波斯码BOSSMA Information Technology

在阿里云VPC环境下搭建工作VPN(Windows PPTP)

发布时间:2017年8月14日 / 分类:SERVER / 次浏览 / 评论

阿里云VPC环境是一个独立的私有网络,VPC内通常有多个ECS虚拟机资源。如果想在本地通过远程桌面或者SSH进行访问,需要为每个ECS绑定弹性公网IP,或者先登录到其中一个ECS,再通过这个ECS访问别的内网机器,操作起来十分不便。因为不太熟悉Linux环境并且没有搭建成功,这篇文章将介绍如何在Windows中使用“路由和远程访问”来搭建VPN。

首先绑定一个弹性公网IP到需要部署VPN服务的ECS,操作系统使用Windows Server 2012 R2 数据中心版(对于2008操作应该差不多)。

1、在“服务器管理器”中安装“路由和远程访问”功能。

这里只截取了需要选择的部分,其它步骤直接点击“下一步”就可以了。

(1)添加角色和功能

(2)选择“远程访问”

(3)选择“路由”和“DirectAccess和VPN(RAS)”。

2、“路由和远程访问”功能安装成功后,需要对它进行一些基础配置。

(1)启动“路由和远程访问”。

(2)在机器名上点击右键,再次点击“配置并启用路由和远程访问”。

(3)因为VPN默认使用两个网络适配器,而阿里云的VPC主机只有一个网卡,所以这里选择“自定义”。

(4)这块不是很了解,为了避免不必要的折腾,就都选上吧。

然后按照提示操作,启动此服务。

3、配置VPN和路由转发。

(1)在机器名上点右键,选择“属性”。

(2)设置VPN客户端使用的IP地址,这里用了“10.250.250.1”-“10.250.250.250”,共250个地址,这里注意不要与本地网络和VPC网络的IP地址有冲突。这里边其它配置保持默认就可以了。

 

(3)配置NAT,在NAT上右键选择“新增接口”,在弹出窗口中选择“以太网2”(我这里会有两个选择:内部和以太网2,其它的VPC环境不知是不是也这样,选择内网IP的网络适配器就对了),选择后,会出现在右边的列表中。

特别说明:绑定了弹性IP的ECS并不会产生一个公网的网络适配器,访问公网和VPC内网都是通过这个内网网卡。

 

(4)在“以太网2”上右键选择“属性”,在打开的窗口中选中“公用接口连接到Internet”,并选中“在此接口上启用NAT”。

 

4、要在本地登陆VPN,还需要一个用户。

(1)通过“计算机管理”进入用户管理。

(2)在“用户”上右键,选择“新用户”。

(3)填写用户名和密码。

(4)设置用户属性,选项卡“拨入”中设置“网络访问权限”为“允许访问”。

(5)为了安全,禁用“远程控制”,去掉勾选“启用远程控制”。

5、然后在本机就可以连接了,我用的Win10系统,Windows都有新建VPN连接的地方,不会的自己找找资料。

填写弹性公网IP、用户名、密码,连接成功后,就可以愉快的访问VPC内网的机器了,为了快速验证,可以ping一下内网的各个ECS的IP。

大功告成了!?有没有遗漏什么呢?

有两个问题:

1、使用VPN后,本地的互联网访问都会走VPN网络,既然是工作VPN,这样好像不太好。而且这会对带宽资源或流量使用造成影响,影响了工作就不好了。

VPN连接后,会默认创建一个访问公网的路由,通过在命令行使用:route print可以看到新增的到0.0.0.0的路由。

Windows系统对于这个问题有一个解决方案:在VPN的网络适配器->IPv4属性->高级->IP设置中有一个“在远程网络上使用默认网关”,去掉勾选就不会自动生成这个0.0.0.0的路由了。

如果用户感觉太麻烦,不想配置或者不会配置,可以试试这个VPN Client工具:https://github.com/bosima/VPNClient

这个工具会自动去除0.0.0.0的路由,但是需要你修改代码增加自己的路由,修改位置在VPNClient类的Dialer_DialCompleted和DoAfterDisconnected方法中。

2、如果你想让使用VPN的用户只能访问VPC的部分ECS怎么办?

在VPN服务的网络适配器上可以进行入站、出站筛选,选择路由使用的网络接口,在其属性中设置。

比如只允许外网访问VPN,以及VPN客户端访问VPC内网10.250网段,则可以这样设置(10.250.1.60是开通VPN服务的ECS内网IP):

这样处理后,只有符合这些规则的才会进行路由转发。即使用户添加了0.0.0.0的路由到VPN服务器,也不能访问公网了,因为大部分公网用的80端口没开通。让工作只是工作,这样很安全。

 

这篇介绍就到这里了,如果你有什么问题,欢迎留言。

本博客所有文章如无特别注明均为原创。
复制或转载请以超链接形式注明转自波斯码,原文地址《在阿里云VPC环境下搭建工作VPN(Windows PPTP)

关键字:

建议订阅本站,及时阅读最新文章!
【上一篇】 【下一篇】

目前有2 条评论

  1. mengkun 沙发:

    IIS Chinese Tag Permalink 插件简直太好用了!解决了困扰多年的问题。。特来表示感谢!

发表评论