一个非常重要的提醒:
⚠️ 强烈建议升级 ⚠️
Windows Server 2008 和 Windows Server 2008 R2 已于 2025 年 1 月 14 日停止所有支持(包括安全更新),这意味着您的服务器将无法接收最新的安全补丁,极易受到病毒、勒索软件和其他网络攻击的威胁,在生产环境中使用它存在巨大的安全风险。
如果您必须使用,请务必将其部署在完全隔离的网络环境中,并且只用于非关键任务。
第一部分:Windows Server 2008 VPN 服务器简介
Windows Server 2008 原生支持两种 VPN 协议:
-
PPTP (Point-to-Point Tunneling Protocol):
- 优点:配置极其简单,兼容性最好,几乎所有设备(手机、电脑、Mac)都支持。
- 缺点:安全性极低,使用的加密算法(如 MPPE)已被证明存在漏洞,容易被破解。不推荐在今天的任何网络环境中使用,除非只是用于临时的、非敏感的内部网络访问。
-
SSTP (Secure Socket Tunneling Protocol):
- 优点:安全性高,它使用 SSL/TLS(与 HTTPS 相同的技术)进行加密,数据通过标准的 HTTPS 端口(443)传输,能很好地穿透防火墙,安全性远高于 PPTP,接近 L2TP/IPsec。
- 缺点:仅限于 Windows 客户端(Windows Vista SP1 及以后版本、Windows 7、Windows 10、Windows Server 2008+),Linux 和 macOS 原生不支持。
-
L2TP/IPsec (Layer 2 Tunneling Protocol with IPsec):
- 优点:安全性高,结合了 L2TP 的隧道功能和 IPsec 的安全服务,提供强大的加密和认证,兼容性好,支持 Windows、Mac、Linux、iOS、Android 等主流平台。
- 缺点:配置比 PPTP 复杂,因为需要预共享密钥或证书,通常需要 UDP 端口 500 和 4500,某些网络环境可能会阻止这些端口。
在 Windows Server 2008 上,强烈推荐使用 SSTP 或 L2TP/IPsec,绝对避免使用 PPTP。
第二部分:安装 VPN 服务器角色
以下步骤以 Windows Server 2008 R2 为例,与 2008 基本相同。
-
打开服务器管理器:
点击“开始” -> “管理工具” -> “服务器管理器”。
-
添加角色:
- 在服务器管理器的右侧,点击“添加角色”。
- 在“开始之前”页面,点击“下一步”。
- 在“选择服务器角色”列表中,勾选 “网络策略和访问服务” (Network Policy and Access Services)。
- 在弹出的“添加必要的角色服务”对话框中,点击“添加必需的角色服务”,然后点击“下一步”。
-
确认角色服务:
- 确认“网络策略和访问服务”下的角色服务已自动添加,特别是 “远程访问服务” (Remote Access Service),点击“下一步”。
-
安装:
在“确认安装选择”页面,点击“安装”,等待安装完成,然后点击“关闭”。
第三部分:配置 VPN 服务器
安装完成后,需要配置 VPN 访问。
-
打开路由和远程访问服务:
- 点击“开始” -> “管理工具” -> “路由和远程访问”。
-
配置服务器:
- 在左侧控制台中,右键点击您的服务器名称(
SERVER01),然后选择 “配置并启用路由和远程访问”。 - 欢迎向导出现,点击“下一步”。
- 选择“远程访问(拨号或 VPN)”,然后点击“下一步”。
- 在左侧控制台中,右键点击您的服务器名称(
-
选择 VPN 连接:
在“连接”页面,选择您服务器用于连接互联网的网络适配器(本地连接”),这是客户端将连接到的“外部”接口,点击“下一步”。
-
IP 地址分配:
- 关键步骤,您需要为 VPN 客户端分配 IP 地址。
- 推荐选择“来自一个指定的地址范围”,这能避免与您局域网内的 IP 冲突。
- 点击“下一步”,然后点击“新建”来添加一个地址池,如果您局域网是
168.1.0/24,您可以设置 VPN 地址池为168.10.0,掩码为255.255.0,起始地址168.10.1,结束地址168.10.254。 - 设置完成后,点击“下一步”。
-
管理多个远程访问服务器:
选择“不,使用路由和远程访问来对连接请求进行授权”,对于单台服务器,这是最简单的选择,点击“下一步”。
-
完成向导:
- 确认摘要信息,点击“完成”。
- 系统会弹出提示,询问是否启动服务,选择“是”。
您的 VPN 服务器基础功能已经启用。
第四部分:配置 VPN 协议(SSTP 或 L2TP)
配置 SSTP (推荐,简单安全)
- 在“路由和远程访问”控制台中,右键点击服务器,选择 “属性”。
- 切换到 “安全” 选项卡。
- 在“VPN 类型”下拉菜单中,选择 “SSTP”。
- 在“允许的协议”部分,只勾选 “Microsoft: CHAP (MS-CHAP v2)” 和 “Microsoft: CHAP (MS-CHAP)”。取消勾选所有不安全的协议,如 PAP、SPAP。
- 切换到 “IPv4” 选项卡,确保“IP 数据包筛选器”设置为“无筛选器”。
- 点击“确定”。
配置 L2TP/IPsec (更通用,但稍复杂)
L2TP/IPsec 需要预共享密钥或计算机证书,这里我们介绍更简单的预共享密钥方法。
- 设置预共享密钥:
- 在“路由和远程访问”控制台中,右键点击服务器,选择 “属性”。
- 切换到 “安全” 选项卡。
- 在“VPN 类型”下拉菜单中,选择 “L2TP/IPsec”。
- 勾选 “使用预共享密钥进行身份验证”,并设置一个强密码作为密钥(
MyStrongP@ssw0rd!)。请务必记下这个密钥,客户端配置时需要用到。 - 同样,在“允许的协议”部分,只勾选安全的协议,如 EAP、MS-CHAP v2 等。
- 配置 IPsec 策略(关键步骤):
- 在“路由和远程访问”控制台中,展开 “IPsec”。
- 右键点击 “策略”,选择 “属性”。
- 切换到 “常规” 选项卡,确保主模式协商器和快速模式协商器都设置为“高级”。
- 切换到 “主模式” 选项卡,确保勾选了 “使用预共享密钥进行身份验证”,并且密钥与您之前设置的一致。
- 切换到 “快速模式” 选项卡,确保勾选了 “使用‘安全’筛选器”。
- 点击“确定”。
第五部分:配置用户 VPN 权限
默认情况下,所有用户都没有拨入权限,您需要手动为特定用户启用。
- 打开“Active Directory 用户和计算机”:
点击“开始” -> “管理工具” -> “Active Directory 用户和计算机”。 (如果您的服务器不是域控制器,请使用“本地用户和组”)
- 找到目标用户:
在左侧控制台中,双击“Users”容器。
- 设置拨入权限:
- 右键点击要授权的用户,选择 “属性”。
- 切换到 “拨入” 选项卡。
- 在“远程访问权限”下,选择 “允许访问”。
- 点击“确定”。
第六部分:配置防火墙
Windows 防火墙可能会阻止 VPN 连接。
- 打开“Windows 防火墙”。
- 点击
