WINDOWS XP(VISTA.WIN 7)架设简单 L2TP VPN +NAT服务器.doc
《WINDOWS XP(VISTA.WIN 7)架设简单 L2TP VPN +NAT服务器.doc》由会员分享,可在线阅读,更多相关《WINDOWS XP(VISTA.WIN 7)架设简单 L2TP VPN +NAT服务器.doc(31页珍藏版)》请在三一办公上搜索。
1、Windows XP(vista./win 7) 架设简单L2TP-IPSec-VPN+NAT服务器Windows XP(vista./win 7)内部已经集成了VPN拨号系统,已经包含了PPTP和L2TP/IPSec两个协议,具备了完整的VPN客户端功能。作为客户端的操作系统Windows XP,要架设 L2TP-IPSec-VPN+NAT服务器,只能通过简单的操作来实现,Windows XP无法实现像服务器操作系统那样复杂的网络设置。本文仅仅探讨实验通过Windows XP本身即有功能来实现VPN服务器功能,而借助第三方软件实现的VPN服务器功能不在本文探讨范围内。众所周知,通过Windo
2、ws XP本身实现PPTP VPN+NAT服务器的文章很多了,只要去掉本文中的证书制作和导入,做好路由器端口映射,服务端和客户端都用默认设置就可以连接上了,比较简单,本文不再做探讨,本文仅仅探讨在Windows XP (vista./win7)架设L2TP-IPSec-VPN+NAT服务器的方法。Windows XP要架设纯L2TP不带IPSec的VPN服务器,如像Windows 2003那样的纯L2TP的预共享的密钥VPN,对Windows XP来说无法实现,因为无法对Windows XP进行相应的网络设置,不能修改Windows XP里默认的L2TP VPN身份验证的方式,Windows
3、XP里默认的L2TP VPN身份验证的方式就是IPSec 的证书验证。像Windows 2003那样修改注册表,Windows XP(vista./win7也同样如此)无法修改默认的L2TP VPN身份验证的方式。只能按照Windows XP(vista./win7)默认的L2TP VPN身份验证方式来架设了,下面开始详细叙述。本文以Windows XP为主,vista./win7与XP不同之处已用蓝色字体写明。1、Windows XP服务器若是在路由器后面,就是所说的内网,首先需要对注册表做如下修改:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServi
4、cesIPsec添加名为AssumeUDPEncapsulationContextOnSendRule,类型为DWORD,其数值为2,该值名称对大小写敏感,注意大小写。其值为0时不能连接内网L2TP VPN服务端,其值为1时允许客户端与内网里的L2TP VPN服务端连接,其值为2时允许内网的客户端与内网的服务端连接。Vista/win7则要按如下修改注册表:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesPolicyAgent添加名为AssumeUDPEncapsulationContextOnSendRule,类型为DWORD(32),其数值
5、为22、启动四个关键服务(Workstation、Telephony、Remote Access Connection Manager、Routing and Remote Access),并将其设置自动启动。3、建立“传入的连接”,鼠标右键点击“网上邻居”,打开“网络连接”设置窗口,或从控制面板里打开也一样。这里指定的IP地址范围注意不要和你的局域网地址冲突,其他无所谓。或者指定你的局域网尚未用到地址,这样连接到服务端的客户机就能像内网机子一样访问服务端所在电脑了。完成后如下所示:Vista/win7建立“传入的连接”,如下图所示:点击图标打开网络和共享中心按键盘上的Alt键,出现菜单栏,文
6、件新建传入的连接其他就和XP的设置一样了。4、创建计算机身份验证证书。这里使用免费的Simple Authority软件来创建计算机身份验证证书,未注册的Simple Authority可以创建1个服务端和3个客户端证书,这个对于wiondows XP 来说已经足够用了。安装完Simple Authority,运行如下:Tools-Options-General和Identify,在选项里把默认的2个保存目录修改了,这样好找到生成的证书文件。File-New CA,按如图自行填写信息,生成服务器端根证书。下面点击FileNew User-创建客户端证书,按如下图自行填写信息,注意4、5处要和服
7、务器根证书一致,3处要选择Certification Authority,其他可随意填写,填写完后按New Certificate,开始生成客户端证书。输入前面创建服务端根证书的密码后,再输入现在创建客户端密码,就生成了服务端证书,这两个密码要记住,后面导入证书时后要用到。每份证书有2个文件,分别以cer和p12为后缀名,如下。如此,根据客户端,创建客户端数量。5、服务端windows xp 导入证书。开始-运行mmc-确定如上图所示,打开控制台,文件添加/删除管理单元添加证书计算机帐户下一步本地计算机完成关闭确定如下图,个人证书所有任务导入在“文件类型”选择打开p12类型证书注意,这里导入的
8、是服务端windonws xp的根证书,就是前面做的第一个证书,要把根证书导入到服务器上,服务器对客户端的拨入进行证书认证。点击“完成”,完成了证书的导入。因为这是导入的服务端根证书,把该证书用鼠标左键拖到“受信任的根证书颁发机构”“证书”那里,完成服务端证书导入。6、windows xp服务端的其他设置windows xp(vista./win7)服务端默认只能连接一个用户,若需增加连接用户数量,则需对注册表修改。在注册表:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlClass4D36E972-E325-11CE-BFC1-08002bE1
9、0318,找到“DriverDesc”值为“WAN 微型端口 (L2TP)”的项,这个就是L2TP VPN的注册表调整位置,把其中名为“WanEndpoints”默认值为2,改为你想增加连接用户数量。这个我本人没实验过,不知道这样做是否就能增加连接用户数量。添加“传入的连接”的拨入用户,在“传入的连接”上鼠标右键点击“属性”。通过“新建”来添加客户端拨号连接的用户。通过TCP/IP属性来修改分配虚拟VPN IP地址的范围。若windows xp服务端和客户端不在同一个局域网,则需对windows xp服务端所在的路由器做端口映射,客户端才能拨号成功。TCP 1723端口:PPTP协议连接端口U
10、DP 1701端口:L2TP协议连接端口UDP 500端口:Internet 密钥交换 (IKE) 用户数据报协议 UDP 4500端口:IPsec NAT-T TCP/UDP 50端口:封装式安全协议 (ESP) - Internet 协议 (IP) 协议。本文是做L2TP VPN服务器,故需对1701、500、4500、50端口做映射,把端口指向你做L2TP VPN服务器的局域网地址,如下图:7、设置windows xp(vista./win 7)服务端具备NAT功能,拨入的VPN客户端连接能通过windows xp(vista./win 7)服务端上公共因特网。修改windows xp服
11、务端注册表,打开windows xp的NAT功能,注册表如下修改:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters设置IPEnableRouter,由默认值“0”改为“1”,重启电脑。此处若不重启电脑或进行设置,后面的操作中会显示“NAT未安装”。开始运行CMDnetsh,进入netsh命令行控制台,在netsh中输入:routing ip nat可一次输入,也可一个个输入,这里次性输入。再输入:install再分别输入:add interface name=内部 mode=privateadd interface
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- WINDOWS XPVISTA.WIN 7架设简单 L2TP VPN +NAT服务器 XP VISTA WIN 架设 简单 NAT 服务器
链接地址:https://www.31ppt.com/p-2397238.html