一台Windows Server 2008 R2 云服务器'(vpn服务器)
内网地址:172.0.0.8
外网地址:210.22.23.22
一台本地Windows系统PC(客户端)
可正常上网,网络环境优良即可
如果需要映射本地服务器到公网,需要满足以下条件:
1、拥有公网固定ip地址或者动态公网地址(需要在网关上做DDNS)
2、在网关上映射内网服务器到公网
3、放行特定端口访问(详细端口见文章)
1、打开服务器管理器,点击“添加角色”。
2、添加角色向导,点击“下一步”。
3、选择服务器角色,勾选“网络策略和访问服务”,点击“下一步”。
4、网络策略和访问服务,点击“下一步”。
5、选择角色服务,勾选“路由和远程访问服务”,点击“下一步”。
6、确认安装选择,点击“安装”。
7、安装完成,点击“关闭”。
1、打开管理工具里边的“路由和远程访问”。
2、路由和远程访问,右击“SERVER(本地)”,选择“配置并启用路由和远程访问”。
3、路由和远程访问服务器安装向导,点击“下一步”。
4、配置,选择“自定义配置”,点击“下一步”。
5、全部选择,点击“下一步”。
6、点击“完成”
7、点击“启动服务”,再次点击完成即可。
1、再次打开服务器管理器,依次打开角色—网路策略和访问服务—IPv4—NAT,并右键点击NAT,点击“新增接口”
2、在弹出的对话框中选择“本地连接”,并点击确定
2、然后选择“公用接口连接到Internet”,并勾选“在此接口上启用 NAT”,然后点确定
3、接着右键点击“路由和远程访问”,并点击“属性”
4、切换到“安全”选项卡,勾选“允许L2TP 连接使用自定义IPsec 策略”,并在下方设置PSK(预共享密钥)为:123456,
为安全考虑,请务必设置复杂一点,可以设置为服务器MAC地址等,保障安全性,这里演示,就简单点
5、再点击IPv4选项卡,改为“静态地址池”,并添加地址,可随意添加,然后确定
6、确定后会提示让重启服务,右键点击“路由和远程访问”——所有任务——重新启动
7、依次点击“角色”—“网络策略和访问服务”—“路由和远程访问”—“选程访问日志和策略”,然后右键“选程访问日志和策略”,点击“启动NPS”
8、点击“网络策略”,如果没有这两个,就需要手动添加,详细步骤看第9步,如果有,则右击点击属性,改为“授予访问权限”即可
9、手动添加2个策略(如果没有就需要,有的话直接授权访问即可)
点击“操作”—“新建”—策略名称为“Connections to Microsoft Routing and Remote Access server”,点击下一步
点击“添加”—选择“MS-RAS供应商”—“添加”—输入“^311$”,点击下一步
点击“已授予访问权限”,点击下一步
点击“添加”—“身份验证方法”选择“Microsoft:安全密码EAP-MSCHAP v2”,点击确定,点击下一步
点击下一步(跳过约束设置)
点击“IP筛选器”—“IPv4”—“输入筛选器”—“新建”—“确定”—勾选“仅允许下面列出的数据包”—“确定”,点击“加密”—四项全部勾选,点击下一步
点击完成即可。
点击“操作”—“新建”—策略名称为“Connections to other access servers”,点击下一步
点击“添加”—选择“日期和时间限制”—“添加”—点击“全部”——“确定”,点击下一步
点击“已授予访问权限”,点击下一步
然后一直全部直接点击“下一步”跳过设置
最后点击完成即可。
10、服务器和客户端上都需要进行的操作
(1)、以管理员账号身份打开注册表(cmd下输入regedit)
找到:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
将allowL2TPweakcryphto的值改为1,没有就新建一个DWORD(一定要32bit,否则连不上)
找到:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
将AssumeUDPEncapsulationContextOnSendRule的值改为2,没有就新建一个DWORD(一定要32bit,否则连不上)
(2)、以管理员账号身份打开服务(cmd下输入services.msc)
找到IKE and AuthIP IPsec Keying Modules 选择启动类型为 自动 ,然后启动服务后应用即可
找到IPsec Policy Agent 选择启动类型为 自动 ,然后启动服务后应用即可
找到Routing and Remote Access 选择启动类型为 自动 ,然后启动服务后应用即可
以上(1)(2)两步文末有脚本可实现
(3)、以管理员账号身份打开根控制中心(cmd下输入mmc)
“文件”—“添加或删除管理单元”—“IP安全策略管理”—“添加”—“完成”—“确定”
右键“IP安全策略,在本地计算机”—“创建IP安全策略”—一直点下一步—勾选“激活默认响应规则(仅限早期版本的Windows)”—选择“使用此字符串来保护密钥交换(预共享密钥):”—写入设置好的预共享密钥—下一步—一直到结束。
右键新建好的策略—点击“分配”即可—关闭控制台——选择“否”
11、打开“服务器管理器”—点击“配置”—“本地用户和组”—“用户”—右键“新用户”,
用户名:admin (可自定义)
密码:&ygvbhu*1234 (可自定义)
取消勾选用户下次登录时须更改密码
勾选用户不能更改密码(s)
勾选密码永不过期(W)
然后创建用户,再右键该用户,点击“属性”,切换到“拨入”选项卡,在网络访问权限中选择允许访问(W)即可
打开“服务器管理器”—点击“配置”—“高级安全Windows 防火墙”—“入站规则”—“新建规则”
如果是内部服务器,在网关映射时,同时需要映射UDP1701、500、4500三个端口到服务器,
截图有错,是1701,不是1723
如果是云服务器,同时需要在安全组中放行UDP1723、500、4500三个端口
最后一定要重启服务器。
五、客户端连接VPN方法(Win10为例)
需要的信息:
服务器地址:210.22.23.22
用户名:admin
密码:&ygvbhu*1234
预共享密钥:123456
Win10中打开设置—网络—VPN—添加VPN
在网络连接中设置
连接成功
注意:如果在事件中出现如下警告,需要如下操作
VPN错误原因:找不到证书。使用通过IPSEC的L2TP协议的连接要求安糖机器证书,它也叫做计算机证书。此端口上不能接收到呼叫。
这是因为Windows为L2TP连接的VPN自动创建一个IPsec策略,这个IPsec策略
使用本地机器上的证书来进行双方的认证.如果本地机器没有合适的证书,那么
就会出现上面的问题.
解决办法:取消L2TP VPN自动创建的IPsec策略(服务器和PC保持一致)
运行regedit.exe,打开
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
新建一DWORD值ProhibitIPsec,并将值设置为0即可
附:L2TP修改注册表和服务状态修改脚本,解压后,右键管理员账户运行即可
关于809的详细拍错:https://blog.netimed.cn/archives/Issue/20191104/159.html
Powered by rrcnzz.com
©2019 - 2024 人人站长网
您的IP:3.140.198.3,2024-12-27 19:48:25,Processed in 0.05616 second(s).
