好的,我有一种时髦的设置,让我看看我是否可以描述它。
我有一台具有公共 IP 地址的 VMware 主机74.xx.xx.x 在该主机内,我有 3 个虚拟机
- Web 服务器 - 1 NIC -192.168.199.20
- SQL 服务器 - 1 个网卡 -192.168.199.30
- RRAS/VPN 服务器 - 2 个 NIC192.168.199.40&192.168.199.45
由于我的 ISP 的限制,所有虚拟机都通过 NAT 连接到主机。我为 Web 服务器设置了 NAT,因此74.xx.xx.x通过端口 80 路由至192.168.199.20. 这很好用。
现在我想在这个 NAT 网络内设置一个 Windows 2008 VPN 服务器并将正确的流量转发给它。我的问题如下?
- 我必须转发的 TCP/UDP 端口是什么?
- 由于位于 NAT 后面,服务器和客户端需要进行哪些特殊配置
- 任何其他建议都很好。
答案1
您的设置与设置的许多物理 RRAS 服务器(包括我自己在小型办公室中的服务器)没有什么不同。如果您谈论的是 RRAS VPN,那么您很可能谈论的是 PPTP VPN...除非您有内部 CA 并且想要摆弄 IPSec。(提示:如果您想摆弄 IPSec VPN,请不要这样做。如果您担心安全性,请购买 SSL VPN 设备。)
只需将 TCP 端口 1723 和 IP 协议 47 (GRE) 转发到您的 RRAS 服务器即可。另请注意,您需要编辑/添加远程访问策略以允许传入连接。如果我没记错的话,默认情况下不允许传入连接。例如,我创建了一个名为“VPN 用户”的组,然后创建了一个名为“Corp VPN 策略”的策略,该策略的策略条件设置为如果任何传入请求来自该组中的用户帐户,则允许连接(以及确保仅使用 MS-CHAPv2 PWD,但我离题了……)。您必须将该策略提升到高于默认策略的水平,默认策略将拒绝所有内容。所有这些都是在服务器管理器中的“网络策略和访问服务”的“路由和远程访问”部分中完成的。
客户端无需进行任何特殊配置。Windows 内置的 VPN 客户端将运行顺畅。我甚至使用 Linux 机器和 pptpclient 连接它,并取得了巨大成功。
现在,输入完所有这些后,我意识到这对我的 Server 2003 RRAS 框来说都是正确的,而您说您有一台 Server 2008 机器。您的里程可能会有所不同。=)