Windows Server 2012 & Windows Server 2003 建立site to site vpn (PPTP)

發佈日期: 2013 年 08 月 07 日作者: 榮哥

使用windows 來達成兩個站點,內部網路互連

sitosivpn-41

SiteA :  192.168.1.0/24

SiteB : 192.168.10.0/24

SiteA 利用 Windows Server 2012 擔任VPN 主機

SiteB 利用 Windows Server 2003 R2 擔任VPN 主機

SiteA VPN 設定步驟:

Windows Server 2012  主機 有兩張網路卡

一張設定內部網路 : 192.168.1.254 ,不須設定default gateway

一張網路卡設定為外部網路,ISP提供的固定ip (也可以用PPPOE 撥接)

開啟[路由及遠端存取]管理工具

sitosivpn-1

在本機伺服器 > 滑鼠右鍵 > [設定和啟用路由及遠端存取]

sitosivpn-2

出現精靈畫面,按[下一步]

sitosivpn-3

點選 [介於兩個私人網路的安全連線] 後,按[下一步]

sitosivpn-4

點選 [否]後,按[下一步]

sitosivpn-5

出現[完成路由及遠端存伺服器安裝精靈]畫面,點選[完成]

sitosivpn-6

在[網路介面] > 滑鼠右鍵 > 點選 [新增指定撥號介面]

sitosivpn-7

出現精靈畫面按[下一步]

sitosivpn-8

設定介面名稱 : SiteA

sitosivpn-9

選擇使用VPN連線

sitosivpn-10 

選擇 PPTP

sitosivpn-11

輸入SiteB VPN伺服器外部網路IP位址

sitosivpn-12

勾選[路由處理這個介面上的IP封包]及[新增一個使用者帳戶,讓遠端路由器可以撥入]

sitosivpn-13

設定通往SiteB的靜態路由

sitosivpn-14

新增允許撥入的使用者帳號,預設名稱為指定介面名稱SiteA,此時只需在設定密碼即可

sitosivpn-15

設定siteA VPN 伺服器連接SiteB伺服器的帳號密碼

此設定帳號為SiteB ,網域名稱不須設定

之後SiteB 就必須設相同帳號,若設定不同時,在SiteA伺服器就需要修改

sitosivpn-16

設定完後畢後,就出現SiteA 指定撥號連線

sitosivpn-17

如果需要修改,撥出的驗證帳號密碼,在 SiteA > 滑鼠右鍵 > [設定驗證]

sitosivpn-18

進行修改

sitosivpn-19

SiteB VPN 設定步驟:

Windows Server 2003 R2 主機 有兩張網路卡

一張設定內部網路 : 192.168.10.254 ,不須設定default gateway

一張網路卡設定為外部網路,ISP提供的固定ip (也可以用PPPOE 撥接)

開啟[路由及遠端存取]管理工具

sitosivpn-20

在本機伺服器 > 滑鼠右鍵 > [設定和啟用路由及遠端存取]

sitosivpn-21

出現精靈畫面,按[下一步]

sitosivpn-22

點選 [介於兩個私人網路的安全連線] 後,按[下一步]

sitosivpn-23

點選 [否]後,按[下一步]

sitosivpn-24

出現[完成路由及遠端存伺服器安裝精靈]畫面,點選[完成]

sitosivpn-25

在[網路介面] > 滑鼠右鍵 > 點選 [新增指定撥號介面]

sitosivpn-26

出現精靈畫面按[下一步]

sitosivpn-27

設定介面名稱 : SiteB

sitosivpn-28

選擇使用VPN連線

sitosivpn-29

選擇 PPTP

sitosivpn-30

輸入SiteA VPN伺服器外部網路IP位址

sitosivpn-31

勾選[路由處理這個介面上的IP封包]及[新增一個使用者帳戶,讓遠端路由器可以撥入]

sitosivpn-32

設定通往SiteB的靜態路由

sitosivpn-33

新增允許撥入的使用者帳號,預設名稱為指定介面名稱SiteB,此時只需在設定密碼即可

sitosivpn-34

設定siteA VPN 伺服器連接SiteB伺服器的帳號密碼

此設定帳號為SiteA ,網域名稱不須設定

(此帳號就是前面SiteA VPN 伺服器設定允許撥入的帳號)

sitosivpn-35

設定完後畢後,就出現SiteA 指定撥號連線

sitosivpn-36

如果需要修改,撥出的驗證帳號密碼,在 SiteB > 滑鼠右鍵 > [設定驗證]

sitosivpn-37

sitosivpn-38

測試連線

當SiteA ,PC 利用Ping  SiteB 主機時,VPN 就會自動撥接

下圖icmp 封包剛開始無法通聯,後來就可以與SiteB主機連線

sitosivpn-39

此時VPN狀態就變成 [連線中]

sitosivpn-40



本篇瀏覽人數: 6077
分類: VPN 伺服器篇。這篇內容的永久連結

在〈Windows Server 2012 & Windows Server 2003 建立site to site vpn (PPTP)〉中有 9 則留言

  1. 小小mis表示:
    2015 年 01 月 25 日23:06:36

    感謝,惠我良多

    回覆
  2. Gary表示:
    2015 年 11 月 03 日14:44:09

    感謝您的實作分享!

    回覆
  3. Gavin表示:
    2015 年 11 月 13 日01:56:02

    先感謝您的分享!有問題想向榮哥請教

    我實作了一次,SiteA 和 SiteB都用獨立伺服器,測試兩邊都可以成功連接,然後再用另一環境再試,
    問題一
    SiteA是網域下成員伺服器,SiteB是獨立伺服器,結果SiteA連SiteB成功,但相反SiteB連SiteA失敗,查看事件簿大概是說用戶名和密碼驗證失敗,然後我嘗試用AD網域帳號連接SiteA亦失敗
    問題二
    SiteA 和 SiteB連線後只有這兩個站台都可以存取對方的站內資源,但怎樣才能夠讓站內的其他電腦(即內網電腦)存取對方的站內資源
    問題三
    我也實作了一次Site to Site L2TP/IPsec 共用金鑰,結果SiteA和SiteB都連線失敗,事件簿大概是說檢查其他網絡裝置路由器,防火牆,端口映射設定了1701 4500 500

    本人並非專業網管人員,如果問題發問不好,請見諒

    回覆
    • 榮哥表示:
      2015 年 11 月 24 日17:15:26

      您好

      問題一 : 應該是帳號密碼打錯了A連線要打B的帳密

      問題二: Site A 和SiteB 如果你建立site to site VPN 連線後應該就可以存取了但是電腦要設定例如分享資料夾等等,當VPN建立後可以利用ping 指令看看是否可和遠端網段溝通

      問題三: 依照您提供的訊息,就是在你的firewall 需要開port 才可以建立起來

      回覆
      • Gavin表示:
        2015 年 12 月 03 日03:32:07

        榮哥你好

        問題2可能是我不懂分配IP,想請教榮哥如果這兩台VPN SERVER都在路由器下而且是虛擬機,IP該如何分配,這兩台SERVER能連線但就是PING不通,我該往那個方向學習

        回覆
  4. kazuma表示:
    2020 年 11 月 18 日14:41:04

    最近找到這篇文章,雖然有點久了但卻剛好幫上忙

    謝謝您的教學分享!

    回覆

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *