【Windows Server 2019】企业虚拟专用网络服务的配置和管理（上）

1. VPN 部署的目的

大多数企业都有属于自己的企业内网，内网中有着很多共享资源。企业员工在上班时可以通过连接内网访问共享资源，但是如果员工回家后，该如果访问企业内网资源，直接访问显然是行不通的，那么如何让员工在家中，使用公网网络访问企业内网资源？人们发明了虚拟专用网来解决该问题。

2. 虚拟专用网络 VPN

Virtual Private Network，在公用网络上建立专用网络，这就好比架设了一条专线一样，但是它并不需要真正的去铺设光纤之类的物理线路，它通过对数据包的加密和数据包目标地址的转换实现远程访问，简单的说VPN的核心就是利用公共网络建立虚拟私有网。

3. VPN支持设备

VPN可以通过硬件或者软件方式实现。在Windows Server 2019中支持软件定义VPN功能。VPN设备一般采用双网卡结构，内网卡接入公司的内部局域网，外网卡使用公网IP接入互联网。

4. 网络拓扑及说明（工作原理简述）

PC2：

• 企业员工家中电脑，具有公网IP：192.168.83.39，可以访问互联网。其上安装了VPN客户端。

VPN服务器

• VPN服务器，有两个网卡，其中网卡1具有公网IP：192.168.83.33，并连接互联网；网卡2为企业内部网卡，其地址为内网IP：192.168.82.236。其上部署了VPN服务端。

FTP服务器

• 公司内部服务器，只有一个内网IP地址，且IP地址在192.168.82.0/24网段中。IP地址为：192.168.82.220。

家电脑访问公司服务器具体过程

当企业员工家中电脑想通过VPN 访问公司内部服务器时，数据包1经过互联网转发到VPN服务器的网卡1中，经过VPN技术进行封装，将数据包1的源地址由公网IP转换成了一个内网IP。然后网卡2会把这个数据包1发送给公司内部服务器。当公司内部服务器返回数据包2时，经过VPN服务器，VPN服务会将数据包2的目的地址由内网地址转换为公网IP。

5. 搭建VPN服务器

5.1 准备工作

（1）VPN服务器

VPN服务器中存在两张网卡，Eth0和Eth1。其中Eth0是公网IP网卡，Eth1是内网IP网卡。

（2）FTP服务器

FTP服务器是为企业内部提供资源共享的服务器，IP地址为：192.168.82.220。

（3）PC2

PC2是企业员工家中电脑，可以访问互联网，其IP地址为：192.168.83.39

5.2 配置防火墙

Windows Server 2019防火墙默认开启，因此我们需要新建一条规则允许外界连接VPN服务所涉及的端口，并启动该规则。

（1）打开防火墙高级设置

打开【控制面板】——>【系统与安全】——>【Window Defender 防火墙】——>【高级设置】。

（2）新建入站规则

① 点击【入站规则】，在右侧的【操作】栏中点击【新建规则】，进入向导后选择【端口】，点击【下一步】。

② 进入【协议和端口】界面，默认选择【TCP】，点击【特定本地端口】，输入：1723, 500, 4500, 1701，点击【下一步】。

端口1723为PPTP协议的端口；

端口500，4500,1701是L2TP协议的端口。

③ 进入【操作】界面，默认选择【允许连接】，点击【下一步】。

④ 进入【配置文件】界面，默认全部勾选，点击【下一步】。

⑤ 进入【名称】界面，设置规则名称为：server，点击【完成】。

⑥ 返回【高级设置】后，发现企业虚拟专用网规则已经创建成功并启动。

5.3 安装VPN服务

（1）打开服务器管理器，点击【添加角色和功能】，进入向导后直接点击【下一步】至【服务器选择】界面。

可以看到在服务器确认界面中，VPN服务器有两个IP地址，分别是外网IP地址192.168.83.33，用于连接用户PC2和内网IP地址192.168.82.236，用于连接FTP服务器。

点击【下一步】。

（2）进入【服务器角色】界面，勾选【远程访问】，点击【下一步】。

（3）进入【功能】界面，这里不做设置，点击【下一步】。

（4）进入【远程访问】界面，显示了远程访问的说明，点击【下一步】。

（5）进入【角色服务】界面，勾选【DirectAccess】和【路由】，对弹出的对话框点击【确定】，然后点击【下一步】。

（6）进入【Web服务器角色】界面，显示了Web的说明，点击【下一步】。

（7）进入【角色服务】界面，IIS功能默认即可，点击【下一步】。

（8）进入【确认】界面，确认无误后，点击【安装】。

（9）安装完成，关闭向导。

参考资料

• Microsoft Docs：Virtual Private Networking (VPN)
• Microsoft Docs：VPN Gateway documentation