以下是详细的图文步骤指南,主要介绍最常用的 VPN 类型:基于 SSTP 的 VPN,SSTP (Secure Socket Tunneling Protocol) 使用 HTTPS (443端口) 加密,能穿透大多数防火墙,兼容性最好。
(图片来源网络,侵删)
第一部分:准备工作
-
一台 Windows Server 2008 R2 服务器:
- 建议使用 R2 版本,因为它更稳定,且支持更多功能。
- 服务器需要有静态 IP 地址,动态 IP 会导致客户端连接困难。
- 服务器已连接到互联网,并且防火墙(Windows防火墙或第三方防火墙)已正确配置,允许 VPN 流量通过。
-
一台客户端电脑:
可以是 Windows 7/8/10/11 或 macOS 等系统。
-
网络环境:
(图片来源网络,侵删)- 服务器的内网 IP 地址(
168.1.10)。 - 服务器的公网 IP 地址(
45.67.89)。 - 确保路由器或防火墙已将 VPN 使用的端口(SSTP 默认为 TCP 443)端口转发到服务器的内网 IP 地址。
- 服务器的内网 IP 地址(
第二部分:在服务器上安装和配置 VPN
步骤 1:安装“路由和远程访问”服务
这是 VPN 服务的核心组件。
- 点击 “开始” -> “管理工具” -> “服务器管理器”。
- 在右侧的“功能”摘要中,点击 “添加功能”。
- 在“功能”列表中,找到并勾选 “路由和远程访问”。
- 点击 “下一步”,然后点击 “安装”。
- 安装完成后,系统可能会提示您配置此服务,点击 “关闭” 即可。
步骤 2:配置 VPN 服务器
-
再次进入 “服务器管理器”,点击 “角色”,然后点击 “路由和远程访问”。
-
在右侧的操作窗格中,点击 “配置路由和远程访问”。
-
此时会启动一个配置向导。
- 欢迎使用路由和远程访问服务器安装向导:点击 “下一步”。
- 配置:选择 “自定义配置”,然后点击 “下一步”。
- (选择“自定义配置”可以让我们更精确地只启用 VPN 功能,而不是其他如 NAT 等功能。)
- 自定义配置:勾选 “VPN 访问”,然后点击 “下一步”。
- 完成:点击 “完成”。
-
系统会提示您必须现在才能启动服务,并可能需要重启网络连接,点击 “是”。
-
服务启动后,您会看到“路由和远程访问”服务的状态变为“已启动”。
步骤 3:设置 IP 地址分配
客户端连接后,服务器需要给它分配一个内网 IP 地址,以便它能访问服务器所在的内网。
- 在左侧的控制台树中,右键点击您的服务器名称,选择 “属性”。
- 切换到 “IP” 选项卡。
- 在 “IP 地址分配” 部分,有两个选项:
- 静态地址池:推荐使用此方法,您可以定义一个 IP 地址范围,专门用于 VPN 客户端。
- 点击 “新建”,输入一个起始 IP 和结束 IP,这个范围不能与您现有内网的 IP 冲突。
- 如果您的内网是
168.1.0/24,您可以设置范围为168.1.200到168.1.250。
- DHCP 中继代理:如果您的网络中已经有 DHCP 服务器,可以勾选此项,让 DHCP 服务器为 VPN 客户端分配 IP。
- 静态地址池:推荐使用此方法,您可以定义一个 IP 地址范围,专门用于 VPN 客户端。
- 设置完成后,点击 “确定”。
步骤 4:配置用户权限
默认情况下,所有用户都没有拨入 VPN 的权限,您需要为特定用户或用户组授权。
-
打开 “服务器管理器” -> “工具” -> “Active Directory 用户和计算机” (如果您的服务器是域控制器)。
- 如果是工作组环境,请打开 “管理工具” -> “计算机管理” -> “本地用户和组” -> “用户”。
-
找到您希望授权的用户(
testuser),右键点击并选择 “属性”。 -
切换到 “拨入” 选项卡。
-
在 “远程访问权限 (拨入或 VPN)” 部分,选择 “允许访问”。
-
点击 “确定”。
第三部分:配置防火墙
Windows 防火墙必须允许 VPN 流量通过。
- 点击 “开始” -> “管理工具” -> “Windows 防火墙”。
- 在左侧点击 “更改设置”。
- 点击 “例外” 选项卡。
- 确保以下项目已被勾选:
- VPN (PPTP):如果需要支持旧客户端。
- VPN (SSTP):必须勾选,这是我们主要使用的协议。
- VPN (L2TP/IPSec):如果需要支持更安全的连接。
- 点击 “确定” 保存设置。
或者,更简单的方法是:
在“路由和远程访问”配置完成后,系统通常会自动在防火墙中创建例外规则,您可以在防火墙的“高级设置”中检查“入站规则”,确保存在名为 VPN 的规则。
第四部分:客户端连接测试
Windows 客户端 (以 Windows 10 为例)
- 点击 “设置” -> “网络和 Internet” -> “VPN”。
- 点击 “添加 VPN 连接”。
- 填写以下信息:
- VPN 提供商:选择 “Windows (内置)”。
- 连接名称:任意填写,
MyOfficeVPN。 - 服务器名称或地址:填写您服务器的公网 IP 地址或域名(
45.67.89)。 - VPN 类型:选择 “安全套接字隧道协议 (SSTP)”。
- 登录信息:选择 “用户名和密码”。
- 用户名:填写您在步骤 4 中授权的用户名(
testuser)。 - 密码:填写该用户的密码。
- 点击 “保存”。
- 在 VPN 列表中,点击刚刚创建的连接,然后点击 “连接”。
- 系统会提示输入密码,再次输入后,如果配置正确,连接应该会成功。
macOS 客户端
- 打开 “系统偏好设置” -> “网络”。
- 点击左下角的 号添加新的网络服务。
- 接口:选择 “VPN”。
- VPN 类型:选择 “Cisco IPSec (SSTP)” (在较新的 macOS 版本中可能直接有 SSTP 选项,或者选择 L2TP with IPsec 并在高级设置中修改)。
- 注意:macOS 原生对 SSTP 的支持不太好,有时需要借助第三方客户端如
Tunnelblick或Viscosity,或者使用兼容性更好的 L2TP/IPSec。
- 注意:macOS 原生对 SSTP 的支持不太好,有时需要借助第三方客户端如
- 服务名称:任意填写,
MyOfficeVPN。 - 点击 “创建”。
- 填写服务器信息:
- 服务器地址:您的服务器公网 IP 或域名。
- 账户名称:您的用户名。
- 点击 “认证设置”,选择 “用户名和密码”,并输入密码。
- 点击 “应用”,然后可以尝试连接。
第五部分:排错指南
如果连接失败,请按以下顺序排查:
- 检查防火墙:这是最常见的原因,确保服务器的 Windows 防火墙和路由器的端口转发(TCP 443)都已正确配置,可以临时关闭防火墙进行测试。
- 检查端口转发:在路由器管理界面,确认将公网 IP 的 TCP 443 端口转发到了服务器的内网 IP。
- 检查 IP 地址池:确保 VPN 客户端的 IP 地址池 (
168.1.200-250) 与您现有的内网网段 (168.1.0/24) 不重叠。 - 检查用户权限:再次确认用户的“拨入”权限设置为“允许访问”。
- 查看服务器日志:
- 打开 “事件查看器”。
- 导航到 “应用程序和服务日志” -> “Microsoft” -> “Windows” -> “Routing and Remote Access”。
- 查看“操作”日志,这里会记录详细的连接成功或失败的原因,是排错的关键。
重要安全警告
- 系统过时:Windows Server 2008 已于 2025 年 1 月 14 日停止所有支持,不再接收安全更新,将其暴露在互联网上风险极高,极易成为黑客攻击的目标。
- 仅限测试:强烈建议您仅将此配置用于学习、测试或实验环境。
- 生产环境替代方案:如果需要在生产环境中部署 VPN,请务必使用现代且仍在支持的操作系统,如 Windows Server 2025/2025,对于更轻量级的方案,可以考虑使用 OpenVPN 或 WireGuard,它们更安全、性能更好、跨平台支持也更出色。
