重要提示:PPTP 的安全性
在开始之前,请务必了解:PPTP 是一种非常古老且不安全的 VPN 协议,它已被广泛证明存在严重的安全漏洞,容易被破解和窃听。
(图片来源网络,侵删)
- 适用场景:仅建议用于临时、低风险的网络访问,例如连接到您自己完全信任的家庭或小型办公室网络,并且传输的数据不包含任何敏感信息(如密码、银行卡号等)。
- 不推荐场景:绝对不要用于处理公司机密、个人隐私或财务数据的场景。
- 更安全的替代方案:如果您追求安全性,强烈建议使用更现代的协议,
- SSTP (Secure Socket Tunneling Protocol):由微软开发,通常能穿透防火墙,安全性较高,是 Windows 服务器上 PPTP 的最佳替代品。
- L2TP/IPsec:结合了 L2TP 和 IPsec 的加密,安全性远高于 PPTP。
- IKEv2:移动性非常强,连接稳定,安全性高。
- OpenVPN:开源、社区活跃、配置灵活、安全性极高,是目前最流行的选择之一(需要第三方服务器软件,如 OpenVPN Server)。
在 Windows Server 上配置 PPTP VPN 服务器
以下步骤以 Windows Server 2025 / 2025 / 2012 R2 为例,在 Windows 10/11 专业版或企业版上配置方法类似,但部分界面和选项名称可能略有差异。
第一步:安装“路由和远程访问”服务
这是 VPN 服务的核心组件。
- 打开 服务器管理器。
- 点击右上角的 “添加角色和功能”。
- 在“添加角色和功能向导”中,点击“下一步”直到到达 “功能” 页面。
- 在功能列表中,找到并勾选 “远程访问”。
- 系统可能会弹出“添加必需的功能”对话框,点击“添加必需的功能”。
- 继续点击“下一步”,直到最后一步,点击“安装”。
- 安装完成后,会弹出提示,询问是否立即配置远程访问服务,点击 “配置远程访问”。
第二步:配置 VPN 服务器
安装完成后,会自动启动“路由和远程访问配置向导”。
- 在向导中,选择 “VPN”,然后点击“下一步”。
- VPN 连接类型:
- 选择 “远程访问(拨号或 VPN)”,允许单个客户端连接。
- 选择 “网络地址请求(NAT)”,允许 VPN 客户端通过此服务器访问整个内网。
- 通常两者都勾选,然后点击“下一步”。
- IP 地址分配:
- “自动”:如果您的网络中已经有一个 DHCP 服务器,它会为 VPN 客户端自动分配 IP 地址,这是最简单的选择。
- “从指定的地址范围”:如果您想为 VPN 客户端使用一个独立的 IP 地址段(
168.10.x),请选择此项,点击“新建”来创建一个地址池,确保这个地址池与您服务器的内网地址不在同一网段,以避免 IP 冲突。 - 选择后点击“下一步”。
- 管理多个远程访问服务器:
- 对于单服务器环境,选择 “不,使用路由和远程访问来对连接进行身份验证”,然后点击“下一步”。
- 完成配置:
- 检查摘要信息,点击“完成”。
- 配置完成后,系统会提示“您必须现在启动‘路由和远程访问’服务才能使用它吗?”,点击 “是” 启动服务。
第三步:配置用户权限
默认情况下,所有用户都没有拨入 VPN 的权限,您需要为特定用户启用。
(图片来源网络,侵删)
- 按
Win + R键,输入lusrmgr.msc并回车,打开“本地用户和组”管理器。 - 在左侧选择 “用户”。
- 双击您希望授予 VPN 权限的用户(
testuser)。 - 切换到 “拨入” 选项卡。
- 在“网络访问权限”中,选择 “允许访问”。
- 点击“应用” -> “确定”。
第四步:配置防火墙
Windows 防火墙需要允许 PPTP 流量通过。
- 打开 “服务器管理器” -> “工具” -> “高级安全 Windows Defender 防火墙”。
- 在左侧,点击 “入站规则”。
- 在右侧的规则列表中,找到并启用以下两条规则:
- VPN (PPTP):允许 PPTP 流量(TCP 端口 1723)。
- PPTP Passthrough:允许 GRE 协议(IP 协议 47),这是 PPTP 工作所必需的。
- 右键点击每条规则,选择“启用”。
第五步:配置端口转发(如果服务器在路由器/NAT 后面)
如果您的 VPN 服务器位于一个局域网内,并且该局域网通过一个路由器或防火墙连接到互联网,您需要在路由器上进行端口转发。
- 需要转发的端口:
- TCP 端口 1723:PPTP 控制连接。
- IP 协议 47 (GRE):PPTP 数据隧道。
操作步骤:
- 登录到您的路由器管理后台。
- 找到 “端口转发” 或 “虚拟服务器” 功能。
- 添加两条规则:
- 规则1:
- 外部端口:
1723 - 内部端口:
1723 - 协议:
TCP - 内部 IP 地址:您 Windows 服务器的局域网 IP 地址(
168.1.100)。
- 外部端口:
- 规则2:
- 外部端口:
47(有些路由器可能不让你指定端口号,只需选择协议) - 内部端口:
47 - 协议:
GRE(或选择IP Protocol 47) - 内部 IP 地址:同样指向您 Windows 服务器的局域网 IP 地址。
- 外部端口:
- 规则1:
- 保存设置并重启路由器。
客户端连接(以 Windows 10/11 为例)
- 在客户端电脑上,进入 设置 -> 网络和 Internet -> VPN。
- 点击 “添加 VPN”。
- 在 VPN 提供商下拉菜单中,选择 “Windows (内置)”。
- 在“连接名称”中输入一个易于识别的名称(
MyHomeVPN)。 - 在“服务器名称或地址”中,输入您的 公网 IP 地址 或 动态 DNS 域名。
- 在“VPN 类型”中,选择 “点对点隧道协议 (PPTP)”。
- 在“登录信息”中,输入您在第三步中配置的 用户名 和 密码。
- 点击 “保存”。
- 返回 VPN 页面,点击刚刚创建的 VPN 连接名称,然后点击 “连接”。
连接成功后,您的客户端就可以通过 VPN 安全地访问您服务器的内网资源了。
(图片来源网络,侵删)
排错指南
如果连接失败,请按以下顺序检查:
- 防火墙:再次确认服务器的“高级安全 Windows Defender 防火墙”中,
VPN (PPTP)和PPTP Passthrough规则已启用。 - NAT/路由器:确认端口转发(TCP 1723 和 GRE 47)已正确配置到服务器的内网 IP。
- 服务状态:在服务器上,按
Win + R,输入services.msc,找到 “Routing and Remote Access” 服务,确保其状态为“正在运行”,并且启动类型为“自动”。 - IP 地址池:如果您手动配置了 IP 地址池,请确保地址池足够大,并且没有与内网其他设备冲突。
- 用户权限:再次检查用户的“拨入”属性是否设置为“允许访问”。
- 日志:在“路由和远程访问”管理控制台中,右键点击服务器名称,选择 “查看日志”,可以查看详细的连接和错误信息,帮助定位问题。
希望这份详细的指南能帮助您成功设置 PPTP VPN 服务器,再次强调,请务必注意其安全性限制。
