当然,我并不是说我会使用向导,但理论上我在设置 VPN 服务器时确实使用过。你看,这纯粹是学术性的...
向导需要两个网络接口。您必须选择其中一个作为“连接到 Internet”的接口。这似乎很清楚,但是:
- 未连接到互联网的接口到底有什么用处?这是客户端的网关吗?
- 如果连接到互联网的接口是私有 IP,那么连接到互联网的接口就是您要进行 NAT 的接口吗?基本上,这是保存客户端将用来连接的地址的接口吗?(这似乎很明显,但弄清楚这些事情永远不会有坏处)。
答案1
NAT 是与 VPN 服务器功能正交的功能。
向导中“远程访问(拨号或 VPN)”配置选项的预期网络拓扑是一台服务器,其网卡连接到公共互联网,网卡连接到局域网。互联网网卡将监听传入连接,一旦客户端连接并被分配 IP 地址(通过从局域网中继的 DHCP 或通过 RRAS 服务器上的静态 IP 地址池),来自 PC 的数据包将被解封装并丢弃到局域网接口(它还将自动为 VPN 客户端执行代理 ARP)。在此配置中,未配置 NAT。VPN 客户端无论如何都不需要 NAT,因为它们在连接时被分配了局域网 IP 地址。(您可以在产品帮助中“路由和远程访问概述”下的帮助主题“常见远程访问配置”中看到预期拓扑的任何示例。)
如果您也需要 NAT,则应选择“虚拟专用网络 (VPN) 访问和 NAT”。这是一种常见配置,其中单个服务器既用作 LAN 的 NAT 路由器,又用作 VPN 服务器。该配置与“远程访问”配置非常相似,但您还将 Internet NIC 配置为 NAT 功能的“外部”接口。
需要注意的是:您可以用单个 NIC 配置 RRAS VPN 服务器。您必须使用向导中的“自定义”配置选项才能执行此操作,但这样做会很好。您需要通过边缘防火墙将适当的协议转发到 VPN 服务器。它将在解封装数据包并执行代理 ARP 的同一 NIC 上接收传入的客户端连接。
答案2
理想情况下,您将拥有一个内部网络(例如 192.168.1.1-100)和一个外部网络(例如 192.168.2.1-100)。外部网络将像 DMZ 一样运行,并被视为“在互联网上”。除非通过防火墙,否则内部网络无法直接访问外部网络。
VPN 服务器本身需要位于两个网络之间,以便来回转发流量,这样外部的 VPN 用户可以访问内部网络。
答案3
从技术上讲,没有必要有两个接口。但大多数使用 MS RRAS 的人都有小型/简单的网络。在这种情况下,最常见的是有一个服务器充当 Internet 路由器 (NAT) 并进行 VPN 访问。然后它需要一个用于本地网络的接口和一个用于 Internet/外围网络的接口。