cmd下在win上做vpn的命令分享

CMD下建立VPN
1.前提
服務裡 windows防火牆停止（或者麻煩點可以把router協議，連接埠1723配進去）
遠端登錄服務必須開啟
server服務必須開啟
router路由服務必須開啟
兩塊以上網卡的win2000做vpn很方便，添加nat協議後，用戶端撥入，能夠使用遠程網路連接internet。 使得部分用戶端可提高網路速度，並達到代理的作用。
一塊網卡的winxp，win2003做類似的vpn仍然很方便，nat協議添加後，再添加兩個介面，一個是本地串連，一個是內部，設定本地串連為全轉寄，內部為私人模式，既可讓有許可權的使用者撥入。
一塊網卡的win2000，做類似的vpn就不方便了，nat協議添加後，再添加介面，只可以添加上本地串連，內部不容許圖形介面的添加，察看了 netsh dump >c:\1.txt後，嘗試在netsh命令添加內部介面，通過。 命令為：netsh routing ip nat add interface 內部 private
下面是部分常用命令： 複製代碼 代碼如下:netsh ras set user username permit //設定使用者授權，該使用者不能為tsinternetuser support_388945a0等。
netsh ras ip set addrassign pool //設定靜態位址集區模式
netsh ras ip add range 10.0.0.1 10.0.0.100 // 設定靜態池範圍 ，要用標準的區域網路地址，避免將來在訪問internet時候地址轉寄錯誤。
netsh routing ip nat install //添加nat協議
netsh routing ip nat add interface 本地串連 full //添加nat介面本地串連全轉寄
netsh routing ip nat add interface 內部 private //添加nat借口內部私人模式

igmp同樣可以在netsh配置，命令列很長： 複製代碼 代碼如下:netsh routing ip igmp install
netsh routing ip igmp add interface 內部 igmpprototype=IGMPRTRV2 ifenabled=enable robustvar=2 startupquerycount=2 startupqueryinterval=31 genqueryinterval=125 genqueryresptime=10 lastmemquerycount=2 lastmemqueryinterval=1000 accnonrtralertpkts=YES
netsh routing ip igmp add interface name=”本地串連” igmpprototype=IGMPPROXY ifenabled=enable

如果配置前已經有介面，就要先刪除：
netsh routing ip igmp delete interface 內部 //與此類似
路由和遠端存取服務會在系統、安全日記中記錄不少資訊，比如ipsec、登陸資訊。
修改一下註冊表可以避免： 複製代碼 代碼如下:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
ProhibitIPsec”=dword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters
LoggingFlags”=dword:00000000

現在除了登陸資訊，ipsec,remoteaccess警告，已經不記錄。

還有值得一提的是建立好地vpn，通常使用的都是pptp協議，tcp1723連接埠，如果我們在網卡的ip策略添加了tcp1723的容許條目，基本上可以撥入。為什麼是基本呢，因為pptp除了 tcp1723外還有一個ip47號協議，不同於tcp不同於udp，此協議對於認證很重要。如果網路上的防火牆割斷的話，會出現撥號->使用者認證 ->不通過認證斷開的問題。
在配置vpn的時候，還需要remoteregister服務的支援，建立好以後可以關掉。
workstation , server,rpc同樣在配置時候需要。

經測試，全命令列的建立vpn後，rrasmgmt.msc不出現具體配置資訊。也就是說只有看網路連接檔案夾，才能看出來一個撥入的串連