我将为你提供一份非常详细的图文并茂式指南,涵盖从准备工作到连接成功的所有步骤,本指南以 Windows 10/11 专业版/企业版 为例,因为家庭版没有此功能。
(图片来源网络,侵删)
核心概念
在开始之前,你需要了解几个关键点:
-
VPN 类型:我们将使用 “VPN (SSTP)” 协议,这是由微软主推的协议,优点是:
- 兼容性好:几乎所有操作系统(Windows, macOS, Android, iOS)都原生支持。
- 穿透性强:因为它使用标准的 HTTPS (443端口)流量,所以绝大多数防火墙和代理服务器都能轻松穿透,不易被屏蔽。
- 安全性高:通常使用强加密(如 AES-256)。
-
公网 IP 地址:要让外网设备连接到你的家庭/公司网络,你的路由器必须有一个公网 IP 地址,你可以通过在搜索引擎中搜索“what is my ip”来查看。
- 动态 IP:大多数家庭宽带是动态IP,意味着它会变,这没关系,但你需要使用 DDNS (动态域名解析服务),比如花生壳、No-IP 等,将一个固定的域名(如
myhomevpn.ddns.net)与你的动态IP关联起来,这样你就可以用域名连接,而不用担心IP变化。 - 静态 IP:如果你拥有固定的公网IP,那将是最简单的情况,直接使用IP连接即可。
- 动态 IP:大多数家庭宽带是动态IP,意味着它会变,这没关系,但你需要使用 DDNS (动态域名解析服务),比如花生壳、No-IP 等,将一个固定的域名(如
-
端口转发:你需要在你的路由器上设置端口转发,将外网的 443 端口流量转发到你正在搭建VPN服务器的 Windows 电脑的内网 IP 地址上。
(图片来源网络,侵删)
第一部分:在 Windows 上搭建 VPN 服务器
步骤 1:启用 VPN 服务器功能
- 在 Windows 搜索栏中输入
控制面板并打开它。 - 将“查看方式”改为“大图标”或“小图标”,然后找到并点击 “程序和功能”。
- 在左侧的菜单中,点击 “启用或关闭 Windows 功能”。
- 在弹出的窗口中,找到并展开 “远程访问服务”。
- 勾选以下两个选项:
- DirectAccess 和 VPN (RAS)
- 路由
- 点击“确定”,系统会自动下载并安装所需组件,安装完成后,可能需要重启电脑。
步骤 2:配置 VPN 服务器
-
打开路由和远程访问管理工具
- 按
Win + R键,输入rasdial.exe然后回车,如果打不开,请通过管理工具->路由和远程访问来打开。 - 或者,直接在开始菜单搜索“路由和远程访问”。
- 按
-
初始化服务器
- 在左侧的树状图中,右键点击你的计算机名称(
WIN10-PC)。 - 选择 “配置并启用路由和远程访问”。
- 此时会启动一个配置向导,点击 “下一步”。
- 在左侧的树状图中,右键点击你的计算机名称(
-
选择服务器角色
- 选择 “自定义配置”,然后点击“下一步”。
- 勾选 “VPN 访问”,然后点击“下一步”。
- 点击 “完成”。
-
启动服务
(图片来源网络,侵删)- 完成配置后,系统会提示你启动服务,点击 “是”。
- 服务启动后,你可能会看到一个警告,提示“IPsec 不安全”,因为我们不使用它,可以忽略此警告。
步骤 3:设置 IP 地址池
VPN 客户端连接后,需要一个内网 IP 地址,我们需要为它们分配一个独立的网段。
- 在“路由和远程访问”管理工具中,右键点击左侧的 “IPv4” -> “地址分配”。
- 在右侧窗口中,右键点击 “静态地址池”,选择 “添加地址范围”。
- 设置一个范围,这个范围不能与你当前局域网(LAN)的网段冲突。
- 如果你的局域网是
168.1.0/24(即168.1.1-168.1.254),那么你可以设置 VPN 地址池为168.50.1到168.50.254。 - 起始IP 地址:
168.50.1 - 结束IP 地址:
168.50.254 - 点击“确定”。
- 如果你的局域网是
步骤 4:配置身份验证
-
禁用不必要的服务
- 在左侧树状图中,右键点击你的服务器名称,选择 “属性”。
- 切换到 “安全” 选项卡。
- 取消勾选 “Microsoft 加密的密码 (MS-CHAP v2)” 和 “可扩展的身份验证协议 (EAP)”。
- 只保留勾选 “质询握手身份验证协议 (CHAP)” 和 “Microsoft CHAP 版本 2 (MS-CHAP v2)”。
- 点击“确定”。
-
添加 VPN 用户
- 重要:必须使用系统中的本地用户账户,且该账户不能是“来宾”账户。
- 按
Win + R,输入lusrmgr.msc并回车,打开“本地用户和组”。 - 在左侧选择“用户”,在右侧空白处右键点击,选择 “新用户”。
- 创建一个新账户(
vpnuser),设置一个强密码,取消勾选“用户下次登录时须更改密码” 和“用户不能更改密码”。 - 创建后,右键点击该用户,选择 “属性”。
- 切换到 “成员身份” 选项卡,点击 “添加”,输入 “远程登录用户组”,然后点击“检查名称”和“确定”。
第二部分:配置路由器
这是最关键的一步,确保外网请求能正确转发到你的电脑。
步骤 1:找到你的 Windows 电脑的内网 IP 地址
- 在你的 Windows 服务器上,打开命令提示符(CMD),输入
ipconfig并回车。 - 记下 “IPv4 地址”,
168.1.105,这就是你的 VPN 服务器在内网中的地址。
步骤 2:登录路由器管理后台
- 打开浏览器,输入路由器的管理地址(通常是
168.1.1或168.0.1)。 - 输入用户名和密码登录。
步骤 3:设置端口转发
- 在路由器设置中找到 “端口转发”、“虚拟服务器” 或 “NAT 转发” 类似的选项。
- 创建一条新的转发规则,规则如下:
- 服务名称:可自定义,如
VPN。 - 外部端口:
443(SSTP 协议使用)。 - 内部端口:
443(通常与外部端口相同)。 - 内部 IP 地址:填入你刚刚查到的 Windows 电脑的内网 IP 地址(
168.1.105)。 - 协议:选择
TCP。
- 服务名称:可自定义,如
- 保存并启用该规则。
第三部分:连接 VPN 服务器
从你的另一台设备(比如你的笔记本电脑)上连接。
在 Windows 客户端上连接
- 进入 “设置” -> “网络和 Internet” -> “VPN”。
- 点击 “添加 VPN”。
- 填写信息:
- VPN 提供商:选择 "Windows (内置)"。
- 连接名称:任意命名,如
My Home VPN。 - 服务器名称或地址:这里填入你的公网 IP 地址 或 DDNS 域名(
45.67.89或myhomevpn.ddns.net)。 - VPN 类型:选择 “安全套接字隧道协议 (SSTP)”。
- 登录信息:选择“用户名和密码”,并输入你之前创建的
vpnuser和密码。
- 点击 “保存”。
- 在 VPN 列表中,选择你刚刚创建的连接,点击 “连接”,输入密码即可。
在 macOS 客户端上连接
- 打开 “系统设置” -> “网络”。
- 点击左下角的 号添加新的网络接口。
- 接口选择 “VPN”,VPN 类型选择 “VPN (L2TP over IPSec)”(macOS 对 SSTP 支持不佳,L2TP 是最通用的替代方案,但需要在服务器端额外配置 IPSec,如果遇到连接问题,此步骤会复杂化。SSTP 在 macOS 上配置较麻烦,建议使用 Windows 或安卓/iOS 客户端)。
- 填写服务器地址(你的公网IP或DDNS),账户名(
vpnuser)。 - 在“认证设置”中,选择“用户名”,密码输入你设置的密码。
- 点击“应用”,然后尝试连接。
在 Android / iOS 客户端上连接
-
Android:
- 进入“设置” -> “网络和 Internet” -> “VPN”。
- 点击“添加 VPN 网络”。
- 名称:任意。
- 类型:选择 “SSTP”。
- 服务器地址:你的公网IP或DDNS。
- 域名:(通常留空)。
- 用户名 和 密码:你创建的账户信息。
- 点击“保存”,然后连接。
-
iOS:
- 进入“设置” -> “通用” -> “VPN与设备管理” -> “VPN”。
- 点击“添加 VPN 配置...”。
- 类型:选择 “SSTP”。
- 描述:任意。
- 服务器:你的公网IP或DDNS。
- 账户 和 密码:你创建的账户信息。
- 点击右上角“完成”,然后打开 VPN 开关进行连接。
常见问题排查
-
连接失败,提示“计算机拒绝连接”或“800错误”:
- 最常见原因:路由器端口转发没设置对,或者设置错误。
- 检查 Windows 防火墙是否阻止了连接,可以在“路由和远程访问”工具的服务器属性 -> “IPv4” -> “常规” -> “新建输入筛选器...” 中,允许入站 TCP 443 端口。
- 确认你的公网IP或DDNS是否正确。
- 尝试在局域网内用内网IP连接,如果成功,说明是路由器或外网问题。
-
连接成功,但无法访问内网资源(如无法访问其他电脑、打印机):
- 这是因为 VPN 客户端在连接后,默认的网关指向了 VPN 服务器,导致无法直接访问原来的局域网。
- 解决方法:在 VPN 客户端的“高级设置”中,勾选 “在远程网络上使用默认网关” 的选项。取消勾选它,这样你的客户端就会继续使用原来的路由器作为网关,同时通过 VPN 通道访问指定的内网资源。
-
IP 冲突:
- 确保 VPN 地址池(如
168.50.x)与你的主局域网(如168.1.x)不在同一个网段。
- 确保 VPN 地址池(如
至此,你已经成功在 Windows 上搭建并连接了 VPN 服务器,享受你的安全网络吧!
