Windows 2003 CA认证L2TP VPN
用windows server 2003的“路由与远程访问”组件搭建一个L2TP/IPSEC VPN服务器,让你从外部以更安全的L2TP方式访问内网,windows 2003的VPN支持NAT-T,这使得外部内网中的用户也能够使用L2TP的方式访问VPN服务器及内网,在以前,由于NAT与IPSEC的不兼容,使得我们只能通过PPTP的方式从一个内网中访问远方的VPN服务器及内网,比如从网吧访问自己的网络,z在windows 2003中你也可以从任何地方以更安全的L2TP方式进行VPN访问了。
网络环境如图所示,以典型的ADSL共享上网为因特网接入方式,这里ADSL猫以一条网线连接到双网卡的Windows Server 2003上,然后Windows Server 2003再以内网卡连接到内部交换机上,两块网卡都配置了不同网段的IP,但网关和DNS都为空,内网中的客户机通过Windows Server 2003上的ADSL共享上网,这里将在这台Windows Server 2003上创建L2TP VPN服务器。
一、 启用“路由与远程访问”
1,在管理工具中运行“路由与远程访问”,右击服务器图标,选择“配置并启用路由与远程访问”; 2,进入“配置”窗口,选择“自定义配置”项;
3,在“自定义配置”窗口,勾选“VPN访问”、“NAT和基本防火墙”和“LAN路由”项。
二、 创建ADSL用的PPPoE连接
Windows Server 2003的“路由与远程访问”组件支持直接创建PPPoE的请求拨号接口,方法如下: 1,展开服务器图标,右击“网络接口”,选择“新建请求拨号接口”,点击下一步; 2,在“接口名称”窗口给这个接口取个有意义的名字,比如PPPoE; 3,在“连接类型”中选择“使用以太网上的PPP(PPPOE)连接”项; 4,在“服务名称”中取个有意义的名称,也可以不填,直接点下一步;
5,在“协议及安全措施”窗口中勾选上“在此接口上路由选择IP数据包”;
6,在“远程网络的静态路由”窗口中添加一条默认路由,即添加一条到目的0.0.0.0的默认路由。
7,在“拨出凭据”窗口中,填入你ADSL虚拟拨号的用户名和密码,域一栏保持为空。
上面的过程就完成了PPPOE连接的创建,但要想拨号成功,还需要修改一个地方,右击刚创建的PPPoE接口,选择“属性”,在弹出的窗口中选择“安全”标签,在其中选择“典型”项,“验证我的身份为”栏选择“允许没有安全措施的密码”项。为了保持这个接口的永久在线,切换到“选项”标签,在“连接类型”中选择“持续型连接”。完成后右击PPPOE连接,然后选择“连接”。
在这里创建PPPoE连接而不是直接通过“网络连接”中的“创建一个新的连接”来创建ADSL连接,是因为“网络连接”窗口中创建的连接不能为NAT识别,而在NAT中又需要选择此PPPOE连接为外部连接以进行地址转换,所以就只有在这里创建了。
三,用NAT安全共享此ADSL连接
1, 在“NAT/基本防火墙”上右击选“新增接口”,这里首先选择内部接口,也就是内网卡所代表的那个本地连接,在弹出的窗口中选择“专用接口连接到专用网络”项。
2, 再次添加接口,这次选择外部接口,即上面创建的PPPoE接口(注意不要选连ADSL那块网卡所在的本地连接),在弹出窗口中选择“公用接口连接到Internet”,并勾选上“在此接口上启用NAT”和“在此接口上启用基本防火墙”两项。之所以这里要启用基本防火墙,是因为启用了“路由与远程访问”之后就不能启用操作系统内置的防火墙了。另外也可以利用静态数据包筛选器静态地进行包过滤。启用了基本防火墙之后最好也不要再安装其他防火墙了。
相关推荐:
loading