Windows2003系统怎么搭建VPN服务器及解决IP权限问题
公司网络经常涉及到IP权限问题,尤其北京的服务器,包括生产和部分比较重要的Web、DB以及测试环境,都有IP权限问题,导致重庆的机器无法直接访问,必须通过远程桌面连接,登录北京一个跳板机,再访问最终需要访问的机器。
虽然能远程桌面,但是还是会出现三个问题:
不能本地代码直接连接北京某需要权限的DB服务器,比如跟踪一个问题,需要把本地代码连接北京某DB服务器,如果不能直连,会很麻烦,需要在远程桌面做调试工作。
本地不能直接访问北京某WEB服务器,不能在本地查看这个服务器挂的网站,只能在跳板机去访问,会很不方便。
不能直接远程桌面北京某需要权限IP才能访问的服务器,只能先远程跳板机,不仅涉及多个远程桌面不方便,而且跳板机可能只支持3人同时连接,其他人访问就需要等待了。
上面的需要特别权限的服务器,包括非生产的比较重要的测试环境,为了解决这些问题,北京同事帮重庆设置了几个IP作为特殊权限的IP,固定这几个IP可以直连北京服务器,但是毕竟只有几个IP,需要支持维护和部分值班等人员使用,其他临时紧急任务来了,IP权限问题就比较棘手了。
去年我远程北京一台没有权限限制的服务器,用2003服务器自带的VPN功能搭建了一个软件VPN服务端,重庆可以新增一个网络连接直接连接这个VPN服务端,因为这台机器可以直接连接需要特别权限的服务器,双方均不需要任何额外的软件,并且不需要多网卡,解决了上面的3个问题。最近重庆这边IP地址变化,没有特别权限的IP了,更显得这个VPN服务端的重要性,其他项目组应该也有类似情况,解决IP权限问题的这个方法大家也可以参考。利用windows2003搭建VPN服务端网络也有很多介绍,大家可以查阅,下面描述下我搭建的过程。
VPN服务器可以用硬件或软件实现,比如硬件厂商深信服、思科、北电网络等,软件也有很多,winndows2003自带的路由与远程访问里可以直接搭建一个VPN服务端。
VPN全称是Virtual Private Network,虚拟专用网络,它可以让物理上不处于一个局域网的机器搭建成一个类试虚拟的局域网络,当然我的解释不准确,具体大家可以参考下网上专业资料,VPN相关协议和数据加密传输方式感兴趣的也请上网找相关资料,它的默认端口是1723。
下面介绍下搭建的具体过程:
Windows2003在控制面板管理工具里,打开路由和远程访问,在列出的当前机器右键,选择“配置并启动路由和远程访问”:
这里可能会抛错,提示如下:
这就需要把配置的这台机器的Windows Firewall/Internet Connection Sharing (ICS)服务停止并禁用,然后选择自定义配置:
注意这里选择VPN访问和NAT和基本防火墙,NAT和基本防火墙才会让VPN代理连接出去,才能解决这里的IP权限问题:
最后建立成功,在建立好的本地的路由和远程访问右键属性,设置一个静态地址池,可以设置远程访问自动获取的IP范围段,这里设置的内网IP段如下:
这里一个VPN就建立好了,但是还需要设置NAT本地连接的属性,右键NAT/基本防火墙,新增本地连接接口:
选中公用接口连接到Internet,把“在此接口上启用NAT(E)”打上勾:
这里连接后有权限的VPN就建立好了,默认VPN是windows身份验证,需要在这台机器配置一个有权限的用户,供客户端访问时登录用,比如这里为TestUser用户增加拨入权限的远程访问权限为允许访问:
然后服务端就配置完毕了。
客户端只需要建立一个网络连接即可,比如我本地WIN7设置客户端方式如下,选择连接到工作区:
然后设置Internate地址为刚才配置服务端的IP地址,然后随便写一个名称:
下次连接的时候输入刚才配置的允许远程访问的账户即可:
但是连接后,必须配置“在远程网络上使用默认网关”,WIN7是默认勾选的:
这样才会不让本机使用本地的网关,通信才能真正从VPN服务端连出。
通过上面的步骤,我本地就成为一个有权限的机器了,可以直接连接一些有特别权限才能访问的服务器了,但因为本地权限比较大,不小心就可能连接到生产环境了,一定得谨慎使用。