windows server 2003 CA认证L2TP VPN SSL.docx

Windows2003 CA认证L2TP VPN用windows server 2003的“路由与远程访问”组件搭建一个L2TP/IPSEC VPN服务器，让你从外部以更安全的L2TP方式访问内网，windows 2003的VPN支持NAT-T，这使得外部内网中的用户也能够使用L2TP的方式访问VPN服务器及内网，在以前，由于NAT与IPSEC的不兼容，使得我们只能通过PPTP的方式从一个内网中访问远方的VPN服务器及内网，比如从网吧访问自己的网络，z在windows 2003中你也可以从任何地方以更安全的L2TP方式进行VPN访问了。网络环境如图所示，以典型的ADSL共享上网为因特网接入方式，这里ADSL猫以一条网线连接到双网卡的Windows Server 2003上，然后Windows Server 2003再以内网卡连接到内部交换机上，两块网卡都配置了不同网段的IP，但网关和DNS都为空，内网中的客户机通过Windows Server 2003上的ADSL共享上网，这里将在这台Windows Server 2003上创建L2TP VPN服务器。一、启用“路由与远程访问”1，在管理工具中运行“路由与远程访问”，右击服务器图标，选择“配置并启用路由与远程访问”；2，进入“配置”窗口，选择“自定义配置”项；3，在“自定义配置”窗口，勾选“VPN访问”、“NAT和基本防火墙”和“LAN路由”项。二、创建ADSL用的PPPoE连接Windows Server 2003的“路由与远程访问”组件支持直接创建PPPoE的请求拨号接口，方法如下：1，展开服务器图标，右击“网络接口”，选择“新建请求拨号接口”，点击下一步；2，在“接口名称”窗口给这个接口取个有意义的名字，比如PPPoE；3，在“连接类型”中选择“使用以太网上的PPP（PPPOE）连接”项；4，在“服务名称”中取个有意义的名称，也可以不填，直接点下一步；5，在“协议及安全措施”窗口中勾选上“在此接口上路由选择IP数据包”；6，在“远程网络的静态路由”窗口中添加一条默认路由，即添加一条到目的的默认路由。7，在“拨出凭据”窗口中，填入你ADSL虚拟拨号的用户名和密码,域一栏保持为空。上面的过程就完成了PPPOE连接的创建，但要想拨号成功，还需要修改一个地方，右击刚创建的PPPoE接口，选择“属性”，在弹出的窗口中选择“安全”标签，在其中选择“典型”项，“验证我的身份为”栏选择“允许没有安全措施的密码”项。为了保持这个接口的永久在线，切换到“选项”标签，在“连接类型”中选择“持续型连接”。完成后右击PPPOE连接，然后选择“连接”。在这里创建PPPoE连接而不是直接通过“网络连接”中的“创建一个新的连接”来创建ADSL连接，是因为“网络连接”窗口中创建的连接不能为NAT识别，而在NAT中又需要选择此PPPOE连接为外部连接以进行地址转换，所以就只有在这里创建了。三，用NAT安全共享此ADSL连接1，在“NAT/基本防火墙”上右击选“新增接口”，这里首先选择内部接口，也就是内网卡所代表的那个本地连接，在弹出的窗口中选择“专用接口连接到专用网络”项。2，再次添加接口，这次选择外部接口，即上面创建的PPPoE接口（注意不要选连ADSL那块网卡所在的本地连接)，在弹出窗口中选择“公用接口连接到Internet”，并勾选上“在此接口上启用NAT”和“在此接口上启用基本防火墙”两项。之所以这里要启用基本防火墙，是因为启用了“路由与远程访问”之后就不能启用操作系统内置的防火墙了。另外也可以利用静态数据包筛选器静态地进行包过滤。启用了基本防火墙之后最好也不要再安装其他防火墙了。通过上面的配置，内网客户端只要把网关和DNS都指向这台windows server 2003的内网卡地址就可以共享且安全地上网了。注意不要再去启用ICS（Internet连接共享）。四、配置VPN1.配置端口。在上面启用“VPN访问”选项之后，在“端口”中就已经有了PPTP和L2TP端口，默认情况下各自分配了128个，可以根据实际情况自行调整数量，调整方法是右击“端口”项进入“属性”窗口，双击其中的L2TP端口进行调整。现在你还可以保留一定量的PPTP端口，因为后面申请证书时可能要用，如果不需要PPTP端口，把它的数量设置为0。2.配置VPN客户端要使用的IP范围右击服务器图标进入属性窗口，选择“IP”标签，在“IP地址指派”栏选择“静态地址池”，添加一段静态IP。之所以不用DHCP分配IP，是因为静态IP范围更容易识别VPN客户端。3.启用用户拨入权限或创建远程访问策略要启用用户拨入权限，如果是域，请在“AD用户和计算机”中右击相应用户，在“拨入”标签中选择“允许访问”或“通过远程访问策略控制访问”，如果不用域帐户验证，