我们将使用 Windows Server 内置的 “远程访问服务” 功能,它支持两种最主流的 VPN 协议:
(图片来源网络,侵删)
- SSTP (Secure Socket Tunneling Protocol):通过 HTTPS 端口(443)传输,防火墙通常允许,穿透性好,推荐首选。
- IKEv2 (Internet Key Exchange version 2):性能好,移动设备切换网络时(如 Wi-Fi 切换到 4G)连接更稳定,支持 MOBIKE 协议。
第一步:准备工作
在开始之前,请确保您满足以下条件:
-
一台公网 IP 地址的 Windows Server:
- 这台服务器必须有一个固定的、公网的 IP 地址。
- 如果您的服务器在家庭或办公室内网,您需要在路由器上进行 端口转发,将外网的 443 (SSTP) 和/或 500/4500 (IKEv2) 端口映射到服务器的内网 IP 地址。
- 示例端口映射:
- SSTP: 外部端口
443-> 内部 IP168.1.10-> 内部端口443 - IKEv2: 外部端口
500和4500-> 内部 IP168.1.10-> 内部端口500和4500
- SSTP: 外部端口
-
服务器操作系统:
- 本指南以 Windows Server 2025 / 2025 为例,步骤在 2025/2012 R2 上也基本类似。
-
管理员权限:
(图片来源网络,侵删)您需要拥有服务器的管理员账户才能进行安装和配置。
-
客户端设备:
您需要一台用于测试的客户端电脑(Windows, macOS)或手机(iOS, Android)。
第二步:安装 VPN 服务器角色
-
服务器管理器:
(图片来源网络,侵删)登录到您的 Windows Server,打开“服务器管理器”,您会看到一个“添加角色和功能”的链接,点击它。
-
向导开始:
- 在“添加角色和功能向导”中,点击“下一步”,直到您看到“服务器角色”页面。
-
选择角色:
- 在角色列表中,找到并勾选 “远程访问”,当您勾选它时,系统会弹出一个窗口,提示您需要添加“Web 服务器 (IIS)”作为依赖项,点击“添加功能”,然后点击“下一步”。
-
功能确认:
- 直接点击“安装”,等待安装完成,安装成功后,会提示您需要配置远程访问。
第三步:配置 VPN 服务器
安装完成后,服务器管理器会自动打开一个“配置远程访问”的窗口,如果错过了,也可以通过“工具” -> “路由和远程访问”来打开。
-
启动向导:
- 在“路由和远程访问”控制台中,右键点击您的服务器名称,然后选择“配置并启用路由和远程访问”。
-
向导选择:
- 在向导的第一页,选择“自定义配置”,然后点击“下一步”。
- 在“自定义配置”页面,勾选 “VPN 访问”,然后点击“下一步”。
- 点击“完成”来应用配置,系统会提示您现在需要启动服务,选择“是”。
-
设置 IP 地址分配:
- 这是至关重要的一步,VPN 客户端需要一个虚拟的 IP 地址池来获取内网 IP。
- 在“路由和远程访问”控制台中,右键点击您的服务器,选择“属性”。
- 切换到 “IPv4” 选项卡(如果您使用的是 IPv6,则切换到 IPv6)。
- 点击 “新建” 按钮。
- 在弹出的窗口中,输入一个 不与您局域网任何现有 IP 冲突 的 IP 地址范围。
- 起始 IP 地址:
168.100.1 - 结束 IP 地址:
168.100.254 - 子网掩码:通常和您局域网的一样,
255.255.0
- 起始 IP 地址:
- 点击“确定”保存。
第四步:创建 VPN 用户
默认情况下,所有用户都没有拨入 VPN 的权限,您需要为特定用户启用此权限。
-
打开“计算机管理”:
右键点击“开始”按钮,选择“计算机管理”。
-
找到用户:
- 在左侧导航栏中,展开“系统工具” -> “本地用户和组” -> “用户”。
-
设置用户属性:
- 找到您希望授予 VPN 权限的用户(
testuser),双击打开其属性窗口。 - 切换到 “拨入” 选项卡。
- 在“网络访问权限”下,选择 “通过 VPN 访问”。
- 点击“确定”保存。
- 找到您希望授予 VPN 权限的用户(
第五步:配置防火墙
Windows 防火墙通常会自动为 VPN 创建入站规则,但为了确保万无一失,您可以手动检查一下。
-
打开高级安全 Windows Defender 防火墙:
- 在“开始”菜单中搜索“
wf.msc”并打开。
- 在“开始”菜单中搜索“
-
检查入站规则:
- 在左侧,确保您在“入站规则”列表中。
- 找到以下规则,并确保它们已启用:
- VPN (通常包含
IKEv2,L2TP,SSTP等关键词) - Core Networking - IPHTTPS (对 IKEv2 很重要)
- VPN (通常包含
第六步:客户端连接指南
现在服务器端配置完成,我们可以在客户端设备上进行连接了。
Windows 客户端连接
-
设置新连接:
- 进入“设置” -> “网络和 Internet” -> “VPN” -> “添加 VPN”。
- VPN 提供商:选择 "Windows (内置)"。
- 连接名称:随便起一个,"MyOfficeVPN"。
- 服务器名称或地址:输入您服务器的 公网 IP 地址 或 域名。
- VPN 类型:这里强烈推荐选择 "SSTP (安全套接字隧道协议)",因为它兼容性最好,如果您确定 IKEv2 端口已完全开放,也可以选择它。
- 登录信息:选择“用户名和密码”,并输入您在第三步创建的
testuser和其密码。
-
连接:
保存设置后,在 VPN 列表中点击您刚刚创建的连接,然后点击“连接”即可。
macOS 客户端连接
-
系统偏好设置:
- 打开“系统偏好设置” -> “网络”。
- 点击左下角的 “+” 号添加新的网络服务。
- 接口:选择 "VPN"。
- VPN 类型:选择 "SSTP" 或 "IKEv2"。
- 服务名称:起一个名字,"OfficeVPN",然后点击“创建”。
-
配置服务器信息:
- 在服务器地址栏中,输入服务器的 公网 IP 地址。
- 在账户名称栏中,输入您的 VPN 用户名(
testuser)。 - 点击“认证设置”,选择“用户名”,并输入密码。
-
连接:
返回网络设置窗口,点击“连接”按钮。
Android / iOS 客户端连接
- 安卓:在 Google Play 商店搜索 "SSTP VPN Client" 或 "IKEv2 VPN Client"(OpenVPN Connect 也支持 SSTP),安装后,填入服务器地址、用户名、密码即可。
- iOS:进入 “设置” -> “通用” -> “VPN” -> “添加 VPN 配置”。
- 类型:选择 "IKEv2" 或 "SSTP"。
- 描述:起一个名字。
- 服务器:填入服务器公网 IP。
- 远程 ID:可以填和服务器地址一样,也可以留空或填域名。
- 本地 ID:可以留空。
- 账户:填入 VPN 用户名。
- 密码:填入 VPN 密码。
- 保存后
