⚠️ 重要安全警告
在开始之前,请务必了解:
(图片来源网络,侵删)
- 停止支持:Windows Server 2003 已于 2025 年 7 月 14 日停止所有支持,包括安全更新,将其连接到互联网将使其极易受到攻击,可能导致数据泄露、系统被控制等严重后果。
- 仅限内网使用:强烈建议将此 VPN 服务器部署在完全隔离的内部网络环境中,绝对不要将其直接暴露在公网。
- 替代方案:如果条件允许,请考虑使用更现代、更安全的替代方案,如:
- Windows Server 2012 R2 或更高版本:内置的“远程访问服务”功能更强大、更安全。
- 开源软件:如 OpenVPN、WireGuard、SoftEther VPN 等,它们功能强大且持续更新。
- 云服务:如 Azure VPN Gateway、AWS Site-to-Site VPN 等。
第一部分:服务器端配置 (Windows Server 2003)
这部分操作在您要作为 VPN 服务器的 Windows Server 2003 机器上进行。
步骤 1:安装路由和远程访问服务
RRAS 是 Windows 2003 提供 VPN 服务的核心组件。
- 打开“管理您的服务器”:点击“开始” -> “管理您的服务器”。
- 添加角色:在右侧的“部分,点击“添加或删除角色”。
- 进入向导:在“配置您的服务器向导”中,点击“下一步”。
- 选择角色:在“角色”列表中,勾选“路由和远程访问服务”,然后点击“下一步”。
- 确认安装:向导会显示该角色的相关信息,点击“下一步”开始安装。
- 完成安装:安装完成后,会提示您“您现在可以配置路由和远程访问服务”,勾选“在完成配置之前,在服务器上启动路由和远程访问服务”,然后点击“完成”。
步骤 2:配置 VPN 服务器
安装完成后,会自动启动“路由和远程访问”配置向导。
-
选择配置模式:
(图片来源网络,侵删)- 选择“自定义配置”,然后点击“下一步”。
- 在“自定义配置”中,勾选“VPN 访问”,然后点击“下一步”。
- 点击“完成”来应用配置。
-
启动服务:
- 系统会提示您“路由和远程访问服务现在已准备就绪,可以启动”,点击“是”。
- 等待服务启动成功,状态应显示为“已启动”。
步骤 3:设置 IP 地址分配
VPN 客户端需要一个独立的 IP 地址段来与内网区分。
-
打开 RRAS 控制台:
- 点击“开始” -> “程序” -> “管理工具” -> “路由和远程访问”。
- 在左侧控制台中,右键点击您的服务器名称,选择“属性”。
-
配置 IP 地址分配:
(图片来源网络,侵删)- 在“属性”窗口中,切换到“IP”选项卡。
- 重要:不要勾选“静态地址池”,对于少量用户,我们使用 DHCP 更方便。
- 勾选“使用 DHCP 指定 IP 地址”,然后点击“确定”。
-
配置 DHCP 作用域(如果需要):
- 为了让 VPN 客户端能获取到 IP,您的 DHCP 服务器(可以是这台服务器或网络中的另一台)必须配置一个专门为 VPN 客户端预留的 IP 地址范围。
- 您的内网是
168.1.0/24,您可以创建一个 DHCP 作用域,范围为168.10.1到168.10.100,子网掩码为255.255.0,这样,VPN 客户端就会从这个池子中获取 IP。
步骤 4:配置用户拨入权限
默认情况下,所有用户都没有权限通过 VPN 连接。
-
打开“Active Directory 用户和计算机”:
点击“开始” -> “程序” -> “管理工具” -> “Active Directory 用户和计算机”。
-
为用户授权:
- 找到需要授权的用户,右键点击该用户,选择“属性”。
- 切换到“拨入”选项卡。
- 在“远程访问权限”中,选择“允许访问”,然后点击“确定”。
步骤 5:配置防火墙(如果启用)
如果服务器启用了 Windows 防火墙,必须为 VPN 开放端口。
- 打开“Windows 防火墙”。
- 点击“例外”选项卡。
- 点击“添加端口”。
- 名称:输入
PPTP VPN。 - 端口号:输入
1723。 - 协议:选择
TCP。 - 点击“确定”。
- 再次点击“添加端口”。
- 名称:输入
GRE VPN。 - 端口号:输入
47。 - 协议:选择
UDP。(注意:GRE 是协议号 47,不是端口,但在防火墙中通常需要单独开放)。 - 点击“确定”,然后确保这两个例外都被勾选。
第二部分:客户端配置 (Windows XP/7/10/11)
这部分操作在需要连接到 VPN 的客户端计算机上进行,以 Windows 10/11 为例,其他版本类似。
步骤 1:创建 VPN 连接
- 打开“设置” -> “网络和 Internet” -> “VPN”。
- 点击“添加 VPN 连接”。
- VPN 提供商:选择 "Windows (内置)"。
- 连接名称:为连接起一个你喜欢的名字,"Office VPN"。
- 服务器名称或地址:输入你的 Windows Server 2003 的公网 IP 地址或域名,如果服务器在内网,你需要先配置好端口转发(NAT)。
- VPN 类型:选择 "点对点隧道协议 (PPTP)",这是 Windows 2003 最常用的 VPN 类型。
- 登录信息:选择“用户名和密码”,然后输入你在 AD 中授权的用户名和密码。
- 点击“保存”。
步骤 2:连接 VPN
- 在“设置”的 VPN 页面,点击刚刚创建的连接名称。
- 点击“连接”。
- 系统会提示你输入密码(如果之前没保存),再次确认后即可连接。
连接成功后,你的电脑就会获得一个来自 VPN 池的 IP 地址,并且可以访问服务器所在的内网资源。
第三部分:常见问题排查
-
错误代码 800:无法建立 VPN 连接。
- 原因:最常见的原因,通常是服务器端或客户端的网络问题。
- 排查:
- 确认 VPN 服务器的公网 IP 地址或域名是否正确。
- 确认客户端到服务器的网络是通的(可以
ping一下服务器地址)。 - 确认服务器端的防火墙(Windows 防火墙或其他硬件防火墙)已经开放了 1723 (TCP) 和 47 (GRE/协议)。
- 检查路由器上的端口转发规则是否正确设置(将公网的 1723 端口映射到服务器的内网 IP 的 1723 端口)。
-
错误代码 691:域用户名或密码错误,拒绝访问。
- 原因:认证失败。
- 排查:
- 确认输入的用户名和密码完全正确。
- 确认该用户在 AD 的“拨入”属性中已设置为“允许访问”。
-
连接成功,但无法访问内网资源。
- 原因:路由问题。
- 排查:
- 确认 VPN 客户端已经成功获取到了 IP 地址(通过
ipconfig查看)。 - 确认 VPN 服务器启用了“IP 转发”功能(在 RRAS 属性中,常规选项卡,勾选“IPv4 路由”和“IPv6 路由”)。
- 确认 VPN 服务器是连接内网和客户端的网关,客户端的默认网关可能会被设置为 VPN 服务器的 IP,这可能会影响访问,可以尝试在客户端 VPN 连接属性中,取消勾选“在远程网络上使用默认网关”。
- 确认 VPN 客户端已经成功获取到了 IP 地址(通过
-
客户端无法获取 IP 地址。
- 原因:DHCP 问题。
- 排查:
- 确认 DHCP 服务器上为 VPN 客户端配置的作用域是激活的,并且有可用的 IP 地址。
- 确认 VPN 服务器能够与 DHCP 服务器通信。
在 Windows Server 2003 上搭建 PPTP VPN 的核心步骤是:
- 安装并配置 RRAS 服务。
- 为 VPN 用户设置拨入权限。
- 在防火墙上开放 PPTP 所需端口(1723 和 47)。
- 在客户端创建 PPTP 类型的 VPN 连接。
再次强调,请务必在安全隔离的环境中使用,并尽快规划升级到更现代的解决方案。
