下面我們介紹一下通過Windows Server操作系統自帶的路由和遠程訪問功能來實現NAT共享上網和VPN網關的功能。網絡拓撲圖如下。我們要實現在異地通過VPN客戶端訪問總部局域網各種服務器資源。

　　

第一步：系統前期準備工作

　　服務器硬件：雙網卡，一塊接外網，一塊接局域網。在windows2003中VPN服務稱之為“路由和遠程訪問”，默認狀態已經安裝。只需對此服務進行必要的配置使其生效即可。

　　首先確定是否開啟了Windows Firewall/Internet Connection Sharing (ICS)服務，如果開啟了Windows Firewall/Internet Connection Sharing (ICS)服務的話，在配置“路由和遠程訪問”時系統會彈出如下對話框。

　　

　　我們只要去“開始”-“程序”-“管理工具”-“服務”里面把Windows Firewall/Internet Connection Sharing (ICS)停止，并設置啟動類型為禁用，如下圖所示：

　　

第二步：開啟VPN和NAT服務

　　然后再依次選擇“開始”-“程序”-“管理工具”-“路由和遠程訪問”，打開“路由和遠程訪問”服務窗口;再在窗口左邊右擊本地計算機名，選擇“配置并啟用路由和遠程訪問”，如下圖所示：

　　

　　在彈出的“路由和遠程訪問服務器安裝向導”中點下一步，出現如下對話框。

　

由于我們要實現NAT共享上網和VPN撥入服務器的功能，所以我們選擇“自定義配置”選項，點下一步;

　　

　　在這里我們選擇“VPN訪問”和“NAT和基本防火墻”選項，點下一步，在彈出的對話框中點“完成”，系統會提示是否啟動服務，點“是”，系統會按剛才的配置啟動路由和遠程訪問服務，最后如下圖所示;

　　

第三步：配置NAT服務

　　右擊“NAT/基本防火墻”選項，選擇“新增接口”，彈出如下對話框;

　　

　　在這里我們根據自己的網絡環境選擇連接Internet的接口，選擇“wan”接口，點“確定”，彈出“網絡地址轉換-wan屬性”對話框，進行如下圖所示配置;

　　

　　由于我們這個網卡是連接外網的所以選擇“公用接口連接到Internet”和“在此接口上啟用NAT”選項并選擇“在此接口上啟用基本防火墻”選項，這對服務器的安全是非常重要的。

下面我們點“服務和端口”設置服務器允許對外提供PPTP VPN服務，在“服務和端口”界面里點“VPN網關(PPTP)”，在彈出的“編輯服務”對話框中進行如下圖設置;

　　

　　點“確定”，回到“服務和端口”選項卡，確保選中“VPN網關(PPTP)”，如下圖;

　　

第四步：根據需要設置VPN服務

　　設置連接數：右擊右邊樹形目錄里的端口選項，選擇屬性，彈出如下對話框;

　　

　　Windows Server 2003 企業版VPN服務默認支持128個PPTP連接和128個L2TP連接，因為我們這里使用PPTP協議，所以我們雙擊“WAN微型端口(PPTP)選項，在彈出的對話框里根據自己的需要設置所需的連接數;Windows Server 2003企業版最多支持30000個L2TP端口，16384個PPTP端口。

　　設置IP地址：右擊右邊樹形目錄里的本地服務器名，選擇“屬性”并切換到IP選項卡(如下圖所示)。

　　

這里我們選擇“靜態地址池”點“添加”，根據需要接入數量任意添加一個地址范圍，但是不要和本地IP地址沖突，如下圖所示;

　　

　　點“確定”回到“IP”選項卡，點“確定”應用設置;

　　第五步：設置遠程訪問策略，允許指定用戶撥入

　　新建用戶和組：點“開始”-“程序”-“管理工具”-“計算機管理”，彈出“計算機管理”對話框，如下圖;

　　

選擇“本地用戶和組”，右擊“用戶”-“新用戶”進行如下圖所示設置;

　　

　　點擊“創建”新增一個用戶;

　　在右邊的樹形目錄中右擊“組”-“新建組”，添入“組名”，點“添加”在彈出的“選擇用戶”對話框中，點“高級”-“立即查找”，選擇剛才建立的“TEST”用戶，把用戶加入剛才建立的組，如下圖;

　　

設置遠程訪問策略：在“路由和遠程訪問”窗口，右擊右面樹形目錄中的“遠程訪問策略”，選擇“新建遠程訪問策略”，在彈出的對話框中點“下一步”，填入方便記憶的“策略名”，點“下一步”，選擇“VPN”選項，點“下一步”，點“添加”把剛才新建的組加入到這里，點“下一步”， “下一步”， “下一步”，“完成”，就完成了遠程策略的設置，后面如果需要新的用戶需要VPN服務，只要為該用戶新建一個帳號，并加入剛才新建的“TEST”組就可以了。

　　第六步：設置動態域名

　　我們把動態域名放在這里來說。因為一般企業接入互聯網應該有固定IP，這樣客戶機便可隨時隨地對服務端進行訪問;而如果你是家庭用戶采用的 ADSL寬帶接入的話，那一般都是每次上網地址都不一樣的動態IP，所以需在VPN服務器上安裝動態域名解析軟件，才能讓客戶端在網絡中找到服務端并隨時可以撥入。筆者常用的動態域名解析軟件為：花生殼，可以在www.oray.net下載，其安裝及注意事項請參閱相關資料，這里不再詳述

　　六、VPN客戶端配置

　　這一端配置相對簡單得多，只需建立一個到VPN服務端的專用連接即可。首先肯定客戶端也要接入internet網絡，接著筆者同樣以windows 2003客戶端為例說明，其它的win2K操作系統設置都大同小異：

　　第一步：在桌面“網上鄰居”圖標點右鍵選屬性，之后雙擊“新建連接向導”打開向導窗口后點下一步;接著在“網絡連接類型”窗口里點選第二項“連接到我的工作場所的網絡”，繼續下一步，在如下圖所示網絡連接方式窗口里選擇第二項“虛擬專用網絡連接”;接著為此連接命名后點下一步。

　　

　　第二步：在“VPN服務器選擇”窗口里，等待我們輸入的是VPN服務端的固定內容，可以是固定IP，也可以是由花生殼軟件解析出來的動態域名(此域名需要在提供花生殼軟件的www.oray.net網站下載);接著出現的“可用連接”窗口保持“只是我使用”的默認選項;最后，為方便操作，可以勾選“在桌面上建立快捷方式”選項，單擊完成即會先出現如下圖所示的VPN連接窗口。輸入訪問VPN服務端合法帳戶后的操作就跟XP下“遠程桌面”功能一樣了。連接成功后在右下角狀態欄會有圖標顯示。