ADSL+双网卡DC实现共享上网外+VPN.doc

ADSL + 双网卡DC实现共享上网+VPN(真机环境) 利用windows server 2003的“路由与远程访问”组件搭建一个L2TP/IPSEC VPN服务器，让你从外部以更安全的L2TP方式访问内网，windows 2003的VPN支持NAT-T，这使得外部内网中的用户也能够使用L2TP的方式访问VPN服务器及内网，在以前，由于NAT与IPSEC的不兼容，使得我们只能通过PPTP的方式从一个内网中访问远方的VPN服务器及内网，比如从网吧访问自己的网络，有了windows server 2003，你也可以从任何地方以更安全的L2TP方式进行VPN访问了。 本文的大致网络环境如图1所示，以典型的ADSL共享上网为因特网接入方式，这里ADSL猫以一条网线连接到双网卡的Windows Server 2003上，然后Windows Server 2003再以内网卡连接到内部交换机上，两块网卡都配置了不同网段的IP，但网关和DNS都为空，内网中的客户机通过Windows Server 2003上的ADSL共享上网，这里将在这台Windows Server 2003上创建L2TP VPN服务器。为了完成这个工作，我们将做以下几部分工作：1， 启用“路由与远程访问”2， 创建ADSL连接3， 用NAT实现共享上网4， 配置VPN5， 安装独立根CA6， 为VPN服务器安装服务器证书7， L2TP客户端证书的安装8， L2TP客户端相关问题下面将依次讲述。 一、 启用“路由与远程访问”1，在管理工具中运行“路由与远程访问”，默认情况下“路由与远程访问”是禁用的，所以右击服务器图标，选择“配置并启用路由与远程访问”；2，进入“配置”窗口，选择“自定义配置”项；3，在“自定义配置”窗口，勾选“VPN访问”、“NAT和基本防火墙”和“LAN路由”项，其他的可以以后根据需要再配置。二、 创建ADSL用的PPPoE连接Windows Server 2003的“路由与远程访问”组件支持直接创建PPPoE的请求拨号接口，方法如下：1，展开服务器图标，右击“网络接口”，选择“新建请求拨号接口”，点击下一步；2，在“接口名称”窗口给这个接口取个有意义的名字，比如PPPoE；3，在“连接类型”中选择“使用以太网上的PPP（PPPOE）连接”项；4，在“服务名称”中取个有意义的名称，也可以不填，直接点下一步；5，在“协议及安全措施”窗口中勾选上“在此接口上路由选择IP数据包”；6，在“远程网络的静态路由”窗口中添加一条默认路由，也即是添加一条到目的的默认路由，点击“添加”按钮，然后弹出一个窗口，这里只添加一条默认路由，所以直接确定此窗口即可（如图2）。7，在“拨出凭据”窗口中，填入你ADSL虚拟拨号的用户名和密码,域一栏保持为空。上面的过程就完成了PPPOE连接的创建，但要想拨号成功，还需要修改一个地方，右击刚创建的PPPoE接口，选择“属性”，在弹出的窗口中选择“安全”标签（如图3），在其中选择“典型”项，“验证我的身份为”栏选择“允许没有安全措施的密码”项。为了保持这个接口的永久在线，切换到“选项”标签，在“连接类型”中选择“持续型连接”。完成了上面的操作后就可以右击PPPOE连接，然后选择“连接”项来建立ADSL连接了。要说明的一点是之所以在这里创建PPPoE连接而不是直接通过“网络连接”中的“创建一个新的连接”来创建ADSL连接，是因为“网络连接”窗口中创建的连接不能为NAT识别，而在NAT中又需要选择此PPPOE连接为外部连接以进行地址转换，所以就只有在这里创建了。三，用NAT安全共享此ADSL连接NAT就是Network Address Translation，也就是把不能直接与公网IP通信的私有IP翻译成公网IP（还有端口），以便能完成与公网的通信，关于它的介绍已很多了，这里就不细述，只强调一下设置NAT主要是设置好内部接口和外部接口，因为地址翻译就是在它们之间进行的。下面是基本操作方法：1， 定位到“IP路由选择”下的“NAT/基本防火墙”，右击之，选“新增接口”，这里首先选择内部接口，也就是内网卡所代表的那个本地连接，在弹出的窗口中选择“专用接口连接到专用网络”项。2， 再次添加接口，这次选择外部接口，即上面创建的PPPoE接口（注意不要选连ADSL那块网卡所在的本地连接)，在弹出窗口中选择“公用接口连接到Internet”，并勾选上“在些接口上启用NAT”和“在此接口上启用基本防火墙”两项（图4）。这里的基本防火墙是一种动态包过滤防火墙，相当于一个小型的状态检测防火墙，当外部的通信到达外部接口时，基本防火墙会检测NAT表中是否有相应的会话，如果没有就将拒绝通信。之所以这里要启用