Windows 2008 搭建 VPN伺服器

我在伺服器上搭了一個VPN伺服器，可以開放一些帳號用用。VPN的協議大致有3種PPTP,l2tp和SSTP，PPTP是最早的VPN協議，許多終端都支持這個協議，所以我準備用PPTP協議搭這個VPN，但是這幾個協議之間的區別還是要好好了解的

PPTP：(PPTP: Point to Point Tunneling Protocol）

端對端隧道協議（PPTP）是Windows NT 4.0中首先提供支持的隧道協議。PPTP是對端對端協議（PPP）的一種擴展，它採用了PPP所提供的身份驗証、壓縮與加密機制。PPTP能夠隨 TCP/IP協議一道自動進行安裝。PPTP與Microsoft端對端加密（MPPE）技術提供了用以對保密數據進行封裝與加密的首要VPN服務。

一個PPP幀（一個IP或IPX數據包）將通過通用路由封裝（Generic Routing Encapsulation，GRE）報頭和IP報頭進行封裝。IP報頭中提供了與VPN客戶端和VPN伺服器相對應的源IP地址和目標IP地址。

MPPE將通過由MS-CHAP、MS-CHAP v2或EAP-TLS身份驗証過程所生成的加密密鑰對PPP幀進行加密。為對PPP幀中所包含的有效數據進行加密，虛擬專用網路客戶端必須使用MS- CHAP、MS-CHAP v2或EAP-TLS身份驗証協議。PPTP將利用底層PPP加密功能並直接對原先經過加密的PPP幀進行封裝。

L2TP：Layer 2 Tunneling Protocol

第二層隧道協議（L2TP）是一種Internet工程任務組（IETF）標準隧道協議。與PPTP不同，Windows 2000所支持的L2TP協議並非利用MPPE對PPP幀進行加密。L2TP依靠Internet協議安全性（IPSec）技術提供加密服務。L2TP與 IPSec的結合產物稱為L2TP/IPSec。VPN客戶端與VPN伺服器都必須支持L2TP和IPSec。L2TP將隨同路由與遠程訪問服務一道自動 進行安裝。
L2TP/IPSec提供了針對保密數據進行封裝與加密的首要VPN服務。
在IPSec數據包基礎上所進行的L2TP封裝由兩個層次組成：

• L2TP封裝： PPP幀（IP或IPX數據包）將通過L2TP報頭和UDP報頭進行封裝。
• IPSec封裝： 上 述封裝後所得到的L2TP報文將通過IPSec封裝安全性有效載荷（ESP）報頭、用以提供消息完整性與身份驗証的IPSec身份驗証報尾以及IP報頭再 次進行封裝。IP報頭中將提供與VPN客戶端和VPN伺服器相對應的源IP地址和目標IP地址。IPSec加密機制將通過由IPSec身份驗証過程所生成 的加密密鑰對L2TP報文進行加密。

PPTP與L2Tp的區別：

PPTP和L2TP都使用PPP協議對數據進行封裝，然後添加附加包頭用於數據在網際網路上的傳輸。儘管兩個協議非常相似，但是仍存在以下幾方面的不同：

1.PPTP要求網際網路為IP網路。L2TP只要求隧道媒介提供面向數據包的點對點的連接。L2TP可以在IP（使用UDP），楨中繼永久虛擬電路（PVCs),X.25虛擬電路（VCs）或ATM VCs網路上使用。

2.PPTP只能在兩端點間建立單一隧道。L2TP支持在兩端點間使用多隧道。使用L2TP，用戶可以針對不同的服務質量創建不同的隧道。

3.L2TP可以提供包頭壓縮。當壓縮檔頭時，系統開銷（overhead）佔用4個位元組，而PPTP協議下要佔用6個位元組。

4.L2TP可以提供隧道驗証，而PPTP則不支持隧道驗証。但是當L2TP或PPTP與IPSEC共同使用時，可以由IPSEC提供隧道驗証，不需要在第2層協議上驗証隧道

PPTP伺服器配置：

PPTP VPN的Server端可以在安裝有Windows系統的設備上進行配置，也可以在路由器和防火牆上進行配置。這裡，我們將了解到如何在Windows 2008 R2上配置PPTP VPN Sever端。

安裝｢遠程和路由服務｣

在Windows Server 2008 R2上配置PPTP VPN Sever端必須先通過伺服器管理器添加角色來開啟｢遠程和路由服務｣功能（默認是關閉的），

在伺服器角色中選擇｢網路策略和訪問服務｣，點擊下一步

選擇｢路由和遠程訪問服務｣，點擊下一步並安裝

啟用｢路由與遠程訪問服務｣

點擊管理工具-->路由與遠程訪問

右擊伺服器名稱配置並啟用路由和遠程訪問

選擇｢自定義配置｣，點擊下一步

勾選｢VPN訪問｣

安裝完成之後選擇｢啟動服務｣

配置VPN伺服器

右擊伺服器名稱-->屬性

在屬性窗口中選擇｢IPv4｣選項卡，配置分配給撥入客戶端的VPN地址池，選擇｢靜態地址池｣，點擊｢添加｣，將一定範圍的未被佔用的區域網路地址劃入地址池。（即你要分配的外網ip段或區域網路ip段）

添加VPN撥入用戶，在伺服器管理器｢本地用戶和組｣的｢用戶｣目錄下添加用戶｢PPTP｣並配置撥入VPN時的密碼。

雙擊用戶名｢PPTP｣，彈出用戶屬性設置，選擇｢撥入｣選項卡，選中｢允許訪問｣。

通過上述步驟後後，在Win2008 R2 上的PPTP VPN Sever端即完成配置。

客戶端的配置也很簡單，win7的話新建VPN連接，伺服器ip，協議，用戶名，密碼填對就可以了

Reference：

https://net.chinaunix.net/8/2006/01/16/1138172.shtml
https://www.bokee.net/dailymodule/blog_view.do?id=10925
https://bbs.spoto.net/thread-29628-1-1.html

轉載自： https://softpalace.co.de/?p=185