如何用Windows VPS搭建安全翻牆VPN

最近從Photonvps.com租了一台windows主機來測試網站，512M的記憶體，35G的硬碟空間，每個月500G的流量和2個獨立IP地址。我感覺價格偏貴，不過售後服務還是蠻不錯的，每次提交的ticket很快就會得到回復。

既然有兩個IP當然不能浪費了，乾脆做個windows VPN用來翻牆。下面詳細圖文介紹如何用Windows VPS搭建翻牆VPN伺服器。首先我們要保證vpn起用的條件,｣一停四開｣：
1.停止window自帶的防火牆(windows firewall/internet connection sharing (ICS)服務
2.遠程註冊表服務（Remote Registry)必須開啟
3.server服務 (Server)必須開啟
4.route路由服務(Routing and Remote Access)必須開啟
5.Workstation 服務必須開啟
如果伺服器是默認配置的情況下，只需要關閉防火牆就並設置啟動方式為禁用。然後在管理工具中打開｢路由和遠程訪問｣在列出的本地伺服器上點擊右鍵，選擇｢配置並啟用路由和遠程訪問｣。

由於Windows VPS伺服器是公網上的一台一般的伺服器，不是具有路由功能的伺服器，是單網卡的，所以這裡選擇｢自定義配置｣。這裡選｢VPN訪問｣和｢NAT/基本防火牆｣。下一步，配置嚮導完成。

點擊｢是｣，開始服務。看啟動了VPN服務後，｢路由和遠程訪問｣的界面下面開始配置VPN伺服器,在伺服器上點擊右鍵，選擇 ｢屬性｣，在彈出的窗口中選擇｢IP｣標籤，在｢IP地址指派｣中選擇｢靜態地址池｣。

然後點擊｢添加｣按鈕設置IP地址範圍，這個IP範圍就是VPN區域網路內部的虛擬IP地址範圍，每個撥入到VPN的伺服器都會分配到一個範圍內的IP，在虛擬區域網路中用這個IP相互訪問。這裡設置為 10.10.10.1-10.10.10.10，一共10個IP，默認的VPN伺服器佔用第一個IP，所以，10.10.10.1實際上就是這個VPN伺服器在虛擬區域網路的IP。
每個客戶端撥入VPN伺服器都需要有一個帳號，默認是 windows身份驗証，所以要給每個需要撥入到VPN的客戶端設置一個用戶，並為這個用戶制定一個固定的內部虛擬IP以便客戶端之間相互訪問。在管理工 具中的計算機管理里添加用戶，這裡以添加一個vpnuser用戶為例：先新建一個叫｢vpnuser｣的用戶，創建好後，查看這個用戶的屬性，在｢撥入｣ 標籤中做相應的設置，如圖：

遠程訪問許可權設置為｢允許訪問｣，以允許這個用戶通過VPN撥入伺服器。點選｢分配靜態IP地址｣，並設置一個VPN伺服器中靜態IP池範圍內的一個IP 地址，這裡設為10.10.10.10 。如果有多個客戶端機器要接入VPN，請給每個客戶端都新建一個用戶，並設定一個虛擬IP地址，各個客戶端都使用分配給自己的用戶撥入VPN，這樣各個客 戶端每次撥入VPN後都會得到相同的IP。如果用戶沒設置為｢分配靜態IP地址｣，客戶端每次撥入到VPN，VPN伺服器會隨機給這個客戶端分配一個範圍 內的IP。

至此，客戶端就可以直接通過windows連接嚮導連接VPN伺服器了，但是伺服器還沒有完全配置完，這裡需要特別說明一下：我們搭建VPN伺服器的目的是翻牆，而不是訪問伺服器所在的區域網路。如果僅僅是為了訪問區域網路資源而搭建VPN請看《windows2003架設VPN穿越Juniper防火牆設置步驟》這篇文章介紹了用Windows2003搭建VPN需要注意的細節及通過VPN跨網段訪問區域網路資源的設置。

再回到路由和遠程控制，找到｢NAT/基本防火牆｣右鍵點擊新建介面並選擇本地區域鏈接。如圖：

在NAT/基本防火牆設置中選擇公共介面鏈接到Internet，並在這個介面上啟用NAT。如圖：

選擇IP地址池選項卡，將ISP也就是你的主機供應商分配給的公網IP地址添上。如圖：

為了維護起來方便，我們可以將VPN用戶名和IP綁定起來，也就說每個用戶連接VPN會分到固定的IP地址，點擊預留IP將公網IP和私有IP進行 綁定，我剛剛建立了一個vpnuser的用戶並給此用戶分配了私有IP：10.10.10.10 那麼我就把這個私有IP綁定在多餘的IP地址上。如圖：

OK！到這裡VPN就配置完成了。盡情享受翻牆的樂趣吧！

來源於 如何用Windows VPS搭建翻牆VPN|奮鬥部落格