使用本本靈活實現(xiàn)VPN遠程連接

郭建偉

對于很多本本用戶來說，經(jīng)常攜帶本本在外出差。當需要從遠程訪問單位內網(wǎng)時，一般都使用VPN方式進行連接。VPN（即Virtual Private Network）具有安全可靠、機制靈活、費用低廉、易于實現(xiàn)等優(yōu)點。實際上，不同的企業(yè)搭建的VPN環(huán)境是存在差異的，包括PPTP VPN、L2TP/IPSec VPN、SSTP VPN以及IKE v2VPN等類型。對于本本用戶來說，需要根據(jù)不同的情況，使用不同的VPN連接方式。至于如何搭建各種VPN服務器，對于本本用戶來說無須加以太多關注。

使用PPTP VPN方式進行連接

在企業(yè)網(wǎng)中配置好了PPTP VPN服務器，之后需要設置客戶端連接項目。在本本上打開網(wǎng)絡和共享中心窗口，點擊“設置新的連接或網(wǎng)絡”連接，選擇“連接到工作區(qū)”項，選擇“使用我的Internet連接（VPN）”項，在打開窗口中輸入VPN服務器的域名或者IP地址以及目標名稱（圖1），在下一步窗口中輸入用于VPN撥入的賬戶名和密碼，在“域”欄中輸入域名，之后關閉配置窗口。

在網(wǎng)絡和共享中心窗口中點擊“連接到網(wǎng)絡”項，在彈出面板中顯示所有的連接項目，在上述VPN連接項目的右鍵菜單上點擊“屬性”項，在其屬性中的“安全”面板（圖2）中的“VPN類型”列表中選擇“點對點隧道協(xié)議（PPTP）”項，點擊“確定”按鈕保存配置信息。之后點擊該VPN連接項目，執(zhí)行連接操作。當連接成功后，在該連接屬性窗口中點擊“詳細信息”按鈕，可以查看其客戶端IP、DNS服務器以及WINS服務器等信息。當連接建立之后，就可以訪問內網(wǎng)資源了。

如果本本連接到VPN服務器后，出現(xiàn)可以訪問內網(wǎng)，但是無法訪問Internet的情況，其原因可能是本本上默認選擇了在遠程網(wǎng)絡上使用默認網(wǎng)關的情況。為此，可以在VPN連接項目的屬性窗口中打開“網(wǎng)絡”面板，在其中打開Internet協(xié)議版本4（TCP/IPv4）設置界面，在其中點擊高級按鈕。在彈出窗口（圖3）中取消“在遠程網(wǎng)絡上使用默認網(wǎng)關”項，即可解決該問題。此外，如果在配置VPN服務器時，手工為其指定靜態(tài)IP范圍的話，也可能出現(xiàn)VPN客戶端無法訪問Internet的情況。

其中的主要原因是VPN服務器的網(wǎng)絡標識符可能和內網(wǎng)的網(wǎng)絡標識符不同，例如內網(wǎng)的網(wǎng)段為192.168.3.0，而手工設定的VPN服務器靜態(tài)IP為192.168.4.0等。解決方法是先取消“在遠程網(wǎng)絡上使用默認網(wǎng)關”項，之后在VPN客戶端上新建通往內網(wǎng)的路徑，例如在CMD窗口中執(zhí)行“route add 192.168.3.0 mask 255.255.255.0 192.168.4.1”，其中的192.168.4.1為VPN服務器地址，這樣，就可以解決上述問題。不過這同樣存在一定的安全隱患，因此，為了安全起見，最好選擇“在遠程網(wǎng)絡上使用默認網(wǎng)關”項，只允許VPN客戶端訪問內網(wǎng)，禁止其訪問Internet，避免不必要的安全問題。

使用L2TP/IPSec VPN方式進行連接

同PPTP VPN相比，L2TP/IPSec VPN的安全性要更高一些，其支持IPSec預共享密鑰和計算機證書兩種身份驗證方法。當VPN客戶端身份驗證完成后，VPN服務器和客戶端之間發(fā)送的數(shù)據(jù)會利用IPSec ESP的3DES或者AES加密方法進行安全傳輸。對于L2TP/IPSec來說，一般使用預共享密鑰和證書兩種驗證方式，這里以前者為例進行說明。在本本上打開網(wǎng)絡和共享中心窗口，點擊“連接到網(wǎng)絡”項，在彈出面板中顯示所有的連接項目，在上述VPN連接項目的右鍵菜單上點擊“屬性”項，在其屬性中的“安全”面板中的“VPN類型”列表中選擇“使用IPSec的第二層隧道協(xié)議（L2TP /IPSec）”項，點擊“高級設置”按鈕，在彈出窗口中選擇“使用預共享密鑰作為身份驗證”項，輸入與上述相同的密碼。這樣，客戶端就可與域VPN服務器建立連接了，在客戶端的連接詳細信息窗口中就可以看到設備名為“WAN Miniport（L2TP）”。

實際上，支持IPSec的預共享密鑰方法常作用測試用途，在正常狀態(tài)下，建議使用安全性較高的證書驗證方法。這就需要在內網(wǎng)環(huán)境中添加CA證書服務器，便于發(fā)布和安裝證書，CA服務器的配置這里就不介紹了。為了便于本本使用證書，需要在VPN服務器上運行“mmc”命令，點擊菜單“文件”→“添加/刪除管理單元”項，選擇證書項目。在彈出窗口中選擇“計算機賬戶”項，完成操作后，在控制臺窗口左側選擇“證書”→“個人”項，選擇目標證書項目，在其右鍵菜單上點擊“所有與任務”-“導出”項，將VPN服務器的證書導出，得到后綴為“.pfx”的文件。選擇“受信任的根證書頒發(fā)機構”-“證書”項，按照同樣方法將企業(yè)CA證書導出，保存為后綴為“.cer”的文件。

之后在本本上按照同樣的方法，打開證書管理控制臺界面，選擇“證書”→“個人”項，在其右鍵菜單上點擊“所有任務”→“導入”項，導入上述個人證書（圖4）。再選擇“證書”→“受信任的根證書頒發(fā)機構”項，在其右鍵菜單上點擊“所有任務”→“導入”項，導入上述根證書。在本本上安裝了證書后，打開在網(wǎng)絡和共享中心窗口，點擊“連接到網(wǎng)絡”項，在彈出面板中顯示所有的連接項目，在上述VPN連接項目的右鍵菜單上點擊“屬性”項，在其屬性中的“安全”面板中的“VPN類型”列表中選擇“使用IPSec的第二層隧道協(xié)議（L2TP /IPSec）”項，點擊“高級設置”按鈕，在彈出窗口（圖5）中選擇“將證書用于身份驗證”項，點擊“確定”按鈕，保存配置信息。之后雙擊該VPN連接項目，就可以和VPN服務器建立連接了。

使用SSTP VPN方式進行連接

SSTP（即Secure Socket Tunneling Protocol，安全套接字隧道協(xié)議）是安全性較高的協(xié)議，其使用RC4或者AES加密數(shù)據(jù)。SSTP采用HTTPS協(xié)議創(chuàng)建安全通道，利用SSL加密技術保證數(shù)據(jù)傳輸?shù)陌踩浴Ｍ琍PTP和L2TP/IPSec使用復雜的端口相比，HTTPS協(xié)議僅僅使用443端口，因此無須在防火墻執(zhí)行復雜的配置。利用SSTP VPN服務器，可以很好地保證本本客戶端的安全連接。

和L2TP/IPSec VPN類似，使用SSTP VPN連接同樣需要使用到證書。可以按照上述方法，為本本安裝所需的證書。當本本客戶端連接VPN服務器時，需要連接到SSTP VPN服務器的證書名稱上，假設SSTP VPN的計算機證書名稱為“vpn.xxx.com”，因此需要將該名稱解析到VPN服務器的外網(wǎng)卡地址上，假設其外網(wǎng)地址為“x.x.x.x.”。當VPN客戶端連接VPN服務器時，還必須從CRL發(fā)布點下載證書吊銷列表，否則連接無法進行。

CRL發(fā)布點實際上位于CA服務器的DNS域名中，假設為“yuk.xxx.com”。當本本連接VPN服務器時，VPN服務器會將這些信息發(fā)送給本本，便于其通過此DNS域名連接CRL發(fā)布點。當然，這需要通過NAT轉發(fā)來實現(xiàn)，即需要將內網(wǎng)CA服務器的網(wǎng)址解析到VPN服務器的外網(wǎng)卡地址上。為了簡單起見，可以在本本上使用記事本打開“C：＼Windows＼System32＼drivers＼etc”下的“hosts”文件，在其中分別輸入“192.168.3.1? vps.xxx.com”和“x.x.x.x? yuk.xxx.com”兩行映射關系項目，來實現(xiàn)簡單的域名和IP的解析操作。

其中的“192.168.3.1”為VPN服務器的內網(wǎng)地址，“vps.xxx.com”為VPN服務器名稱。在本本上打開在網(wǎng)絡和共享中心窗口中點擊“連接到網(wǎng)絡”項，在彈出面板中顯示所有的連接項目，在上述VPN連接項目的右鍵菜單上點擊“屬性”項，在其屬性中的“常規(guī)”面板（圖6）中的“目的地主機名或IP地址”欄中輸入VPN服務器的DNS域名，即vps.xxx.com。在“安全”面板中的“VPN類型”列表中選擇“安全套接字隧道協(xié)議（SSTP）”項，點擊“確定”按鈕保存配置信息。之后雙擊該VPN連接項目，就可以和VPN服務器建立連接。在VPN連接項目的屬性窗口中打開“詳細信息”面板，在“設備名”欄中顯示“WAN Miniport（SSTP）”。如果VPN客戶端沒有配置VPN主機名，無法下載證書吊銷列表，沒有安裝CA證書的話，VPN客戶端就無法順利連接VPN服務器。

使用IKE v2VPN方式進行連接

IKEv2協(xié)議采用的是IPSec信道模式，其使用UDP 500端口，Windows7支持該協(xié)議，其使用3DES或者AES加密數(shù)據(jù)。其利用IKE v2 MOBIKE（即Mobility and Multihoming Protocol）協(xié)議提供的功能，允許移動客戶通過VPN連接內網(wǎng)。Windows7通過使用VPN Reconnect功能，來支持IKEv2協(xié)議。上述幾個VPN協(xié)議都存在一個問題，當由于網(wǎng)絡中斷等原因，導致VPN客戶端失去和VPN服務器的連接后，即使網(wǎng)絡連接恢復正常，客戶端用戶必須手工重新建立VPN連接通道。即用戶必須重新?lián)芴栠M行連接。

而借助于VPN Reconnect功能，當網(wǎng)絡連接中斷后，即使經(jīng)過一段時間，當網(wǎng)絡連接恢復后，VPN連接通道仍會自動恢復運行，無須用戶手工重新建立VPN連接，這對于移動用戶來說是很有利的。例如，當用戶使用本本移動上網(wǎng)，在不同的環(huán)境中切換不同的無線連接后，VPN通道照樣保持連接狀態(tài)。對于內網(wǎng)中IKEv2 VPN服務器來說，是需要安裝和配置證書的，這樣可以充分保證連接的安全性。

使用IKEv2 VPN連接的本本客戶端雖然不需要安裝證書，但是需要信任CA發(fā)放的證書。可以按照上述方法，從VPN服務器上導出CA證書，并在本本上進行導入。為了順利連接VPN服務器，需要將VPN服務器的外網(wǎng)卡地址解析到VPN的網(wǎng)址上，例如，可以在本本上使用記事本打開“C：＼Windows＼System32＼drivers＼etc”下的“hosts”文件，在其中分別輸入“192.168.3.1? vps.xxx.com”之類的映射關系項目，來實現(xiàn)簡單的域名和IP的解析操作。

在本本上打開網(wǎng)絡和共享中心窗口，點擊“連接到網(wǎng)絡”項，在彈出面板中顯示所有的連接項目，在選定的VPN連接項目的右鍵菜單上點擊“屬性”項，在其屬性中的“常規(guī)”面板（圖7）中的“目的地主機名或IP地址”欄中輸入VPN服務器的DNS域名，例如“vps.xxx.com”;在“安全”面板（圖8）中的“VPN類型”列表中選擇“IKEv2”項，點擊“高級設置”按鈕，在彈出窗口（圖9）中的選擇“移動性”項;在“網(wǎng)絡中斷時間”列表中選擇具體的時間，默認為30分鐘，范圍從5分鐘到8小時，只要網(wǎng)絡中斷的時間不超過該值，就會自動恢復VPN連接。

點擊“確定”按鈕保存配置，之后雙擊該VPN連接項目，就可以和VPN服務器建立連接了。當連接成功后，在VPN連接項目的屬性窗口中打開“詳細信息”面板，在“設備名”欄中顯示“WAN Miniport（IKEv2）”。如果VPN客戶端沒有配置VPN主機名，沒有安裝CA證書的話，VPN客戶端就無法順利連接VPN服務器。