重要提示:Windows Server 2008 已停止支持
在开始之前,请务必了解:微软已于 2025 年 1 月 14 日正式停止对 Windows Server 2008 和 2008 R2 的所有支持(包括安全更新),这意味着您的服务器将不再接收任何安全补丁,极易受到病毒、恶意软件和网络攻击的威胁。强烈建议您在生产环境中升级到更新的操作系统(如 Windows Server 2025 或 2025)。
(图片来源网络,侵删)
本教程仅适用于学习、测试或无法立即升级的遗留环境,请务必在隔离的网络环境中进行操作。
第一部分:VPN 服务器端配置 (Windows Server 2008)
我们将搭建一个最常用的 “通过 VPN 接入” (VPN access) 服务器,它使用 SSTP (Secure Socket Tunneling Protocol) 协议,SSTP 默认使用 TCP 443 端口,这个端口通常不会被防火墙阻止,因此穿透性最好。
步骤 1:安装“路由和远程访问”服务
- 打开服务器管理器:点击“开始” -> “管理工具” -> “服务器管理器”。
- 添加角色:在服务器管理器的右侧,点击“添加角色”。
- 欢迎页面:点击“下一步”。
- 选择角色:在角色列表中,勾选 “网络策略和访问服务” (Network Policy and Access Services),然后点击“下一步”。
- 确认选择:直接点击“下一步”。
- 选择角色服务:在“网络策略和访问服务”的子角色列表中,勾选 “路由和远程访问服务” (Routing and Remote Access Services),当您勾选此项时,系统会自动勾选其依赖项,点击“添加必需的功能”。
- 确认安装:确认信息无误后,点击“安装”,等待安装完成,然后点击“关闭”。
步骤 2:配置“路由和远程访问”服务
- 启动配置向导:点击“开始” -> “管理工具” -> “路由和远程访问”,首次打开时会弹出“配置向导”,点击“下一步”。
- 配置模式:选择 “自定义配置” (Custom Configuration),然后点击“下一步”。
- 启用服务:勾选 “VPN 访问” (VPN access),然后点击“下一步”。
- 完成配置:点击“完成”。
- 启动服务:系统会提示您“您现在想启动服务吗?”,点击“是”,路由和远程访问服务即已启动。
步骤 3:配置 IP 地址分配
VPN 客户端需要一个 IP 地址才能与内网通信,我们可以使用两种方式分配地址:
- 静态地址池:在 VPN 服务器上设置一个 IP 地址范围,专门用于分配给客户端。
- DHCP 服务器:如果您的网络中已有 DHCP 服务器,可以配置 VPN 服务器去请求 DHCP 服务器分配地址。
这里我们推荐使用静态地址池,因为它更稳定且不依赖其他服务器。
(图片来源网络,侵删)
- 在“路由和远程访问”管理控制台中,右键点击您的服务器名称,选择 “属性” (Properties)。
- 切换到 “IP” 选项卡。
- 勾选 “静态地址池” (Static address pool),然后点击“添加”。
- 在弹出的窗口中,输入一个不与您现有内网网段冲突的 IP 地址范围。
- 例如:您的内网是
168.1.0/24,那么您可以设置 VPN 地址池为168.10。 - 起始 IP 地址:
168.10.1 - 结束 IP 地址:
168.10.254 - 这个范围可以给 254 个 VPN 客户端使用。
- 例如:您的内网是
- 点击“确定”保存设置。
步骤 4:配置用户远程访问权限
默认情况下,所有用户都没有权限通过 VPN 连接,您需要为需要远程访问的用户或用户组授予权限。
- 打开 “服务器管理器” -> “配置” -> “本地用户和组” -> “用户”。
- 找到您希望授予 VPN 权限的用户(
testuser),右键点击并选择 “属性”。 - 切换到 “拨入” (Dial-in) 选项卡。
- 在“网络访问权限”部分,选择 “通过 VPN 访问” (Allow access)。
- 点击“确定”保存。
步骤 5:配置防火墙
为了允许 VPN 流量通过,必须确保 Windows 防火墙已正确配置。
- 点击“开始” -> “管理工具” -> “Windows 防火墙 with Advanced Security”。
- 在左侧,点击 “入站规则” (Inbound Rules)。
- 在规则列表中,找到并确保以下规则已启用:
- VPN (SSTP-In):这是 SSTP 协议的规则,必须启用。
- Core Networking (ICMPv4-In):用于网络连通性测试,建议启用。
- 如果没有找到这些规则,或者它们被禁用,请右键点击并选择“启用规则”。
步骤 6:配置 NAT (网络地址转换) - (可选但推荐)
如果您的 VPN 客户端需要访问整个内网(而不仅仅是 VPN 服务器本身),您需要配置 NAT,这使得 VPN 客户端在访问内网时,其 IP 会被伪装成 VPN 服务器的内网 IP。
- 在“路由和远程访问”管理控制台中,右键点击服务器名称,选择 “属性”。
- 切换到 “常规” 选项卡。
- 在“网络接口”部分,选择您的内部网卡(即连接到您局域网的网卡)。
- 勾选 “地址网络转换 (NAT)”。
- 点击“确定”。
至此,VPN 服务器端的配置已经完成。
第二部分:客户端连接 (Windows 7/10/11)
我们可以在另一台电脑(客户端)上连接到刚刚搭建的 VPN 服务器了。
- 打开“网络和共享中心”(可以在控制面板中找到,或右键点击任务栏网络图标)。
- 点击 “设置新的连接或网络” (Set up a new connection or network)。
- 选择 “连接到工作区” (Connect to a workplace),然后点击“下一步”。
- 选择 “使用我的 Internet 连接 (VPN)” (Use my Internet connection (VPN))。
- 输入 VPN 服务器信息:
- Internet 地址:输入您的 VPN 服务器的公网 IP 地址或动态 DNS 域名(
yourserver.dyndns.org或45.67.89)。 - 目标名称:为这个连接起一个名字,
MyOfficeVPN。 - 勾选:“此连接不需要用户名和密码(仅限专用网络)”——不要勾选这个。
- 不要勾选:“为所有用户使用此连接”。
- Internet 地址:输入您的 VPN 服务器的公网 IP 地址或动态 DNS 域名(
- 点击“下一步”。
- 登录凭据:
- 用户名:输入您在步骤 4 中配置的 VPN 用户名(
testuser)。 - 密码:输入该用户的密码。
- 域:如果您的用户是域用户,请输入域名;如果是本地用户,此项留空。
- 用户名:输入您在步骤 4 中配置的 VPN 用户名(
- 点击“连接”。
- 系统会尝试连接,如果一切正常,它会成功连接,您现在可以像在局域网内一样访问内网资源了。
第三部分:常见问题排查
如果连接失败,请按以下步骤检查:
- 无法连接:
- 检查防火墙:确认 VPN 服务器和客户端的防火墙都放行了相关端口(SSTP 是 TCP 443)。
- 检查 IP 地址:确认客户端输入的 VPN 服务器“Internet 地址”是正确的公网 IP 或域名。
- 检查服务器可达性:从客户端
ping服务器的公网 IP,看是否能通,如果不通,说明是网络问题(如路由器端口未转发)。 - 检查路由器端口转发:VPN 服务器在内网,您必须在路由器上做端口转发,将公网 TCP 443 端口映射到
