WIN2008R2无线组网及WIN2008R2的VPN架设接入应用案例

今天碰到一个案例，该单位是一个新开的房产中介门店，需要使用VPN方式连接总公司的内网，情况及需求如下：

（1）这家新开的门店在一个新的小区中，小区没有宽带接入。为了访问Internet及总公司的VPN，购买了一个电信的3G无线上网卡及3G无线路由器。

（2）该单位一共有7、8台计算机，没有布线，计算机都配置了无线网卡，想使用无线网络组网，不准备使用传统的网线连接。

（3）该门店需要使用VPN的方式，连接到总公司的房产管理系统。总公司的房产管理系统，安装在一台服务器中，托管在电信机房。

为了实现此功能，我设计了以下方案，可以达到需求，现在分别介绍一下。

图1-1  采用RRAS做NAT

在图1-1中，3G无线路由器自己拨号到Internet，一台Windows Server 2008 R2使用"无线网卡"连接到该3G路由器，以实现到Internet的连接。在这台计算机中，配置"路由和远程访问服务（RRAS）"，配置NAT及"请求拨号路由"，来实现到Internet及VPN的共享接入。

这台Windows Server 2008 R2的有线网卡，使用一条RJ45网线连接到另外一个普通的无线宽带路由器的LAN端口。该门店的其他计算机，使用无线网卡连接到这个普通的无线宽带路由器，再通过Windows Server 2008 R2的"RRAS（路由和远程访问服务）"的NAT及请求拨号路由功能，连接到Internet及总部内部网络。在这里，这台普通的"无线宽带路由器"只起了一个类似"无线交换机"的功能，在该路由器中配置了DHCP，但指定的网关地址是Windows Server 2008 R2的有线网卡的地址。这样，所有的工作站，在使用DHCP获得IP地址的时候，也指定了正确的网关地址"配置了RRAS"的Windows Server 2008 R2的地址。

在这个方案中，有两个关键地方，其一是用做RRAS的Windows Server 2008 R2的配置，另一个是无线宽带配置。首先介绍用做服务器的Windows Server 2008 R2的配置，我们一一介绍。

1.1 安装路由和远程访问服务

首先要在Windows Server 2008 R2服务器上安装路由和远程访问服务，并启用NAT及请求拨号路由功能。

（1）将用做服务器的Windows Server 2008 R2，无线网卡连接到"3G无线上网卡"，该网卡用于连接Internet，我们可以将该无线网卡命名为"WAN"。将另一个网卡（有线网卡）命名为"LAN"，设置IP地址为192.168.2.10，子网掩码为255.255.255.0，不设置网关地址。如图1-2所示。

图1-2  重命名网卡

（2）打开"服务器管理器"，添加角色。在"选择服务器角色"对话框，选择"网络策略和访问服务"，如图1-3所示。

图1-3 网络策略和访问服务

（3）在"网络策略和访问服务"对话框，显示了网络策略和访问服务简介，查看之后单击"下一步"按钮，如图1-4所示。

图1-4  网络策略和访问服务

（4）在"选择角色服务"对话框，选中"路由和远程访问服务"，并选中"远程访问服务"和"路由"组件，如图1-5所示。

图1-5 选择角色服务

（5）在"确认安装选择"对话框，单击"安装"按钮，如图1-6所示。

图1-6 安装

（6）在"安装结果"对话框，单击"关闭"按钮，完成安装。如图1-7所示。

图1-7 安装完成

在安装完成后，从"管理工具"中运行"路由和远程访问"服务，配置该服务，主要步骤如下。

（1）在"路由和远程访问"控制台中，右击计算机名称，在弹出的快捷菜单中选择"配置并启用路由和远程访问"，如图1-8所示。

图1-8 配置并启用路由和远程访问

（2）在"欢迎使用路由和远程访问服务器安装向导"对话框，单击"下一步"按钮，如图1-9所示。

图1-9 安装向导

（3）在"配置"对话框，选择"网络地址转换（NAT）"，如图1-10所示。

图1-10  配置

（4）在"NAT Internet连接"对话框，选择连接到Internet的网卡，在此选择名为"WAN"的网卡，如图1-11所示。

图1-11 选择连接Internet的网卡

（5）在"正在完成路由和远程访问服务安装向导"对话框，单击"完成"按钮，如图1-12所示。

图1-12 完成路由和远程服务安装

（6）返回到"路由和远程访问"控制台后，右击计算机名称，在弹出的快捷菜单中选择"属性"，如图1-13所示。

图1-13 配置路由和远程访问属性

（7）在"常规"选项卡中，选择"局域网和请求拨号路由"，如图1-14所示。

图1-14 选择局域网和请求拨号路由

（8）在弹出的"路由和远程访问"警告对话框中，单击"是"按钮，重新启动路由器，如图1-15所示。

图1-15 重新启动路由器

1.2 创建请求拨号路由

在安装路由和远程访问服务之后，要创建一个VPN的请求拨号路由，连接到VPN服务器，主要步骤如下。

（1）返回到"路由和远程访问"控制台后，右击"网络接口"，在弹出的快捷菜单中选择"新建请求拨号接口"，如图1-16所示。

图1-16 新建请求拨号接口

（2）在"欢迎使用请求拨号接口向导"对话框，单击"下一步"按钮，如图1-17所示。

图1-17 请求拨号路由向导

（3）在"接口名称"对话框中，为请求拨号路由设置一个名称，此名称可以随意设置，但为了后期管理，可以设置一个比较记忆、有意义的名称。在此命名为VPN，如图1-18所示。

图1-18 设置接口名称

（4）在"连接类型"对话框，选择要创建的请求拨号接口的类型，因为我们要创建的是VPN拨号，故在此选择"使用虚拟专用网络连接（VPN）"，如图1-19所示。

图1-19 连接类型

（5）在"VPN类型"对话框，选择要创建的VPN连接的类型。这要根据你的VPN服务器的配置要求选择。在此选择"点对点隧道协议（PPTP）"，如图1-20所示。

图1-20 VPN类型

（6）在"目标地址"输入要连接的VPN服务器的地址，如图1-21所示。这可以使用域名或IP地址，具体要看你的VPN服务器的类型及需求。

图1-21  指定目标VPN服务器的地址

（7）在"协议和安全"对话框，选择"在此接口上路由选择IP数据包"，如图1-22所示。如果要配置双向的VPN路由，还要选择"添加一个角色帐户使远程路由器可以接入"，因为我们是创建请求拨号路由，是单身访问远程的VPN服务器故此项不做选择。

图1-22 协议及安全

（8）在"远程网络的静态路由"对话框中，单击"添加"按钮，添加VPN客户端拨号成功后，要访问的内网地址，这通常是VPN服务器后端的所连接或保护的服务器的地址，在此示例中，远程网络的地址是172.18.96.0/24，添加的"目标"则为172.18.96.0，网络掩码则为255.255.255.0，跃点数设置为1，如图1-23所示。设置之后单击"确定"按钮添加到"静态路由"列表中，如果有多个需要访问的网络，则再次单击"添加"按钮继续添加，直到添加完成。添加之后如图1-24所示。

图1-23 添加远程网络静态路由图1-24 添加静态路由之后

（9）在"拨出凭据"对话框，设置连接到远程VPN服务器的帐户名及密码，如图1-25所示。

图1-25 设置拨出凭据

（10）在"完成请求拨号接口向导"对话框，单击"完成"按钮，如图1-26所示。

图1-26 完成请求拨号接口向导

（11）返回到"路由和远程访问"控制台，在"网络接口"中可以看到新建的"请求拨号接口"，当前状态为"己启用"，连接状态为"己断开"，如图1-27所示。当有访问图1-23的目标网络时，会自动拨号。

图1-27  请求拨号接口路由

1.3 为VPN添加请求拨号接口

在添加了请求拨号路由之后，默认情况下，请求拨号路由不会自动连接。此时需要在"NAT"中，添加这个接口，供局域网用户使用。

（1）在"路由和远程访问"控制台中，选中"NAT"，在侧空白空格中右击，在弹出的快捷菜单中选择"新增接口"，如图1-28所示。

图1-28 新增接口

（2）在"IPNAP的新接口"对话框中，选择上一节创建的请求拨号接口，如图1-29所示。

图1-29 选择新建接口

（3）在"网络地址转换-VPN属性"对话框，选择"公用接口连接到Internet"，并选中"在此接口上启用NAT"，如图1-30所示。

图1-30 设置接口属性

（4）添加之后如图1-31所示。

图1-31  添加之后

1.4 当作无线交换机使用的路由器配置

为局域网中的工作站提供"无线接入"的普通宽带路由器，为了管理方便，设置一个与服务器相同网段的IP地址，例如在本例中设置为192.168.2.254。另外，为了方便工作站接入，需要启用"DHCP"服务，但本案例中，用做网关的是安装配置了"路由和远程访问服务"的Windows Server 2008 R2的计算机，在本示例中这台服务器的IP地址是192.168.2.10，所以要修改普通宽带路由器的DHCP服务器，将网关地址改为192.168.2.10，如图1-32所示。

图1-32  修改DHCP服务器的网关地址

1.5 客户端使用

当客户端访问VPN内网时，例如使用ping命令ping一个内网服务器地址时，在一开始网络不通，等VPN请求拨号路由拨通之后，网络会连通，如图1-51所示。

图1-51  网络连通

此时在"路由和远程访问"控制台，在"网络接口"中可以看到，名为VPN的请求拨号接口连接状态为"己连接"，如图1-52所示。

1.6使用支持VPN拨号的路由器实现Internet及VPN接入功能

在实现上述功能后，客户说，用3G无线上网是临时方案，后期还是要使用光纤或ADSL上网，为此，我又推荐了下述方案，使用带VPN功能的路由器，实现到总公司局域网的接入，方案如下。

图2-1  采用支持VPN功能的路由器

在图2-1中，主要是采用了一个支持VPN功能的路由器，在此选择"飞鱼星VE760W"无线宽带路由器。

（1）在TP-Link无线宽带路由器中，WAN端口根据实际情况配置，对于大多数的ADSL接入来说，需要配置PPPoe拨号，并设置帐户和密码，这些不详细介绍。而无线配置、DHCP服务器配置，则与普通的宽带路由器一样，只要能让计算机使用无线（或有线LAN）连接到路由器，通过路由器访问Internet即可，这些不一一介绍。

（2）在飞鱼星路由器中，配置到总公司的VPN接入。稍后我们主要介绍该功能的配置。

（3）所有的计算机，连接飞鱼星无线宽带路由器，并从该无线路由器获得IP地址。在配置好路由器的VPN功能之后，所有的计算机都能通过路由器访问Internet及总公司网络。

下面介绍飞鱼星宽带路由器，VPN功能的配置。

（1）在"虚拟专网→PPTP客户端"，选中"启用PPTP客户端"功能，在"PPTP服务器地址"方框中，输入要连接的总公司VPN服务器的IP地址或域名，并在"用户名"与"密码"中输入VPN服务器分配给该分公司的帐户。在"PPTP服务器网段"中，输入VPN服务器所连接的局域网的地址段，在本示例中该地址段为172.18.0.0/16，设置之间单击"保存"并单击"连接"按钮，如果设置正常，会连接到总公司的VPN服务器，并且获得VPN客户端地址，如图2-2所示，在本示例中，VPN服务器分配给该分公司VPN帐户的IP地址是172.30.30.200。

图2-2  配置PPTP客户端

（2）在"高级选项→地址转发"中，选择"NAT：外出规则"，单击"添加新规则"按钮，在"源地址"文本框中，输入当前路由器的LAN端口的地址段，例如，当前VPN路由器的LAN端口地址是192.168.2.254，子网掩码是255.255.255.0，则在"IP地址"处输入192.168.2.0，子网掩码为255.255.255.0。在"目标地址"处，输入远程VPN服务器局域网的IP地址段，在本示例中为172.18.0.0、子网掩码为255.255.0.0，这与图2-2中"PPTP服务器网段"相一致。在"转换地址"处输入图2-2中VPN客户端获得的IP地址，在本示例中为172.30.30.200，如图2-3所示。设置之后，单击"保存"按钮。

图2-3 配置地址转换

经过上述设置，局域网中的计算机即可以直接访问172.16.0.0/24的网段。

为了避免每次VPN拨号重要获得新的地址，所以需要在VPN服务器上，为指定的VPN客户端，分配一个静态的IP地址。如果服务器是"路由和远程访问"服务器、Forefront TMG 2010或ISA Server 2006配置的VPN服务器，可以直接在"VPN服务器"的"本地用户和组→用户"中，选择创建的VPN帐户，在"拨入"选项卡中，选中"分配静态IP地址"，为指定的帐户分配静态IP地址，如图2-4所示。

图2-4 分配静态IP地址