配置基于PPTP模式的站点到站点的VPN连接.docx
《配置基于PPTP模式的站点到站点的VPN连接.docx》由会员分享,可在线阅读,更多相关《配置基于PPTP模式的站点到站点的VPN连接.docx(41页珍藏版)》请在冰点文库上搜索。
配置基于PPTP模式的站点到站点的VPN连接
配置基于PPTP模式的站点到站点的VPN连接
下图是我的试验网络,此试验不涉及DNS名字解析,各主机的DNS服务器均设置为空:
各主机的TCP/IP设置为:
Florence
External:
∙IP:
61.139.0.1/24
∙DG:
61.139.0.1
Internal:
∙IP:
192.168.0.1/24
∙DG:
None
Beijing
∙IP:
192.168.0.2/24
∙DG:
192.168.0.1
Istanbul
External:
∙IP:
61.139.0.2/24
∙DG:
61.139.0.1
Internal:
∙IP:
172.16.0.1/24
∙DG:
None
Sydney
∙IP:
172.16.0.2/24
∙DG:
172.16.0.1
在此试验中,我们将在Florence和Istanbul之间建立一个基于PPTP的站点到站点的VPN连接,由Florence向Istanbul进行请求拨号,步骤如下:
∙在Florence上建立远程站点;
∙在Florence上建立此远程站点的网络规则;
∙在Florence上建立此远程站点的访问规则;
∙在Istanbul上建立远程站点;
∙在Istanbul上建立此远程站点的网络规则;
∙在Istanbul上建立此远程站点的访问规则;
∙在Istanbul上为远程站点的拨入建立用户;
∙测试VPN连接;
一、在Florence上建立远程站点
我们已经安装和配置好了ISAServer2004,并且设置好了IP地址。
如图,在ISAServer2004我们允许了内部到外部的所有访问、所有网络到本地主机的Ping(便于测试)。
在Beijing上,是可以Ping通Istanbul的。
打开ISAServer2004控制台,点击虚拟专用网络,点击右边任务面板中的添加远程站点网络;
在欢迎使用网络创建向导页,输入远程站点的名字,在此我命名为main,点击下一步;
在VPN协议页,选择点对点隧道协议(PPTP),点击下一步;
在远程站点网关页,输入远程VPN网关的名称或IP地址,如果输入名称,确保可以正确解析,在此我们输入Istanbul的外部IP地址61.139.0.2,点击下一步;
在远程身份验证页,勾选本地站点可以使用这些凭据来初始化到远程站点的连接(这样可以让内部用户进行请求拨号来主动连接远程VPN站点),然后输入远程VPN网关上具有拨号权限的对应远程站点的用户名和密码,注意,这个用户名必须和远程VPN网关上设置的远程站点的名字相同,我们等下会在Istanbul上建立,在此先输入用户remote和对应的密码,点击下一步继续;
在本地身份验证页,点击下一步;在网络地址页,点击添加输入远程子网的IP地址范围,在此我输入172.16.0.0和172.16.0.255,点击确定后,点击下一步继续;
在正在完成新建网络向导页,点击完成,此时,远程站点就建立好了。
二、在Florence上建立此远程站点的网络规则
接下来,我们需要建立一条网络规则,为远程站点和内部网络间的访问定义路由关系。
右击配置下的网络,然后点击新建,选择网络规则;
在新建网络规则向导页,输入规则名字,在此我命名为Internal->Main,点击下一步;
在网络通讯源页,点击添加,选择网络目录下的内部,点击下一步;
在网络通讯目标页,点击添加,选择网络目录下的main,点击下一步;
在网络关系页,选择路由,然后点击下一步;
在正在完成新建网络规则向导页,点击完成;
二、在Florence上建立此远程站点的网络规则
接下来,我们需要建立一条网络规则,为远程站点和内部网络间的访问定义路由关系。
右击配置下的网络,然后点击新建,选择网络规则;
在新建网络规则向导页,输入规则名字,在此我命名为Internal->Main,点击下一步;
在网络通讯源页,点击添加,选择网络目录下的内部,点击下一步;
在网络通讯目标页,点击添加,选择网络目录下的main,点击下一步;
在网络关系页,选择路由,然后点击下一步;
在正在完成新建网络规则向导页,点击完成;
三、在Florence上建立此远程站点的访问规则
现在,我们需要为远程站点和内部网络间的互访建立访问规则,右击防火墙策略,选择新建,点击访问规则;
在欢迎使用新建访问规则向导页,输入规则名称,在此我命名为Allow
InternaltoMainandMaintoInternal,点击下一步;
在规则操作页,选择允许,点击下一步;
在协议页,选择所选的协议,然后添加HTTP和Ping,点击下一步;
在访问规则源页,点击添加,选择网络目录下的main和内部,点击下一步;
在访问规则目标页,点击添加,选择网络目录下的main和内部,点击下一步;
在用户集页,接受默认的所有用户,点击下一步;在正在完成新建访问规则向导页,点击完成;
最后,点击应用以保存修改和更新防火墙设置。
注意,此时在警报里面有提示,需要重启ISA服务器,所以,我们需要重启Florence计算机,至此,Florence上的设置就完成了。
四、在Istanbul上建立远程站点
(Istanbul是英文的操作系统,安装的是英文版的ISAServer2004,我仍用中文来解释)
在Istanbul上,打开ISAServer2004控制台,点击虚拟专用网络,点击右边任务面板中的添加远程站点网络;
在欢迎使用网络创建向导页,输入远程站点的名字,在此我命名为Remote,点击下一步;
在VPN协议页,选择点对点隧道协议(PPTP),点击下一步;
在远程站点网关页,输入远程VPN网关的名称或IP地址,如果输入名称,确保可以正确解析,在此我们输入Florence的外部IP地址61.139.0.1,点击下一步;
在远程身份验证页,接受默认的设置,点击下一步继续;
在本地身份验证页,点击下一步;在网络地址页,点击添加输入远程子网的IP地址范围,在此我输入192.168.0.0和192.168.0.255,点击确定后,点击下一步继续;
在正在完成新建网络向导页,点击完成。
由于此站点是接受远程站点的拨入请求,所以,我们还需要为它配置地址分配,以便它为拨入的远程VPN网关分配IP地址。
点击通用VPN属性设置下的定义地址分配链接,
在弹出的VPN属性设置的地址分配中,选择静态地址池,点击添加,输入用于分配的IP段,只要是不和任何非外部网络冲突的子网均可。
在此我输入192.168.3.1到192.168.3.254,点击两次确定。
此时,远程站点就建立好了。
五、在Istanbul上建立此远程站点的网络规则
接下来,我们需要建立一条网络规则,为远程站点和内部网络间的访问定义路由关系。
右击配置下的网络,然后点击新建,选择网络规则;
在新建网络规则向导页,输入规则名字,在此我命名为Internal->remote,点击下一步;
在网络通讯源页,点击添加,选择网络目录下的内部,点击下一步;
在网络通讯目标页,点击添加,选择网络目录下的remote,点击下一步;
在网络关系页,选择路由,然后点击下一步;
在正在完成新建网络规则向导页,点击完成;
六、在Istanbul上建立此远程站点的访问规则
现在,我们需要为远程站点和内部网络间的互访建立访问规则,右击防火墙策略,选择新建,点击访问规则;
在欢迎使用新建访问规则向导页,输入规则名称,在此我命名为Allow
InternaltoremoteandremotetoInternal,点击下一步;
在规则操作页,选择允许,点击下一步;
在协议页,选择所选的协议,然后添加HTTP和Ping,点击下一步;
在访问规则源页,点击添加,选择网络目录下的remote和内部,点击下一步;
在访问规则目标页,点击添加,选择网络目录下的remote和内部,点击下一步;
在用户集页,接受默认的所有用户,点击下一步;在正在完成新建访问规则向导页,点击完成;
最后,点击应用以保存修改和更新防火墙设置。
注意,此时在警报里面有提示,需要重启ISA服务器,所以,我们需要重启Istanbul计算机。
七、在Istanbul上为远程站点的拨入建立用户
在重启Istanbul后,以管理员身份登录,在我的电脑上点击右键,选择管理,然后在本地用户和组里面,右击用户,选择新用户,注意,这个VPN拨入用户的名字一定要和远程站点的名字一致,在此是remote,输入密码,勾选用户不能修改密码和密码永不过期,取消勾选用户必须在下次登录时修改密码,点击创建;
右击此用户,选择属性;在用户属性的拨入标签,选择允许访问,点击确定。
此时,用户建立就完成了。
一定要注意,这个用于远程VPN网关拨号的用户的名字要和本地远程站点的名字相同。
八、测试VPN连接
现在,我们来测试这个请求拨号的站点到站点的VPN连接,我们在Beijing上Ping
172.16.0.2,结果如下:
虽然前面三个Ping超时,但是很快就有的回应(请求拨号需要时间进行连接的初始化)。
我们再通过HTTP来访问,访问成功。
此时,在Florence上运行ipconfig,你可以看见它从远程VPN网关获得了一个IP地址192.168.3.3;
路由表中也有了远程子网172.16.0.0的对应路由;
我们现在再到Istanbul看看,我们试试Ping远程子网192.168.0.2,经测试,是可以访问的。
到此,这个试验就成功结束了。
后记:
在这篇文章中我只是提到了单边拨号的情况,如果你想让两边都可以拨号,那么同样在Florence上建立相同名字的站点和用户,然后授予用户远程拨入权限,最后配置Istanbul使用此用户拨号即可。
升级会员 