Windows Server 架设VPN要点

时间:2023-01-23 16:40:50

PPTP

  • 为给客户端连接的VPN用户帐户设置“允许拨入”属性。

VPN服务端与客户端都无需安装任何证书。

L2TP/IPSEC

  • VPN服务器与客户端分别需要在自己的“本地计算机帐户>个人”(而非“用户帐户>个人”)安装同一CA颁发的证书即可,当然在之前要先安装此CA的根证书至“本地计算机帐户>受信任的根证书颁发机构”。
  • 如果是在同一局域网内试验,注册不要直接使用机器名来连接,可以使用IP或域名。
  • 证书类别随便选,IPSEC/服务端验证/客户端验证都OK,混着用都行。不过最好是“服务器验证”类型,因为也可以用来支持SSTP。
  • 证书安装完毕后重启一下VPN服务,否则连接依然出错。

SSTP

  • CA

确认CA的CDP中已经为“http://”类型的地址勾选了“包含在颁发的证书的CDP扩展中”。

默认的只有“file://”类型的地址才勾选此选项。
这一步不做的话客户端连接时会出异常:“错误0x80092013:由于吊销服务器已脱机,吊销功能无法检查吊销”。

  • VPN服务器
    • 从CA申请证书,注意选项:“服务器身份验证证书”类别、标记密钥为可导出
    • 将证书从“用户帐户>个人”其连同私钥导入到“计算机帐户>个人”中
    • 为VPN服务器的“安全>SSL证书绑定”里绑定此证书,并重启服务
  • 客户端
    • 客户端使用为VPN服务器申请证书时所使用的名称进行连接,可更改hosts以正确指向。

对比L2TP/IPSEC的优点是最初时客户端只需安装根证书,并且连接使用的是一般的SSL端口443。但是不管是VPN服务器还是客户端都要能够与CA通讯,因为要访问其证书的吊销列表。

IKEV2

  • 客户端使用为VPN服务器申请证书时所使用的名称进行连接。

对比L2TP/IPSEC的优点是最初时客户端只需安装根证书,并且本地连接出错后VPN连接不会立即断开。

备注

  • 修改连接方式后客户端经常会出现“连接被远程计算机拒绝”的异常,等一会儿即可。
  • 以上实验均在“非域+独立CA”环境下做,若是域环境,至少在申请证书这一环节可以节省时间(直接在证书snap-in里申请证书即可,甚至可以使用组策略主动推)。

参考

实验:使用计算机证书的 L2TP/IPSec VPN 连接