重要声明:安全风险提示
Windows Server 2003 是一个已经停止官方支持和安全更新的操作系统,将其连接到互联网或用于处理敏感数据存在极高的安全风险,极易受到病毒、勒索软件和黑客攻击。
本教程仅供学习和测试环境使用,强烈建议您在生产环境中使用现代、受支持的操作系统(如 Windows Server 2025/2025 或 Linux)。
第一部分:准备工作
在开始之前,请确保您已完成以下准备工作:
- 一台已安装 Windows Server 2003 的计算机:可以是物理机或虚拟机。
- 一个公网静态 IP 地址:这是您的 VPN 服务器的“门牌号”,通常由您的互联网服务提供商 提供,如果您的 IP 是动态的,您可以使用 DDNS(动态域名解析)服务来绑定一个固定的域名。
- 路由器/防火墙:用于将公网 IP 的特定端口(默认为 TCP/UDP 1723 和 GRE 协议)转发到内网 VPN 服务器的私有 IP 地址上,这个过程称为 端口映射 或 端口转发。
- VPN 服务器的内网 IP 地址:
168.1.10。 - 客户端计算机:安装了 Windows 操作系统(如 Windows 7, 8, 10, 11)或 macOS 的电脑。
第二部分:在 Windows Server 2003 上配置 VPN 服务器
步骤 1:安装“路由和远程访问”服务
这是 VPN 服务器的核心组件。
-
打开“管理您的服务器”:点击“开始” -> “管理您的服务器”。
(图片来源网络,侵删) -
添加角色:在右侧的“区域,点击“添加或删除角色”。
-
进入“配置您的服务器向导”:点击“下一步”。
-
选择角色:在“服务器角色”列表中,勾选 “路由和远程访问”,然后点击“下一步”。
-
确认安装:直接点击“下一步”。
(图片来源网络,侵删) -
配置模式:这是最关键的一步,选择 “自定义配置”,然后点击“下一步”。
-
选择服务:勾选 “VPN 访问”,然后点击“下一步”。
-
完成安装:点击“下一步”开始安装,安装完成后,会提示您“您现在必须使用路由和远程访问服务器安装向导来完成服务器的配置”。请务必勾选“在完成此向导后,在服务器上启动 ‘路由和远程访问’服务”,然后点击“完成”。
“路由和远程访问”服务已成功安装并启动。
步骤 2:配置 VPN 服务器
-
打开“路由和远程访问”管理控制台:
- 点击“开始” -> “程序” -> “管理工具” -> “路由和远程访问”。
- 或者,在“管理您的服务器”窗口中,点击“路由和远程访问”下的“管理此路由和远程访问服务器”。
-
启动配置向导:首次打开时,会弹出“路由和远程访问服务器安装向导”,点击“下一步”。
-
选择配置:选择 “自定义配置”,点击“下一步”。
-
启用服务:勾选 “VPN 访问”,点击“下一步”,然后点击“完成”。
-
启动服务:配置完成后,系统会询问您是否立即启动服务,点击 “是”。
步骤 3:设置 IP 地址分配
客户端连接后,VPN 服务器需要给它分配一个 IP 地址。
-
右键点击服务器名称:在“路由和远程访问”控制台中,右键点击您的服务器名称(
SERVER-2003),选择 “属性”。 -
切换到“IP”选项卡:在弹出的属性窗口中,选择 “IP” 选项卡。
-
配置 DHCP 中继代理:
- 勾选 “启用 IP 路由”。
- 在 “IP 地址分配” 区域,选择 “来自一个指定的地址范围”。
- 点击 “新建” 按钮。
-
定义地址池:
- 起始 IP 地址:输入一个您内网网段中未使用的 IP 地址,
168.1.200。 - 结束 IP 地址:输入一个结束地址,
168.1.210。 - 点击 “确定” 返回。
- 起始 IP 地址:输入一个您内网网段中未使用的 IP 地址,
步骤 4:配置身份验证
默认情况下,VPN 服务器会使用 Windows 的用户账户进行身份验证,您需要为允许连接 VPN 的用户赋予远程访问权限。
-
打开“Active Directory 用户和计算机”:
- 点击“开始” -> “程序” -> “管理工具” -> “Active Directory 用户和计算机”。
- (注意:如果您的服务器不是域控制器,则打开“本地用户和计算机”管理器,路径为“开始” -> “程序” -> “管理工具” -> “本地用户和计算机”)
-
选择用户:在左侧的控制台树中,找到并点击包含用户账户的文件夹(
Users)。 -
打开用户属性:右键点击需要授权访问 VPN 的用户(
vpnuser),选择 “属性”。 -
切换到“拨入”选项卡:在用户属性窗口中,选择 “拨入” 选项卡。
-
授予远程访问权限:
- 在“远程访问权限”下,选择 “允许访问”。
- 您还可以在这里设置“回拨”等策略,但通常保持默认即可。
- 点击 “确定” 保存。
第三部分:配置路由器/防火墙(端口映射)
为了让外网的客户端能够访问到您的内网 VPN 服务器,您必须在路由器或防火墙上进行端口转发。
您需要转发的端口和协议:
- 协议:TCP 和 UDP
- 端口:1723
- 协议:GRE (协议号 47,这是一个 IP 协议,不是 TCP/UDP 端口,有些路由器也叫它 "PPTP Passthrough")
配置步骤(以常见路由器为例):
- 登录路由器管理界面:在浏览器中输入路由器的管理地址(通常是
168.1.1或168.0.1),输入用户名和密码登录。 - 找到“端口转发”或“虚拟服务器”:这个功能通常在“高级设置”、“NAT 设置”或“转发规则”等菜单下。
- 添加新规则:
- 服务端口/外部端口:填写
1723。 - 内部端口:填写
1723。 - 内部 IP 地址:填写您 VPN 服务器的内网 IP 地址,
168.1.10。 - 协议:选择 TCP。
- 状态:启用。
- 保存此规则。
- 服务端口/外部端口:填写
- 添加 GRE 规则:
- 由于 GRE 不是端口,有些路由器会提供一个专门的 “PPTP Passthrough” 开关,您只需将其 “启用” 即可。
- 如果没有,您可能需要添加一个特殊规则,类型选择为“GRE”,IP 地址同样指向
168.1.10。
检查防火墙: 如果您的 VPN 服务器本身开启了 Windows 防火墙,也需要允许这些流量。
- 打开“网络连接”。
- 右键点击您的“本地连接”,选择“属性”。
- 切换到“高级”选项卡。
- 点击“设置”按钮。
- 在“例外”选项卡中,确保勾选了 “PPTP Passthrough” 或 “VPN”,如果没有,请点击“添加程序”或“添加端口”来手动添加 TCP 端口 1723。
第四部分:客户端连接测试
服务器端和路由器都配置好了,我们可以在客户端电脑上进行连接测试。
在 Windows 客户端上连接
-
打开“网络连接”:
- 在 Windows 7/8/10/11 中,右键点击右下角的网络图标,选择“打开网络和 Internet 设置” -> “网络和共享中心” -> “更改适配器设置”。
- 或者直接在“控制面板” -> “网络和 Internet” -> “网络连接”中打开。
-
创建新的 VPN 连接:
- 右键点击空白处,选择 “新建连接向导”
