图21
图22
图23
3、远程连接前准备
在远程连接之前要做好两个准备。
第一要获得VPN服务器接入Internet的公共IP地址,如果是分配的静态IP,那就简单了,如果是动态IP,那必须在远程能随时获得这个IP地址,本例如图1,192.168.0.2这台机器的公网IP实际上就是ADSL猫接入Internet时,是ISP给自动分配的,可以登陆路由器在状态下看分配的wan口ip地址或者通过在路由下面的任意一台电脑上打开ie浏览器,输入www.ip138.com 都可看到
ip地址。
。
第二要做个端口映射,从图1的拓扑可以看出,本例是通作在ADSL猫中通过NAT转换接入Internet的,通过这种方式一定要在ADSL中作端口映射,由于windows 2003的Vpn服务用的是1723端口,所以如图23,将1723端口映射到192.168.0.2这台设有VPN服务的机器。如果用的是直接拨号,那在防火墙中将
这个端口放开就行了。
图24
4、远程连接
上面的服务器中的测试完成后,就可以在家中进行远程连接了,其过程和在本机连接测试的过程一样,如图14至图21所示,在实际连接时到图18这一步时,输入VPN服务器所在的公网IP就行了。
实际应用中我是按照图1的拓扑连接的,连接很顺利,但遇到一个问题,在家通过VPN连入单位的机器后,和单位的机器通信完全正常,但不能正常上网。用route print检查路由(如表1所示)发现有两个到目标0.0.0.0的路由,网关一个是本来的网关192.168.1.1,一个是建立VPN后的网关169.254.101.219,这样在访问Internet网络时就有问题了。
解决的办法:
删除接入VPN后的路由,命令如下所示:
C:/>route delete 0.0.0.0 mask 0.0.0.0 169.254.101.219
加一条指向VPN服务器所在网络的路由,本例(如图1)VPN服务器的地址
为192.168.0.2,所以只要将到192.168.0.0这个网络的指向VPN的地址
169.254.101.219就行了。
C:/>route add 192.168.0.0 mask 255.255.255.0 169.254.101.219
5、几点说明
1)、建立完VPN连接后,两台电脑的VPN的IP地址都是169.0.0.0中的地址,好像不能修改,但这并不影响使用,如图1建立连接后,在192.168.1.10这台电脑中ping 192.168.0.2是通的,也就是说要访问这台机器的资源,只要
用192.168.0.2这个地址就行了。就像在局域网中一样。
2)、做为VPN服务器的这台机器的安全设置,如果没有特殊需要很多服务完全可以限制在局域网内,例如FTP服务只允许192.168.0.0网内的电脑访问。这样只要把VPN的安全做好就行了。换句话说,以本例来说,192.168.0.2这台机器访问Internet时是通过NAT地址转换,如果在ADSL猫中不做端口映射,从Internet的其它电脑上是看不到这台机器的,本例只做了VPN服务的1723端口的映射,虽然本机开了很多的服务,开放了很多端口,但这些都是对局域网开放的,要想从Internet访问这台机器,只有先建立了VPN才能访问其它的资源。
只做一个服务的安全总比做许多服务的安全要容易些。VPN服务器有许多安全设
置,以后再探讨。
3)、建立完VPN连接后,可以通过WWW、FTP互相访问,也可通过终端服务等登录到这台机器上,进而访问局域网中的其它电脑。图24就是192.168.1.10在建立完VPN后直接利用远程桌面连接,登录到192.168.0.2的机器上的登录界
面。
图25
注:在做vpn时遇到的问题:
1.在服务器端你也可以通过“远程访问客户端”看有客户端连接上了,用户名是zyb。
2.右键点击选状态。
相关推荐:
loading