下面我将为你提供一个非常详细的、图文并茂的步骤指南，适用于 Windows 10/11 专业版。

核心概念：选择哪种 VPN？

Windows 提供了两种主要的 VPN 协议：

1. SSTP (Secure Socket Tunneling Protocol)：

   • 优点：使用标准的 HTTPS (TCP 443 端口) 进行传输，可以轻松穿透大多数公司、酒店、机场的防火墙,因为它们通常允许网页浏览。
   • 缺点：Windows 专属，其他平台（如 macOS, Linux, Android, iOS）支持不如 L2TP/IPSec 普遍。
   • 推荐场景：如果你主要连接 Windows 设备，或者你的网络环境防火墙很严格，SSTP 是最佳选择。

2. L2TP/IPSec (Layer 2 Tunneling Protocol with IPsec)：

   • 优点：跨平台兼容性极好,几乎所有操作系统都原生支持。
   • 缺点：通常需要 UDP 端口 500 和 4500,在某些网络环境下可能被阻止。
   • 推荐场景：如果你需要连接不同类型的设备（如 Mac, iPhone, Android），L2TP 是更通用的选择。

本教程将以 SSTP 为例进行讲解，因为它在绝大多数网络环境下都能工作，最后会提供 L2TP 的关键差异点。

第一步：准备工作

1. 操作系统：确保你的电脑运行的是 Windows 10/11 专业版、企业版或教育版,家庭版不支持此功能。
2. 公网 IP 地址：你的电脑必须有一个公网 IP 地址，这意味着你的电脑需要直接连接到光猫/路由器的 桥接模式，或者你的路由器已经设置了 端口转发。
   • 如何检查：在浏览器中搜索 "what is my ip"，显示的就是你的公网 IP。
   • 推荐方案：为了安全和管理方便，强烈建议不要将 VPN 服务器直接暴露在公网，最佳实践是：在家庭路由器上设置 端口转发，将公网 IP 的 443 (SSTP) 或 500/4500 (L2TP) 端口转发到你 VPN 服务器的内网 IP 地址。
3. 固定内网 IP 地址：为你的 VPN 服务器设置一个固定的内网 IP 地址（168.1.100），否则路由器重启后 IP 变化,端口转发设置就会失效。
4. 防火墙：确保 Windows Defender 防火墙或第三方防火墙允许 VPN 流量。

第二步：安装和配置 VPN 服务器

启用“路由和远程访问”服务

1. 在开始菜单中搜索 服务器管理器 并打开它。 (在 Windows 10/11 中，这个界面可能比较简化，但功能入口类似)。
2. 如果没有自动打开，可以点击左上角的 "管理" -> "添加角色和功能"。
3. 在向导中，一直点击 "下一步"，直到 "功能" 页面。
4. 在功能列表中，找到并勾选 “远程访问”。
5. 点击 "下一步"，然后点击 "安装",等待安装完成。
6. 安装完成后，系统可能会提示你配置远程访问，点击 "通过路由和远程访问安装" 或手动打开 "服务器管理器" -> "工具" -> “路由和远程访问”。

配置 VPN 服务器

1. 打开 "路由和远程访问" 管理控制台。
2. 在左侧窗格中，右键点击你的服务器名称（通常是你电脑的名字），然后选择 “配置并启用路由和远程访问”。
3. 欢迎使用向导：点击 "下一步"。
4. 配置服务器角色：
   • 选择 “自定义配置”，然后点击 "下一步"。
   • 勾选 “VPN 访问”，然后点击 "下一步"。(可以同时勾选 NAT 和 VPN，但 VPN 是必须的)。
   • 点击 "完成"。
5. 启动服务：系统会提示你 "您想现在启动服务吗？"，点击 "是",服务启动可能需要一点时间。

设置 IP 地址池

这是最关键的一步，它决定了连接到你的 VPN 的客户端将获得什么样的 IP 地址。

1. 在 "路由和远程访问" 控制台的左侧，右键点击 “IPv4” -> “地址分配”。
2. 在右侧窗格中，右键点击 “DHCP 中继代理程序”，选择 “新建接口...”。
3. 选择你当前正在使用的网络连接（"以太网" 或 "WLAN"），点击 "确定"。
4. 在弹出的窗口中，勾选 "BOOTP 中继代理程序"，然后点击 "确定"。
   • 注意：这一步的目的是让 VPN 服务器能从你的主路由器获取 IP 地址范围，如果你的主路由器开启了 DHCP，它会自动分配 IP，如果你想手动指定一个范围，可以跳过这一步，直接在 "IPv4" 上右键 -> “新建路由和远程访问 IPv4 地址范围...” 来创建一个专用的 VPN 地址池（168.50.1 到 168.50.100）。

配置用户权限

默认情况下，所有用户都无法拨入 VPN,你需要为特定用户启用此权限。

1. 按 Win + R 键，输入 lusrmgr.msc 并回车，打开“本地用户和组”。
   • 如果找不到 lusrmgr.msc，也可以通过 "计算机管理" -> "系统工具" -> "本地用户和组" 进入。
2. 在左侧选择 “用户”。
3. 双击你想要授予 VPN 权限的用户。
4. 切换到 “拨入” 选项卡。
5. 在 "网络访问权限" 下，选择 "通过 VPN 访问"。
6. 点击 "确定"。

第三步：配置防火墙

Windows 防火墙需要允许 VPN 流量通过。

1. 打开 "控制面板" -> "Windows Defender 防火墙"。
2. 点击左侧的 “允许应用或功能通过 Windows Defender 防火墙”。
3. 点击 “更改设置” (需要管理员权限)。
4. 找到并勾选 “路由和远程访问”，确保其在 “专用” 和 “公用” 网络类型下都是 “允许” 状态。
   • 如果列表中没有，可以点击 “允许其他应用...”，然后手动浏览到 C:\Windows\System32\svchost.exe 来添加。

第四步：客户端连接设置

服务器端配置完成，你可以在另一台设备（如你的笔记本或手机）上,按照以下步骤进行连接。

在 Windows 客户端上连接

1. 打开 “设置” -> “网络和 Internet” -> “VPN”。
2. 点击 “添加 VPN 连接”。
3. 填写信息：
   • VPN 提供商：选择 "Windows (内置)"
   • 连接名称：任意填写，"My Home VPN"。
   • 服务器名称或地址：填入你的 公网 IP 地址。
   • VPN 类型：选择 "安全套接字隧道协议 (SSTP)"。
   • 登录信息的类型：选择 “用户名和密码”。
   • 用户名：填写你之前在“本地用户和组”中授权的用户名。
   • 密码：填写该用户的密码。
4. 点击 “保存”。
5. 在 VPN 列表中，点击你刚刚创建的连接，然后点击 “连接”,输入密码即可。

在 macOS 客户端上连接 (以 L2TP 为例)

1. 打开 “系统偏好设置” -> “网络”。
2. 点击左下角的 号，选择 “VPN” -> "VPN 类型" 选择 "L2TP over IPSec"，然后点击 “创建”。
3. 填写信息：
   • 服务名称：任意填写，"My Home VPN"。
   • 服务器地址：填入你的 公网 IP 地址。
   • 账户名称：填写你的 VPN 用户名。
   • 设置密码：选择 "添加密码钥匙串"，输入你的 VPN 密码。
4. 点击 “认证设置...”：
   • 密码：再次输入你的 VPN 密码。
   • 共享密钥：这个密钥需要在服务器端和客户端保持一致。默认情况下，Windows VPN 服务器没有共享密钥，这会导致 macOS 连接失败。
5. 解决 macOS 连接问题：
   • 你需要修改 Windows 注册表来添加一个共享密钥。
   • 按 Win + R，输入 regedit,回车。
   • 导航到路径：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Parameters
   • 在右侧空白处右键 -> "新建" -> "DWORD (32 位) 值"。
   • 将其命名为 NegotiateSecurity，并将其值设置为 1。
   • 再新建一个名为 presharedkey 的 "字符串值"。
   • 双击 presharedkey，输入一个你想要的任意字符串（MySecretKey123）,然后确定。
   • 重启 "路由和远程访问" 服务。
   • 在 macOS 的认证设置中，共享密钥 一栏就填入 MySecretKey123。

第五步：安全注意事项

• 使用强密码：为 VPN 用户设置一个复杂的密码。
• 考虑使用证书：对于更高安全性的需求，可以使用 SSL 证书来替代用户名/密码认证,但这会使配置更复杂。
• 定期更新：保持你的 Windows 系统和路由器固件为最新版本。
• 监控日志：在 "路由和远程访问" 控制台中，可以查看 "远程访问客户端" 和 "日志" 来监控连接情况。

L2TP/IPSec 配置的关键差异点

如果你选择使用 L2TP,主要区别在于：

1. 服务器配置：在 "路由和远程访问向导" 中，选择 L2TP 访问，在 IP 地址分配部分,同样需要配置好地址池。
2. 防火墙：需要放行 UDP 端口 500 (用于 IKE) 和 4500 (用于 NAT-T)。
3. 客户端连接：VPN 类型选择 "L2TP/IPSec with pre-shared key"。
4. 共享密钥：L2TP 强制要求一个共享密钥，你必须像上面解决 macOS 问题时描述的那样，在 Windows 注册表中添加 presharedkey 字符串值,并在所有客户端的设置中使用完全相同的密钥。

希望这份详细的指南能帮助你成功搭建自己的 VPN 服务器！如果在过程中遇到任何问题,可以随时提问。