文章內(nèi)容

VPN服務(wù)器配置實例解析上篇之PPTP (1)

發(fā)布時間: 2012/9/9 15:47:08

為了給企業(yè)的員工提供更多的服務(wù)，我們通常會在局域網(wǎng)內(nèi)部搭建文件服務(wù)器、應(yīng)用程序服務(wù)器或打印服務(wù)器等，一旦用離開單位（出差或在家辦公）就無法使用企業(yè)內(nèi)部的這些共享資源了，如何開發(fā)這些內(nèi)網(wǎng)的共享資源給我們在外出差或在家辦公的用戶呢？解決這個問題我們就要用到VPN（Virtual Private Network，虛擬專用網(wǎng)）技術(shù)，利用internet公網(wǎng)建立一個以遠程訪問協(xié)議（Remote access protocol）為基礎(chǔ)的私有通道（tunnel），讓外網(wǎng)用戶能夠安全的訪問公司內(nèi)部的資源。
       通常在一些對網(wǎng)絡(luò)訪問性能極其安全、要求比較嚴(yán)格的網(wǎng)絡(luò)中會使用一些硬件VPN設(shè)備，不過Windows Server 2008也完全可以勝任VPN的工作，接下來我們先了解一下VPN的基礎(chǔ)知識，然后再看一下具體的配置。
第一節(jié)   VPN部署場景及應(yīng)用協(xié)議
       在部署VPN時一般將其分為兩種連接方式，一種是讓外網(wǎng)用戶通過互聯(lián)網(wǎng)訪問內(nèi)網(wǎng)的共享資源，我們平時家里面用的寬帶撥號上網(wǎng)就是這種方式（PPPoE），也叫遠程訪問VPN連接（remote access VPN connection）,如下圖所示：

圖： 1
另外一種應(yīng)用方式一般用來解決分支機構(gòu)與公司總部的連接，因為分支機構(gòu)的PC設(shè)備較多且集中，第一種連接方式就顯得不夠智能，我們更希望實現(xiàn)路由器與路由器之間的連接（route-to-route VPN connection），讓兩個局域網(wǎng)的計算機實現(xiàn)互聯(lián)互通，用戶即便是在異地，但感覺仍然是在一個網(wǎng)絡(luò)里（如圖2所示），這時候的VPN服務(wù)器我們稱之為 VPN網(wǎng)關(guān)（VPN gateway）。

圖： 2
       我們將處于外網(wǎng)并通過VPN訪問的設(shè)備統(tǒng)稱為VPN客戶端，那么在公網(wǎng)中，VPN客戶端是如何找到VPN服務(wù)器（第一種連接方式）、VPN網(wǎng)關(guān)與VPN網(wǎng)關(guān)（第二種連接方式）之間又是怎樣相互聯(lián)系的呢？我們知道在TCP/IP網(wǎng)絡(luò)中，數(shù)據(jù)的收發(fā)是由封裝不同的協(xié)議來確定源目標(biāo)的，所以在互聯(lián)網(wǎng)中不同地方的VPN客戶端（或VPN服務(wù)器）與VPN服務(wù)器之間的的通訊也需要封裝特殊的協(xié)議，也就是專屬于VPN的PPP協(xié)議（Point-to-Point Protocol）。
         VPN客戶端（VPN服務(wù)器）與VPN服務(wù)器之間是通過互聯(lián)網(wǎng)傳輸數(shù)據(jù)，當(dāng)VPN客戶端（VPN服務(wù)器）與VPN服務(wù)器創(chuàng)建連接（建立私有通道）以后，為了保證數(shù)據(jù)的安全，必須要將通過私有通道傳輸?shù)臄?shù)據(jù)進行特殊的加密處理以防止被攔截，如果沒有揭秘密鑰，即便是被攔截也無法解密讀取，Windows Server 2008支持的加密協(xié)議有：PPTP、L2TP/IPSec和SSTP（SSL），在實施VPN解決方案時也一般以這三種加密協(xié)議為參考并實施，在下面的章節(jié)里，我們也會以此為例具體看一看它們的配置方法。
       但遠程的VPN客戶端連接到VPN服務(wù)器時，必須要輸入正確的用戶名和密碼以驗證其身份，如果驗證成功，VPN用戶就可以訪問授權(quán)下的資源，驗證失敗當(dāng)然就會拒絕登陸了，為了防止用戶名和密碼被攔截破解，Windows Server 2008所支持的驗證協(xié)議（authentication protocol）也不一樣。最基本的驗證協(xié)議是PAP（Password Authentication Protocol），但是其驗證密碼是以明文的形式發(fā)送的，最不安全，在項目實施時一般不會使用這種方式。比PAP較安全的是CHAP（Challenge Handshake Authentication Protocol），與PAP相比，雖然CHAP比較安全，但是CHAP不支持客戶端修改密碼，一旦VPN客戶端的身份驗證過期，將無法正常登陸。
         更為安全的驗證協(xié)議是MS-CHAP v2（Microsoft Challenge Handshake Authentication Protocol Version2）和EAP（Extensible Authentication Protocol），其協(xié)議的驗證方式和數(shù)據(jù)加密解密的形式我就不細(xì)說了，大家可以去找一下相關(guān)的文檔了解一下。
第二節(jié) PPTP應(yīng)用實例
         在部署VPN時最常用的協(xié)議就是PPTP協(xié)議了，它默認(rèn)的身份驗證方式是MS-CHAPv2，我們也可以自定義選擇更為安全的EAP驗證，如果采用MS-CHAPv2驗證，建議VPN客戶端的密碼設(shè)置的復(fù)雜一些，以最大限度的降低被破解的可能。下面我們以圖3所示的拓?fù)洵h(huán)境來搭建一個測試平臺，在這個環(huán)境中，我們需要一臺域控制器，一臺VPN服務(wù)器，并將其加入到域中作為域成員服務(wù)器，還有一臺NAT服務(wù)器（NAT服務(wù)器的部署方法請參見《實用window2008之三：NAT服務(wù)器的架設(shè)應(yīng)用實例》），另外我們用一臺Windows7作為VPN客戶端，域控、VPN和NAT都以Windows Server2008為搭建平臺，其中域控還要兼著文件服務(wù)器和DHCP服務(wù)器的角色，
圖： 3
         從上圖我們可以看出VPN服務(wù)器的內(nèi)外網(wǎng)卡分屬于不同的網(wǎng)絡(luò)，我們將192.168.16.0網(wǎng)段稱之為內(nèi)網(wǎng)，192.168.10.0網(wǎng)段稱之為外網(wǎng)，同時NAT服務(wù)器扮演路由的角色，用來轉(zhuǎn)換192.168.20.0 網(wǎng)段到192.168.10.0，我們用來做驗證的VPN客戶端就在192.168.20.0網(wǎng)段內(nèi)，但我們搭建完畢實驗環(huán)境后，可以先用PING命令測試一下（為了保證ping命令正確返回數(shù)據(jù)包，可以將圖3所示的各計算機都關(guān)閉防火墻），我們會發(fā)現(xiàn)從VPN客戶端執(zhí)行ping 通192.168.10.2（VPN服務(wù)器外網(wǎng)卡的IP地址），但卻不能ping通192.168.16.130（VPN服務(wù)器的內(nèi)網(wǎng)卡），這個沒有關(guān)系，我們配置完VPN后，我們再來ping 192.168.16.130，確定測試環(huán)境中的幾臺計算機都可以ping通后，我們接下來進入主題，看看PPTP VPN服務(wù)器的配置。
Step1.   啟動圖3中的VPN服務(wù)器，在“服務(wù)器管理器”中用添加角色向?qū)У姆椒ㄩ_始配置VPN，越過開始默認(rèn)頁后選擇服務(wù)器角色----“網(wǎng)絡(luò)策略和訪問服務(wù)”。
圖： 4
Step2.   跳過“網(wǎng)絡(luò)策略和訪問服務(wù)簡介”后選擇添加角色服務(wù)---路由和遠程訪問服務(wù)（RRAS）。
圖： 5
Step3. 在“確定安裝選擇”界面中確定“安裝”，安裝完畢后我們就可以關(guān)閉其界面了。
圖： 6
Step4. 在“開始”菜單中的“管理工具”中找到“路由和遠程訪問”選項，打開后我們發(fā)現(xiàn) “路由和遠程訪問”還是禁用狀態(tài)，在它上面點擊右鍵，選擇“配置并啟用“路由和遠程訪問”打開“歡迎使用路由和遠程訪問服務(wù)器安裝向?qū)?rdquo;。
圖： 7
Step5.   在接下來的界面中選擇“遠程訪問（撥號或VPN）”，點擊“下一步”選擇“VPN”，如果VPN服務(wù)器還兼職著NAT轉(zhuǎn)換讓內(nèi)部客戶端也可以上網(wǎng)的話，我們就要選擇第三項：虛擬專用網(wǎng)絡(luò)（VPN）和NAT。
圖： 8
Step6. 選擇連接外網(wǎng)的網(wǎng)卡，系統(tǒng)默認(rèn)情況下會選中下面的復(fù)選框，讓外網(wǎng)網(wǎng)卡只通過與VPN相關(guān)的數(shù)據(jù)包，而其他的數(shù)據(jù)包則會被拒絕，這會增加服務(wù)器的安全性，不過我們可以在設(shè)置完后，通過“輸入篩選器”和“輸出篩選器”更改設(shè)置。
圖： 9
Step7. 選擇分配VPN客戶端的IP地址的方式，可以選擇自動分配，也可以指定一個IP地址范圍，我們這里選擇“自動”。
圖： 10
Step8.    這個界面是用來用戶名和密碼的，不過我們這個實例中的VPN服務(wù)器已經(jīng)加入了域，所以我們不需要RADIUS驗證，選擇“否”后進入“下一步”。
圖： 11
Step9. 在下圖所示的界面中我們選擇“完成”按鈕后，會有一個提示開啟DHCP中繼代理的窗口，點擊“確定”后完成所有的設(shè)置。
圖： 12