2003域环境下VPN建立
版权声明:原创作品,如需转载,请与作者联系。否则将追究法律责任。 |
2003域环境下VPN服务器搭建(Radius验证)
一.所需服务器:
A:2台2003服务器
1),一台做成DC及radius 服务器,(做授权与验证服务器)
IP:192.168.146.129
2),一台做VPN服务器,需要有两块网卡,一块接公网,一块接内网
IP:221.15.249.2
Ip:192.168.146.128(用不同网段来区分公/私网地址)
B:1台XP 客户端(用于测试VPN效果)
IP:221.15.249.98
网络结构图:
重点:策略,权限,配制文件。
二.服务器的搭建:
1) DC及radius
域控制器的安装:
1, 打开192.168.146.129这台服务器
2, 点“开始”——“管理工具”——“管理你的服务器”
3, 点“添加删除角色”,然后点击“域控制器(active directory)”,按提示操作完成域控制器的建立。
4, 当域控制器建好后需要重启,重启后运行“dsa.msc”命令来打开域控制器
在域控制器对用户,组,及计算机进行统一管理,此时我们新建一用户VPN,并设置其“属性”中的“拨入”权限改为“通过远程访问策略控制访问”(因为后面我们要用到IAS进行统一管理)
Radius服务安装
Radius服务器可以对各种应用服务提供验证,此时我们新建radius客户端,其IP地址为VPN服务器的IP 地址。
192.168.146.128
当将VPN服务器当作Radius客户端添加进来之后可以发现VPN服务器中没有了“远程访问策略”这项。因为策略已由Radius服务器统一部署。
在Radius服务器可以对远程访问进行设置,如限制客户端的连接类型,允许客户端连接的时间段……
在连接请求策略中可以限制连接的时间段
2) 配置windows 2003 VPN服务器
服务器是Windows 2003系统,2003中VPN服务叫做“路由和远程访问”,系统默认就安装了这个服务,但是没有启用。
在管理工具中打开“路由和远程访问”
在列出的本地服务器上点击右键,选择“配置并启用路由和远程访问”。下一步 在此,由于服务器是公网上的一台一般的服务器,不是具有路由功能的服务器,是单网卡的,所以这里选择“自定义配置”。下一步。
这里选“VPN访问”,我只需要VPN的功能。下一步,配置向导完成。
点击“是”,开始服务。
看启动了VPN服务后,“路由和远程访问”的界面
下面开始配置VPN服务器
在服务器上点击右键,选择“属性”,在弹出的窗口中选择“IP”标签,在“IP地址指派”中选择“静态地址池”。
然后点击“添加”按钮设置IP地址范围,这个IP范围就是VPN局域网内部的虚拟IP地址范围,每个拨入到VPN的服务器都会分配到一个范围内的IP,在虚拟局域网中用这个IP相互访问。 这里设置为10.240.60.1-10.240.60.10,一共10个IP,默认的VPN服务器占用第一个IP,所以,10.240.60.1实际上就是这个VPN服务器在虚拟局域网的IP。
至此,VPN服务部分配置完毕。
3)添加VPN用户
VPN服务器对用户身份的验证可基于工作组模式验证,也可基于域模式由域控制器统一验证。
工作组模式:
每个客户端拨入VPN服务器都需要有一个帐号,默认是windows身份验证,所以要给每个需要拨入到VPN的客户端设置一个用户,并为这个用户制定一个固定的内部虚拟IP以便客户端之间相互访问。
在管理工具中的计算机管理里添加用户,这里以添加一个chnking用户为例
先新建一个叫“chnking”的用户,创建好后,查看这个用户的属性,在“拨入”标签中做相应的设置,如图:
远程访问权限设置为“允许访问”,以允许这个用户通过VPN拨入服务器。
点选“分配静态IP地址”,并设置一个VPN服务器中静态IP池范围内的一个IP地址,这里设为10.240.60.2
如果有多个客户端机器要接入VPN,请给每个客户端都新建一个用户,并设定一个虚拟IP地址,各个客户端都使用分配给自己的用户拨入VPN,这样各个客户端每次拨入VPN后都会得到相同的IP。如果用户没设置为“分配静态IP地址”,客户端每次拨入到VPN,VPN服务器会随机给这个客户端分配一个范围内的IP。
域模式环境下首先将VPN服务器加入域:
右击“我的电脑”选择“属性”
在打开的对话框中选择“计算机名”选项卡,然后点“更改”
输入在DC上建的域dc1.local
在域模式做的时候应在DC中增加用户并设置权限。
应注意的是应该在VPN服务器上加条静态路由,因为当远程用户拨入后所用的IP和DC的IP不是同一网段的,应用静态路由来解决其路由问题。
VPN服务器为Radius客户端
右击VPN服务器,选择属性。在打开的对话框中选择“安全”选项卡,将“身份验证程序”由“windows”身份验证改为“radius身份验证”
然后点“配置”指定Radius服务器地址192.168.146.129
三,客户端设置:
客户端IP为:221.15.249.98,此时想访问DC上的资源是不可以的……
这时我们需要建一VPN连接:
打开“网上邻居”,点左侧的“查看网络连接”新建一个连接,在网络连接类型中选“连接到我的工作场所”
点击下一步,选择现在连公网所使用的网络连接方式,此时我们选“虚拟专用网连接”点“下一步”输入公司的名称,接下来需要输入VPN服务器的IP地址,此时输入221.15.249.2,即VPN服务器的公网地址。
设置完成后在弹出的“连接虚拟专用网络连接”中输入在DC上建立的用户名和密码,然后连接。
完成后ping一下VPN内网的IP地址:192.168.146.129
可以看到通了,此时就可以通过公网访问内网资源了
本文出自 “寒.枫” 博客,转载请与作者联系! 本文出自 51CTO.COM技术博客 |
liguxk
博客统计信息
热门文章
最新评论
友情链接
