在Windows Server上,RRAS 是 Rounting and Remote Access Service 的簡稱。
通過 RRAS UI 管理器可實現 VPN 和 NAT 的配置。
RRAS 用途
- 建立 VPN
- 建立 NAT
VPN/NAT的建立
場景
考慮一個簡單的場景,公司的若干台工作站分布在物理不相連的區域里,雖然這些工作站本身可以連接外網,但因為某些原因,還是希望通過一台服務器連接外網。就是說,這些工作站作為內網機器受到保護。
技術
通過 VPN 技術,實現工作站與服務器的虛擬專用連接;通過NAT技術,實現工作站通過服務器訪問外網。
步驟
在 Windows Server 上,VPN 服務器被集成到 RRAS Server 上。以 2012Rb 為例,通過如下步驟完成配置:
-
通過“服務器資源管理器”安裝“遠程服務功能”,注意同時勾選RAS和路由。
-
安裝完成后,第一次打開 RASS 控制台出現“路由和遠程訪問服務器安裝向導”對話框,注意選擇“VPN和 NAT” 這一選項。
-
需要服務器上兩個網絡適配器,其中能訪問外網的網絡適配器配置為對外的,另一個內網的網絡適配器配置為對內的,VPN 客戶端與內網適配器相連接。
針對之前提出的需求,工作站數量較少,因此采用靜態IP的分配方案,將子網掩碼設置成255.255.255.0 表示最多有255台工作站可連接服務器。
點擊最后的“完成”請慎重,一旦配置錯誤,需要刪除“遠程服務”角色與功能,重啟服務器,重新添加“遠程服務”角色與功能,比較麻煩。 -
注意外網適配器中的網絡篩選器是否打開。網絡篩選器功能類似於防火牆,定義了入站規則和出站規則。如果打開,則需添加相應的篩選規則,比較麻煩,建議關閉。
從上圖可看到,內網網段配置為 192.168.2.1~192.168.2.255。通過NAT ,將客戶端對外網的訪問定向到“以太網 2”中,將“以太網 2”傳來的數據分別發送到內網中。 -
配置VPN客戶端。如果通過Windows 自帶的VPN連接,填寫服務器ip地址或域名、連接的用戶名和密碼即可。
上圖是Win10的客戶端界面,協議類型選擇了自動(實際上為Ikev2,加密方式是 Eap MSChapv2)。連接VPN后,如果原有的“自動解析”的DNS服務器不在公網上,可能會失效。此時可以配置服務器上的DNS Server(有關如何配置,可參考相關文檔),手動指定VPN連接的ipv4屬性中的DNS 服務器為服務器的ip地址即可,如下圖(Win7客戶端界面)所示:
