微软自 Windows 10 版本 1709 开始,已正式弃用了“路由和远程访问服务”(RRAS)中的 VPN 服务器功能,这意味着在 Windows 7 和 Windows 10 的早期版本中可以使用的功能,在新版 Windows 中已不可用,Windows 7 成为了一个配置传统 VPN 服务器的经典平台。
第一部分:在 Windows 7 上配置 VPN 服务器
我们将使用 Windows 7 自带的“路由和远程访问”服务来创建一个 VPN 服务器,这个过程需要管理员权限。
步骤 1:启用“路由和远程访问”服务
- 打开服务器管理器:点击“开始”按钮,右键点击“计算机”,选择“管理”。
- 找到服务:在“计算机管理”窗口中,展开“服务和应用程序”,然后点击“服务”。
- 启动服务:在服务列表中,找到名为 "Routing and Remote Access" 的服务。
- 如果它的状态是“已停止”,右键点击它,选择“启动”。
- 如果它的状态是“已禁用”,你需要双击它,将“启动类型”改为“自动”,然后点击“应用”,再点击“启动”。
步骤 2:配置 VPN 服务器
-
打开路由和远程访问向导:
- 点击“开始” -> “管理工具” -> “路由和远程访问”。
- 第一次打开时,会弹出“配置并启用路由和远程访问”向导,点击“下一步”。
- 如果没有弹出,右键点击左侧的“服务器名称”,选择“配置并启用路由和远程访问”。
-
选择服务器角色:
- 在向导的第一页,选择“自定义配置”,然后点击“下一步”。(不要选择“VPN”或“NAT”,因为自定义配置可以让我们更精确地控制选项)。
- 选择“自定义配置”
-
选择服务角色:
(图片来源网络,侵删)- 勾选“VPN 访问”选项,然后点击“下一步”。
-
完成配置:
- 确认选择后,点击“完成”。
- 系统会提示你“您想现在启动服务吗?”,点击“是”。
- 系统可能会提示“正在配置路由和远程访问...”,请稍等片刻,完成后,会显示一个“配置完成”的摘要窗口,点击“确定”。
步骤 3:设置 IP 地址分配
这是非常关键的一步,它决定了连接到你的 VPN 的客户端将获得什么样的 IP 地址。
-
打开 IPv4 属性:
- 在“路由和远程访问”管理控制台中,右键点击你的服务器名称,选择“属性”。
- 切换到“IPv4”选项卡。
- 点击“静态地址池”旁边的“添加...”按钮。
-
添加地址范围:
(图片来源网络,侵删)- 在弹出的窗口中,输入一个不会与你局域网内其他设备冲突的 IP 地址范围。
- 示例:如果你的局域网是
168.1.x网段,你可以设置 VPN 客户端的 IP 范围为168.10.1到168.10.254。 - 点击“确定”。
- 重要提示:这个 IP 地址池必须与你电脑的本地网络 IP 在不同的网段,否则会导致路由冲突。
步骤 4:设置用户权限
默认情况下,所有用户都没有权限通过 VPN 连接,你需要手动授权。
-
打开用户属性:
- 按
Win + R键,输入lusrmgr.msc并回车,打开“本地用户和组”。 - (或者通过“控制面板” -> “管理工具” -> “计算机管理”进入)。
- 点击“用户”文件夹,双击你希望允许连接 VPN 的用户账户。
- 按
-
拨入权限:
- 在用户属性窗口中,切换到“拨入”选项卡。
- 将“网络访问权限”从“通过远程访问策略拒绝访问”更改为“通过远程访问策略授予访问”或更简单的“允许访问”。
- 点击“确定”。
第二部分:在客户端(另一台电脑)上连接 VPN
现在你的 Windows 7 VPN 服务器已经配置好了,你可以在任何其他设备(如另一台电脑、手机、平板)上连接到它。
在 Windows 客户端上连接
- 打开网络和共享中心:点击网络图标在任务栏,选择“打开网络和共享中心”。
- 设置新连接:点击“设置新的连接或网络”。
- 选择连接类型:选择“连接到工作区”,然后点击“下一步”。
- 选择连接方式:选择“使用我的 Internet 连接 (VPN)”。
- 输入 VPN 服务器信息:
- Internet 地址:输入你的 VPN 服务器的公网 IP 地址或动态 DNS (DDNS) 域名。
- 目标名称:为你这个连接起一个名字,Home VPN”。
- 勾选“此连接不需要用户名和密码”(如果你之前在服务器上设置了用户名密码,可以不勾选,然后填写)。
- 点击“下一步”。
- 输入凭据:
- 如果上一步没有勾选“不需要用户名密码”,在这里输入你在 Windows 7 服务器上创建的用户名和密码。
- 勾选“记住此密码”可以方便下次连接。
- 点击“连接”。
- 连接成功:系统会尝试连接,如果一切正常,它会显示“正在连接...”,然后提示“已连接”。
在 macOS 或手机上连接
基本原理相同,你需要提供:
- 服务器地址:你的公网 IP 或 DDNS。
- 账户名:你在 Windows 7 上创建的用户名。
- 密码:对应的密码。
- VPN 类型:通常选择 L2TP/IPSec 或 PPTP。(PPTP 旧但兼容性好,L2TP 更安全但需要预共享密钥)。
第三部分:重要注意事项和故障排除
配置完成后,你可能会遇到一些问题,以下是关键点和解决方案:
公网 IP 地址和端口转发
这是最常见也是最关键的问题,如果你的 Windows 7 电脑在家庭或公司内网中,它没有公网 IP 地址,你需要:
- 找到你的公网 IP:在浏览器中搜索“what is my ip”即可找到。
- 设置端口转发:
- 登录你的路由器管理后台(通常是
168.1.1或168.0.1)。 - 找到“端口转发”或“虚拟服务器”设置。
- PPTP VPN:转发 TCP 端口 1723 和 GRE 协议 (47号协议)。
- L2TP VPN:转发 UDP 端口 500 (IKE) 和 UDP 端口 4500 (NAT-T)。
- 将这些端口转发到你 Windows 7 电脑的局域网 IP 地址(
168.1.100)。
- 登录你的路由器管理后台(通常是
Windows 防火墙
Windows 防火墙可能会阻止 VPN 连接,你需要为 VPN 服务添加入站规则。
- 打开“控制面板” -> “Windows 防火墙” -> “高级设置”。
- 在左侧点击“入站规则”。
- 在右侧点击“新建规则...”。
- 选择“端口”,点击“下一步”。
- 选择“TCP”,在“特定本地端口”中输入
1723,点击“下一步”。 - 选择“允许连接”,点击“下一步”。
- 勾选所有配置文件(域、专用、公用),点击“下一步”。
- 给规则命名,PPTP VPN”,点击“完成”。
对于 L2TP,你需要为 UDP 端口 500 和 4500 创建类似的规则。
动态 DNS (DDNS)
如果你的家庭宽带 IP 地址是动态变化的(每月都会变),你需要一个固定的域名来连接,这时就需要 DDNS 服务。
- 注册一个 DDNS 服务(如 No-IP、花生壳等)。
- 在他们的网站上下载并安装客户端到你的 Windows 7 服务器上,该客户端会自动检测你的公网 IP 变化并更新到域名。
- 在客户端连接时,使用这个域名而不是 IP 地址。
NAT-T 问题
L2TP VPN 连接失败,可能是 NAT-T (NAT Traversal) 的问题,可以尝试在 Windows 7 服务器上注册一个 DWORD 值来强制启用它:
- 按
Win + R,输入regedit回车。 - 导航到:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent - 在右侧右键点击,选择“新建” -> “DWORD (32 位) 值”。
- 将其命名为
AssumeUDPEncapsulationContextOnSendRule。 - 双击新建的值,将其数据设置为
2,然后点击“确定”。 - 重启电脑使设置生效。
安全警告
- PPTP 协议不安全:PPTP 因为存在已知的安全漏洞,强烈不推荐用于处理敏感数据,它仅适用于不重要的、临时的连接。
- L2/IPSec 更安全:L2TP/IPSec 提供了更好的安全性,是比 PPTP 好得多的选择。
- SSTP (如果可用):如果你的 Windows 7 服务器是通过 Windows Server 2008 R2 或更高版本升级而来,可能支持 SSTP 协议,SSTP 通过 HTTPS (端口 443) 传输,可以轻松穿透大多数防火墙,并且安全性很高,但在原生 Windows 7 专业版/旗舰版中默认不提供。
希望这份详细的指南能帮助你成功设置 Windows 7 VPN 服务器!
