Windows 7 已于 2025 年 1 月 14 日停止所有技术支持，这意味着它不再接收安全更新，存在严重的安全风险。强烈建议您升级到 Windows 10/11 或使用其他现代操作系统来搭建 VPN 服务器。

以下教程仅作为技术参考或在受信任的、隔离的网络环境中使用。

核心概念：两种 VPN 模式

Windows 7 的 VPN 服务器功能主要通过“路由和远程访问”服务实现，它支持两种主要的 VPN 连接类型：

1. VPN (SSTP):

   • 协议: Secure Socket Tunneling Protocol (安全套接字隧道协议)。
   • 优点: 流量通过标准的 HTTPS (端口 443) 加密隧道传输，这个端口在企业防火墙和公共 Wi-Fi 上几乎总是开放的，因此穿透性最好,最稳定。
   • 缺点: Windows 客户端默认支持，但非 Windows 设备（如 macOS、Linux、Android、iOS）需要额外安装客户端软件或进行复杂配置才能连接 SSTP。
   • 适用场景: 主要连接 Windows 设备。

2. VPN (L2TP/IPSec):

   
   （图片来源网络，侵删）
   • 协议: Layer 2 Tunneling Protocol with IPsec (第二层隧道协议配合 IP 安全协议)。
   • 优点: 跨平台兼容性极好，Windows、macOS、Linux、Android、iOS 等所有主流操作系统都原生支持。
   • 缺点: 需要预先在服务器和客户端之间共享一个“预共享密钥”(Pre-Shared Key)，配置稍复杂,有时会被防火墙限制。
   • 适用场景: 需要从多种不同设备（手机、平板、电脑）连接的场景。

本教程将重点介绍最常用且兼容性最好的 L2TP/IPSec 模式。

第一部分：在 Windows 7 服务器上配置 VPN

步骤 1：启用“路由和远程访问”服务

1. 点击“开始”按钮，在搜索框中输入 services.msc 并按回车。
2. 在服务列表中，找到并右键点击 “Routing and Remote Access” (路由和远程访问)。
3. 选择 “Properties” (属性)。
4. 确保 “Startup type” (启动类型) 设置为 “Automatic” (自动)。
5. 点击 “Start” (启动) 按钮来启动该服务，然后点击“确定”。

步骤 2：配置 VPN 服务器角色

1. 点击“开始”按钮，在搜索框中输入 rrasmgmt.msc 并按回车，打开“路由和远程访问”管理控制台。
2. 在左侧窗格中，右键点击你的服务器计算机名称（WIN7-PC），然后选择 “Configure and Enable Routing and Remote Access” (配置并启用路由和远程访问)。
3. 弹出“欢迎使用路由和远程访问服务器安装向导”窗口，点击 “下一步”。
4. 选择 “Custom configuration” (自定义配置)，然后点击“下一步”。
5. 勾选 “VPN access” (VPN 访问)，然后点击“下一步”。
6. 确认选择后，点击 “完成”。
7. 系统会提示你“您必须现在重新启动路由和远程访问服务才能使这些更改生效吗？”，点击 “是”,服务会自动重启。

步骤 3：设置 IP 地址分配

VPN 客户端需要一个虚拟的 IP 地址才能与你的内网通信,有两种方式：

• 推荐方式：使用 DHCP 服务器，如果你的局域网内已有 DHCP 服务器，它会自动为 VPN 客户端分配 IP 地址,这是最简单的方式。
• 备用方式：使用静态 IP 地址池，如果你没有 DHCP 服务器，可以手动创建一个 IP 地址池。

这里我们以设置静态 IP 地址池为例：

1. 在“路由和远程访问”管理控制台中，右键点击服务器名称，选择 “Properties” (属性)。
2. 切换到 “IPv4” 选项卡。
3. 点击 “New” (新建) 按钮。
4. 在弹出的窗口中，输入一个不会与你局域网内其他设备冲突的 IP 地址范围。
   • 例如: 你的局域网是 168.1.0/24，你可以设置 VPN 地址池为 168.10.1 到 168.10.254。
   • 起始 IP 地址: 168.10.1
   • 结束 IP 地址: 168.10.254
5. 点击 “OK” (确定) 保存。

步骤 4：配置 IPsec 和 L2TP

这是最关键的一步，用于确保 L2TP 连接的安全性。

1. 在“路由和远程访问”管理控制台中，展开服务器名称，然后展开 “IPv4” -> “NAT/Basic Firewall”。

2. 在右侧窗格中，右键点击 “IPv4”，选择 “Properties” (属性)。

3. 切换到 “Security” (安全) 选项卡。

4. 在 “IPsec defaults” (IPsec 默认值) 部分，取消勾选 “Use a preshared key for authentication” (使用预共享密钥进行身份验证)。

5. 点击 “Apply” (应用)，然后点击 “OK” (确定)。

6. 我们需要通过注册表来设置预共享密钥，这是一个必要步骤。

   • 点击“开始”，在搜索框中输入 regedit 并按回车。
   • 导航到以下注册表项： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
   • 在右侧窗格中，右键点击空白处，选择 “New” -> “DWORD (32-bit) Value”。
   • 将其命名为 AssumeUDPEncapsulationContextOnSendRule。
   • 双击新建的值，将“数值数据”设置为 2，然后点击“确定”。

7. 再次点击“开始”，在搜索框中输入 secpol.msc 并按回车，打开“本地安全策略”。

8. 在左侧导航到 “IP Security Policies on Local Computer” (本地 IP 安全策略)。

9. 在右侧窗格中，右键点击空白处，选择 “Create IP Security Policy” (创建 IP 安全策略)，然后按照向导完成创建，在向导的最后一步，不要立即指派策略。

10. 创建完成后，你会看到新策略出现在列表中，右键点击它，选择 “Properties”。

11. 切换到 “Rules” (规则) 选项卡，选择 “All Network Connections”，然后点击 “Edit”。

12. 切换到 “Authentication Methods” (身份验证方法) 选项卡，点击 “Customize”。

13. 选择 “This use a preshared key for authentication”，并输入一个强密码作为预共享密钥。请务必记住这个密钥，因为客户端连接时需要用到它！

14. 点击“确定”保存所有设置。

步骤 5：配置用户账户

只有授权的用户才能连接 VPN。

1. 右键点击 “我的电脑” -> “管理”。
2. 展开 “Local Users and Groups” (本地用户和组) -> “Users”。
3. 找到一个你想要授权的用户（testuser），或者右键点击“用户”选择 “New User” 来创建一个新用户。
4. 双击该用户打开属性窗口，切换到 “Dial-in” 选项卡。
5. 勾选 “Allow access” (允许访问)，然后点击“确定”。

第二部分：在 Windows 7 客户端上连接 VPN

你的 VPN 服务器已经配置好了，假设你的家庭/公司网络的公网 IP 地址是 45.67.89。

1. 在另一台 Windows 7 电脑上，点击“开始”按钮 -> “控制面板” -> “网络和共享中心”。
2. 点击 “Set up a new connection or network” (设置新的连接或网络)。
3. 选择 “Connect to a workplace” (连接到工作场所)，然后点击“下一步”。
4. 选择 “Use my Internet connection (VPN)” (使用我的 Internet 连接)。
5. Internet address: 输入你的公网 IP 地址或动态域名 (45.67.89 或 myhome.ddns.net)。
   • Destination name: 给这个连接起一个名字，My Home VPN。
   • 勾选 “Don’t connect now; just set it up so I can connect later.” (现在不连接；仅进行设置以便稍后连接)。
6. 点击“下一步”。
7. 输入你在服务器上创建的用户名和密码。
8. 勾选 “Remember this password” (记住此密码)。
9. 点击 “Create” (创建)。
10. 返回到“网络和共享中心”，你应该能看到你刚刚创建的 VPN 连接，点击 “Connect”。
11. 如果一切正常，系统会提示你输入 VPN 的预共享密钥（你在 IPsec 策略中设置的那个）,输入后即可连接成功。

第三部分：端口转发（路由器设置）

如果你的 Windows 7 服务器位于一个家庭或公司网络内部（通过路由器上网），你必须在路由器上设置端口转发,才能从外部网络访问它。

L2TP/IPSec 通常需要转发以下端口：

• UDP 端口 500: 用于 IKE (Internet Key Exchange) 密钥协商。
• UDP 端口 4500: 用于 NAT Traversal (NAT-T)，当客户端在 NAT 后面时需要。
• TCP/UDP 端口 1701: 用于 L2TP 隧道本身。

路由器设置步骤（以常见路由器为例）：

1. 登录到你的路由器管理界面（通常是 168.1.1 或 168.0.1）。
2. 找到 “Port Forwarding” (端口转发) 或 “Virtual Server” (虚拟服务器) 设置。
3. 添加三条规则：
   • 规则 1:
     • 外部端口: 500
     • 内部端口: 500
     • 协议: UDP
     • 内部 IP 地址: 你的 Windows 7 服务器的局域网 IP 地址 (168.1.100)。
   • 规则 2:
     • 外部端口: 4500
     • 内部端口: 4500
     • 协议: UDP
     • 内部 IP 地址: 168.1.100
   • 规则 3:
     • 外部端口: 1701
     • 内部端口: 1701
     • 协议: UDP (或 TCP/UDP)
     • 内部 IP 地址: 168.1.100
4. 保存设置并重启路由器。

重要注意事项和故障排除

• 防火墙: 确保你的 Windows 7 服务器的防火墙已经允许“路由和远程访问”的流量，通常在配置 RRAS 时,它会自动配置防火墙规则。
• 公网 IP: 如果你的公网 IP 是动态的，每次重启路由器都会变，你需要使用动态 DNS (DDNS) 服务（如 No-IP、Dynu）来获得一个固定的域名。
• NAT: 确保 Windows 7 服务器与客户端之间没有复杂的网络地址转换设备。
• 安全警告: 再次强调，Windows 7 不再安全，不要使用此 VPN 来处理敏感的金融或个人信息。
• 连接失败: 检查服务器日志（事件查看器 -> Windows 日志 -> 系统）、客户端错误代码、路由器端口转发是否正确、以及预共享密钥是否匹配。

希望这份详细的教程能帮助到你！