一����、問題的提出
如圖1所示,在單位有個私有地址為192.168.0.0的網絡���,各電腦是通過ADSL共享方式接入Internet�,在家中有臺電腦也通過ADSL訪問Internet��,現在想在家中隨時安全地訪問單位192.168.0.2這臺機器�����,實現方法很多,最為安全的是通過VPN��。
二�、什么是VPN
以本例來說就是現在單位192.168.0.2這臺機器上設置好VPN服務���,在家中通過VPN客戶端訪問單位這臺機器,建立連接后����,這兩臺機器通信時就像在局域網中一樣,比如:要在192.168.1.10這臺電腦中下載192.168.0.2這臺機器的文件(假設該機已設好FTP服務)�,可以直接在瀏覽器中鍵入:ftp://192.168.0.2下載文件了。雖然是通過Internet進行通信����,但整個過程都是加密的�����,就像是在Internet中穿了一條只有兩臺機器才能通過的隧道��,這就是VPN( Virtual PRivate Networks )虛擬專用網�。
圖1
三、優點
通過VPN最大的優點就是安全����。這點將在后面介紹到��。
四���、設置VPN服務
實現VPN的方式非常多,用帶VPN功能的路由器或用linux�、windows操作系統等,在windows系統下用雙網卡建立VPN服務器更容易實現�����、但要增加一塊網卡���。介紹這方面的內容很多����,不再贅述����。本文介紹的是在windows 2003中用單網卡來實現����。下面介紹實際實現過程��,首先是在192.168.0.2這臺機器上配置VPN服務��。
選擇"開始"'"所有程序"'"管理工具"'"路由和遠程訪問"。
設置過程如圖2至圖9所示�����,出現圖10界面就完成了單網的VPN服務器端的設置�,這里特別指出的是用單網卡一定要在圖6處選擇"自定義配置",否則就進行不下去了�。
圖2
圖3
圖4
圖5
圖6
圖7
圖8
圖9
圖10
五、從客戶端連接到VPN服務器
1���、新建有撥入權限的用戶
要登錄到VPN服務器��,必須要知道該服務器的一個有撥入權限的用戶,為了講得更明白�����,下面在該VPN服務器上新建個用戶并賦予該用戶撥入的權限��,過程如圖11至圖12是建立一個用戶����,圖13是給這個用戶遠程登錄的權限����,一定要在"遠程訪問權限"處選擇"允許訪問",不然就無法登錄了�。
圖11
圖12
圖13
圖14
2、在本機測試連接
在遠程連接到VPN服務器之前�,最好先在VPN服務器的本機測試一下,測試過程如下:
鼠標右鍵"網上鄰居"����,如圖14����,點擊"新建連接向導",按圖15至圖21的步驟建立連接����,因為現在做的是本機的測試,所以其中圖18中的ip地址為本機的地址����,圖21中的用戶dzq就是我們剛才新建的用戶。出現圖22的連接圖標表示連接成功��。這樣就可以進行遠程連接測試了�。如果此時用ipconfig /all看網卡狀態,就會看見三個網卡�����,其中一個IP地址為192.168.0.2的就是本機網卡����,另外兩個是剛才做本機測試時建立的����,它們的IP地址為169.x.xx . xxx .. xxx,這是VPN默認的IP地址��,是正常的����,不用管它����。
圖15
圖16
圖17
圖18
圖19
圖20
圖21
圖22
圖23
3�����、遠程連接前準備
在遠程連接之前要做好兩個準備�。
第一要獲得VPN服務器接入Internet的公共IP地址����,如果是分配的靜態IP�����,那就簡單了���,如果是動態IP���,那必須在遠程能隨時獲得這個IP地址,本例如圖1�����,192.168.0.2這臺機器的公網IP實際上就是ADSL貓接入Internet時��,是ISP給自動分配的��,獲得動態IP的方法請參考拙作《獲取動態IP地址的幾種方法》���。
第二要做個端口映射���,從圖1的拓撲可以看出��,本例是通作在ADSL貓中通過NAT轉換接入Internet的�,通過這種方式一定要在ADSL中作端口映射,由于windows 2003的VNP服務用的是1723端口�����,所以如圖23��,將1723端口映射到192.168.0.2這臺設有VPN服務的機器����。如果用的是直接撥號,那在防火墻中將這個端口放開就行了。
圖24
4����、遠程連接
上面的服務器中的測試完成后��,就可以在家中進行遠程連接了���,其過程和在本機連接測試的過程一樣,如圖14至圖21所示����,在實際連接時到圖18這一步時,輸入VPN服務器所在的公網IP就行了�����。
實際應用中我是按照圖1的拓撲連接的����,連接很順利�����,但遇到一個問題��,在家通過VPN連入單位的機器后,和單位的機器通信完全正常��,但不能正常上網���。用route print檢查路由(如表1所示)發現有兩個到目標0.0.0.0的路由,網關一個是本來的網關192.168.1.1����,一個是建立VPN后的網關169.254.101.219,這樣在訪問Internet網絡時就有問題了�。
C:/>route print
。����。。��。����。����。����。
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 169.254.101.219 169.254.101.219 1
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.10 2
61.55.13.163 255.255.255.255 192.168.1.1 192.168.1.10 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
169.254.101.219 255.255.255.255 127.0.0.1 127.0.0.1 50
169.254.255.255 255.255.255.255 169.254.101.219 169.254.101.219 50
192.168.1.0 255.255.255.0 192.168.1.10 192.168.1.10 20
192.168.1.10 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.1.255 255.255.255.255 192.168.1.10 192.168.1.10 20
224.0.0.0 240.0.0.0 192.168.1.10 192.168.1.10 20
224.0.0.0 240.0.0.0 169.254.101.219 169.254.101.219 1
255.255.255.255 255.255.255.255 192.168.1.10 192.168.1.10 1
Default Gateway: 169.254.101.219
===========================================================================
Persistent Routes:
None
解決的辦法:
刪除接入VPN后的路由����,命令如下所示:
C:/>route delete 0.0.0.0 mask 0.0.0.0 169.254.101.219
加一條指向VPN服務器所在網絡的路由,本例(如圖1)VPN服務器的地址為192.168.0.2,所以只要將到192.168.0.0這個網絡的指向VPN的地址169.254.101.219就行了�����。
C:/>route add 192.168.0.0 mask 255.255.255.0 169.254.101.219
5、幾點說明
1)�、建立完VPN連接后,兩臺電腦的VPN的IP地址都是169.0.0.0中的地址��,好像不能修改����,但這并不影響使用��,如圖1建立連接后��,在192.168.1.10這臺電腦中ping 192.168.0.2是通的,也就是說要訪問這臺機器的資源����,只要用192.168.0.2這個地址就行了。就像在局域網中一樣����。
2)、做為VPN服務器的這臺機器的安全設置��,如果沒有特殊需要很多服務完全可以限制在局域網內��,例如FTP服務只允許192.168.0.0網內的電腦訪問����。這樣只要把VPN的安全做好就行了�����。換句話說��,以本例來說����,192.168.0.2這臺機器訪問Internet時是通過NAT地址轉換��,如果在ADSL貓中不做端口映射��,從Internet的其它電腦上是看不到這臺機器的��,本例只做了VPN服務的1723端口的映射����,雖然本機開了很多的服務����,開放了很多端口��,但這些都是對局域網開放的�����,要想從Internet訪問這臺機器����,只有先建立了VPN才能訪問其它的資源���。只做一個服務的安全總比做許多服務的安全要容易些��。VPN服務器有許多安全設置����,以后再探討。
3)����、建立完VPN連接后,可以通過WWW��、FTP互相訪問�����,也可通過終端服務等登錄到這臺機器上���,進而訪問局域網中的其它電腦�。圖24就是192.168.1.10在建立完VPN后直接利用遠程桌面連接����,登錄到192.168.0.2的機器上的登錄界面����。
圖25
至此�����,已完成VPN的架設����,但是如果沒開NAT的話��,是無法通過NAT上網的�����,也就是上面出現需要手工修改路由表才能上網的情況����,下面介紹如何開NAT實現通過VPN上網方法:
在路由和遠程訪問-本地-IP路由選擇-常規-選擇“新增路由協議”-選擇“NAT/基本防火墻”
然后右鍵“NAT/基本防火墻”-新建接口-選擇“本地連接”-然后將其"設置為公用接口連接至internet"-勾上“在此接口上啟用NAT”
如圖:
再次訪問ip.vevb.com看看噢���,IP已經是VPN服務器的IP了~
并且本地不需要做其它任何設置
