-VPN配置及应用

EDCwifi-潘

VPN即虚拟专用网络的简称，其通过在internet网上建立一条隧道，通过隧道安全、可靠地传输数据，为企业内部网络的扩展及远程用户访问企业私有网络提供了可靠的途径，其低廉的成本为群多企业所青睐。

    VPN实现技术种类繁多，主来包括PPTP、L2TP、IPSEC、EOIP等技术，但其应用模式不外乎两种，一种是企业私有网络互联即LAN到LAN的VPN，如公司总部LAN与分部LAN互联；第二种是internet 网中的用户通过VPN拨号拨入企业内部网进行资料访问或管理网络，如出差在外员工访问企业内部资料、外部人员对企业服务器代管等应用。

    本教程就PPTP的不同配置分别实现这两种应用。

一、远程访问VPN。

    1、远程访问VPN配置要求：企业端（即服务器端）必须有一个合法的IP地址（最好是一个静态的IP地址，若是动态的，拨号用户亦可通过动态域名拨号）。

    2、配置步骤：

      （1）创建地址池。用于给已拨入的用户分配IP地址，该地址池网段不得与ROS中的任何一个网段相同。

    在winbox中选择"IP"--->"Pool"--->"name"栏中输入地址池名称，如VPN-pool--->"Addresses"栏中输入地址池的IP值范围，如172.16.1.2-172.16.1.10--->"Apply"--->"OK"。

     （2）创建Profile(模板）。Profile的作用是当用户拨号进入以后，服务器将以模板的板式提供参数给用户，或是限定用户的权限。

     winbox中单击"PPP"--->"Profiles"选项卡--->"name"栏中输入模板名称--->"Local address"输入一个与第一步同一网段的 IP--->"Remote Address"栏中选择第一步所创建的地址池--->"DNS"栏中输入本地DNS服务器地址--->"Use Encryption"使用加密栏中选yes--->"Apply"--->"OK"

    （3）启用服务。

     winbox中选择"interface"选项卡--->勾选"Enable"--->"Default Profile"栏选择第二步所创建的模板--->勾选"pap"和"chap"两种认证方式--->"Apply"--->"OK"。

    （4）创建用户。用户用于提供给远程用户拨入。

     winbox中选择"Secret"选项卡--->"name"栏中输入用户名--->"Passwork"输入密码--->"Service"栏选择PPTP--->"Profile"栏选择第二步所创建的Profile。

    （5）配置客户端。在XP下创建VPN拨号器。

     注意：客户端拨通以后可以访问企业网内部，但不能上网，原因是ROS防止数据“回流”。

二、LAN到LAN的VPN。

    1、LAN到LAN的VPN配置要求：该配置要求配置一个服务器端(一个LAN)和一个客户端(另一个LAN)，服务器端必须有一个静态合法IP地址，客户端不要求使用静态合法IP。

   2、配置步骤：

     （1）服务器端配置。

      A、启用PPTP服务。（方法与远程访问VPN相同）

      B、添加一个PPTP用户。

      winbox中单击"PPP"--->选择"Secret--->"name"输入一个用户名，"Password"输入密码，用于对端建立客户端拨号--->"Service"栏选择PPTP--->"Local Address"栏输入一个在双方ROS未曾使用过的网段的IP，作为服务器端的隧道端口IP，如192.168.1.1--->"Remote Address"栏中输入一个与"Local Address"在同一网段的IP，如192.168.1.2--->"Apply"--->"OK"。

　　　Ｃ、为服务器端各网段分别建立一条去往对端（客户端）的静态路由表。

　　　　　比如：服务器端内网有两个网段：10.0.0.0/24  20.0.0.0/24

          则需要在"IP"--->"Route"---"+",分别建立静态路由

　　　　　Destination:10.0.0.0/24   Gateway:192.168.1.2(对端隧道端口IP)

          Destination:20.0.0.0/24   Gateway:192.168.1.2(对端隧道端口IP)

    (2)客户端（另一个LAN)

         A、添加一个PPTP-Client。

　　　　winbox中单击"interface"--->"+"--->PPTP-Client--->"General"选项卡中"Connect-to"栏输入服务器端WAN口的IP地址--->"Dial  out"选项卡中分别输入在服务器端Secret中所建立的name和Password--->"Apply"--->"OK" 。

　　　　Ｂ、为客户端ROS中的所有网段分别建立静态路由。

　　　　　如：客户端有：30.0.0.0/24   40.0.0.0/24

         则需要在"IP"--->"Route"---"+",分别建立静态路由

　　　　　Destination:30.0.0.0/24   Gateway:192.168.1.1(对端隧道端口IP)

          Destination:40.0.0.0/24   Gateway:192.168.1.1(对端隧道端口IP)

　　注意：LAN到LAN的VPN连接以后，双方私有网络内主机可以相互访问，而且，双方主机亦可以访问internet。

至此，两种VPN全部介绍完。