Win 2003单网卡实现VPN+NAT完整攻略

 

　3、远程连接前准备

　　在远程连接之前要做好两个准备。

　　第一要获得VPN服务器接入Internet的公共IP地址，如果是分配的静态IP，那就简单了，如果是动态IP，那必须在远程能随时获得这个IP地址，本例如图1，192.168.0.2这台机器的公网IP实际上就是ADSL猫接入Internet时，是ISP给自动分配的，获得动态IP的方法请参考拙作《获取动态IP地址的几种方法》。

　　第二要做个端口映射，从图1的拓扑可以看出，本例是通作在ADSL猫中通过NAT转换接入Internet的，通过这种方式一定要在ADSL中作端口映射，由于windows 2003的VNP服务用的是1723端口，所以如图23，将1723端口映射到192.168.0.2这台设有VPN服务的机器。如果用的是直接拨号，那在防火墙中将这个端口放开就行了。

图24

　　4、远程连接

　　上面的服务器中的测试完成后，就可以在家中进行远程连接了，其过程和在本机连接测试的过程一样，如图14至图21所示，在实际连接时到图18这一步时，输入VPN服务器所在的公网IP就行了。

　　实际应用中我是按照图1的拓扑连接的，连接很顺利，但遇到一个问题，在家通过VPN连入单位的机器后，和单位的机器通信完全正常，但不能正常上网。用route print检查路由(如表1所示)发现有两个到目标0.0.0.0的路由，网关一个是本来的网关192.168.1.1，一个是建立VPN后的网关169.254.101.219，这样在访问Internet网络时就有问题了。

C:\>route print
            。。。。。。。
            Active Routes:
            Network Destination        Netmask          Gateway       Interface  Metric
            0.0.0.0          0.0.0.0  169.254.101.219  169.254.101.219      1
            0.0.0.0          0.0.0.0      192.168.1.1     192.168.1.10      2
            61.55.13.163  255.255.255.255      192.168.1.1     192.168.1.10      1
            127.0.0.0        255.0.0.0        127.0.0.1        127.0.0.1      1
            169.254.101.219  255.255.255.255        127.0.0.1        127.0.0.1     50
            169.254.255.255  255.255.255.255  169.254.101.219  169.254.101.219     50
            192.168.1.0    255.255.255.0     192.168.1.10     192.168.1.10     20
            192.168.1.10  255.255.255.255        127.0.0.1        127.0.0.1     20
            192.168.1.255  255.255.255.255     192.168.1.10     192.168.1.10     20
            224.0.0.0        240.0.0.0     192.168.1.10     192.168.1.10     20
            224.0.0.0        240.0.0.0  169.254.101.219  169.254.101.219      1
            255.255.255.255  255.255.255.255     192.168.1.10     192.168.1.10      1
            Default Gateway:   169.254.101.219
            ===========================================================================
            Persistent Routes:
            None

　　解决的办法：

　　删除接入VPN后的路由，命令如下所示：

　　C:\>route delete 0.0.0.0 mask 0.0.0.0 169.254.101.219

　　加一条指向VPN服务器所在网络的路由，本例(如图1)VPN服务器的地址为192.168.0.2,所以只要将到192.168.0.0这个网络的指向VPN的地址169.254.101.219就行了。

　　C:\>route add 192.168.0.0 mask 255.255.255.0 169.254.101.219

　　5、几点说明

　　1)、建立完VPN连接后，两台电脑的VPN的IP地址都是169.0.0.0中的地址，好像不能修改，但这并不影响使用，如图1建立连接后，在192.168.1.10这台电脑中ping 192.168.0.2是通的，也就是说要访问这台机器的资源，只要用192.168.0.2这个地址就行了。就像在局域网中一样。

　　2)、做为VPN服务器的这台机器的安全设置，如果没有特殊需要很多服务完全可以限制在局域网内，例如FTP服务只允许192.168.0.0网内的电脑访问。这样只要把VPN的安全做好就行了。换句话说，以本例来说，192.168.0.2这台机器访问Internet时是通过NAT地址转换，如果在ADSL猫中不做端口映射，从Internet的其它电脑上是看不到这台机器的，本例只做了VPN服务的1723端口的映射，虽然本机开了很多的服务，开放了很多端口，但这些都是对局域网开放的，要想从Internet访问这台机器，只有先建立了VPN才能访问其它的资源。只做一个服务的安全总比做许多服务的安全要容易些。VPN服务器有许多安全设置，以后再探讨。

　　3)、建立完VPN连接后，可以通过WWW、FTP互相访问，也可通过终端服务等登录到这台机器上，进而访问局域网中的其它电脑。图24就是192.168.1.10在建立完VPN后直接利用远程桌面连接，登录到192.168.0.2的机器上的登录界面。

图25

　　至此，已完成VPN的架设，但是如果没开NAT的话，是无法通过NAT上网的，也就是上面出现需要手工修改路由表才能上网的情况，下面介绍如何开NAT实现通过VPN上网方法：

　　在路由和远程访问-本地-IP路由选择-常规-选择“新增路由协议”-选择“NAT/基本防火墙”

　　然后右键“NAT/基本防火墙”-新建接口-选择“本地连接”-然后将其"设置为公用接口连接至internet"-勾上“在此接口上启用NAT”

　　如图：

　　再次访问www.ip138.com看看噢，IP已经是VPN服务器的IP了~

　　并且本地不需要做其它任何设置

上一页  [1] [2] [3] [4] [5]