|
一问题的提出 如图所示在单位有个私有地址为的网络各电脑是通过ADSL共享方式接入Internet在家中有台电脑也通过ADSL访问Internet现在想在家中随时安全地访问单位这台机器实现方法很多最为安全的是通过VPN 二什么是VPN 以本例来说就是现在单位这台机器上设置好VPN服务在家中通过VPN客户端访问单位这台机器建立连接后这两台机器通信时就像在局域网中一样比如要在这台电脑中下载这台机器的文件(假设该机已设好FTP服务)可以直接在浏览器中键入ftp://下载文件了虽然是通过Internet进行通信但整个过程都是加密的就像是在Internet中穿了一条只有两台机器才能通过的隧道这就是VPN( Virtual Private Networks )虚拟专用网 图 三实现方式 在VPN远程连接之前要做好两个准备 第一要获得VPN服务器接入Internet的公共IP地址如果是分配的静态IP那就简单了如果是动态IP那必须在远程能随时获得这个IP地址本例如图这台机器的公网IP实际上就是ADSL猫接入Internet时是ISP给自动分配的且一般被分配到的是动态IP 第二要做个端口映射从图的拓扑可以看出本例是通作在ADSL猫中通过NAT转接入Internet的通过这种方式一定要在ADSL中作端口映射由于windows 的VNP服务用的是端口所以如图a将端口映射到这台设有VPN服务的机器如果用的是直接拨号那在防火墙中将这个端口放开就行了 图a 登陆注册Oray护照在护照底下申请域名(Oray提供了免费域名注册)激活域名对应的花生壳服务下载花生壳客户端在局域网内PC或服务器主机上安装花生壳客户端登陆在线或是在集成花生壳动态域名解析服务的路由器上把护照名和密码填在路由器DDNS模块里并启用在线 在相应的电脑上安装设置好VPN服务 四设置VPN服务 实现VPN的方式非常多用带VPN功能的路由器或用Linuxwindows操作系统等在windows系统下用双网卡建立VPN服务器更容易实现但要增加一块网卡介绍这方面的内容很多不再赘述本文介绍的是在windows 中用单网卡来实现下面介绍实际实现过程首先是在这台机器上配置VPN服务 选择开始所有程序管理工具路由和远程访问 设置过程如图至图所示出现图界面就完成了单网的VPN服务器端的设置这里特别指出的是用单网卡一定要在图处选择自定义配置否则就进行不下去了 图 图 图 图 图 图 图 图 图 五从客户端连接到VPN服务器 新建有拨入权限的用户 要登录到VPN服务器必须要知道该服务器的一个有拨入权限的用户为了讲得更明白下面在该VPN服务器上新建个用户并赋予该用户拨入的权限过程如图至图是建立一个用户图是给这个用户远程登录的权限一定要在远程访问权限处选择允许访问不然就无法登录了 图 图 图 在本机测试连接 在远程连接到VPN服务器之前最好先在VPN服务器的本机测试一下测试过程如下 鼠标右键网上邻居如图点击新建连接向导按图至图的步骤建立连接因为现在做的是本机的测试所以其中图中的IP地址为本机的地址图中的用户dzq就是我们刚才新建的用户出现图的连接图标表示连接成功这样就可以进行远程连接测试了如果此时用ipconfig /all看网卡状态就会看见三个网卡其中一个IP地址为的就是本机网卡另外两个是刚才做本机测试时建立的它们的IP地址为xxx xxx xxx这是VPN默认的IP地址是正常的不用管它 图 图 图 图 图 图 图 图 图 远程连接 上面的服务器中的测试完成后就可以在家中进行远程连接了其过程和在本机连接测试的过程一样如图至图所示在实际连接时到图这一步时输入VPN服务器所在的公网IP或是激活了花生壳动态域名解析服务的域名就行了 实际应用中我是按照图的拓扑连接的连接很顺利但遇到一个问题在家通过VPN连入单位的机器后和单位的机器通信完全正常但不能正常上网用route print检查路由(如表所示)发现有两个到目标的路由网关一个是本来的网关一个是建立VPN后的网关这样在访问Internet网络时就有问题了 C:\>route print
Active Routes: Network Destination Netmask Gateway Interface Metric Default Gateway: =========================================================================== Persistent Routes: None 解决的办法 删除接入VPN后的路由命令如下所示 C:\>route delete mask 加一条指向VPN服务器所在网络的路由本例(如图)VPN服务器的地址为所以只要将到这个网络的指向VPN的地址就行了 C:\>route add mask 几点说明 )建立完VPN连接后两台电脑的VPN的IP地址都是中的地址好像不能修改但这并不影响使用如图建立连接后在这台电脑中ping 是通的也就是说要访问这台机器的资源只要用这个地址就行了就像在局域网中一样 )做为VPN服务器的这台机器的安全设置如果没有特殊需要很多服务完全可以限制在局域网内例如FTP服务只允许网内的电脑访问这样只要把VPN的安全做好就行了换句话说以本例来说这台机器访问Internet时是通过NAT地址转换如果在ADSL猫中不做端口映射从Internet的其它电脑上是看不到这台机器的本例只做了VPN服务的端口的映射虽然本机开了很多的服务开放了很多端口但这些都是对局域网开放的要想从Internet访问这台机器只有先建立了VPN才能访问其它的资源只做一个服务的安全总比做许多服务的安全要容易些VPN服务器有许多安全设置以后再探讨 )建立完VPN连接后可以通过WWWFTP互相访问也可通过终端服务等登录到这台机器上进而访问局域网中的其它电脑图就是在建立完VPN后直接利用远程桌面连接登录到的机器上的登录界面 图 |
