Windows 自带了一个功能强大的“远程访问服务”，可以非常方便地配置成 VPN 服务器，我们将以目前主流的 Windows 10/11 专业版/企业版 为例，讲解如何一步步搭建一个 PPTP VPN 服务器。

重要提示：安全性与协议选择

在开始之前,请务必了解以下几点：

1. PPTP 协议的安全性：PPTP (Point-to-Point Tunneling Protocol) 配置简单，兼容性最好，但它的加密标准比较老旧，已知的漏洞较多。它不适合用于处理高度敏感的数据，对于一般性的网络访问、观看地区限制视频等非关键用途，它足够了。
2. 更安全的替代方案：如果你对安全性有更高要求，请使用 L2TP/IPsec 或 SSTP，L2TP 需要预共享密钥，配置稍复杂，但安全得多，SSTP (Secure Socket Tunneling Protocol) 基于 HTTPS，安全性高，且能穿透大多数防火墙，但兼容性略逊于 P2TP。
3. 本教程以 PPTP 为例，因为它最简单，适合新手入门，在文末会补充说明如何配置更安全的 L2TP。

准备工作

1. 一台 Windows 电脑：必须是 Windows 10/11 专业版、企业版或教育版，家庭版不支持此功能。
2. 公网 IP 地址：你的电脑必须有一个固定的公网 IP 地址（由你的宽带运营商提供），如果你的 IP 是动态的，可以申请一个动态域名解析服务，如花生壳、No-IP 等。
3. 路由器设置：你需要登录到你的家用或办公室路由器管理界面，进行端口转发。
   • PPTP 默认端口：TCP 1723
   • GRE 协议：除了 TCP 1723，PPTP 还需要启用 GRE (Generic Routing Encapsulation) 协议，很多路由器的端口转发设置里可能没有直接选项，你需要寻找“触发端口”或“VPN Passthrough”之类的选项，并确保 PPTP 被允许通过。
4. 管理员权限：所有操作都需要使用管理员账户。

第一步：安装 VPN 服务器角色

1. 在开始菜单中搜索并打开 “服务器管理器” (Server Manager)。
2. 在弹出的界面中,点击右侧的 “添加角色和功能” (Add roles and features)。
3. 欢迎界面,点击 “下一步”。
4. 在“安装类型”界面，选择 “基于角色或功能的安装”，然后点击 “下一步”。
5. 在“服务器选择”界面，直接选择当前服务器，点击 “下一步”。
6. 在“服务器角色”界面，向下滚动，找到并勾选 “远程访问” (Remote Access)，这时系统会弹出一个提示，询问是否需要添加必需的功能，点击 “添加功能”。
7. 点击 “下一步”，直到进入“角色服务”界面。
8. 在“角色服务”中，确保勾选了 “DirectAccess 和 VPN (RAS)”，这是 VPN 服务的核心组件。
9. 点击 “下一步”，然后点击 “安装”。
10. 等待安装完成,安装成功后点击 “关闭”。

第二步：配置 VPN 服务器

1. 安装完成后,会自动打开 “路由和远程访问” 管理工具，如果没有打开，可以在开始菜单中搜索 rrasmgmt.msc 并打开它。
2. 在左侧控制台中,右键点击你的服务器名称（WIN-XXXXXXX），选择 “配置并启用路由和远程访问” (Configure and Enable Routing and Remote Access)。
3. 弹出配置向导,点击 “下一步”。
4. 在“配置”界面，选择 “自定义配置” (Custom configuration)，然后点击 “下一步”。
5. 在“自定义配置”界面，勾选 “VPN 访问” (VPN access)，然后点击 “下一步”。
6. 点击 “完成”。
7. 系统会提示你启动服务,点击 “是”。
8. 等待服务启动成功,你会看到服务器状态变为“已启动”。

第三步：设置 VPN 服务器 IP 地址池

这一步是为连接到 VPN 的客户端分配一个虚拟的 IP 地址。

1. 在 “路由和远程访问” 窗口中，右键点击左侧的 “IPv4” -> “NAT/基本防火墙” -> “IPv4”。
2. 在右侧的“常规”选项卡下，右键点击你的活动网络连接（例如以太网或 Wi-Fi），选择 “属性”。
3. 切换到 “IP” 选项卡。
4. 点击 “新建”，然后输入一个 VPN 客户端专用的 IP 地址范围。
   • 起始 IP 地址：168.100.2
   • 结束 IP 地址：168.100.254
   • 子网掩码：通常为 255.255.0
5. 点击 “确定” -> “确定” -> “确定”。

第四步：配置用户权限

默认情况下,所有用户都无法连接 VPN，你需要为特定用户授予拨入权限。

1. 按下 Win + R 键，输入 lusrmgr.msc 并回车，打开 “本地用户和组”。（或者通过“计算机管理”进入）
2. 在左侧选择 “用户”。
3. 双击你希望授予 VPN 权限的用户（你可以新建一个专门的 vpnuser）。
4. 切换到 “拨入” 选项卡。
5. 在“网络访问权限”中，选择 “通过 VPN 访问” (Allow access)。
6. 点击 “确定”。

第五步：配置防火墙和端口转发

1. Windows 防火墙：

   
   （图片来源网络，侵删）
   • 打开 “控制面板” -> “Windows Defender 防火墙”。
   • 点击左侧的 “允许应用或功能通过 Windows Defender 防火墙”。
   • 点击 “更改设置”（需要管理员权限）。
   • 在列表中找到 “路由和远程访问”，确保其勾选了 “专用” 和 “公用” 两个复选框，如果找不到，可以点击“允许其他应用”手动添加 raserver.exe。

2. 路由器端口转发：

   • 登录到你的路由器管理后台（通常是 168.1.1 或 168.0.1）。
   • 找到 “端口转发”、“虚拟服务器” 或 “NAT 转发” 功能。
   • 添加一条新规则：
     • 外部端口：1723 (PPTP)
     • 内部端口：1723
     • 内部 IP 地址：填入你 Windows 服务器的局域网 IP 地址（168.1.100）。
     • 协议：选择 TCP。
   • 重要：如前所述，你还需在路由器中启用 PPTP Passthrough 或 GRE 协议穿透，这个选项的位置因路由器品牌而异，请查阅你的路由器说明书。

第六步：连接 VPN 服务器

服务器端配置完成,你可以在任何设备（手机、电脑）上连接了。

以 Windows 客户端为例：

1. 打开 “设置” -> “网络和 Internet” -> “VPN”。
2. 点击 “添加 VPN 连接”。
3. 填写信息：
   • VPN 提供商：选择 "Windows (内置)"。
   • 连接名称：任意填写，"My Home VPN"。
   • 服务器名称或地址：填入你的公网 IP 地址或动态域名。
   • VPN 类型：选择 "点对点隧道协议 (PPTP)"。
   • 登录信息的类型：选择 “用户名和密码”。
   • 用户名：填写你之前授权的 Windows 用户名。
   • 密码：填写该用户的密码。
4. 点击 “保存”。
5. 在 VPN 列表中，点击你刚刚创建的连接，然后点击 “连接”，如果一切顺利，它会成功连接。

连接成功后,你的设备就会通过 VPN 服务器访问互联网，并能访问服务器所在局域网内的其他设备（如果你设置了相应权限）。

补充：如何配置更安全的 L2TP/IPsec VPN？

L2TP 配置比 PPTP 复杂，因为它需要一个预共享密钥。

1. 在服务器端：

   • 在 “路由和远程访问” -> “IPv4” -> “NAT/基本防火墙” -> “IPv4” 上右键，选择 “属性”。
   • 切换到 “安全” 选项卡。
   • 在 “IPSec” 部分，勾选 “使用预共享密钥进行身份验证”，并设置一个强密码作为预共享密钥。
   • 在 “VPN 类型” 下拉菜单中，选择 “L2TP/IPsec”。

2. 在客户端：

   • 添加 VPN 连接时，VPN 类型 选择 "Layer 2 Tunneling Protocol with IPsec (L2TP/IPsec)"。
   • 在 “预共享密钥” 字段中，填入你在服务器端设置的密钥。

L2TP 还需要在路由器上额外开放 UDP 端口 500 (IKE) 和 4500 (NAT-T)。

总结与注意事项

• 安全性：再次强调，PPTP 不安全，处理敏感事务请务必使用 L2TP 或 SSTP。
• 动态 IP：如果你的公网 IP 是动态的，请务必使用动态域名解析服务，否则 IP 一变就无法连接了。
• 性能：VPN 服务器的性能取决于你的上行带宽，家庭宽带的 upload 速度通常很慢，这会直接影响你的体验。
• 安全建议：将 VPN 服务器放置在一个独立的 VLAN 或子网中，不要直接暴露在主网络中，以增加安全性。

希望这份详细的教程能帮助你成功搭建自己的 VPN 服务器！