通过上面的配置,内网客户端只要把网关和DNS都指向这台windows server 2003的内网卡地址就可以共享且安全地上网了。注意不要再去启用ICS(Internet连接共享)。
四、 配置VPN
1. 配置端口。在上面启用“VPN访问”选项之后,在“端口”中就已经有了PPTP和L2TP端口,默认情况下各自分配了128个,可以根据实际情况自行调整数量,调整方法是右击“端口”项进入“属性”窗口,双击其中的L2TP端口进行调整。现在你还可以保留一定量的PPTP端口,因为后面申请证书时可能要用,如果不需要PPTP端口,把它的数量设置为0。
2.配置VPN客户端要使用的IP范围
右击服务器图标进入属性窗口,选择“IP”标签,在“IP地址指派”栏选择“静态地址池”,添加一段静态IP。之所以不用DHCP分配IP,是因为静态IP范围更容易识别VPN客户端。
3.启用用户拨入权限或创建远程访问策略
要启用用户拨入权限,如果是域,请在“AD用户和计算机”中右击相应用户,在 “拨入”标签中选择“允许访问”或“通过远程访问策略控制访问”,如果不用域帐户验证,就在VPN服务器的 “本地用户和组”中启用用户的拨入权限。如果上面选择的是“通过远程访问策略控制访问”(此选项只有域是windows 2003本地模式时才会启用),可以再创建一个组,以包含所有有远程拨入权限的用户,然后进入“路由与远程访问”窗口,右击“远程访问策略”,新建一个远程访问策略,在“访问方法”中选择“VPN”项,“用户或组访问”中选择刚创建的组,在“身份验证方法”中默认选择了MS-CHAPv2,也可以把MS-CHAP选上,在“策略加密级别”中默认全部都选上了的,这是因为以前的操作系统版本可能不支持高位加密,这里根据客户端情况选择。 通过上面的配置后用户即可以PPTP的方式访问了,但要以L2TP的方式访问,还需要进行下面的工作。
五、在内网中安装独立根CA
为什么要安装证书服务(CA)呢?这是因为L2TP/IPSEC通信的双方需要先验证对方的计算机身份,通常有三种验证方法,一是用kerberos协议进行计算机身份验证,但kerberos不适合这种网络访问环境,另一种验证方法是通过预共享密钥,但这种方法容易导致预共享密钥的泄露,这就降低了安全性,还有一种方法就是通过
证书来验证计算机身份,当通信开始时,双方都要向对方出示证书以证明自己的合法身份。比较三种方法,我们这里就选择用证书来验证计算机身份,所以要在内网中安装CA服务。那为什么要安装独立根CA 而不是企业根CA呢?这是因为独立根CA不需要域的支持,这正适合那些可能不是域成员的外部VPN客户端,另外你会发现通过WEB方式申请计算机用的客户端证书或服务器端证书时使用独立CA更方便。当然如果你的网络环境是域,也建议你同时安装企业CA,这对于域中证书的发布和管理更方便。
六、为Windows Server 2003 VPN服务器申请并安装服务器证书
当L2TP客户端访问VPN服务器时,客户端要提供它的客户端证书,而VPN服务器则提供它的服务器证书,所以需要为VPN服务器申请一张服务器证书,申请通过WEB方式进行,在VPN服务器上输入地址http://IP/certsrv,申请步骤如下: 1, 在欢迎页面中选择“申请证书”项;
2, 在“选择申请类型”页面选择“高级申请”项;
3, 在“高级证书申请”页面选择“使用表格向这个CA提交一个证书申请”;
4, 在这个表格页面中填写上服务器的相关信息,在“意图”栏选择“服务器身份验证证书”,勾选上“使用本地机器保存”,其他项可以保持默认设置。
相关推荐:
loading