CMD下建立VPN
1.前提
服務裡 windows防火牆停止(或者麻煩點可以把router協議,連接埠1723配進去)
遠端登錄服務必須開啟
server服務必須開啟
router路由服務必須開啟
兩塊以上網卡的win2000做vpn很方便,添加nat協議後,用戶端撥入,能夠使用遠程網路連接internet。 使得部分用戶端可提高網路速度,並達到代理的作用。
一塊網卡的winxp,win2003做類似的vpn仍然很方便,nat協議添加後,再添加兩個介面,一個是本地串連,一個是內部,設定本地串連為全轉寄,內部為私人模式,既可讓有許可權的使用者撥入。
一塊網卡的win2000,做類似的vpn就不方便了,nat協議添加後,再添加介面,只可以添加上本地串連,內部不容許圖形介面的添加,察看了 netsh dump >c:\1.txt後,嘗試在netsh命令添加內部介面,通過。 命令為:netsh routing ip nat add interface 內部 private
下面是部分常用命令:
複製代碼 代碼如下:netsh ras set user username permit //設定使用者授權,該使用者不能為tsinternetuser support_388945a0等。
netsh ras ip set addrassign pool //設定靜態位址集區模式
netsh ras ip add range 10.0.0.1 10.0.0.100 // 設定靜態池範圍 ,要用標準的區域網路地址,避免將來在訪問internet時候地址轉寄錯誤。
netsh routing ip nat install //添加nat協議
netsh routing ip nat add interface 本地串連 full //添加nat介面本地串連全轉寄
netsh routing ip nat add interface 內部 private //添加nat借口內部私人模式
igmp同樣可以在netsh配置,命令列很長: 複製代碼 代碼如下:netsh routing ip igmp install
netsh routing ip igmp add interface 內部 igmpprototype=IGMPRTRV2 ifenabled=enable robustvar=2 startupquerycount=2 startupqueryinterval=31 genqueryinterval=125 genqueryresptime=10 lastmemquerycount=2 lastmemqueryinterval=1000 accnonrtralertpkts=YES
netsh routing ip igmp add interface name=”本地串連” igmpprototype=IGMPPROXY ifenabled=enable
如果配置前已經有介面,就要先刪除:
netsh routing ip igmp delete interface 內部 //與此類似
路由和遠端存取服務會在系統、安全日記中記錄不少資訊,比如ipsec、登陸資訊。
修改一下註冊表可以避免: 複製代碼 代碼如下:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
ProhibitIPsec”=dword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters
LoggingFlags”=dword:00000000
現在除了登陸資訊,ipsec,remoteaccess警告,已經不記錄。
還有值得一提的是建立好地vpn,通常使用的都是pptp協議,tcp1723連接埠,如果我們在網卡的ip策略添加了tcp1723的容許條目,基本上可以撥入。為什麼是基本呢,因為pptp除了 tcp1723外還有一個ip47號協議,不同於tcp不同於udp,此協議對於認證很重要。如果網路上的防火牆割斷的話,會出現撥號->使用者認證 ->不通過認證斷開的問題。
在配置vpn的時候,還需要remoteregister服務的支援,建立好以後可以關掉。
workstation , server,rpc同樣在配置時候需要。
經測試,全命令列的建立vpn後,rrasmgmt.msc不出現具體配置資訊。也就是說只有看網路連接檔案夾,才能看出來一個撥入的串連