波斯码BOSSMA Information Technology

阿里云VPC环境是一个独立的私有网络，VPC内通常有多个ECS虚拟机资源。如果想在本地通过远程桌面或者SSH进行访问，需要为每个ECS绑定弹性公网IP，或者先登录到其中一个ECS，再通过这个ECS访问别的内网机器，操作起来十分不便。因为不太熟悉Linux环境并且没有搭建成功，这篇文章将介绍如何在Windows中使用“路由和远程访问”来搭建VPN。

首先绑定一个弹性公网IP到需要部署VPN服务的ECS，操作系统使用Windows Server 2012 R2 数据中心版（对于2008操作应该差不多）。

1、在“服务器管理器”中安装“路由和远程访问”功能。

这里只截取了需要选择的部分，其它步骤直接点击“下一步”就可以了。

（1）添加角色和功能

（2）选择“远程访问”

（3）选择“路由”和“DirectAccess和VPN(RAS)”。

2、“路由和远程访问”功能安装成功后，需要对它进行一些基础配置。

（1）启动“路由和远程访问”。

（2）在机器名上点击右键，再次点击“配置并启用路由和远程访问”。

（3）因为VPN默认使用两个网络适配器，而阿里云的VPC主机只有一个网卡，所以这里选择“自定义”。

（4）这块不是很了解，为了避免不必要的折腾，就都选上吧。

然后按照提示操作，启动此服务。

3、配置VPN和路由转发。

（1）在机器名上点右键，选择“属性”。

（2）设置VPN客户端使用的IP地址，这里用了“10.250.250.1”-“10.250.250.250”，共250个地址，这里注意不要与本地网络和VPC网络的IP地址有冲突。这里边其它配置保持默认就可以了。

 

（3）配置NAT，在NAT上右键选择“新增接口”，在弹出窗口中选择“以太网2”（我这里会有两个选择：内部和以太网2，其它的VPC环境不知是不是也这样，选择内网IP的网络适配器就对了），选择后，会出现在右边的列表中。

特别说明：绑定了弹性IP的ECS并不会产生一个公网的网络适配器，访问公网和VPC内网都是通过这个内网网卡。

 

（4）在“以太网2”上右键选择“属性”，在打开的窗口中选中“公用接口连接到Internet”，并选中“在此接口上启用NAT”。

 

4、要在本地登陆VPN，还需要一个用户。

（1）通过“计算机管理”进入用户管理。

（2）在“用户”上右键，选择“新用户”。

（3）填写用户名和密码。

（4）设置用户属性，选项卡“拨入”中设置“网络访问权限”为“允许访问”。

（5）为了安全，禁用“远程控制”，去掉勾选“启用远程控制”。

5、然后在本机就可以连接了，我用的Win10系统，Windows都有新建VPN连接的地方，不会的自己找找资料。

填写弹性公网IP、用户名、密码，连接成功后，就可以愉快的访问VPC内网的机器了，为了快速验证，可以ping一下内网的各个ECS的IP。

大功告成了！？有没有遗漏什么呢？

有两个问题：

1、使用VPN后，本地的互联网访问都会走VPN网络，既然是工作VPN，这样好像不太好。而且这会对带宽资源或流量使用造成影响，影响了工作就不好了。

VPN连接后，会默认创建一个访问公网的路由，通过在命令行使用：route print可以看到新增的到0.0.0.0的路由。

Windows系统对于这个问题有一个解决方案：在VPN的网络适配器->IPv4属性->高级->IP设置中有一个“在远程网络上使用默认网关”，去掉勾选就不会自动生成这个0.0.0.0的路由了。

如果用户感觉太麻烦，不想配置或者不会配置，可以试试这个VPN Client工具：https://github.com/bosima/VPNClient

这个工具会自动去除0.0.0.0的路由，但是需要你修改代码增加自己的路由，修改位置在VPNClient类的Dialer_DialCompleted和DoAfterDisconnected方法中。

2、如果你想让使用VPN的用户只能访问VPC的部分ECS怎么办？

在VPN服务的网络适配器上可以进行入站、出站筛选，选择路由使用的网络接口，在其属性中设置。

比如只允许外网访问VPN，以及VPN客户端访问VPC内网10.250网段，则可以这样设置（10.250.1.60是开通VPN服务的ECS内网IP）：

这样处理后，只有符合这些规则的才会进行路由转发。即使用户添加了0.0.0.0的路由到VPN服务器，也不能访问公网了，因为大部分公网用的80端口没开通。让工作只是工作，这样很安全。

 

这篇介绍就到这里了，如果你有什么问题，欢迎留言。

关键字: PPTP VPC VPN 阿里云