实验拓扑:
一、实验目的
使公网出差员工用户能够拨入VPN访问总公司内部的网络
使内网客户端能够访问internet
二、适用环境:
点对网的VPN:您有一台或多台电脑在外网,需要拨入总部的网络,简单的理解就是外网计算机拨总部网络,从而访问总部内网服务器或普通的计算机。
三、实现过程:
某公司使用路由器,内网网段为192.168.2.0/24,外部出差人员需要通过VPN拨入公司内网,访问内网服务器
1.默认情况下,windows server2012 是没有安装路由和远程访问服务的,首先需要安装路由和远程访问服务(该步骤缺省,已经在单网卡的VPN配置中提到如何安装)
现在windows server 2012 上的网卡IP地址配置情况如下:
VPN服务器有两张网卡,一张接入公网IP地址为192.168.217.143,一张扮演网关角色,接入公司内部,IP地址为192.168.2.1
2.配置VPN服务
首先打开开始界面(即磁帖界面),点击路由和远程访问
默认情况下路由和远程访问服务是没有启用的,我选定它,然后右击选择配置并启用路由和远程访问服务
可以选择第三项,或者第一项,第一项是内网用户需要拨入VPN才能够上网,,第一项是客户端的,第三项则可以让内网用户可以在网络没有共享的前提下接入外网,本实验以第三项为例。以实现两个功能,
该项针对内网客户端,我们选择能够连接到互联网的接口,即WAN口
该项表明当客户端拨入VPN时,是自己定义一个地址池,或者服务器使用DHCP自己安排。我们以第一项为例
无特殊要求可以保持默认
该项定义NAT转换,对192.168.2.0生效,允许内部网络上网
RADIUS即认证服务器,不包含在我们的试验中,所以我们保持默认,即否
审查后点击完成
我们没有配置DHCP服务器,这一项点击确定就好了
启动服务
至此,VPN服务已经配置好了。
四、定义拨入用户名和给予拨入权限
在VPN服务器上定义一个用户组和拨入用户
也许你会问,为什么要定义用户组?。。如果不定义用户组,新建的用户默认属于user组,可以登录到服务器..很危险的,所以要定义一个没有任何系统权限的VPN客户端组
在计算机管理中,选择组,新建一个组,为VPN用户的专组
新建一个用户,并且设定密码,如果不设定密码的话,在拨入VPN的时候不需要密码就可以拨入
在新建的用户上,右键点击属性,在拨入选项卡中,点击拨入选项页。选定网络访问选项卡中允许访问后点击确定,这样该用户就拥有拨入VPN的权限了。
将新建的用户隶属于的user组更改为刚才新建的VPNclient组。
五、出差员工客户端的配置
在客户端上新建一个网络链接,使用新建链接向导
选择连接到我的工作场所的网络。
选择虚拟专用网络连接
公司名可以随意写,或者不写
填写总公司VPN的WAN网卡IP地址。
完成即可看到多出一个连接,我们打开它,属于服务器端提供的VPN帐号后点击连接
出差员工的IP地址配置情况,相当于一个独立的公网IP。
连接完成,现在相当于出差员工的计算机与总公司的服务器在同一网络内了,可以直接访问公司内部的服务器或计算机,我们现在ping一下内部的网关试试,可以ping通。
内网计算机的IP地址配置情况
这样配置的话,内网用户也可以通过拨入这个VPN直接访问互联网。现在我们在内网的计算机上配置一个VPN拨入链接。并且确认他只有拨上VPN才能访问互联网
默认情况下,内网用户不能够访问网络,因为启用了NAT功能,将网络通过NAT转换,将公网的网络直接共享给内网
总结,该实验实现了两个功能,一个是公网用户可以拨入VPN访问企业的内部网络,一个是内部网络在VPN配置完成后无需拨号可以直接访问互联网。实验到此就结束了,感谢观看
本文出自暗影长廊,地址:http://blog.sina.com.cn/techcentermysterious ,转载请保留此行
