以PPTP方式使用VPN路由器连接说明.docx
《以PPTP方式使用VPN路由器连接说明.docx》由会员分享,可在线阅读,更多相关《以PPTP方式使用VPN路由器连接说明.docx(12页珍藏版)》请在冰点文库上搜索。
以PPTP方式使用VPN路由器连接说明
[操作文]D-LinkDI-804HV配置VPNServer(PPTP篇)
基本知识
*什么是VPN?
答:
根据wiki上的解释:
虚拟私人网络,又称为虚拟专用网络或英文简称VPN,是一种常用于连接中、大型企业或团体与团体间的私人网络的通讯方法。
虚拟私人网络的讯息透过公用的网络架构(例如:
互联网)来传送内联网的网络讯息。
*什么是PPTP?
答:
PPTP是由多家公司(其中包括Ascendmunications,Microsoft,3,ECITelematics,以及U.S.Robotics等各大公司)专门为支持VPN而开发的一种技术。
PPTP是一种通过现有的TCP/IP连接(称为"隧道")来传送网络数据包的方法。
VPN要求客户端和服务器之间存在有效的互连网连接。
一般服务器需要与互连网建立永久性连接,而客户端则通过ISP连接互连网,并且通过拨号网(Dial-UpNetworking,DUN)入口与PPTP服务器建立服从PPTP协议的连接。
这种连接需要访问XX明(如用户名,口令和域名等)和遵从的验证协议。
RRAS为在服务器之间建立基于PPTP的连接及永久性连接提供了可能。
解决方案
VPN服务端:
D-LINKDI-804HV上设置PPTPSERVER。
VPN客户端:
客户端使用WINDOWS自带的VPN客户端管理软件进行Point-to-Site的VPN连接。
*注:
由于本例中客户端在内网,因此其对外网关必须支持VPNPassThrough(VPN穿透)
另外,VPN客户正常拨入VPN后将得到一个与原VPN内网网段不相同的IP地址端;VPN客户通过DI-804HV路由器对原VPN内网机器进行跨网段(路由功能)访问;我们可以通过在DI-804HV上设置ACL规则从而现实VPN客户对原VPN内网机器资源/服务的有限制性访问。
实验环境
VPN服务端
VPN服务器/路由
D-LinkDI-804HV(FirmwareVersion:
V1.42b08)
线路
512Kb/s的中国电信ADSL线路
VPN客户端
VPN客户端1
PIII台式机,WINXP操作系统
VPN客户端2
1.7G笔记本,WINXP操作系统
路由
TP-LINKTL-402M宽带路由器
线路
512Kb/s的中国电信ADSL线路
服务端配置
用浏览器打开路由器的WebConfiguration(本例中为192.168.10.1):
单击“Home”分页的“VPN”按钮进入“VPNSettings”配置界面…
在DI-804HV中默认的VPN为IPSecVPN,而我们这篇文章的主角是PPTP,因此这里什么的不用设置,直接点击“VPNSettings”界面的“PPTPServerSetting..”按钮进入“PPTPServer”配置界面…
配置选项如下:
“Enable”PPTPServer----击活PPTPVPN服务端;
在“VirtualIPofPPTPServer”IP输入栏输入某个C类IP地址值----该IP段为远程拨入后所分配到的IP地址X围,主机号为1的主机为该网段的虚拟网关;
“AuthenticationProtocol”(认证方式)选择“MSCHAP”方式;
“Enable”MPPEEncryptionMode----击活MPPE加密模式,其实这个选项是‘可选’的。
然后在“TunnelSetting”输入栏填加:
“TunnelName”----隧道名;
“UserName”----XX名;
“Password”----密码;
如下图:
填写完成后按“Apply”按钮后设备将重新启动…重启后在界面最底部分将出现相关的记录(如上面例子中所生成的“TunnelName”=demonalex的隧道记录):
来到这里,PPTP服务端配置完成。
客户端配置
首先打开“网络连接”对话框,点击菜单栏上的“文件”…
选择“新建连接…”进入“新建连接向导”对话框…
单击“下一步”继续…
在‘网络连接类型’中选择“连接到我的工作场所的网络”,点击“下一步”继续…
在‘您想要在工作点如何与网络连接?
’的对话框中选择“虚拟专用网络连接”,点击“下一步”按钮…
此时向导会要求你为该新建连接起一个名字(本例中我直接输入了服务的域名),然后按“下一步”继续…
在这里向导需要知道你能连接到Internet的连接接口究竟是哪个(是否是虚拟拨号接口等,如果是,则在“自动拨此初始连接”的下拉菜单中选择适合的一个拨号连接),因为本例中我是通过路由连接出Internet的,所以我选择“不拨初始连接”,点击“下一步”继续…
输入VPN服务的主机名/域名或IP地址,然后“下一步”…
向导最后提示使用者该新建连接的所有基本设置已经完成了,在这里我还选择了“在我的桌面上添加一个到此连接的快捷方式”(PS:
方便一点嘛…),最后单击“完成”按钮完成整个新建过程。
此时,系统将自动弹出一个连接登陆对话框:
输入在VPNServer上新建的Tunnel所对应的XX、密码后按“连接”按钮…
十秒左右的挑战/应答过程…成功登陆后我们可以在WINDOWS桌面右下角的状态栏中看到我们想要的东西----VPN连接(本例中该连接的名称为“demonalex.3322.org”):
使用ipconfig/all命令显示VPN连接:
VPN连接成功后获取到的是一个10.0.0.X/32(默认网关为本机的地址)的网络地址。
FAQ
*如何添加VPN用户呢?
答:
登陆DI-804HV的WebConfiguration,点击“VPN”-》“PPTPServerSetting..”,在“TunnelSetting”输入栏填加新的Tunnel名、XX、密码,点击“Apply”完成操作。
*注:
DI-804HV在每次“Apply”新的设置后都会重启设备的。
*如何为本地内网服务提供有效的安全访问控制机制呢?
答:
在这个功能的实现上本来我以为可以直接透过DI-804HV的包过滤功能(“Advanced”-》“Firewall”)来实现跨网段间包过滤访问控制的,但后来经过测试后发现DI-804HV并没有这样子的功能,最后只能在打算实施访问控制的服务器上安装包过滤防火墙来解决问题了。
*为什么有的时候我连接VPN服务器会出现:
这样的错误(错误721)呢?
答:
出现这样的错误是因为‘你(VPN拨号客户端)正处于局域网之内,且该局域网并不支持VPNPassThrough或该局域网目前的VPNPassThrough连接数已超过其所能容纳的最XX接数’所导致的。
*多个VPN客户端是否能共用一个VPN登陆XX呢?
答:
没问题的。
他们能共用一个VPN登陆XX登陆VPN网络,VPN服务器会分别赋予其不同的IP地址。
*多个登陆VPN网络后的客户端之间能否相互访问?
答:
完全可以,虽然理论上他们处于不同的网段,如:
10.0.0.2/32与10.0.0.3/32。
另外,DI-804HV的VPN服务器在分配VPN客户端其IP地址时有一个规律:
其IP地址的最后一位都是从2开始以加1的方式递增的,即比方说第一个合法登陆VPN的客户端的IP地址为10.0.0.2/32时,第二个则为10.0.0.3/32,以此类推,至于最后一个能分配到的IP地址是多少(即是说最后这个网络地址所能分配到的终点值是多少)则要看这个VPN服务器最大能容纳多少个VPN客户端了,据说DI-804HV能容纳大约40个VPN客户端。
*PPTP协议本身是否存在安全问题?
答:
目前微软、CISCO等生产厂商已证实PPTP协议本身存在着严重的安全问题,黑客可利用该安全缺陷致使VPN服务/系统崩溃,目前该缺陷仅能被用作拒绝服务攻击用途,而不会导致黑客得到系统的管理权限;另外,有资料显示PPTP的v1、v2版本都有被进行离线破解的可能;不过总体上来说,PPTP协议还是安全的。