一、問題的提出

如圖1所示，在單位有個私有地址為192.168.0.0的網絡，各電腦是通過ADSL共享方式接入Internet，在家中有臺電腦也通過ADSL訪問 Internet，現在想在家中隨時安全地訪問單位192.168.0.2這臺機器，實現方法很多，最為安全的是通過VPN。

二、什么是VPN

以本例來說就是現在單位192.168.0.2這臺機器上設置好VPN服務，在家中通過VPN客戶端訪問單位這臺機器，建立連接后，這兩臺機器通信時就像在局域網中一樣，比如：要在192.168.1.10這臺電腦中下載192.168.0.2這臺機器的文件（假設該機已設好FTP服務），可以直接在瀏覽器中鍵入：ftp://192.168.0.2下載文件了。雖然是通過Internet進行通信，但整個過程都是加密的，就像是在Internet中穿了一條只有兩臺機器才能通過的隧道，這就是VPN( Virtual Private Networks )虛擬專用網。

圖1

三、實現方式 在VPN遠程連接之前要做好兩個預備。第一要獲得VPN服務器接入Internet的公共IP地址，假如是分配的靜態IP，那就簡單了，假如是動態IP，那必須在遠程能隨時獲得這個IP地址，本例如圖1，192.168.0.2這臺機器的公網IP實際上就是ADSL貓接入Internet時，是ISP給自動分配的，且一般被分配到的是動態 IP。第二要做個端口映射，從圖1的拓撲可以看出，本例是通作在ADSL貓中通過NAT轉，接入Internet的，通過這種方式一定要在ADSL中作端口映射，由于windows 2003的VNP服務用的是1723端口，所以如圖a，將1723端口映射到192.168.0.2這臺設有VPN服務的機器。假如用的是直接撥號，那在防火墻中將這個端口放開就行了。

圖a

1、登陸www.oray.net注冊網域護照，在護照底下申請域名（網域科技提供了免費域名注冊），激活域名對應的花生殼服務，下載花生殼客戶端，在局域網內PC或服務器主機上安裝花生殼客戶端登陸在線，或是在集成花生殼動態域名解析服務的路由器上把護照名和密碼填在路由器DDNS模塊里并啟用在線。2、在相應的電腦上安裝設置好VPN服務。

四、設置VPN服務

實現VPN的方式非常多，用帶VPN功能的路由器或用Linux、windows操作系統等，在windows系統下用雙網卡建立VPN服務器更輕易實現、但要增加一塊網卡。介紹這方面的內容很多，不再贅述。本文介紹的是在windows 2003中用單網卡來實現。下面介紹實際實現過程，首先是在192.168.0.2這臺機器上配置VPN服務。

選擇'開始'''所有程序'''治理工具'''路由和遠程訪問'。

設置過程如圖2至圖9所示，出現圖10界面就完成了單網的VPN服務器端的設置，這里非凡指出的是用單網卡一定要在圖6處選擇'自定義配置'，否則就進行不下去了。

圖2

圖3

圖4

圖5

圖6

圖7

圖8

圖9

圖10

五、從客戶端連接到VPN服務器

1、新建有撥入權限的用戶

要登錄到VPN服務器，必須要知道該服務器的一個有撥入權限的用戶，為了講得更明白，下面在該VPN服務器上新建個用戶并賦予該用戶撥入的權限，過程如圖 11至圖12是建立一個用戶，圖13是給這個用戶遠程登錄的權限，一定要在'遠程訪問權限'處選擇'答應訪問'，不然就無法登錄了。

圖11

圖12

圖13

圖14

2、在本機測試連接

在遠程連接到VPN服務器之前，最好先在VPN服務器的本機測試一下，測試過程如下：

鼠標右鍵'網上鄰居'，如圖14，點擊'新建連接向導'，按圖15至圖21的步驟建立連接，因為現在做的是本機的測試，所以其中圖18中的IP地址為本機的地址，圖21中的用戶dzq就是我們剛才新建的用戶。出現圖22的連接圖標表示連接成功。這樣就可以進行遠程連接測試了。假如此時用ipconfig /all看網卡狀態，就會看見三個網卡，其中一個IP地址為192.168.0.2的就是本機網卡，另外兩個是剛才做本機測試時建立的，它們的IP地址為 169.x.xx . xxx .. xxx，這是VPN默認的IP地址，是正常的，不用管它。

圖15

圖16

圖17

圖18

圖19

圖20

圖21

圖22

圖23

3、遠程連接

上面的服務器中的測試完成后，就可以在家中進行遠程連接了，其過程和在本機連接測試的過程一樣，如圖14至圖21所示，在實際連接時到圖18這一步時，輸入VPN服務器所在的公網IP或是激活了花生殼動態域名解析服務的域名就行了。實際應用中我是按照圖1的拓撲連接的，連接很順利，但碰到一個問題，在家通過VPN連入單位的機器后，和單位的機器通信完全正常，但不能正常上網。用 route print檢查路由（如表1所示）發現有兩個到目標0.0.0.0的路由，網關一個是本來的網關192.168.1.1，一個是建立VPN后的網關 169.254.101.219，這樣在訪問Internet網絡時就有問題了。

C:>route print。。。。。。。Active Routes:Network Destination Netmask Gateway Interface Metric0.0.0.0 0.0.0.0 169.254.101.219 169.254.101.219 10.0.0.0 0.0.0.0 192.168.1.1 192.168.1.10 261.55.13.163 255.255.255.255 192.168.1.1 192.168.1.10 1127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1169.254.101.219 255.255.255.255 127.0.0.1 127.0.0.1 50169.254.255.255 255.255.255.255 169.254.101.219 169.254.101.219 50192.168.1.0 255.255.255.0 192.168.1.10 192.168.1.10 20192.168.1.10 255.255.255.255 127.0.0.1 127.0.0.1 20192.168.1.255 255.255.255.255 192.168.1.10 192.168.1.10 20224.0.0.0 240.0.0.0 192.168.1.10 192.168.1.10 20224.0.0.0 240.0.0.0 169.254.101.219 169.254.101.219 1255.255.255.255 255.255.255.255 192.168.1.10 192.168.1.10 1Default Gateway: 169.254.101.219===========================================================================Persistent Routes:None

解決的辦法：刪除接入VPN后的路由，命令如下所示： C:>route delete 0.0.0.0 mask 0.0.0.0 169.254.101.219 加一條指向VPN服務器所在網絡的路由，本例（如圖1）VPN服務器的地址為192.168.0.2,所以只要將到192.168.0.0這個網絡的指向VPN的地址169.254.101.219就行了。 C:>route add 192.168.0.0 mask 255.255.255.0 169.254.101.219

4、幾點說明

1）、建立完VPN連接后，兩臺電腦的VPN的IP地址都是169.0.0.0中的地址，似乎不能修改，但這并不影響使用，如圖1建立連接后，在192.168.1.10這臺電腦中ping 192.168.0.2是通的，也就是說要訪問這臺機器的資源，只要用192.168.0.2這個地址就行了。就像在局域網中一樣。2）、做為VPN服務器的這臺機器的安全設置，假如沒有非凡需要很多服務完全可以限制在局域網內，例如FTP服務只答應192.168.0.0網內的電腦訪問。這樣只要把VPN的安全做好就行了。換句話說，以本例來說，192.168.0.2這臺機器訪問Internet時是通過NAT地址轉換，假如在 ADSL貓中不做端口映射，從Internet的其它電腦上是看不到這臺機器的，本例只做了VPN服務的1723端口的映射，雖然本機開了很多的服務，開放了很多端口，但這些都是對局域網開放的，要想從Internet訪問這臺機器，只有先建立了VPN才能訪問其它的資源。只做一個服務的安全總比做許多服務的安全要輕易些。VPN服務器有許多安全設置，以后再探討。3）、建立完VPN連接后，可以通過WWW、FTP互相訪問，也可通過終端服務等登錄到這臺機器上，進而訪問局域網中的其它電腦。圖24就是 192.168.1.10在建立完VPN后直接利用遠程桌面連接，登錄到192.168.0.2的機器上的登錄界面。

圖24

（