VPN

来自DeerGrove Wiki
跳转至: 导航搜索


基于Windows server2012 R2 VPN搭建

  1. 搭建环境
    1. “服务器管理器”–“添加角色和功能”–选中“远程访问”
    2. 一直下一步到“角色服务”,选中“DireAccess和VPN(RAS)”和“路由”
    3. 一直下一步直到完成
  2. 配置VPN服务器
    1. 在“服务器管理器”中点击菜单栏中的“工具”选择“路由和远程访问”,在本地上右键选择“配置并启用路由和远程访问”
    2. 选择“自定义服务器”
    3. 选择“VPN访问”和“NAT”点击“下一步”
    4. 继续下一步知道完成,点击“完成”,出现提示”启动服务”点击“启动服务”;完成后,“SONG(本地)”就变绿了,继续配置。
    5. 在“IPv4”-“NAT” 上点击右键选择“新增接口”,在接口里选择外网接口,我这里是“以太网 2”
    6. 点击“确定”后弹出属性,这里选择“公用接口连接到Internet”-“在此接口上启用NAT”,点击确定
    7. 右键点击“SONG(本地)”选择“属性”,如图所示,配置VPN客户端地址池
  3. 配置VPN帐号
    1. 在“服务器管理器”中点击菜单栏中的“工具”选择“计算机管理”
    2. 在“用户”上点击右键选择“新用户”,输入“用户名”和“密码”,再选译“用户不能更换密码”和“密码永不过期”,点击“创建”,然后再点击“关闭”
    3. 双击新增加的用户“test”弹出“属性”窗口,选择“拨入”-“网络访问权限”-“允许访问”点击“确定”

这样就完成配置了。

注:

  • 创建用户的时候可以指定用户静态IP,但是要注意,不能是地址池起始IP,不然会不求作用。而且IP也不能超过池最后一个IP,不然也不生效。
  • 若系统开启防火墙,PPTP协议情况下需开启47和1723端口,并通过外网映射这两个端口即可
  • 防火墙注意打开PPTP或L2TP,开启相关服务。
  1. PPTP服务开启,需要在网内防火墙的地址转换(端口影射)下开启TCP端口:1723
  2. L2TP服务开启,需要在网内防火墙的地址转换(端口影射)下开启UDP端口:500,1701,4500
  3. [PPTP] TCP1723、GRE47
  4. [L2TP] UDP500、4500
  5. [OpenVPN] UDP443 または UDP1195
  6. [IKEv2] UDP500、4500
  7. [OpenConnect] TCP443

WIN7系统PPTP无法连接VPN的问题

  • PPTP帐户密码无法登陆*
  1. 确认services.msc服务中开启:Remote Access Auto Connection Manger

WIN7系统L2TP无法连接VPN的问题

  • 789错误处理方法:
  1. 修改注册表:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
  2. 在“编辑”菜单上,单击“新建”->“DWORD值”
  3. 在“名称”框中,键入“ProhibitIpSec”
  4. 在“数值数据”框中,键入“1”,然后单击“确定”
  5. 再找到AllowL2TPWeakCrypto,如果没有则新建“DWORD值”
  6. 修改值为1
  7. 退出注册表编辑器,然后重新启动计算机
  8. 然后就可以顺畅的使用L2TP的VPN了。
  • 809错误处理方法:
  1. 解决办法:需要两步解决以上出现的问题:
    1. 开始-运行,输入regedit,这样就打开了注册表编辑器,点左侧栏的HKEY_LOCAL_MACHINE,找到相应的注册项,删除注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\Parameters 下的 ProhibitIpSec 键值,把这个彻底项目彻底删除;
    2. 找到并单击以下注册表子项:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent,此时在编辑菜单上,指向新建,然后单击DWORD (32 位) 值. 键入AssumeUDPEncapsulationContextOnSendRule,创建好后,点开输入值为2,注意,这个地方一定要输入2,默认是0,一定要修改为2。执行完以上两步后重启电脑,再次连接VPN就可以了。
  2. 值:ProhibitIpSec的说明
    1. 0 为使用RAS的L2TP功能
    2. 1 为关闭RAS的L2TP功能
  3. 值:AssumeUDPEncapsulationContextOnSendRule的说明
    1. 值为 0 将 Windows 配置为无法建立与位于 NAT 设备后面的服务器的安全关联。这是默认值。
    2. 值为 1 将 Windows 配置为可以建立与位于 NAT 设备后面的服务器的安全关联。
    3. 值为 2 将 Windows 配置为服务器和基于 Windows Vista 的或基于 Windows Server 2008 的 VPN 客户端计算机均位于 NAT 设备后面,它可以建立安全关联。

L2TP VPN连接异常

  • “windows无法使用你提供的用户名和密码连接到网络……”:
  1. 局域网中可能有别的服务器占用了并映射了端口UDP:500,1701,4500;
  2. 防火墙地址转换中双向地址转换借用了上述同样的端口。
  • 内网无法使用VPN连接内网服务器
  1. 防火墙地址转换未开启:双向地址转换。
  • Iphone6无法使用L2TP连接VPN服务器
  1. 非 RFC 标准客户端使用 L2TP/IPSec VPN 连接,启用 SHA2-256 兼容模式(96 位)。