请教REDHAT或者FREEBSD下面安装VPN解决远程访问

lord

想在LINUX环境下构建VPN，实现在外地的企业人员可能接入企业内网访问资源！实现环境：FREEBSD或者REDHAT或者OPENBSD均可！客户端可以是WINDOWS 98，2000，XP及LINUX等等不限

望各位大侠多多指教！
我把自己在WINDOWS2003 SERVER上构建VPN的成功经验贡献出来，供大家研究多谢！

广州博阳计算机科技有限公司，孙立龙敬上
邮件：[email protected]
电话：13802785865 87294557
地址：广州天河粤垦路38号。

lord

利用Windows 2000构造企业虚拟专用网（VPN）

一、 VPN简介

一、VPN概念
　　虚拟专用网（VPN）可以让企业利用现存的Internet来建立自己的内部网，适用于
大型的，在各个分散的地方有分公司的，而且需要将各地的网络连起来的企业。VPN为
这种连接提供了一种安全廉价的的高性能解决方案，将企业分散在各地的网络通过现有
的公共网络连接起来。VPN的具体实现是采用所谓隧道技术（数据包封装、发送和拆封
过程称为"隧道"。隧道将原始数据包隐藏（或称封装）在新的数据包内部。新的数据包
可能包含新的寻址和路由信息，这使新的数据包得以在网络上传输。当隧道与保密性结
合时，在网络上窃听通讯的人将无法获取原始数据包数据（以及原始的源和目的）。适
用于任何类型的网络：专用 Intranet 或 Internet。封装的数据包到达目的地后，封
装报头被删除，原始数据包报头被用来将数据包路由到最终目的地。），将企业网的数
据依靠隧道协议封装在隧道中进行传输，保证数据在公共网络上流动的安全。隧道协议
分为第二层隧道协议PPTP、L2F、L2TP和第三层隧道协议GRE、IPSEC。它们的区别就是
用户的数据包是被封装在哪种数据包中在隧道中传输的。隧道协议有许多优点，比如用
户通过拨号网络连入Internet，接受ISP分配的动态IP地址，接着访问企业内部网，而
企业网一般均采用防火墙等安全措施来保护自己的网络，那么我们通过ISP拨号上网时
就不能穿过防火墙访问企业内部网，只能访问企业的WEB服务器。而采用隧道协议后，
拨号用户不仅可以得到ISP的动态IP地址，还可以得到企业内部网的IP地址，通过对
PPP帧进行封装，用户数据包可以穿过防火墙到达企业内部网。用户付出的仅仅是拨如
ISP的市话费用，不必直接拨号到企业内部。传统上，如果远程用户需要访问企业内部
网，一般是直接拨号到企业内部的远程访问服务器，建立是费用是很低廉，但使用时拨
号是拨的长途电话，所以费用就很高了。如果用专线，则就更加昂贵了。如图一。
　　　
二、Windows 2000支持的隧道协议
　　在Windows 2000中，提供了两种隧道协议，可以让我们方便的创建虚拟专用网：
PPTP（点对点隧道协议）和附带IPSec（网际协议安全）的L2TP（第二层隧道协议）。

　　1、 PPTP：PPTP是在NT 4.0中就有的VPN协议，是建立在PPP（点对点协议）的基础
上的，它提高了PPP的安全级别，让PPP可以对PPTP服务器与PPTP客户机之间的数据进行
加密传输（使用Microsoft 点对点加密 (MPPE)来加密 PPP 帧），并使PPTP服务器可以
对远程用户的身份进行验证（使用可扩展身份验证协议（EAP））。Internet本身只允
许使用TCP/IP通信，PPTP解决了在Internet上用多种协议进行通信的问题，PPTP通过将
IP、IPX或NetBEUI封装在PPP数据包里来支持使用这些协议，这意味着我们可以远程运
行依赖特殊网络协议的应用程序。PPTP能够用于LAN、WAN、Internet以及其他基于
TCP/IP的网络。具体的过程是：一个PPTP客户机是通过两次拨号连接来建立一条PPTP隧
道的，第一次通过PPP协议与ISP建立连接，第二次在上一次的PPP连接的基础上再次"拨
号"建立一个与企业局域网的PPTP服务器的VPN连接。拨号仅仅拨的是当地ISP的电话，
而不是企业内部电话，节省了长话费用。在局域网中也可以使用PPTP，如果客户机直接
连接到 IP 局域网，并且和服务器建立了一个IP连接，就可以通过局域网建立 PPTP 隧
道。如图二A所示。
　　2、带IPSec（网际协议安全）的L2TP（第二层隧道协议）：带IPSec（网际协议安
全）的L2TP（第二层隧道协议）是Windows 2000新增加的隧道协议。其中L2TP负责为任
何类型的网络通讯提供封装和隧道管理，传输模式的IPSec提供L2TP隧道数据包的安全
。L2TP和PPTP的功能差不多，是PPTP的增强版，L2TP加强了PPP身份验证和压缩机制。
与PPTP不同的是，Windows 2000中的L2TP不是利用Microsoft点对点加密（MPPE）来加
密 PPP 帧。L2TP 依赖于加密服务的网际协议安全 (IPSec)。所以基于 L2TP 的虚拟专
用网络连接是L2TP和IPSec 的组合。连接的两方网络中的VPN服务器都必须支持L2TP和
IPSec。IPSec和L2TP结合，可在任何IP网络上为IP、IPX和其他协议包提供基于隧道和
安全性。IPSec也可以脱离L2TP单独执行，但一般只在某个路由器不支持L2TP和PPTP时
用来提供互通性。L2TP将原始数据包封装在PPP帧内并进行压缩，在UDP类型的数据包内
部指派端口1701。因为UDP数据包格式是IP包，所以根据L2TP隧道的用户配置中的安全
设置，L2TP自动使用IPSec保护隧道。在缺省情况下，IPSec Internet密钥交换（IKE）
协议使用基于证书的身份验证来协商L2TP隧道的安全性。此验证是使用计算机证书而不
是使用用户证书来验证源计算机和目标计算机之间的信任关系。当IPSec传输安全性成
功建立时，L2TP将协商隧道，包括压缩和用户身份验证选项（通过企业内部的安全服务
器如RADIUS（远程身份验证拨入用户服务）鉴定用户）以及执行基于用户标识的访问控
制。因而，无论是客户远程拨号访问 VPN 还是路由器到路由器的VPN 隧道，
L2TP/IPSec都是最方便、最灵活、互通性最好而且较为安全的隧道选项。L2TP/IPSec
VPN 远程拨号客户可使用"网络和拨号连接"配置。VPN 远程访问服务器和路由器到路由
器隧道可使用"路由和远程访问"控制台配置。如图二B所示。
　　
二、 实践篇
　　明白了一些VPN的基本原理之后，我们就来看一下怎样利用Windows 2000来构造我
们的虚拟专用网。下面的实验主要在于怎样用一台运行Windows 2000 Server或Windows
2000 Advanced Server的计算机来作为VPN的服务器，然后各种类型的客户机通过隧道
技术怎样连接到此VPN服务器上。

一、 利用PPTP配置虚拟专用网：
　　PPTP是在NT 4.0中就有的老的隧道协议，我们来看一下怎样在Windows 2000中配置
它。在某些资料中说PPTP只支持拨号连接。但在Windwos 2000的帮助文件中却明明白白
的提到了"PPTP不需要拨号连接。但是需要您的计算机和服务器之间的 IP 连接。如果
您是直接连接到 IP 局域网，而且可以访问服务器，就可以通过局域网建立 PPTP 隧道
"。
　　1、基于PPTP的远程访问VPN：在这种方式下的VPN，实际上是一台Windows 2000
Server的计算机充当一台VPN的远程访问服务器，它直接连接到Internet或Intranet中
（永久或根据需要）。远程客户机通过拨号（拨本地ISP的号）连接到Internet中，然
后与VPN服务器之间建立一条PPTP隧道。VPN服务器提供给远程客户机VPN服务器资源或
者VPN服务器所在的本地网络的整个资源的访问。如图三。
　　　
　　1）VPN服务器的配置：VPN服务器配置包括以下必须步骤：配置到 Internet 的连
接、配置到 Intranet 的连接、将VPN服务器配置为企业 intranet 路由器、配置 PPTP
客户机的VPN服务器、配置 PPTP 端口。还可以根据需要配置远程访问策略等来提高安
全性。所有的这些配置都是利用Windows2000中管理工具的"路由和远程访问"来完成的
。
　　· 配置VPN服务器到Internet的连接：从运行Windows 2000 Server的计算机连接
到 Internet可以使用多种方法，例如DDN专线、ADSL、帧中继、X.25等等。此计算机上
必须安装有合适的WAN适配器。
　　· 配置VPN服务器与本地局域网（Intranet）的连接：配置此VPN服务器上的网卡
，为它指定好IP地址等等参数，使VPN服务器能够正常的与局域网中的计算机通信。
　　· 将VPN服务器作为Internet与本地局域网的路由器：使用静态路由或路由协议将
它配置为路由器以便可以从外部利用VPN服务器中访问局域网中的所有计算机。
　　· 配置此VPN服务器：为了使此服务器能够为远程的PPTP客户机服务，必须启动此
计算机上的"路由和远程访问服务"。方法：在服务器的"管理工具"中打开"路由和远程
访问"。默认状态下，将本地计算机列出为服务器。在控制台目录树中，右键单击要启
用的服务器，然后单击"配置并启用路由和远程访问"。按照"路由选择和远程访问向导
"中的指示进行操作。在向导中选择"VPN服务器"表示要将此计算机配置成一台VPN服务
器（如图四）。在接下来的操作中，要求你验证VPN客户机要求使用的协议、指定此服
务器与Internet的连接通道（在第一步中配置的通道）、VPN客户机IP地址的分配方式
（可以使用DHCP给VPN客户机分配IP地址或者使用一个固定的IP地址范围）、指定怎样
验证VPN客户机的身份（可以选择使用RADIUS服务器验证VPN客户机身份）。
　　
　　· 配置 PPTP 端口：完成了前面的配置后，实际上你就拥有一台VPN服务器了，接
下来的事情就是对此VPN服务器的配置。首先确定你的VPN服务器将同时为多少台VPN客
户机服务，这样就可以确定VPN服务器所开的PPTP端口数目。方法：右键单击控制台目
录树的"端口"，然后单击"属性"。在"端口属性"对话框中，单击"WAN 微型端口
(PPTP)"，然后单击"配置"。在"最多端口数"中，键入端口数，然后单击"确定"。如图
五所示。
　　
　　· 为VPN连接设置安全性：为了使VPN的连接更加安全，我们还可以对服务器进行
配置，如配置多播支持、配置 PPTP 筛选器、配置远程访问策略。详细情况可以参考
Windows 2000 Server的帮助文件。
　　2）VPN客户端的配置（以Windows 98为例）：客户端需要利用PPTP隧道方式连到
VPN服务器，首先必须建立一条到ISP的连接，这很简单，和我们平时上网没什么两样。
然后在建立与VPN服务器的隧道。这里以Windows 98客户机为例子说明，因为我们用得
最多的客户机就是Windows 98。其它类型的客户机配置也差不多。
　　·配置Windows 98连接到ISP：这里就不祥述了，和我们为了拨号上网配置
Windows98一模一样。（你的客户机必须有一个Modem，利用它和Internet相连）
　　·建立虚拟专用网络适配器：右键点击"网上邻居"，选择"属性"，出现"网络"对话
框，选择"添加（A）…"，选择"适配器"后点击"添加"按钮，如图六。然后在"选择网络
适配器"对话框里，"厂商"选择"Microsoft"，"网络适配器"选择"Microsoft虚拟专用网
络适配器"，如图七。"确定"后会从Windows 98光盘中拷贝一些文件，完成后重启系统
。
　　　
　　　
　　·创建到PPTP服务器的连接：在Windows 98里选择"拨号网络"→"建立新连接"。在
出现如图八所示的"建立新连接"对话框时，连接名称中输入"我的连接2"，设备选择
"Microsoft VPN Adapter"（第一个连接是你与ISP的连接，设备是你系统中的调制解调
器）。"下一步"后输入你的VPN服务器的主机名或者IP地址（就是你前面建立的VPN服务
器，最好输入IP地址，可以减少主机名解析的时间和错误，如图九），完成。
　　　
　　　
　　·访问PPTP服务器：首先用你的调制解调器连接到你当地ISP，如：拨169连接成功
，和你平时上网没什么区别，如图十。当连接成功后，再双击"我的连接2"，出现如图
十一所示对话框，用户名和密码输入你在VPN服务器中的合法用户名和密码（记住：此
用户必须被赋予拨入权限，在VPN服务器所在域的域控制器里赋予。），点击"连接"之
后就与你的PPTP服务器创建了一条隧道连接，完成后,你屏幕右下角会出现两个连接图
标，如图十二。一个是到ISP的连接，一个是与VPN服务器的连接。这样，就可以和
PPTP服务器以及PPTP服务器所在的本地网的计算机安全通信了。实际上，你拨的电话只
是你当地ISP的电话号码，所以你为通信所付的费用仅为市话费，节省了资金，又进行
了安全通信。在你的PPTP服务器的"路由与远程访问"里面查看"远程访问客户端"，就可
以看到你当前的VPN连接。如图十二。
　　　
　　　　　
　　　
　　2、 基于PPTP的路由器到路由器 VPN：配置路由器到路由器的VPN，是将分散在两
个不同地方的网络利用公共网络连接起来的过程，如图十三，使分支网络与企业网络通
过VPN连接起来。你必须在两个地方分别配置一台Windows 2000的VPN服务器。配置过程
和前面配置VPN服务器基本上一样。只不过为了使这两台VPN服务器能够相互安全通信，
还必须配置分别配置它们的"请求拨号接口"，即分别配置它们使用什么端口接受对方
VPN服务器的连接请求。下面是使分支网络通过VPN连接到企业网络的设置方法。
　　
　　1） 配置分支网络VPN服务器的"请求拨号接口"：方法：使用请求拨号接口向导（
右键点击控制台目录树中的"路由接口"→"新的请求拨号接口"打开向导）创建请求拨号
接口。在向导中，配置以下事件："接口名称"-代表和企业网络连接的接口名称。"连接
类型"-单击"使用虚拟专用网络（VPN ）连接"。"VPN类型"-单击"点对点隧道协议
(PPTP)"。"目标地址"-键入企业网络路由器（VPN服务器）Internet接口上的IP地址或
主机名称。如果键入的是主机名称，验证所键入的主机名称能分解为正确的 IP 地址。
"拨出凭据"-键入与分支网络VPN服务器通信的用户帐户的名称，域名，和密码。当这个
分支网络的请求拨号接口在企业网络的VPN服务器上创建时，在请求拨号接口向导的"拨
出凭据"中输入了凭据。这些凭据则与所输入的相同。

　　2）配置企业网络VPN服务器的"请求拨号接口"：方法：打开"新的请求拨号接口"向
导，"接口名称"-代表到分支网络连接的接口名称。"连接类型"-单击"使用虚拟专用网
络（VPN）连接"。"VPN 类型"-单击"点对点隧道协议（PPTP）"。"目标地址"-因为企业
网络的VPN服务器不初始化 VPN 连接（由分支网络VPN服务器初始化），所以不要求有
电话号码或地址。"协议与安全"-选中"添加用户帐户，以便远程路由器能拨入"复选框
。"拨出凭据"-因为企业网络的VPN服务器不初始化VPN连接，所以可以键入任意名称，
域和密码。"拨入凭据"-键入域和用于验证分支办公室路由器的帐户密码。请求拨号接
口向导自动创建帐户并将远程访问权限设置"允许访问"。帐户名与请求拨号接口的名称
相同。
　　其它的配置和前面VPN服务器的配置相同。
二、 利用L2TP/IPSec配置虚拟专用网
　　利用L2TP/IPSec配置虚拟专用网和利用PPTP配置VPN差不多，只不过在前面配置
PPTP的VPN服务器时的所有有关PPTP的配置都换作L2TP/IPSec的配置。需要提到的是，
Windows 95/98、Windows NT 4.0都不支持L2TP/IPSec，只支持PPTP，而NT3.51则PPTP
和L2TP/IPSec都不支持。所以，想要使用L2TP/IPSec，客户机必须使用Windows 2000的
系列产品或者是其他支持L2TP/IPSec的客户机。
三、结束语
　　现在，利用公共网络来构造企业的虚拟专用网的技术很是热门。但是多数企业是使
用的专用的VPN服务器，如Cisco、3COM等都有此类产品。但价格较为昂贵。利用
Windows 2000 Server或者Windows 2000 Advanced Server来作为企业的VPN服务器，是
一个廉价而高效的解决方案。图形化的用户界面配置十分方便。并且企业也可以完全省
下连入Internet的路由器的钱，因为Windows 2000中内置了动态路由协议，可以充当企
业的路由器，VPN服务器是和企业连入Internet的路由器可以是一台服务器。非常适合
正在发展中的中小企业。

广州博阳计算机科技有限公司，孙立龙敬上
邮件：[email protected]
电话：13802785865 87294557
地址：广州天河粤垦路38号。

lord

我现在想要在LINUX下面做VPN SERVER实现这样 的功能。请大家多指教？？？