⚠️ 重要提示:
(图片来源网络,侵删)
- 安全风险:Windows 7 已于 2025 年 1 月 14 日停止官方支持,不再接收安全更新,将其暴露在互联网上存在极高的安全风险,强烈建议您仅在完全信任的内网环境(如家庭局域网)中使用,并采取严格的安全措施。
- 性能:Windows 7 并非服务器操作系统,在高并发连接和长期稳定性方面不如 Windows Server 系列。
- 替代方案:如果您追求更好的安全性、稳定性和易用性,可以考虑使用更现代的方案,
- 购买商业 VPN 服务:最简单、最安全、速度有保障。
- 使用软路由/旁路由:如 OpenWrt、pfSense 等,它们对 VPN 的支持更专业。
- 使用云服务器:在阿里云、腾讯云、AWS 等平台上创建一个 Windows Server 虚拟机来搭建 VPN。
准备工作
- 一台已激活的 Windows 7 电脑:作为 VPN 服务器。
- 公网 IP 地址:您的家庭网络需要有一个公网 IP 地址,您可以通过访问
ip.cn或whatismyip.com来查询。 - 端口转发:在您的家庭路由器上,需要将 UDP 端口 1723 和 IP 协议 GRE (协议号 47) 转发到运行 Windows 7 的那台电脑的局域网 IP 地址上。
- 如何找到局域网 IP:在服务器电脑上,按
Win + R,输入cmd,然后输入ipconfig,找到“IPv4 地址”,通常是168.x.x或x.x.x。 - 如何设置端口转发:登录您的路由器管理界面(通常是
168.1.1或168.0.1),在“转发规则”、“虚拟服务器”或“NAT”菜单中添加上述两条转发规则。
- 如何找到局域网 IP:在服务器电脑上,按
- 一个动态域名解析:如果您的公网 IP 是动态的(家庭宽带通常都是),它会不定期更换,为了让您在外部可以随时访问,需要注册一个动态域名(如 No-IP、花生壳等),并安装其客户端到服务器上,实现域名与动态 IP 的绑定。
详细搭建步骤
第一步:安装“路由和远程访问服务”
- 点击 “开始” -> “控制面板”。
- 选择 “程序” -> “程序和功能”。
- 在左侧点击 “打开或关闭 Windows 功能”。
- 在弹出的窗口中,找到并展开 “远程服务器管理工具”。
- 展开 “角色管理工具”,勾选 “路由和远程访问服务工具”。
- 系统会自动勾选其依赖项,点击 “确定” 开始安装,等待安装完成。
第二步:配置 VPN 服务器
- 打开“路由和远程访问”管理工具:
- 点击 “开始” -> “管理工具” -> “路由和远程访问”。
- 初始化服务器:
- 第一次打开时,右侧会显示“还没有配置路由和远程访问”,右键点击左侧服务器名称(通常是您的计算机名),选择 “配置并启用路由和远程访问”。
- 配置向导:
- 欢迎使用向导:点击 “下一步”。
- 配置服务器:选择 “自定义配置”,然后点击 “下一步”。(注意:不要选“VPN 访问”,因为“自定义”可以让我们同时启用 VPN 和 NAT,这对家庭环境至关重要)。
- 自定义配置:勾选 “VPN 访问” 和 “NAT 和基本防火墙”,然后点击 “下一步”。
- VPN 访问:允许客户端通过 VPN 连接进来。
- NAT 和基本防火墙:这是最关键的一步!它允许您将内网 IP 地址(如
168.x.x)转换为服务器的公网 IP,这样所有 VPN 客户端才能通过服务器访问互联网。
- 完成:点击 “完成”。
- 系统会提示“您想现在启动服务吗?”,选择 “是”。
第三步:设置 IP 地址分配
- 在左侧控制台中,展开服务器名称,然后展开 “端口”。
- 右键点击 “WAN 微型端口 (PPTP)”,选择 “属性”。
- 切换到 “IP” 选项卡,确保 “静态 IP 地址池” 被选中,然后点击 “添加”。
- 定义地址范围:这里是为 VPN 客户端分配的 IP 地址段。这个地址段必须和您服务器的局域网 IP 地址段不同,以避免冲突。
- 您的服务器局域网 IP 是
168.1.10,子网掩码是255.255.0,那么您可以给 VPN 客户端分配168.2.1到168.2.254这个网段。 - 在起始地址和结束地址中填入您定义的范围,然后点击 “确定”。
- 您的服务器局域网 IP 是
- (可选,但推荐)为了方便管理,您还可以在服务器上设置一个 DHCP 服务器来专门为 VPN 客户端分配 IP,使用静态 IP 地址池是最简单直接的方法。
第四步:设置用户权限
默认情况下,所有用户都没有拨入 VPN 的权限,您需要手动为特定用户授权。
- 按
Win + R,输入lusrmgr.msc并回车,打开“本地用户和组”管理器。(如果找不到,也可以通过“控制面板”->“管理工具”->“计算机管理”进入)。 - 选择 “用户”。
- 双击您希望允许其连接 VPN 的用户(您自己的账户)。
- 切换到 “拨入” 选项卡。
- 在“网络访问权限”下,选择 “通过 VPN 访问”。
- 点击 “确定”。
客户端连接测试
您的 VPN 服务器已经搭建完成,您可以在另一台电脑(可以是手机、平板或任何能上网的设备)上连接它。
Windows 客户端连接
- 打开 “控制面板” -> “网络和共享中心”。
- 点击 “设置新的连接或网络”。
- 选择 “连接到工作区” -> “使用我的 Internet 连接 (VPN)”。
- Internet 地址:填入您在准备阶段注册的动态域名,或者您的公网 IP 地址。
- 目标名称:给这个连接起一个名字,我的家庭VPN”。
- 勾选 “此连接不需要用户名和密码”(如果不需要的话),然后点击 “下一步”。
- 在弹出的窗口中,输入您在第四步设置权限的那个用户名和密码。
- 点击 “创建”,然后点击 “连接”。
连接成功后,您的设备就通过 VPN 接入了您家中的内网,可以访问家中的共享文件、打印机等。
Android/iOS 客户端连接
- 在手机的应用商店搜索并下载 "PPTP VPN" 或 "L2TP VPN" 客户端。
- 打开 App,创建新连接。
- 服务器地址:填入您的动态域名或公网 IP。
- 用户名 和 密码:输入您在第四步设置的用户名和密码。
- VPN 类型:选择 PPTP。
- 点击连接即可。
常见问题与安全加固
- 连接失败,错误 800:通常是路由器端口转发没有设置正确,或者防火墙阻止了连接,请检查 UDP 1723 端口和 GRE 协议是否已转发。
- 连接失败,错误 789:可能是服务器或客户端的 PPTP 协议被系统策略或防火墙禁用,在服务器上,确保“路由和远程访问”服务中的“IPSec”策略没有阻止 PPTP。
- 安全加固建议:
- 修改默认端口
(图片来源网络,侵删)
