win2003VPN架设

VPN  一般有pptp l2tp 和ipsec 三种协议

pptp协议只支持点对点的vpn连接，而l2tp和ipsec可以同时支持点对点和网对网。

想要通过vpn拨入要做身份验证和授权（Authenticatio和Authoriation ）

管理入口在  开始-管理工具-路由和远程访问

建立简单VPN服务器

1、按向导建立vpn服务器

2、给vpn拨入帐号授权拨入权限。（选择允许访问或者按远程访问策略控制）

3、如果选择按远程访问策略控制，则需要设置远程访问策略

4、如果需要VPN用户访问VPN服务器所在的网路，则要添加“NAT/基本防火墙”。（在常规那里右键选择新建路路由协议--NAT/基本防火墙，并在NAT/基本防火墙里添加本地连接接口）

 

VPN安全默认用windows身份验证和windows记账，也可以选择RADIUS身份验证和记账。

如何添加RADIUS服务器

添加删除程序-添加删除Windows组件-网络服务-internet验证服务

internet验证服务就是RADIUS服务

RADIUS服务器可以为多个VPN做验证。

条件-权限-配置文件  3个元素共同作用决定客户端能不能拨入vpn

   

VPN错误 792: 的 L2TP 连接尝试失败，因为安全协商超时。

vpn 错误789:l2tp 连接尝试失败,因为安全层在初始化与远程计算机的协商时遇到一个处理错误。

使用L2TP模式时候出现VPN792和789错误，由于缺省的WindowsXP L2TP 传输策略不允许L2TP 传输不使用IPSec 加密。VISTA和WIN7以上系统没有这个问题。

WIN XP用户需要修改注册表解决这个问题：

手动修改：

1） 进入WindowsXP 的“开始” “运行”里面输入“Regedt32”，打开“注册表编辑

器”，定位“HKEY_Local_Machine\ System \ CurrentControl Set \ Services \RasMan \

Parameters ”主键。

2） 为该主键添加以下键值：

键值：ProhibitIpSec

数据类型：reg_dword

值：1

3）保存所做的修改，重新启动电脑以使改动生效。

  ProhibitIpSec注册表值设置为 1 时，基于 Windows 2000 的计算机不会创建使用 CA身份验证的自动筛选器，而是检查本地 IPSec 策略或 ActiveDirectory IPSec 策略。