NAT 後面的 Windows 2008 上的 RRAS VPN 伺服器
好的,所以我有一個時髦的設置,讓我看看我是否可以描述它。
我有一個公共 IP 地址為 74.xx.xx.x的 VMware 主機 在該主機內,我有 3 個 VM
- Web 伺服器 - 1 個 NIC - 192.168.199.20
- SQL Server - 1 個 NIC - 192.168.199.30
- RRAS/VPN 伺服器 - 2 個 NIC 192.168.199.40和192.168.199.45
由於我的 ISP 的限制,所有的 VM 都通過 NAT 連接到主機。我為網路伺服器設置了 NAT,因此74.xx.xx.x上的所有傳入請求通過埠 80 路由到192.168.199.20。這工作正常。
現在我想在這個 NAT 網路中設置一個 Windows 2008 VPN 伺服器並將正確的流量轉發給它。我的問題如下?
- 我必須轉發哪些 TCP/UDP 埠?
- 伺服器和客戶端需要什麼特殊配置,因為這是在 NAT 後面
- 任何其他建議都會很棒。
您的設置與設置多少物理 RRAS 伺服器沒有什麼不同,包括我自己在一個小辦公室。如果您談論的是 RRAS VPN,那麼您很可能談論的是 PPTP VPN……除非您有內部 CA 並且想要使用 IPSec。(提示:如果您想使用 IPSec VPN,請不要。如果您考慮安全性,請購買 SSL VPN 設備。)
只需將 TCP 埠 1723 和 IP 協議 47 (GRE) 轉發到您的 RRAS 伺服器即可。另請注意,您需要編輯/添加遠端訪問策略以允許傳入連接。如果我沒記錯的話,預設情況下不允許傳入連接。例如,我創建了一個名為“VPN Users”的組,然後創建了一個名為“Corp VPN Policy”的策略,該策略設置了策略條件以允許連接,如果任何傳入請求來自該組中的使用者帳戶(以及確保只使用 MS-CHAPv2 PWD,但我離題了……)。您必須將該策略提升到高於將拒絕所有內容的預設策略。所有這些都在伺服器管理器中“網路策略和訪問服務”的“路由和遠端訪問”部分完成。
客戶端不需要特殊配置。Windows 的內置 VPN 客戶端將像魅力一樣工作。我什至使用 Linux 機器和 pptpclient 連接到它並取得了巨大的成功。
現在,在輸入所有這些之後,我意識到這對於我的 Server 2003 RRAS 機器來說都是正確的,並且您說您有一台 Server 2008 機器。你的旅費可能會改變。=)