摘要: 有这么一种情况:我们下班后回到家里,却记起在公司的网络上还有一份重要的文件需要使用,需要登陆到公司的内部网上才能使用。怎么办?微软为我们提供了一个廉价、安全的解决方案:虚拟专用网(VPN(VirtualPrivateNetwork,简称VPN)。 通过VPN,...
有这么一种情况:我们下班后回到家里,却记起在公司的网络上还有一份重要的文件需要使用,需要登陆到公司的内部网上才能使用。怎么办?微软为我们提供了一个廉价、安全的解决方案:虚拟专用网(VPN(VirtualPrivateNetwork,简称VPN)。
通过VPN,我们可以轻松的从任何一个可以上网的地方登陆到公司的内部网络,并且微软为我们提供了多种加密、认证方式,可以保证安全,并且成本相当低廉。怎么,动心了?那么我们就来看看怎样在Windows2000Server上实现VPN。
首先我们要建立VPN服务器。
“开始”→“程序”→“管理工具”→“路由和远程访问”,出现下面的对话框:(图1)
或者通过管理控制台来实现:
1、在“运行”中写上“MMC”,回车
2、“控制台”→“添加/删除管理单元”→“添加”,选中“路由和远程访问”(图2),
点“添加”,“关闭”,就会会在管理控制台中看到“路由和远程访问”界面了。这个和上面的界面是一样的。
然后,我们选中你的机器名,比如我的是“MCSE”,那么就选中MCSE,点击鼠标右键,选中“配置并启用路由和远程访问”,(图3)
点“下一步”。出现图4的界面:(图4)
选中第三个,“虚拟专用网络(VPN)服务器”,然后“下一步”,让你选择远程客户的协议,(图5)
一般选择默认的就可以了,如果确实需要添加,就选“否,我需要添加协议”,然后系统提示你加入需要添加的协议。一般直接点击“下一步”就OK了。然后会让你指定服务器使用的Internet连接,根据需要选择。(图6)
选择好协议之后“下一步”,出现图7(图7)所示的界面
为了省事就直接用默认的“自动”,如果你安装了DHCP服务器,那么就自动分配地址,如果没有安装也没有关系,因为“路由和远程访问”服务包含了部分DHCP的功能,照样可以为拨入的用户提供一个动态的地址。
如果你的企业有额外的要求,必须分配固定的IP,那么就选择下面的“来自一个指定的地址范围”,“下一步”后提示你指定地址的范围。(图8)
填入你设定的起始IP地址和结束IP地址,然后“下一步”,问你是否想设置这个远程访问服务器使用一个现有的远程身份验证拨号用户服务(RADIUS),采用默认的,我们不使用RADIUS,(图9)
继续下一步。
到这里,我们已经完成了VPN服务器端的配置,点“完成”后系统开始配置路由和远程访问,进行VPN服务初始化。安装好后可以看到如下的界面:(图10)
当然,也许你对这样的配置不是很满意,那么就进行进一步设置。鼠标右键点击服务器名称,选择“属性”,弹出服务器的属性窗口。(图11)
一般有“常规”、“安全”、“IP”、“PPP”、“事件日志”等几项。可以根据我们的需要详细设置。
比如我们要设置服务器的身份验证方法,那么就选择“安全”,点“身份验证方法”,弹出身份验证对话框。(图12)
一般的要选择MS-CHAPv2和MS-CHAP两项,为了安全起见,强烈不建议选用“不加密的密码”和“允许远程系统不经过身份验证而连接”!到此,VPN服务器端设置完毕。
下面来看VPN客户端的配置。
当你身处外地的时候,访问公司的网络首先需要拨号上网,就是拨163、169啦。当然你用别的上网方式也可以的。只要能连接到Internet就好。然后建立一个VPN连接,用以拨入公司的网络。具体如下:
右键点击“网上邻居”,选“属性”后出现“网络和拨号连接”窗口,双击“新建连接”,“下一步”后要你选择网络连接类型,单选的,当然要选择“通过Internet连接到专用网络”了。(图13)
然后写上你要拨入的服务器的主机名或IP地址。比如:xijing.net或61.185.212.57。(图14)
选择你创建这个连接是要成为公用的连接还是独占的连接。(图15)
如果你手头的电脑是你自己使用,那么选择“所有用户使用此连接”,如果计算机有多个帐号还是设置“只是我自己使用此连接”为好。安全第一啊!^_^
最后要为这个连接创建一个名字,直接点“完成”就好了。完成后弹出一个连接窗口,写上密码就可以连接到远程服务器了!
连接成功之后屏幕左下角出现闪烁的连接标志(图16)
注意:
1、要保证你可以拨入到VPN服务器,首先要保证你在服务器有一个合法的帐号
2、帐号必须有“拨入”的权限,否则即使是Administrator也不可以拨入到网络。如果没有安装活动目录,可以右击“我的电脑”-“管理-“计算机管理”-“本地用户和组”,选中要设置拨入的用户,在“拨入”中选择“允许访问”。(图17)
如果安装了活动目录,就从“程序-管理工具-ActiveDirectory用户和计算机”来设置。选中“Users”,在服务器用户列表中选择你要设置拨入的用户,右键选择“属性”后在“拨入”标签下选择“允许访问”就OK了。(图18)
如果想对客户端进行设置,可以双击建立的VPN连接,在“属性”中修改。可供选择的有常规、选项、安全措施、网络、共享。读者可以自已根据需要设置。
发表于:2003年9月《黑客防线》
如承蒙转载请注明发表于该期杂志,以及作者姓名,谢谢合作!
作者:张百川 (网名:网路游侠) https://www.youxia.org