文章內容

VPN服務器配置實例解析上篇之PPTP (1)

發(fā)布時間: 2012/9/9 15:47:08

為了給企業(yè)的員工提供更多的服務，我們通常會在局域網內部搭建文件服務器、應用程序服務器或打印服務器等，一旦用離開單位（出差或在家辦公）就無法使用企業(yè)內部的這些共享資源了，如何開發(fā)這些內網的共享資源給我們在外出差或在家辦公的用戶呢？解決這個問題我們就要用到VPN（Virtual Private Network，虛擬專用網）技術，利用internet公網建立一個以遠程訪問協(xié)議（Remote access protocol）為基礎的私有通道（tunnel），讓外網用戶能夠安全的訪問公司內部的資源。
       通常在一些對網絡訪問性能極其安全、要求比較嚴格的網絡中會使用一些硬件VPN設備，不過Windows Server 2008也完全可以勝任VPN的工作，接下來我們先了解一下VPN的基礎知識，然后再看一下具體的配置。
第一節(jié)   VPN部署場景及應用協(xié)議
       在部署VPN時一般將其分為兩種連接方式，一種是讓外網用戶通過互聯(lián)網訪問內網的共享資源，我們平時家里面用的寬帶撥號上網就是這種方式（PPPoE），也叫遠程訪問VPN連接（remote access VPN connection）,如下圖所示：

圖： 1
另外一種應用方式一般用來解決分支機構與公司總部的連接，因為分支機構的PC設備較多且集中，第一種連接方式就顯得不夠智能，我們更希望實現(xiàn)路由器與路由器之間的連接（route-to-route VPN connection），讓兩個局域網的計算機實現(xiàn)互聯(lián)互通，用戶即便是在異地，但感覺仍然是在一個網絡里（如圖2所示），這時候的VPN服務器我們稱之為 VPN網關（VPN gateway）。

圖： 2
       我們將處于外網并通過VPN訪問的設備統(tǒng)稱為VPN客戶端，那么在公網中，VPN客戶端是如何找到VPN服務器（第一種連接方式）、VPN網關與VPN網關（第二種連接方式）之間又是怎樣相互聯(lián)系的呢？我們知道在TCP/IP網絡中，數(shù)據的收發(fā)是由封裝不同的協(xié)議來確定源目標的，所以在互聯(lián)網中不同地方的VPN客戶端（或VPN服務器）與VPN服務器之間的的通訊也需要封裝特殊的協(xié)議，也就是專屬于VPN的PPP協(xié)議（Point-to-Point Protocol）。
         VPN客戶端（VPN服務器）與VPN服務器之間是通過互聯(lián)網傳輸數(shù)據，當VPN客戶端（VPN服務器）與VPN服務器創(chuàng)建連接（建立私有通道）以后，為了保證數(shù)據的安全，必須要將通過私有通道傳輸?shù)臄?shù)據進行特殊的加密處理以防止被攔截，如果沒有揭秘密鑰，即便是被攔截也無法解密讀取，Windows Server 2008支持的加密協(xié)議有：PPTP、L2TP/IPSec和SSTP（SSL），在實施VPN解決方案時也一般以這三種加密協(xié)議為參考并實施，在下面的章節(jié)里，我們也會以此為例具體看一看它們的配置方法。
       但遠程的VPN客戶端連接到VPN服務器時，必須要輸入正確的用戶名和密碼以驗證其身份，如果驗證成功，VPN用戶就可以訪問授權下的資源，驗證失敗當然就會拒絕登陸了，為了防止用戶名和密碼被攔截破解，Windows Server 2008所支持的驗證協(xié)議（authentication protocol）也不一樣。最基本的驗證協(xié)議是PAP（Password Authentication Protocol），但是其驗證密碼是以明文的形式發(fā)送的，最不安全，在項目實施時一般不會使用這種方式。比PAP較安全的是CHAP（Challenge Handshake Authentication Protocol），與PAP相比，雖然CHAP比較安全，但是CHAP不支持客戶端修改密碼，一旦VPN客戶端的身份驗證過期，將無法正常登陸。
         更為安全的驗證協(xié)議是MS-CHAP v2（Microsoft Challenge Handshake Authentication Protocol Version2）和EAP（Extensible Authentication Protocol），其協(xié)議的驗證方式和數(shù)據加密解密的形式我就不細說了，大家可以去找一下相關的文檔了解一下。
第二節(jié) PPTP應用實例
         在部署VPN時最常用的協(xié)議就是PPTP協(xié)議了，它默認的身份驗證方式是MS-CHAPv2，我們也可以自定義選擇更為安全的EAP驗證，如果采用MS-CHAPv2驗證，建議VPN客戶端的密碼設置的復雜一些，以最大限度的降低被破解的可能。下面我們以圖3所示的拓撲環(huán)境來搭建一個測試平臺，在這個環(huán)境中，我們需要一臺域控制器，一臺VPN服務器，并將其加入到域中作為域成員服務器，還有一臺NAT服務器（NAT服務器的部署方法請參見《實用window2008之三：NAT服務器的架設應用實例》），另外我們用一臺Windows7作為VPN客戶端，域控、VPN和NAT都以Windows Server2008為搭建平臺，其中域控還要兼著文件服務器和DHCP服務器的角色，
圖： 3
         從上圖我們可以看出VPN服務器的內外網卡分屬于不同的網絡，我們將192.168.16.0網段稱之為內網，192.168.10.0網段稱之為外網，同時NAT服務器扮演路由的角色，用來轉換192.168.20.0 網段到192.168.10.0，我們用來做驗證的VPN客戶端就在192.168.20.0網段內，但我們搭建完畢實驗環(huán)境后，可以先用PING命令測試一下（為了保證ping命令正確返回數(shù)據包，可以將圖3所示的各計算機都關閉防火墻），我們會發(fā)現(xiàn)從VPN客戶端執(zhí)行ping 通192.168.10.2（VPN服務器外網卡的IP地址），但卻不能ping通192.168.16.130（VPN服務器的內網卡），這個沒有關系，我們配置完VPN后，我們再來ping 192.168.16.130，確定測試環(huán)境中的幾臺計算機都可以ping通后，我們接下來進入主題，看看PPTP VPN服務器的配置。
Step1.   啟動圖3中的VPN服務器，在“服務器管理器”中用添加角色向導的方法開始配置VPN，越過開始默認頁后選擇服務器角色----“網絡策略和訪問服務”。
圖： 4
Step2.   跳過“網絡策略和訪問服務簡介”后選擇添加角色服務---路由和遠程訪問服務（RRAS）。
圖： 5
Step3. 在“確定安裝選擇”界面中確定“安裝”，安裝完畢后我們就可以關閉其界面了。
圖： 6
Step4. 在“開始”菜單中的“管理工具”中找到“路由和遠程訪問”選項，打開后我們發(fā)現(xiàn) “路由和遠程訪問”還是禁用狀態(tài)，在它上面點擊右鍵，選擇“配置并啟用“路由和遠程訪問”打開“歡迎使用路由和遠程訪問服務器安裝向導”。
圖： 7
Step5.   在接下來的界面中選擇“遠程訪問（撥號或VPN）”，點擊“下一步”選擇“VPN”，如果VPN服務器還兼職著NAT轉換讓內部客戶端也可以上網的話，我們就要選擇第三項：虛擬專用網絡（VPN）和NAT。
圖： 8
Step6. 選擇連接外網的網卡，系統(tǒng)默認情況下會選中下面的復選框，讓外網網卡只通過與VPN相關的數(shù)據包，而其他的數(shù)據包則會被拒絕，這會增加服務器的安全性，不過我們可以在設置完后，通過“輸入篩選器”和“輸出篩選器”更改設置。
圖： 9
Step7. 選擇分配VPN客戶端的IP地址的方式，可以選擇自動分配，也可以指定一個IP地址范圍，我們這里選擇“自動”。
圖： 10
Step8.    這個界面是用來用戶名和密碼的，不過我們這個實例中的VPN服務器已經加入了域，所以我們不需要RADIUS驗證，選擇“否”后進入“下一步”。
圖： 11
Step9. 在下圖所示的界面中我們選擇“完成”按鈕后，會有一個提示開啟DHCP中繼代理的窗口，點擊“確定”后完成所有的設置。
圖： 12