配置基于PPTP模式的站点到站点的VPN连接

前言：首先感谢Thomas Shinder，由于没有足够的环境，过去我从来没有配置过站点到站点的VPN连接，这次试验也是屡战屡败。在Tom的鼓励下，我决定再试验一次，幸运的是，这次我终于成功了，可惜，还只是基于PPTP模式。这篇文章让我写的很辛苦，如果转载的兄弟还有点良心的话，记得保留原出处和作者。 
过去看了很多的资料，包括微软的和ISAServer.org的，但是对基于站点到站点的VPN连接一直没有很详细的说明，于是经过多次试验，总算成功的配置了了基于PPTP模式的VPN连接。其实，这个连接设置的唯一重点就是允许远程站点拨入的用户账户必须和本地设置的远程VPN网络名字相同，并且此账户具有拨入权限。 

下图是我的试验网络，此试验不涉及DNS名字解析，各主机的DNS服务器均设置为空： 

 
　 
各主机的TCP/IP设置为： 
Florence 
External： 

IP：61.139.0.1/24 
DG：61.139.0.1 

Internal： 

IP：192.168.0.1/24 
DG：None 

　 
Beijing 

IP：192.168.0.2/24 
DG：192.168.0.1 

Istanbul 
External： 

IP：61.139.0.2/24 
DG：61.139.0.1 

Internal： 

IP:172.16.0.1/24 
DG：None 

Sydney 

IP：172.16.0.2/24 
DG：172.16.0.1 

　 

在此试验中，我们将在Florence和Istanbul之间建立一个基于PPTP的站点到站点的VPN连接，由Florence向Istanbul进行请求拨号，步骤如下： 

在Florence上建立远程站点； 
在Florence上建立此远程站点的网络规则； 
在Florence上建立此远程站点的访问规则； 
在Istanbul上建立远程站点； 
在Istanbul上建立此远程站点的网络规则； 
在Istanbul上建立此远程站点的访问规则； 
在Istanbul上为远程站点的拨入建立用户； 
测试VPN连接；
一、在Florence上建立远程站点 

我们已经安装和配置好了ISA Server 2004，并且设置好了IP地址。如图，在ISA Server 2004我们允许了内部到外部的所有访问、所有网络到本地主机的Ping（便于测试）。 

 
在Beijing上，是可以Ping通Istanbul的。 

 
打开ISA Server 2004控制台，点击虚拟专用网络，点击右边任务面板中的添加远程站点网络； 

 
在欢迎使用网络创建向导页，输入远程站点的名字，在此我命名为main，点击下一步； 

 
在VPN协议页，选择点对点隧道协议（PPTP），点击下一步； 

 
在远程站点网关页，输入远程VPN网关的名称或IP地址，如果输入名称，确保可以正确解析，在此我们输入Istanbul的外部IP地址61.139.0.2，点击下一步； 

 
在远程身份验证页，勾选本地站点可以使用这些凭据来初始化到远程站点的连接（这样可以让内部用户进行请求拨号来主动连接远程VPN站点），然后输入远程VPN网关上具有拨号权限的对应远程站点的用户名和密码，注意，这个用户名必须和远程VPN网关上设置的远程站点的名字相同，我们等下会在Istanbul上建立，在此先输入用户remote和对应的密码，点击下一步继续； 

 
在本地身份验证页，点击下一步；在网络地址页，点击添加输入远程子网的IP地址范围，在此我输入172.16.0.0和172.16.0.255，点击确定后，点击下一步继续； 

 
在正在完成新建网络向导页，点击完成，此时，远程站点就建立好了。 


二、在Florence上建立此远程站点的网络规则 

接下来，我们需要建立一条网络规则，为远程站点和内部网络间的访问定义路由关系。右击配置下的网络，然后点击新建，选择网络规则； 

 
在新建网络规则向导页，输入规则名字，在此我命名为Internal->Main，点击下一步； 

 

上一个：什么是LFS?
下一个：升级到 ISA Server 2006