一、問題的提出
如圖1所示,在單位有個私有地址爲192.168.0.0的網絡,各電腦是通過ADSL共享方式接入Internet,在家中有臺電腦也通過ADSL訪問Internet,現在想在家中隨時安全地訪問單位192.168.0.2這臺機器,實現方法很多,最爲安全的是通過***。
二、什麼是***
以本例來說就是現在單位192.168.0.2這臺機器上設置好***服務,在家中通過***客戶端訪問單位這臺機器,建立連接後,這兩臺機器通信時就像在局域網中一樣,比如:要在192.168.1.10這臺電腦中下載192.168.0.2這臺機器的文件(假設該機已設好FTP服務),可以直接在瀏覽器中鍵入:ftp://192.168.0.2下載文件了。雖然是通過Internet進行通信,但整個過程都是加密的,就像是在Internet中穿了一條只有兩臺機器才能通過的隧道,這就是***( Virtual Private Networks )虛擬專用網。
圖1
三、優點
通過***最大的優點就是安全。這點將在後面介紹到。
四、設置***服務
實現***的方式非常多,用帶***功能的路由器或用Linux、windows操作系統等,在windows系統下用雙網卡建立***服務器更容易實現、但要增加一塊網卡。介紹這方面的內容很多,不再贅述。本文介紹的是在windows 2003中用單網卡來實現。下面介紹實際實現過程,首先是在192.168.0.2這臺機器上配置***服務。
選擇"開始"'"所有程序"'"管理工具"'"路由和遠程訪問"。
設置過程如圖2至圖9所示,出現圖10界面就完成了單網的***服務器端的設置,這裏特別指出的是用單網卡一定要在圖6處選擇"自定義配置",否則就進行不下去了。
圖2
圖3
圖4
圖5
圖6
圖7
圖8
圖9
圖10
五、從客戶端連接到***服務器
1、新建有撥入權限的用戶
要登錄到***服務器,必須要知道該服務器的一個有撥入權限的用戶,爲了講得更明白,下面在該***服務器上新建個用戶並賦予該用戶撥入的權限,過程如圖11至圖12是建立一個用戶,圖13是給這個用戶遠程登錄的權限,一定要在"遠程訪問權限"處選擇"允許訪問",不然就無法登錄了。
圖11
圖12
圖13
圖14
2、在本機測試連接
在遠程連接到***服務器之前,最好先在***服務器的本機測試一下,測試過程如下:
鼠標右鍵"網上鄰居",如圖14,點擊"新建連接嚮導",按圖15至圖21的步驟建立連接,因爲現在做的是本機的測試,所以其中圖18中的IP地址爲本機的地址,圖21中的用戶dzq就是我們剛纔新建的用戶。出現圖22的連接圖標表示連接成功。這樣就可以進行遠程連接測試了。如果此時用ipconfig /all看網卡狀態,就會看見三個網卡,其中一個IP地址爲192.168.0.2的就是本機網卡,另外兩個是剛纔做本機測試時建立的,它們的IP地址爲169.x.xx . xxx .. xxx,這是***默認的IP地址,是正常的,不用管它。
圖15
圖16
圖17
圖18
圖19
圖20
圖21
圖22
圖23
3、遠程連接前準備
在遠程連接之前要做好兩個準備。
第一要獲得***服務器接入Internet的公共IP地址,如果是分配的靜態IP,那就簡單了,如果是動態IP,那必須在遠程能隨時獲得這個IP地址,本例如圖1,192.168.0.2這臺機器的公網IP實際上就是ADSL貓接入Internet時,是ISP給自動分配的,獲得動態IP的方法請參考拙作《獲取動態IP地址的幾種方法》。
第二要做個端口映射,從圖1的拓撲可以看出,本例是通作在ADSL貓中通過NAT轉換接入Internet的,通過這種方式一定要在ADSL中作端口映射,由於windows 2003的VNP服務用的是1723端口,所以如圖23,將1723端口映射到192.168.0.2這臺設有***服務的機器。如果用的是直接撥號,那在防火牆中將這個端口放開就行了。
圖24 4、遠程連接
上面的服務器中的測試完成後,就可以在家中進行遠程連接了,其過程和在本機連接測試的過程一樣,如圖14至圖21所示,在實際連接時到圖18這一步時,輸入***服務器所在的公網IP就行了。
實際應用中我是按照圖1的拓撲連接的,連接很順利,但遇到一個問題,在家通過***連入單位的機器後,和單位的機器通信完全正常,但不能正常上網。用route print檢查路由(如表1所示)發現有兩個到目標0.0.0.0的路由,網關一個是本來的網關192.168.1.1,一個是建立***後的網關169.254.101.219,這樣在訪問Internet網絡時就有問題了。
解決的辦法:
刪除接入***後的路由,命令如下所示:
C:\>route delete 0.0.0.0 mask 0.0.0.0 169.254.101.219
加一條指向***服務器所在網絡的路由,本例(如圖1)***服務器的地址爲192.168.0.2,所以只要將到192.168.0.0這個網絡的指向***的地址169.254.101.219就行了。
C:\>route add 192.168.0.0 mask 255.255.255.0 169.254.101.219
5、幾點說明
1)、建立完***連接後,兩臺電腦的***的IP地址都是169.0.0.0中的地址,好像不能修改,但這並不影響使用,如圖1建立連接後,在192.168.1.10這臺電腦中ping 192.168.0.2是通的,也就是說要訪問這臺機器的資源,只要用192.168.0.2這個地址就行了。就像在局域網中一樣。
2)、做爲***服務器的這臺機器的安全設置,如果沒有特殊需要很多服務完全可以限制在局域網內,例如FTP服務只允許192.168.0.0網內的電腦訪問。這樣只要把***的安全做好就行了。換句話說,以本例來說,192.168.0.2這臺機器訪問Internet時是通過NAT地址轉換,如果在ADSL貓中不做端口映射,從Internet的其它電腦上是看不到這臺機器的,本例只做了***服務的1723端口的映射,雖然本機開了很多的服務,開放了很多端口,但這些都是對局域網開放的,要想從Internet訪問這臺機器,只有先建立了***才能訪問其它的資源。只做一個服務的安全總比做許多服務的安全要容易些。***服務器有許多安全設置,以後再探討。
3)、建立完***連接後,可以通過WWW、FTP互相訪問,也可通過終端服務等登錄到這臺機器上,進而訪問局域網中的其它電腦。圖24就是192.168.1.10在建立完***後直接利用遠程桌面連接,登錄到192.168.0.2的機器上的登錄界面。
| 配置windows 2003 客戶端 客戶端可以是windows 2003,也可以是Windows XP,設置幾乎一樣,這裏以2003客戶端設置爲例。選擇程序--附件--通訊--新建連接嚮導,啓動連接嚮導擇第二項“連接到我的工作場所的網絡”,這個選項是用來連接***的。下一步。在“連接名”窗口,填入連接名稱,下一步。填入***服務器的公網IP地址。下一步,完成新建連接。完成後,在控制面板的網絡連接中的虛擬專用網絡下面可以看到剛纔新建的連接,連接上點擊右鍵,尋屬性”,在彈出的窗口中點擊“網絡”標籤,然後選中“internet協議(tcp/ip)”,點擊屬性按鈕,在彈出的窗口中再點擊“高級”按鈕,如圖,把“在遠程網絡上使用默認網關”前面的勾去掉。如果不去掉這個勾,客戶端撥入到***後,將使用遠程的網絡作爲默認網關,導致的後果就是客戶端只能連通虛擬局域網,上不了因特網了。 |