看我是如何實現無線組網及VPN接入的
本文來自51CTO專家博客,由博主王春海撰寫。博文地址:
http://wangchunhai.blog.51cto.com/225186/1626375
今天碰到一個案例,該單位是一個新開的房產中介門店,需要使用VPN方式連接總公司的內網,情況及需求如下:
(1)這家新開的門店在一個新的小區中,小區沒有寬帶接入。為了訪問Internet及總公司的VPN,購買了一個電信的3G無線上網卡及3G無線路由器。
(2)該單位一共有7、8臺計算機,沒有布線,計算機都配置了無線網卡,想使用無線網絡組網,不準備使用傳統的網線連接。
(3)該門店需要使用VPN的方式,連接到總公司的房產管理系統。總公司的房產管理系統,安裝在一臺服務器中,托管在電信機房。
為了實現此功能,我設計了以下方案,可以達到需求,現在分別介紹一下。
圖1-1 采用RRAS做NAT
在圖1-1中,3G無線路由器自己撥號到Internet,一臺Windows Server 2008 R2使用"無線網卡"連接到該3G路由器,以實現到Internet的連接。在這臺計算機中,配置"路由和遠程訪問服務(RRAS)",配置NAT及"請求撥號路由",來實現到Internet及VPN的共享接入。
這臺Windows Server 2008 R2的有線網卡,使用一條RJ45網線連接到另外一個普通的無線寬帶路由器的LAN端口。該門店的其他計算機,使用無線網卡連接到這個普通的無線寬帶路由器,再通過Windows Server 2008 R2的"RRAS(路由和遠程訪問服務)"的NAT及請求撥號路由功能,連接到Internet及總部內部網絡。在這里,這臺普通的"無線寬帶路由器"只起了一個類似"無線交換機"的功能,在該路由器中配置了DHCP,但指定的網關地址是Windows Server 2008 R2的有線網卡的地址。這樣,所有的工作站,在使用DHCP獲得IP地址的時候,也指定了正確的網關地址"配置了RRAS"的Windows Server 2008 R2的地址。#p#
在這個方案中,有兩個關鍵地方,其一是用做RRAS的Windows Server 2008 R2的配置,另一個是無線寬帶配置。首先介紹用做服務器的Windows Server 2008 R2的配置,我們一一介紹。
1.1 安裝路由和遠程訪問服務
首先要在Windows Server 2008 R2服務器上安裝路由和遠程訪問服務,并啟用NAT及請求撥號路由功能。
(1)將用做服務器的Windows Server 2008 R2,無線網卡連接到"3G無線上網卡",該網卡用于連接Internet,我們可以將該無線網卡命名為"WAN"。將另一個網卡(有線網卡)命名為"LAN",設置IP地址為192.168.2.10,子網掩碼為255.255.255.0,不設置網關地址。如圖1-2所示。
圖1-2 重命名網卡
(2)打開"服務器管理器",添加角色。在"選擇服務器角色"對話框,選擇"網絡策略和訪問服務",如圖1-3所示。
圖1-3 網絡策略和訪問服務
(3)在"網絡策略和訪問服務"對話框,顯示了網絡策略和訪問服務簡介,查看之后單擊"下一步"按鈕,如圖1-4所示。
圖1-4 網絡策略和訪問服務
(4)在"選擇角色服務"對話框,選中"路由和遠程訪問服務",并選中"遠程訪問服務"和"路由"組件,如圖1-5所示。
圖1-5 選擇角色服務
(5)在"確認安裝選擇"對話框,單擊"安裝"按鈕,如圖1-6所示。
圖1-6 安裝
(6)在"安裝結果"對話框,單擊"關閉"按鈕,完成安裝。如圖1-7所示。
圖1-7 安裝完成#p#
在安裝完成后,從"管理工具"中運行"路由和遠程訪問"服務,配置該服務,主要步驟如下。
(1)在"路由和遠程訪問"控制臺中,右擊計算機名稱,在彈出的快捷菜單中選擇"配置并啟用路由和遠程訪問",如圖1-8所示。
圖1-8 配置并啟用路由和遠程訪問
(2)在"歡迎使用路由和遠程訪問服務器安裝向導"對話框,單擊"下一步"按鈕。
(3)在"配置"對話框,選擇"網絡地址轉換(NAT)",如圖1-9所示。
圖1-9 配置
(4)在"NAT Internet連接"對話框,選擇連接到Internet的網卡,在此選擇名為"WAN"的網卡,如圖1-10所示。
圖1-10 選擇連接Internet的網卡
(5)在"正在完成路由和遠程訪問服務安裝向導"對話框,單擊"完成"按鈕,如圖1-11所示。
圖1-11 完成路由和遠程服務安裝
(6)返回到"路由和遠程訪問"控制臺后,右擊計算機名稱,在彈出的快捷菜單中選擇"屬性",如圖1-12所示。
圖1-12 配置路由和遠程訪問屬性
(7)在"常規"選項卡中,選擇"局域網和請求撥號路由",如圖1-13所示。
圖1-13 選擇局域網和請求撥號路由
(8)在彈出的"路由和遠程訪問"警告對話框中,單擊"是"按鈕,重新啟動路由器,如圖1-14所示。
圖1-14 重新啟動路由器
1.2 創建請求撥號路由
在安裝路由和遠程訪問服務之后,要創建一個VPN的請求撥號路由,連接到VPN服務器,主要步驟如下。
(1)返回到"路由和遠程訪問"控制臺后,右擊"網絡接口",在彈出的快捷菜單中選擇"新建請求撥號接口",如圖1-15所示。
圖1-15 新建請求撥號接口
(2)在"歡迎使用請求撥號接口向導"對話框,單擊"下一步"按鈕,如圖1-16所示。
圖1-16 請求撥號路由向導
(3)在"接口名稱"對話框中,為請求撥號路由設置一個名稱,此名稱可以隨意設置,但為了后期管理,可以設置一個比較記憶、有意義的名稱。在此命名為VPN,如圖1-17所示。
圖1-17 設置接口名稱
(4)在"連接類型"對話框,選擇要創建的請求撥號接口的類型,因為我們要創建的是VPN撥號,故在此選擇"使用虛擬專用網絡連接(VPN)",如圖1-18所示。
圖1-18 連接類型
(5)在"VPN類型"對話框,選擇要創建的VPN連接的類型。這要根據你的VPN服務器的配置要求選擇。在此選擇"點對點隧道協議(PPTP)"。
(6)在"目標地址"輸入要連接的VPN服務器的地址,如圖1-19所示。這可以使用域名或IP地址,具體要看你的VPN服務器的類型及需求。
圖1-19 指定目標VPN服務器的地址
(7)在"協議和安全"對話框,選擇"在此接口上路由選擇IP數據包",如圖1-20所示。如果要配置雙向的VPN路由,還要選擇"添加一個角色帳戶使遠程路由器可以接入",因為我們是創建請求撥號路由,是單身訪問遠程的VPN服務器故此項不做選擇。
圖1-20 協議及安全
(8)在"遠程網絡的靜態路由"對話框中,單擊"添加"按鈕,添加VPN客戶端撥號成功后,要訪問的內網地址,這通常是VPN服務器后端的所連接或保護的服務器的地址,在此示例中,遠程網絡的地址是172.18.96.0/24,添加的"目標"則為172.18.96.0,網絡掩碼則為255.255.255.0,躍點數設置為1,如圖1-21所示。設置之后單擊"確定"按鈕添加到"靜態路由"列表中,如果有多個需要訪問的網絡,則再次單擊"添加"按鈕繼續添加,直到添加完成。添加之后如圖1-22所示。
圖1-21 添加遠程網絡靜態路由圖1-22添加靜態路由之后
(9)在"撥出憑據"對話框,設置連接到遠程VPN服務器的帳戶名及密碼,如圖1-23所示。
圖1-23 設置撥出憑據
(10)在"完成請求撥號接口向導"對話框,單擊"完成"按鈕,如圖1-24所示。
圖1-24 完成請求撥號接口向導
(11)返回到"路由和遠程訪問"控制臺,在"網絡接口"中可以看到新建的"請求撥號接口",當前狀態為"己啟用",連接狀態為"己斷開",如圖1-25所示。當有訪問圖1-21的目標網絡時,會自動撥號。
圖1-25 請求撥號接口路由#p#
1.3 為VPN添加請求撥號接口
在添加了請求撥號路由之后,默認情況下,請求撥號路由不會自動連接。此時需要在"NAT"中,添加這個接口,供局域網用戶使用。
(1)在"路由和遠程訪問"控制臺中,選中"NAT",在側空白空格中右擊,在彈出的快捷菜單中選擇"新增接口",如圖1-28所示。
圖1-26 新增接口
(2)在"IPNAP的新接口"對話框中,選擇上一節創建的請求撥號接口。
(3)在"網絡地址轉換-VPN屬性"對話框,選擇"公用接口連接到Internet",并選中"在此接口上啟用NAT",如圖1-27所示。
圖1-27 設置接口屬性
(4)添加之后如圖1-28所示。
圖1-28 添加之后
1.4 當作無線交換機使用的路由器配置
為局域網中的工作站提供"無線接入"的普通寬帶路由器,為了管理方便,設置一個與服務器相同網段的IP地址,例如在本例中設置為192.168.2.254。另外,為了方便工作站接入,需要啟用"DHCP"服務,但本案例中,用做網關的是安裝配置了"路由和遠程訪問服務"的Windows Server 2008 R2的計算機,在本示例中這臺服務器的IP地址是192.168.2.10,所以要修改普通寬帶路由器的DHCP服務器,將網關地址改為192.168.2.10,如圖1-29所示。
圖1-29 修改DHCP服務器的網關地址#p#
1.5 客戶端使用
當客戶端訪問VPN內網時,例如使用ping命令ping一個內網服務器地址時,在一開始網絡不通,等VPN請求撥號路由撥通之后,網絡會連通,如圖1-30所示。
圖1-30 網絡連通
此時在"路由和遠程訪問"控制臺,在"網絡接口"中可以看到,名為VPN的請求撥號接口連接狀態為"己連接"。
1.6使用支持VPN撥號的路由器實現Internet及VPN接入功能
在實現上述功能后,客戶說,用3G無線上網是臨時方案,后期還是要使用光纖或ADSL上網,為此,我又推薦了下述方案,使用帶VPN功能的路由器,實現到總公司局域網的接入,方案如下。
圖2-1 采用支持VPN功能的路由器
在圖2-1中,主要是采用了一個支持VPN功能的路由器,在此選擇"飛魚星VE760W"無線寬帶路由器。
(1)在TP-Link無線寬帶路由器中,WAN端口根據實際情況配置,對于大多數的ADSL接入來說,需要配置PPPoe撥號,并設置帳戶和密碼,這些不詳細介紹。而無線配置、DHCP服務器配置,則與普通的寬帶路由器一樣,只要能讓計算機使用無線(或有線LAN)連接到路由器,通過路由器訪問Internet即可,這些不一一介紹。
(2)在飛魚星路由器中,配置到總公司的VPN接入。稍后我們主要介紹該功能的配置。
(3)所有的計算機,連接飛魚星無線寬帶路由器,并從該無線路由器獲得IP地址。在配置好路由器的VPN功能之后,所有的計算機都能通過路由器訪問Internet及總公司網絡。
下面介紹飛魚星寬帶路由器,VPN功能的配置。
(1)在"虛擬專網→PPTP客戶端",選中"啟用PPTP客戶端"功能,在"PPTP服務器地址"方框中,輸入要連接的總公司VPN服務器的IP地址或域名,并在"用戶名"與"密碼"中輸入VPN服務器分配給該分公司的帳戶。在"PPTP服務器網段"中,輸入VPN服務器所連接的局域網的地址段,在本示例中該地址段為172.18.0.0/16,設置之間單擊"保存"并單擊"連接"按鈕,如果設置正常,會連接到總公司的VPN服務器,并且獲得VPN客戶端地址,如圖2-2所示,在本示例中,VPN服務器分配給該分公司VPN帳戶的IP地址是172.30.30.200。
圖2-2 配置PPTP客戶端
(2)在"高級選項→地址轉發"中,選擇"NAT:外出規則",單擊"添加新規則"按鈕,在"源地址"文本框中,輸入當前路由器的LAN端口的地址段,例如,當前VPN路由器的LAN端口地址是192.168.2.254,子網掩碼是255.255.255.0,則在"IP地址"處輸入192.168.2.0,子網掩碼為255.255.255.0。在"目標地址"處,輸入遠程VPN服務器局域網的IP地址段,在本示例中為172.18.0.0、子網掩碼為255.255.0.0,這與圖2-2中"PPTP服務器網段"相一致。在"轉換地址"處輸入圖2-2中VPN客戶端獲得的IP地址,在本示例中為172.30.30.200,如圖2-3所示。設置之后,單擊"保存"按鈕。
圖2-3 配置地址轉換
經過上述設置,局域網中的計算機即可以直接訪問172.16.0.0/24的網段。
為了避免每次VPN撥號重要獲得新的地址,所以需要在VPN服務器上,為指定的VPN客戶端,分配一個靜態的IP地址。如果服務器是"路由和遠程訪問"服務器、Forefront TMG 2010或ISA Server 2006配置的VPN服務器,可以直接在"VPN服務器"的"本地用戶和組→用戶"中,選擇創建的VPN帳戶,在"撥入"選項卡中,選中"分配靜態IP地址",為指定的帳戶分配靜態IP地址,如圖2-4所示。
圖2-4 分配靜態IP地址
