Windows Server 2012 R2 单网卡/单 IP 配置 VPN 服务

原文地址：https://www.dwhd.org/20151102_135547.html

摘要

本篇文章主要涉及 Windows Server 2012 R2 环境下“单网卡/单 IP”条件配置 VPN 服务的相关过程。因为我是家用环境，服务器放在路由器后面是再平常不过的了，所以本文介绍的流程仅针对服务器在内网的典型“单网卡/单 IP”情况。

VPN 服务可以为在外访问局域网内资源提供一条便捷的通道，特别是对于我这样把数据存在家里 NAS 上的有(中)为(二)青年，时不时就会需要在公司访问家中数据。当然，VPN 也有其局限性，因其“虚拟专用网络”的特性，通常的 VPN 配置只能进行客户端对服务端网络的单向访问，服务端局域网内设备并不能直接访问拨入的远端设备。因为后面一种的需求较少，一般 VPN 访问即可满足大部分数据访问需求。Windows Server 中也提供了通过 DirectAccess 方案实现的双向访问通道，不过因为 DirectAccess 需要服务器同时具备内外网的访问端口，且最好要在 IPv6 环境下应用，就不在本文中介绍其具体配置了。本文的重点放在 Windows Server 的 VPN 服务器配置。

1. 安装 VPN 相关服务

打开“服务器管理器”，选择添加角色和功能。

在“服务器角色”页面，选择安装“网络策略和访问服务”以及“远程访问”两项角色。

在“网络策略和访问服务”的角色服务配置页面，选择安装“网络策略服务器”。“网络策略服务器”主要用于对远程 VPN 访问的拨入权限进行高级管理，如果不需要维护分组用户的访问权限，也可以直接在 AD 的用户管理中单独配置拨入权限。

在“远程访问”的角色服务配置页面，选择安装“DirectAccess 和 VPN(RAS)”以及“路由”功能。这里的“DirectAccess 和 VPN(RAS)”服务用于支持从客户端建立到服务器的访问连接，“路由”服务则提供地址转换以及数据路由的相关功能。

注意，在选择“路由”服务时，会弹出默认依赖的角色服务及功能，保持默认即可。

IIS 的依赖配置直接保持默认。

接下来，确认安并等待安装过程完成。至此，相关服务及功能的安装过程到此结束。

2. 配置 VPN 访问服务

在服务器管理器菜单中，选择打开“路由和远程访问”配置面板。

右键本地服务器，选择“配置并启用路由和远程访问”，启动配置向导。

在配置向导中选择“自定义配置”，以便进行功能的自由组合配置。

启用所有需要的服务。如果不需要允许远端连接通过本地服务器访问 Internet 的话，可以不启用 NAT 服务。

展开“IPv4”，右键“NAT”项，选择“新增接口”，并选择添加“以太网”接口。

在“以太网”接口的 NAT 配置中，选则“公用接口链接到 Internet”，并勾选“在此接口上启用 NAT”。

接下来，继续在 NAT 上配置内部接口。

保持内部接口的默认配置即可。

配置本地服务器属性。

在“IPv4”标签页中设置为远端连接分配 IP 的地址池。

3. 配置 VPN 访问权限

在“服务器管理器”中，启动“网络策略服务器”配置。

在“网络策略”中，新建用于控制 VPN 访问的网络策略，在“网络访问服务器的类型”中选择“远程访问服务器(VPN 拨号)”。

在指定条件中，根据实际需求，选择合适的匹配条件。比如，这里我选择了域中的 VPN 用户组。

根据实际需求，进一步设置后，完成访问策略配置。

VPN 服务器端的配置基本到此为止。可以在客户端测试尝试连接 VPN 服务器，客户端的访问状态可以直接在“远程访问管理控制台”进行监控。