{!!}Windows 2003 上配置 VPN + NAT以及VPN的端口映射详解

VPN+NAT再结合路由可以实现很方便的代理功能，适用于有一台能方便连接Internet的电脑，其他不在同一子网内的电脑能够连接到这台机器但不能完全访问Internet。比如好些学校的校园网，访问国外资源需要付流量费，此时可以找一台能够“出国”的服务器并采用此方案。

Windows 2003作为代理服务器时的配置方法如下：

   1. 关闭防火墙，用“管理工具”中的“服务”将“Windows Firewall/Internet Connection Sharing (ICS)”设置为“禁止”状态，否则没法启用路由和远程访问。
   2. 打开“管理工具”中的“路由和远程访问”配置界面，选中“路由和远程访问”节点下的“XX(本地)”(如果没有，则需要用“添加服务器”创建一个)，用“操作”菜单下的“配置并启动路由和远程访问”，打开安装向导。
   3. 通常情况下只有一块网卡(否则就不需要VPN了)，选择“自定义配置”并继续，选中“VPN访问”和"NAT和基本防火墙"并继续，完成安装向导。
   4. 会弹出对话框说已经完成安装，询问是否启动服务，选择“是”。
   5. 可选步骤：选中“XX(本地)”，点右键打开“属性”对话框，在“IP”标签下的“IP地址指派”中选中“静态地址池”，并添加用于VPN连接的私有地址范围，比如10.1.0.1-32。
   6. 打开“管理工具”中的“计算机管理”，选中“系统工具”->“本地用户和”->“用户”，双击允许进行VPN连接的用户，在用户属性的对话框中选择“拨入”标签，选中“远程访问权限（拨入或 VPN）”下的允许访问。
       此时VPN功能已经配置好了，后面将讲述如何建立VPN连接。
   7. 选中“XX(本地)”->“IP路由选择”->“NAT/基本防火墙”，点击右键并“新增接口”，选择用来连接外部网络的接口，通常是“本地连接”，在弹出的对话框中选择“公共接口连接到Internet”，并选上“在此接口上启用NAT”，确定。
       此时已经完成了NAT的配置。

客户端的配置，以Windows XP为例：

   1. 创建VPN连接：在“网上邻居”的“属性”界面，打开“新建连接向导”，选择“连接到我的工作场所的网络”，再选择“虚拟专用网络连接”(既VPN)，随便输入一个名字作为公司名(比如VPN，它是作为VPN连接的名字)，如果之前有其它的拨号连接根据情况选择是否自动拨入，输入上面配置了VPN服务的服务器地址，完成向导。
   2. 双击刚创建的VPN连接，在连接对话框中输入刚才配置的有拨入权限的用户名和密码，并连接。可能某些协议在VPN上不支持，会弹出警告对话框，“接受”即可。

到此为止，已经可以用Windows 2003作为代理来上网了。



VPN端口映射介绍：

如果是l2tp Vpn，映射udp 1701端口。
如果是pptp Vpn，映射tcp 1723端口和GRE协议。

问：如何在WINDOWS 2003环境下映射GRE协议？
防火墙和路由器同时配置为允许GRE包即可