《WindowServer2016系统管理》19.PPTPVPN19.PPTPVPN服务器.pdfVIP

VPN VPN让分布于不同地点的⽹络之间可以通过Internet来建 ⽴安全的专⽤通道，远程⽤户也可以通过Internet来与公 司内部⽹络建⽴VPN，使得⽤户可以安全的访问公司⽹络 内的资源，企业内部⽹络中必须有⼀台windows server 服务器来提供vpn服务，同时VPN服务器⼀⽅⾯连接企业 内部专⽤⽹络，⼀⽅⾯要连接到internet, 也就是说VPN 服务器必须要有⼀个对外的公⽹IP。VPN使⽤三个⽅⾯的 技术保证了通信的安全性: 隧道协议 身份认证 与数据加 密 隧道协议PPP: 远程访问协议让分别位于不同位置的客户端与服务器之 间， 服务器与服务器之间能够通信 windows server 2016⽀持的隧道协议为PPP，PPP⽤在拨号式或固接式的 点对点连接中传输数据，例如分别位于不同位置 采⽤ TCP/IP通信协议的两台计算机之间相互通信的数据包可 以被封装到PPP数据包内传输，PPP是⽬前最被⼴泛使⽤ 的远程访问协议，⽽且安全性好 扩展性强 身份认证协议: PAP：客户端发送到VPN服务器的密码是以明⽂形式发送 的，没经过加密 如在传输过程中被拦截，密码可能会被 外泄 不安全 chap与ms-chapv2: 都⽤挑战—应答的形式来进⾏身份 验证，不会在⽹络上传输⽤户的密码 eap:windows 2016中⽀持的EAP-TLS利⽤证书来验证身 份， 数据加密: 使⽤MPPE（microsoft point-to-point encryption）加密法来加密 实验.PPTP服务器的搭建 实验拓扑图 VPN服务器 需要有两块⽹卡 IP地址分别为 172.16.80.0 和 172.16.70.210 远程⽤户主机IP 172.16.80.0 内⽹服务器IP 172.16.70.188 实验⽬的：远程⽤户通过拨⼊VPN服务器 获得内⽹IP，并可以和内⽹服务器成功通信 STEP1.安装PPTP VPN服务器 服务器管理—添加⻆⾊—远程管理 STEP2.持续点击”下⼀步”直⾄出现如下图步骤 STEP3. 持续点击”下⼀步”安装完成， 之后进⼊路由与远程访问 开始对VPN服务器进 ⾏设置 STEP4. 选择⾃定义配置 STEP5. 勾选 “VPN”，启动服务 STEP6.指定外⽹⽹卡 STEP7. 远程⽤户拨⼊后通过DHCP的⽅式来获取IP地址 STEP8. 由于实验⽤的域环境，所以身份认证采⽤Windows帐号形式 STEP9.配置DHCP中继 STEP10.继续配置VPN服务器 STEP10. 指定身份验证⽅法为 ms-chapv2 STEP11. 指定客户端拨⼊VPN服务器后，获取IP地址的⽅式， 配置完成后重启VPN服 务 PPTP客户端设置 STEP1. STEP2. STEP3. STEP4. 指定VPN服务器的iP地址，并为该连接指定名称 STEP5.此时可以看到新创建的VPN连接图标 STEP6.通过连接属性指定VPN类型，VPN客户端会⾃动挑选VPN通信协议来连接VPN 服务器 可以通过连接属性来指定 STEP7.创建域帐号 lily, 并赋予其远程拨⼊权限 STEP8.VPN连接前远程⽤户可以正常访问internet STEP9.开始进⾏VPN连接 ， 输⼊帐号密码即可成功登录 STEP10.连接成功后，查看远程客户端获取的IP地址，在VPN服务端 可以看到有⽤户 成功拨⼊ 远程VPN客户端可以成功连接内⽹主机 问题1. VPN客户端此时为什么不能访问internet? VPN客户端拨⼊成功之后，只能与公司内⽹主机通信但是⽆法访问internet 原因路由表问题 客户端尚未连接VPN服务器时，路由表如下， 可⻅默认路由指向了⾃⼰的⽹关 172.16.80.2， 跃点数为25， 该值越⼩越优 当拨⼊VPN后路由表变为， 可⻅有两条默认路由，分别指向不同的地址，⼀个指向 VPN链路，⼀个指向本地⽹关，但是指向VPN链路的跃点数⼩，所以 优先选择该路径，作为默认路由的路径 解决⽅法: VPN连接属性—⽹络—TCP/IP—⾼级 反选在远程⽹络上使⽤默认⽹关 断开重连之后，再次查看路由表 去往internet的流量⾛本地⽹卡 去往172.16.0.0的流量 172.16.70.208（也就是VPN拨⼊后获取的地址） 此时VPN客户端内⽹外⽹均可访问