ADSL + VPN实现Windows环境下的远程管理

蹉跎

全文来自http://hi.baidu.com/enticea/blog ... 7bcd25b8998fa5.html

公司与客户那边都是使用ADSL上网，由于距离比较远，所以如果能实现远程管理的话，肯定能省下不少人力物力。
网络环境：一条ADSL拔号线，一个BBIAgent软路由，一个局域网。
软件：BBIAgent(http://www.bbiagent.net)、花生壳（http://www.oray.net/）

一、   VPN连接的建立
首先配置好客户那边的上网环境，局域网共享一个ADSL连接上互联网，先根据你的用来跑软路由的机器网卡配置下载相应的BBIAgent软件，做成一张启动软盘，然后软路由就跑起来了，在这里我把这个路由器的内部IP设为192.168.0.253，然后其他客户机的网关、DNS设为此IP（默认开放代理DNS服务），至此，整个网络就通了。
随便选择一台Windows 2000 Server作VPN拔入服务器，打开管理工具中的“路由及远程访问”，在“服务器状态”节点下默认能看到本机，执行右键菜单命令“配置和启动路由及远程访问”，根据向导一步步把VPN服务器配置好（很简单的向导，如果你发现此菜单是Disable的，可能是因为Remote Registry Service 被你关了，启动它，重新刷新一下就OK了）。 打开用户管理，新建一个用户，赋于它远程VPN拔入的权限。
到这一步，你的VPN服务器就搞定了，现在还差一个就是让外网能够访问你这台内网的服务器，这当然得在路由器上做手脚了，打开BBIAgent管理器，在“虚拟服务”中加入两项（192.168.0.100即为VPN服务器的IP）：
路由器端口   协议   网内服务主机    服务端口 连接 网外来源主机 每天时间 …
             GRE    192.168.0.100            允许
1723         TCP    192.168.0.100    1723     允许

搞定，外面的人只要知道你的IP及用户密码就可以进来了，为了方便起见，不要每次都打个电话叫人看看现在IP是多少，找台机，装个花生壳客户端，搞个动态域名如MYVPN.VICP.NET。
基本上是万事俱备了，客户端新建一个网络连接，选择拔入VPN服务器，然后输入服务器地址：MYVPN.VICP.NET，再输入用户，密码，如无意外，你将看到正在验证，在网络注册你的计算机等信息，然后就OK了。这里有一个要注意的是，你的机器不能有跟那边网络相同的固定IP，这里是192.168.0.xxx，否则也是连不上去的。

二、   NetMeeting远程桌面共享功能的使用
VPN连接建立之后，基本上你的机器就跟在局域网内一样了，包括网上邻居，共享资源等都是一样访问，因此，这里讲的NetMeeting的使用其实就是局域网内的用法。
先在服务器端启动一次NetMeeting，把相关信息输入，然后启用远程桌面共享功能，退出并激活远程桌面共享，OK，服务器端已经准备好你的连接了。
客户端启动NetMeeting，直接连接就可以了。 或者执行下面的命令：“callto:192.168.0.100+type=host+secure=true”，注意要使用“secure=true”，否则是不能共享远程桌面的。
说到这里，基本上都讲完了，还有一个提示，重启那台NetMeeting所在的机器后，你可能会发现，你的NetMeeting服务中处于暂停状态的，怎么办呢？不可能打个电话叫人帮你启动那个服务然后你再去远程控制它吧？不够方便，其实你作为系统管理员，现在VPN又连上去了，就不能远程启动一个服务吗？当然是没有问题的，两个办法，一是直接用Windows的计算机管理，直接连到那台机启动服务；二是自己写个服务控制程序。 法一操作起来太麻烦了，不知是不是M$故意搞的，你会发现直接用“计算机管理”去连另一台机器是非常慢的，所以我选择后面的方法，打开Delphi，调用几个API，直接就启动了那台机的服务：
//首先，当然要登录到目标计算机啦，用你的管理员用户密码（别的可以启动服务的用户也没问题）吧
function ConnectToRemoteRes(AResName, AUser, APass: string): Boolean;
var
   lpNetRes: TNetResourceA;
begin
   //登录到目标计算机
   FillChar(lpNetRes, SizeOf(lpNetRes), 0);
   lpNetRes.dwScope := RESOURCE_GLOBALNET;
   lpNetRes.dwType := RESOURCETYPE_ANY;
   lpNetRes.dwDisplayType := RESOURCEDISPLAYTYPE_SERVER;
   lpNetRes.lpRemoteName := PChar(AResName);
   Result := False;
   case WNetCancelConnection2(lpNetRes.lpRemoteName, 0, False) of
     NO_ERROR, ERROR_NOT_CONNECTED:
       case WNetAddConnection2(lpNetRes, PChar(APass), PChar(AUser), 0) of
         NO_ERROR, ERROR_ALREADY_ASSIGNED:
           Result := True;
       end;
   end;
end;
//然后，用API启动远程计算机上的NetMeeting服务。
//这个论坛上太多源码了，我都贴过几次，就不再浪费多一次了吧。 呵呵。  



2005-9-1 20:28:40   
发表评语»»»     

2005-9-1 20:29:53     2k的VPN设置

本文服务器端与客户端使用的操作系统均为Win2000,Win98客户端的文章将随后推出.

对于VPN,微软在Windows 2000帮助文件中是这样描述的:
虚拟专用网络 (VPN) 是专用网络的延伸，它包含了类似 Internet 的共享或公共网络链接。通过 VPN 可以以模拟点对点专用链接的方式通过共享或公共网络在两台计算机之间发送数据。虚拟专用联网是创建和配置虚拟专用网络的行为。

要模拟点对点链路，应压缩或包装数据，并加上一个提供路由信息的报头，该报头使数据能够通过共享或公用网络到达其终点。要模拟专用链路，为保密起见应加密数据。不用密钥，从共享或者公共网络截取的数据包是很难解密的。封装和加密专用数据之处的链接是虚拟专用网络 (VPN) 连接。

在家里或者旅途中工作的用户可以使用 VPN 连接建立到组织服务器的远程访问连接，方法是使用公共网络（例如 Internet）提供的基础结构。从用户的角度来讲，VPN 是一种在计算机（VPN 用户）与团体服务器（VPN 服务器）之间的点对点连接。共享或公共网络的确切基础结构是不相关的，因为从逻辑上看数据应当是通过专门的专用链接发送的。

单位也能够使用 VPN 连接来为地理位置分开的办公室建立路由连接，或者在保持安全通讯的同时通过公共网络，例如 Internet，连接到其他单位。通过 Internet 被路由的 VPN 连接逻辑上作为专用的 WAN 链接来操作。

通过远程访问和路由连接，组织可以使用 VPN 连接将长途拨号或租用线路换成本地拨号或者到 Internet 服务提供者（ISP）的租用线路。

在 Windows 2000 中有两种类型的 VPN 技术：

1.点对点隧道协议 (PPTP)
对于数据加密，PPTP 使用用户级的点到点协议 (PPP) 身份验证方法及 Microsoft 点到点加密 (MPPE)。

2.带有 IP 协议安全 (IPSec) 的第二层隧道协议 (L2TP)
L2TP 使用用户级 PPP 身份验证方法和带有 IPSec 数据加密的机器级证书。

我们现在要配置的实例是一个远程客户端(Windows 2000 Pro)与一个公司总部VPN server(Windows 2000 Pro)之间的连接.需要三个步骤:
1.配置VPN服务器,使之能够接受VPN接入;
2.配置客户端的拨号网络,使之能够访问internet;
3.配置客户端的VPN连接.

   
一.VPN服务器的配置

服务器的地址为202.100.100.100(此地址为虚构地址).注意服务器的地址可以是公网的真实地址也可以是专网的地址,只要客户机拨入网络后能够访问到此服务器即可.


配置过程如下:

1.打开"路由和远程访问".

2.右击要配置的服务器->"配置并启用路由和远程访问".

3.跳过欢迎页面,在"路由和远程访问服务器安装向导"页面中选择"虚拟专用网络(VPN)服务器".下一步.

4.在"远程客户协议"页面根据需要选择合适的协议,这儿选择"TCP/ip",下一步.

5.在"internet连接"页面,选择一个用来让远程计算机连接的internet连接,这儿我们选择地址为202.100.100.100的连接,下一步.

6.在"IP地址指定"页面,选择合适的地址分配方案,为灵活起见选择DHCP好一些.如果仅是几个地址的话可以指定一个地址范围.下一步.

7.在"管理多个远程访问服务器"页面,选择"不,我现在不想设置此服务器使用RADIUS".下一步.

8.完成.


二.用户的配置

用户的配置比较简单,给予用户拨入的权限.


三.远程访问策略的配置

远程访问策略可以灵活的对远程访问进行配置,如需要建议进行配置.


     客户端的配置:

一.建立新的拨号连接

(注意如果是VPN服务器与此客户机都在同一局域网内,那么就不必建立拨号连接,直接使用当前的连接就是)


1、选择“开始”->“设置”->“网络和拨号连接”，单击“新建连接”，启动网络连接向导。

2、跳过欢迎屏幕，在第二页网络连接类型中选择“拨号到Internet”，下一步。

3、在跳出的Internet连接向导对话框第一页中，选择“手动设置Internet连接或通过局域网（LAN）连接”，下一步。

4、在第2步设置您的Internet连接页面，选择“通过电话线和调制解调器连接”，下一步。

5、在第3步Internet账户连接的信息第1步页面，不选择“使用区号和拨号规则”，在电话号码框内添加“163”，下一步。

6、在第3步Internet账户连接的信息第2步页面，填写上拨号上网所用的用户名和密码，下一步。

7、在第3步Internet账户连接的信息第3步页面配置您的计算机中，将连接名改为“163”，默认也可，下一步。

8、在第4步设置Internet mail账户页面选“否”，下一步完成连接向导。

9、测试刚建立的这个拨号连接，直至正常。


二.建立VPN连接

1、选择“开始”->“设置”->“网络和拨号连接”，单击“新建连接”，启动网络连接向导。

2、跳过欢迎屏幕，在第二页网络连接类型中选择“通过Internet连接到虚拟专用网络”，下一步。

3.在"公用网络"页面,如果你是在局域网中与服务器已经通过网卡建立了连接,那么可以选择"不拨初始连接",如果不是这样,那么可以选择下面的"自动拨此初始连接",这里应该选择我们刚才建立的连接"163".下一步.

4.在"目标地址"页面,填写上你的VPN服务器的主机名或IP地址,我们这儿就要填写"202.100.100.100".下一步.

5.在"可用连接"页面,根据需要选择让所有用户都使用此连接或只有自己使用此连接.为简化起见,我们选择"只是我自己使用此连接".下一步.

6.最后输入合适的连接名称如"到公司的VPN连接",完成.


三.连接

在网络和拨号连接中,单击"到公司的VPN连接",即可进行连接.   





有没有高手用利用win7 vpn实现远程管理