1.3 在Windows 2003 Server中建立VPN服務器

在第一節中介紹了如何在Windows XP中創建VPN連接，VPN連接中最重要的一點就是建立VPN服務器，VPN服務器可以是單獨的服務器，很多商業VPN就是租用Windows或者Linux主機，自己創建VPN服務器，然后提供VPN服務的。還有一種VPN服務器是在被控制服務器上建立VPN服務器，也就是在肉機上建立VPN服務器。下面介紹如何在Windows 2003 Server操作系統上創建VPN服務器。

1.3.1 查看路由和遠程訪問

單擊“開始”→“程序”→“管理工具”→“路由和遠程訪問”，打開“路由和遠程訪問”配置窗口。在該窗口中可以查看VPN服務器開啟情況，如圖1-15所示，顯示為紅色的停止圖標是表示未創建VPN服務器或者已經停止VPN服務了。

1.3.2 嘗試啟動路由和遠程訪問

在路由和遠程訪問配置窗口的服務器狀態下，默認顯示的是服務器的名稱，選中該服務器，右鍵單擊，在彈出的菜單中選擇“配置并啟用路由和遠程訪問”，如果已經配置成功，則正常啟動，否則會彈出如圖1-16所示的警告信息窗口，提示關閉Windows 防火墻后重新進行配置。

1.3.3 關閉Windows防火墻

單擊“開始”-“程序”-“管理工具”-“服務”，打開“服務”窗口，如圖1-17所示，找到“Windows Firewall/Internet Connection Sharing (ICS)”，將啟動類型選擇為“禁用”，同時單擊“停止”按鈕，將“Windows Firewall/Internet Connection Sharing (ICS)”服務關閉。

1.3.4 配置并啟用路由和遠程訪問

回到“路由和遠程訪問”窗口，再次單擊“配置并啟用路由和遠程訪問”，如圖1-18所示，彈出“路由和遠程訪問服務器安裝向導”窗口，在該窗口中選擇“自定義配置”，然后單擊“下一步”按鈕繼續。

1.3.5 選擇啟用的服務

在自定義配置中需要選擇啟用的服務，如圖1-19所示，選擇啟用“VPN訪問”和“NAT和基本防火墻”服務。

1.3.6 完成服務配置

選擇啟用的服務后，根據向導完成配置，單擊“完成”按鈕，系統開始自動啟動服務，這時候需要選擇是否開始服務，如圖1-20所示，選擇“是”開始啟動服務。如果配置沒有問題，則會出現“正在啟動 路由和遠程訪問”窗口，顯示服務成功配置，如圖1-21所示。

1.3.7 配置“NAT/基本防火墻”

在“路由和遠程訪問”窗口中選擇“NAT/基本防火墻”，然后單擊右鍵，選擇“新增接口”選項，如圖1-22所示。

1.3.8 選擇接口

配置這一步至關重要，如圖1-23所示，在“網絡地址轉換（NAT）的新接口”中選擇“本地連接”，注意在實際配置中，其接口列表可能就一個，也可能有多個本地連接，這個時候需要查看本地連接的實際屬性，即本地連接配置的IP地址必須是互聯網獨立IP地址，否則配置就不會成功。

1.3.9 公用接口上啟用NAT

選中VPN服務器名稱，然后單擊右鍵，選擇“屬性”選項，如圖1-24所示，打開“網絡地址轉換-本地連接屬性”窗口，在接口類型中選擇“公用接口上啟用NAT”，同時在其下方選擇“在此接口上啟用NAT”，如果需要配置防火墻，則可以選擇“在此接口上啟用基本防火墻”。

1.3.10 啟用遠程訪問和路由

選中VPN服務器名稱，然后單擊右鍵，選擇“屬性”選項，如圖1-25所示，打開本地屬性窗口，分別選中“路由器”-“僅用于局域網（LAN）路由選擇”，同時選中“遠程訪問服務器”。

1.3.11 配置日志

由于是在肉機上配置VPN服務器，將該服務器作為跳板，因此需要消除日志記錄等痕跡。單擊“日志”，如圖1-26所示，選擇“不記錄任何事件”，如果是個人或者本單位使用，則可以選擇“記錄所有事件”，便于進行審計。日志配置完成后，需要重新啟動路由器，如圖1-27所示，選擇“是”，重啟路由器。

1.3.12 授權用戶遠程訪問

通過上面的步驟，VPN服務器建立成功了，但還需要對用戶進行授權，如圖1-28所示，右鍵單擊“我的電腦”-“管理”-“本地用戶和組”-“用戶”，選擇“test”用戶，然后在“test屬性”窗口中單擊“撥入”，在遠程訪問權限（撥入或VPN）中選擇“允許訪問”，最后單擊“應用”按鈕，授權“test”用戶具有遠程訪問。對其他用戶授權采用同樣步驟即可。

1.3.13 VPN連接測試

按照上一節介紹的方法，在Windows XP中創建一個VPN連接，VPN服務器的地址輸入剛才創建時的服務器的IP地址，然后雙擊桌面的VPN連接快捷圖標，會出現如圖1-29所示的連接窗口，輸入用戶名和密碼后，單擊“連接”按鈕開始連接VPN服務器。

1.3.14 查看出口IP地址

連接成功后，打開“www.ip138.com”網站查看本機出口IP地址，如圖1-30所示，顯 示的IP地址即為VPN服務器的IP地址，這樣在進行掃描等操作時，留在對方服務器上面的IP地址即為VPN服務器的IP地址，也即為肉機的IP地址。使用多個VPN連接后，基本無法追查入侵來源。

（1）盡量使用低權限用戶，例如Guest、SQLDebugger、Aspnet以及IUSR_2B30A031FC654 IWAM_2B30A031FC654、HelpAssistant、SUPPORT_388945a0以及系統默認有的普通用戶。將需要創建VPN的用戶授權，允許其使用VPN撥入。

（2）不要記錄任何日志。

（3）通過netstat -an | Find "1723" 命令查看VPN是否開啟，如果結果中1723端口開放了，則表示VPN服務器已經開啟。