1.3 在Windows 2003 Server中建立VPN服务器
在第一节中介绍了如何在Windows XP中创建VPN连接,VPN连接中最重要的一点就是建立VPN服务器,VPN服务器可以是单独的服务器,很多商业VPN就是租用Windows或者Linux主机,自己创建VPN服务器,然后提供VPN服务的。还有一种VPN服务器是在被控制服务器上建立VPN服务器,也就是在肉机上建立VPN服务器。下面介绍如何在Windows 2003 Server操作系统上创建VPN服务器。
1.3.1 查看路由和远程访问
单击“开始”→“程序”→“管理工具”→“路由和远程访问”,打开“路由和远程访问”配置窗口。在该窗口中可以查看VPN服务器开启情况,如图1-15所示,显示为红色的停止图标是表示未创建VPN服务器或者已经停止VPN服务了。
图1-15 查看路由和远程访问配置情况
1.3.2 尝试启动路由和远程访问
在路由和远程访问配置窗口的服务器状态下,默认显示的是服务器的名称,选中该服务器,右键单击,在弹出的菜单中选择“配置并启用路由和远程访问”,如果已经配置成功,则正常启动,否则会弹出如图1-16所示的警告信息窗口,提示关闭Windows 防火墙后重新进行配置。
图1-16 为成功配置VPN服务警告信息
1.3.3 关闭Windows防火墙
单击“开始”-“程序”-“管理工具”-“服务”,打开“服务”窗口,如图1-17所示,找到“Windows Firewall/Internet Connection Sharing (ICS)”,将启动类型选择为“禁用”,同时单击“停止”按钮,将“Windows Firewall/Internet Connection Sharing (ICS)”服务关闭。
图1-17 关闭Windows防火墙
1.3.4 配置并启用路由和远程访问
回到“路由和远程访问”窗口,再次单击“配置并启用路由和远程访问”,如图1-18所示,弹出“路由和远程访问服务器安装向导”窗口,在该窗口中选择“自定义配置”,然后单击“下一步”按钮继续。
图1-18 选择自定义配置
1.3.5 选择启用的服务
在自定义配置中需要选择启用的服务,如图1-19所示,选择启用“VPN访问”和“NAT和基本防火墙”服务。
图1-19 选择启用的服务
1.3.6 完成服务配置
选择启用的服务后,根据向导完成配置,单击“完成”按钮,系统开始自动启动服务,这时候需要选择是否开始服务,如图1-20所示,选择“是”开始启动服务。如果配置没有问题,则会出现“正在启动 路由和远程访问”窗口,显示服务成功配置,如图1-21所示。
图1-20 完成服务配置
图1-21 成功启动路由和远程访问
1.3.7 配置“NAT/基本防火墙”
在“路由和远程访问”窗口中选择“NAT/基本防火墙”,然后单击右键,选择“新增接口”选项,如图1-22所示。
图1-22 新增接口
1.3.8 选择接口
配置这一步至关重要,如图1-23所示,在“网络地址转换(NAT)的新接口”中选择“本地连接”,注意在实际配置中,其接口列表可能就一个,也可能有多个本地连接,这个时候需要查看本地连接的实际属性,即本地连接配置的IP地址必须是互联网独立IP地址,否则配置就不会成功。
图1-23 选择接口
1.3.9 公用接口上启用NAT
选中VPN服务器名称,然后单击右键,选择“属性”选项,如图1-24所示,打开“网络地址转换-本地连接属性”窗口,在接口类型中选择“公用接口上启用NAT”,同时在其下方选择“在此接口上启用NAT”,如果需要配置防火墙,则可以选择“在此接口上启用基本防火墙”。
图1-24 选择接口类型
1.3.10 启用远程访问和路由
选中VPN服务器名称,然后单击右键,选择“属性”选项,如图1-25所示,打开本地属性窗口,分别选中“路由器”-“仅用于局域网(LAN)路由选择”,同时选中“远程访问服务器”。
图1-25 启用远程访问和路由
1.3.11 配置日志
由于是在肉机上配置VPN服务器,将该服务器作为跳板,因此需要消除日志记录等痕迹。单击“日志”,如图1-26所示,选择“不记录任何事件”,如果是个人或者本单位使用,则可以选择“记录所有事件”,便于进行审计。日志配置完成后,需要重新启动路由器,如图1-27所示,选择“是”,重启路由器。
图1-26 配置日志
图1-27 重启路由器
1.3.12 授权用户远程访问
通过上面的步骤,VPN服务器建立成功了,但还需要对用户进行授权,如图1-28所示,右键单击“我的电脑”-“管理”-“本地用户和组”-“用户”,选择“test”用户,然后在“test属性”窗口中单击“拨入”,在远程访问权限(拨入或VPN)中选择“允许访问”,最后单击“应用”按钮,授权“test”用户具有远程访问。对其他用户授权采用同样步骤即可。
图1-28 对test用户授权
技巧
在授权时可以授权普通用户,甚至系统中权限最低的用户,这样管理员不容易发觉。
1.3.13 VPN连接测试
按照上一节介绍的方法,在Windows XP中创建一个VPN连接,VPN服务器的地址输入刚才创建时的服务器的IP地址,然后双击桌面的VPN连接快捷图标,会出现如图1-29所示的连接窗口,输入用户名和密码后,单击“连接”按钮开始连接VPN服务器。
图1-29 连接VPN服务器
技巧:
在连接VPN服务器时,可选中“为下面用户保存用户名和密码”,这样不用在每次进行VPN连接时都需要输入用户名和密码。
1.3.14 查看出口IP地址
连接成功后,打开“www.ip138.com”网站查看本机出口IP地址,如图1-30所示,显 示的IP地址即为VPN服务器的IP地址,这样在进行扫描等操作时,留在对方服务器上面的IP地址即为VPN服务器的IP地址,也即为肉机的IP地址。使用多个VPN连接后,基本无法追查入侵来源。
图1-30 查看出口IP地址
小结
在Windows 2003 Server上创建VPN服务器并不复杂,在肉机上创建VPN服务器有以下几个技巧:
(1)尽量使用低权限用户,例如Guest、SQLDebugger、Aspnet以及IUSR_2B30A031FC654 IWAM_2B30A031FC654、HelpAssistant、SUPPORT_388945a0以及系统默认有的普通用户。将需要创建VPN的用户授权,允许其使用VPN拨入。
(2)不要记录任何日志。
(3)通过netstat -an | Find "1723" 命令查看VPN是否开启,如果结果中1723端口开放了,则表示VPN服务器已经开启。