卡,一块针对LAN,一块针对WAN,那么,请将LAN适配器上的网关设置为空(请注意,这里要求设置为空而非设置为0)。在WAN网络接口的网关字段中输入ISP所定义的IP地址;网关地址通常指向ISP所属的一台路由器。需要保持LAN网关设置为空,以便使服务器能够将网络数据包路由至客户端。当为服务器配置多个网络适配器时,保持LAN网关设置为空是一种标准实现方式。在测试过程中,建议手工输入LAN NIC的IP地址与WINS服务器地址(而不要通过DHCP为其分配)。

2.RAS:当安装RAS时,请仅为那些真正需要提供支持的活动客户端连接配置必要数量的VPN端口。如果将RAS配置为从静态地址池中分配客户端地址,那么,客户端将从RAS服务器继承DNS与WINS设置。如果的RAS服务器能够浏览网络,那么,客户端同样可以利用相同的设置来浏览网络。

3.使用DHCP,请确保DHCP“范围选项44”(WINS/NetBIOS名称服务器)指向WINS服务器且“范围选项6”显示的DNS服务器地址。如果未能定义这些选项,那么几乎肯定会在客户端浏览过程中遇到问题。

4.启用PPTP过滤功能:如果在具备高度安全性的环境中运行服务器,便可以放心的将服务器置于防火墙外部并将允许进入的唯一VPN通信内容限制为PPTP数据包。从控制面板中启用PPTP过滤功能,请依次选择“网络”、“协议”、“TCP/IP协议”、“WAN适配器”、“高级”,并选中“启用PPTP过滤功能”复选框。当启用PPTP过滤器后,服务器拒绝所有非PPTP请求。PPTP过滤功能具有一个重要的副作用:当启用过滤功能后,由于其阻挡了进入的HTTP与FTP通信内容,LAN客户端将无法通过RAS服务器的WAN连接对Internet进行浏览。

5.使用防火墙:请首先确认的防火墙软件能够接收PPTP数据包。防火墙在某些情况下可能无法接受PPTP连接。这种情况下,尝试与RAS服务器建立连接的客户端将报出事件编号为721的错误消息--PPP远端未能响应。所以当将VPN服务器置于防火墙后方时,请确保启用IP协议端口47(通用路由封装--GRE)和TCP端口1723。VPN连接使用1723端口完成诸如PPTP隧道创建、维护与终止之类的日常管理工作。47端口则用于在客户端与服务器(包含GRE协议)之间传送隧道数据。

6.在尝试与VPN客户端建立连接之前,首先确保RAS服务器能够执行所有典型网络操作(例如浏览LAN、连接LAN资源、连接Internet或浏览Internet等)。此后,请针对的测试帐号的启用拨号权限。另外,可能还需要在最初测试过程中启用PPP日志功能。

 

VPN客户端

什么地方可能出现故障

为确保操作成功,PPTP客户端必须正确维护两套TCP/IP协议栈设置:其中一套面向于ISP与Internet连接,另一套面向于VPN服务器连接。客户端路由表同样必须包含两条记录:其中一条负责将网络数据包定向至提供Internet浏览服务的ISP,另一条指向用于实现LAN浏览的VPN服务器接口。当协议栈设置不正确时,客户端将会遇到严重问题。通常情况下,T客户端维护独立的TCP/IP协议栈设置,然而,当同时配备网卡和调制解调器时,Windows客户端则会经常出现协议栈设置问题。在建立PPTP连接后,Windows缺省网关可能仍旧指向ISP,从而使客户端无法成功浏览LAN。常见的客户端连接问题。
-----------------------------------------------
客户端无法连接PPTP服务器:

1.尽可能指定IP ,而不是使用DHCP自动分配

2.配置正确的DNS SERVER地址

3.关闭PPTP过滤功能
  命令:Net Stop RASPPTPF

4.开启IP协议端口47(通用路由封装--GRE)和TCP端口1723
-----------------------------------------------

客户端能够连接但无法登录

1.确保是使用有效的用户帐号

2.确保用户帐号具备拨入权限

3.协商客户端身份验证方式
 
RAS服务器可以通过三种不同身份验证协议对PPTP用户进行身份验证。客户端与服务器通过协商方式确定的登录身份验证协议取决于在配置服务器进入端口与客户端PPTP连接网络设置时所选择的加密设置。

按照由低到高的安全性顺序,这三种协议分别是PAP、CHAP和MSCHAP。

PAP:通过明文方式实现的口令身份验证协议

CHAP:通过加密与Hash算法实现的质询式握手身份验证协议

MSCHAP:通过加密和带有校验和的双重Hash算法实现的Microsoft质询式握手身份验证协议


从系统的安全日志分析出错原因

1.启用组策略的审核策略并再次尝试建立连接。

2.查看事件查看器安全日志中所存储的记录时,就能够获得相关障碍的清晰描述信息。

可以看到用户名称是否合法,口令是否错误或者已经过期,计算机是否缺少一个合法帐号以及是否不存在可用VPN端口。当用户能够成功登录后,应用程序事件日志将记录登录的日期与时间。此外,用户注销时间和会话持续时间也会被记录。

-----------------------------------------------

客户端能够登录但无法浏览LAN

1.请确保已在所有Windows客户端上将工作组设置为目标NT域的名称

2.客户端TCP/IP设置

面向VPN会话的TCP/IP设置将采用与面向LAN连接的TCP/IP设置相同的方式运行。

先理解四种TCP/IP设置如何对网络连接与浏览方式产生影响:

 DNS服务器: 能够将域名转换为相应的IP地址。

 WINS服务器: 能够将NetBIOS名称转换为相应的IP地址。

 DHCP服务器: 至少能够为LAN客户端分配IP地址并在连接时为RAS客户端分配IP地址。
      可以分配的范围选项还包括域名、缺省网关、DNS服务器以及WINS服务器等。

 缺省网关:能够在数据传输目标为本地子网以外的系统时将数据发送至一台特定计算机或路由器。

3.使用route命令添加静态路由!!

4.安装NetBEUI协议

5.使用net use 命令
  如net use z: //myserver/myshare
  通过手工方式与共享资源建立连接是一种访问文件及打印机的良好工作机制。


-----------------------------------------------
已经建立连接的客户端无法浏览Internet

当出现这种问题时,尽管VPN会话处于活动状态,但客户端却无法浏览Internet。
导致这种问题的常见原因有两种:

1.当远程客户端具备网络连接时,VPN服务器可能不允许远程客户端访问Internet。而当关闭VPN连接后,由于缺省网关恢复为ISP所定义的网关,因此,客户端将能够浏览Internet。

2.当客户端处于连接状态时,Windows可能会使用VPN服务器所定义的网关来覆盖ISP网关,从而切  断客户端访问Internet的路径。

解决:通过手工方式添加静态路由记录(首先尝试VPN网关,其次尝试ISP网关)。

-----------------------------------------------
通过搜索Microsoft知识库

http://support.microsoft.com/search/default.asp

搜索有关PPTP客户端浏览与多宿主浏览的信息,将能够发现许多非常有用的链接。
这种搜索将返回有关多宿主服务器与网络浏览问题、PPTP连接以及WINS服务器位置等内容的文章列表。

VPN的解决方案

针对不同的用户要求,VPN有三种解决方案:远程访问虚拟网(Access VPN)、企业内部虚拟网(Intranet VPN)和企业扩展虚拟网(Extranet VPN),这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。
    
       ■Access VPN
       Access VPN,通过一个拥有与专用网络相同策略的共享基础设施,提供对企业内部网或外部网的远程访问。Access VPN能使用户随时、随地以其所需的方式访问企业资源。Access VPN包括模拟、拨号、ISDN、数字用户线路 (xDSL)、移动IP和电缆技术,能够安全地连接移动用户、远程工作者或分支机构。如图1所示。
    
       Access VPN最适用于公司内部经常有流动人员远程办公的情况。出差员工利用当地ISP提供的VPN服务,就可以和公司的VPN网关建立私有的隧道连接。RADIUS服务器可对员工进行验证和授权,保证连接的安全,同时负担的电话费用大大降低。
    
       Access VPN的优点如下:
    
       减少用于相关的调制解调器和终端服务设备的资金及费用,简化网络。
    
       实现本地拨号接入的功能来取代远距离接入或800电话接入,这样能显著降低远距离通信的费用。
    
       极大的可扩展性,简便地对加入网络的新用户进行调度。
    
       远端验证拨入用户服务(RADIUS)基于标准,基于策略功能的安全服务。
    
       将工作重心从管理和保留运作拨号网络的工作人员转到公司的核心业务上来。
    
       ■Intranet VPN
       越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等,各个分公司之间传统的网络连接方式一般是租用专线。显然,在分公司增多、业务开展越来越广泛时,网络结构趋于复杂,费用昂贵。利用VPN特性可以在Internet上组建世界范围内的Intranet VPN。利用Internet的线路保证网络的互联性,而利用隧道、加密等VPN特性可以保证信息在整个Intranet VPN上安全传输。Intranet VPN 通过一个使用专用连接的共享基础设施,连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相同政策,包括安全、服务质量 (QoS)、可管理性和可靠性。如图2所示。
    
       Intranet VPN的优点如下:
    
       减少WAN带宽的费用。
    
       能使用灵活的拓扑结构,包括全网孔连接。
    
       新的站点能更快、更容易地被连接。
    
       通过设备供应商WAN的连接冗余,可以延长网络的可用时间。
    
       ■Extranet VPN
       随着信息时代的到来,各个企业越来越重视各种信息的处理。希望可以提供给客户最快捷方便的信息服务,通过各种方式了解客户的需要,同时各个企业之间的合作关系也越来越多,信息交换日益频繁。Internet为这样的一种发展趋势提供了良好的基础,而如何利用Internet进行有效的信息管理,是企业发展中不可避免的一个关键问题。利用VPN技术可以组建安全的Extranet,既可以向客户、合作伙伴提供有效的信息服务,又可以保证自身的内部网络的安全。

0 0

相关博文

我的热门文章

img
取 消
img