⚠️ 重要声明:安全警告
Windows Server 2003 已于2025年7月14日停止所有支持(包括安全更新)。
这意味着您的服务器将无法接收任何安全补丁,极易受到病毒、勒索软件和黑客的攻击,将其暴露在互联网上风险极高,强烈建议仅用于隔离的、非关键业务的内部测试环境,并且不要处理任何敏感数据。
如果您需要在生产环境中使用,请务必升级到现代操作系统,如 Windows Server 2025/2025 或使用更安全的替代方案(如 OpenVPN, WireGuard)。
第一部分:服务器端配置 (Windows Server 2003)
我们将通过“路由和远程访问服务”(RRAS) 来搭建VPN服务器。
步骤 1: 安装路由和远程访问服务
-
打开“管理您的服务器”
(图片来源网络,侵删)点击“开始” -> “管理您的服务器”。
-
添加或删除角色
在右侧的“区域,点击“添加或删除角色”。
-
进入“配置您的服务器向导”**
(图片来源网络,侵删)点击“下一步”。
-
选择服务器角色
- 在角色列表中,勾选 “路由和远程访问服务”。
- 点击“下一步”。
-
确认安装
- 确认信息后,点击“下一步”。
- 向导会自动开始安装所需组件,完成后,点击“完成”。
-
配置服务
- 安装完成后,会弹出“路由和远程访问服务器安装向导”,点击“下一步”。
- 选择配置方式:这里我们选择 “自定义配置”,因为我们只需要VPN功能,不需要路由功能,点击“下一步”。
- 选择服务角色:勾选 “VPN访问” 和 “NAT和基本防火墙”,NAT可以方便内网客户端访问互联网,点击“下一步”。
- 完成配置:确认信息后,点击“完成”。
-
启动服务
- 配置完成后,系统会提示“现在可以启动路由和远程访问服务了”,点击“是”。
- 稍等片刻,服务启动成功,在“管理您的服务器”页面,您会看到“路由和远程访问”状态显示为“已启动”。
至此,服务器端RRAS服务已安装并启动。
步骤 2: 配置VPN服务器 (NAT模式)
-
打开“路由和远程访问”管理控制台
点击“开始” -> “程序” -> “管理工具” -> “路由和远程访问”。
-
配置服务器
- 在左侧控制台中,右键点击您的服务器名称(
SERVER2003),选择 “配置并启用路由和远程访问”。 - 如果之前已经配置过,这里会直接进入配置界面,我们选择 “自定义配置” -> “VPN访问” -> “下一步” -> “完成”。
- 在弹出的警告窗口中,点击“是”来启动服务。
- 在左侧控制台中,右键点击您的服务器名称(
-
设置IP地址池
- 在左侧控制台中,展开您的服务器,右键点击 “IP路由” -> “NAT和接口”。
- 在右侧窗口中,右键点击您连接到内部局域网的网卡(本地连接”),选择 “属性”。
- 切换到 “地址分配” 选项卡。
- 勾选 “使用DHCP自动分配IP地址”,如果您的内网没有DHCP服务器,可以勾选 “静态地址池”,然后点击“添加”来创建一个VPN客户端专用的IP地址范围(192.168.10.10 - 192.168.10.50)。
步骤 3: 配置用户远程访问权限
VPN用户必须是您服务器上的合法用户,并且需要授予远程访问权限。
-
打开“Active Directory 用户和计算机”
点击“开始” -> “程序” -> “管理工具” -> “Active Directory 用户和计算机”。
-
创建VPN用户(可选)
- 如果用户已存在,跳过此步,如果不存在,在左侧右键点击“Users” -> “新建” -> “用户”,创建一个新用户(
vpnuser)。
- 如果用户已存在,跳过此步,如果不存在,在左侧右键点击“Users” -> “新建” -> “用户”,创建一个新用户(
-
授予远程访问权限
- 右键点击要授权的用户(
vpnuser),选择 “属性”。 - 切换到 “拨入” 选项卡。
- 在“远程访问权限”中,选择 “允许访问”。
- 点击“确定”。
- 右键点击要授权的用户(
步骤 4: 配置防火墙和端口
-
配置Windows防火墙
- 点击“开始” -> “控制面板” -> “Windows防火墙”。
- 在“常规”选项卡中,确保 “不要例外” 是未选中状态。
- 切换到 “例外” 选项卡。
- 勾选 “路由和远程访问”,这会开放PPTP协议所需的TCP 1723端口和GRE协议(IP协议47)。
-
检查路由器端口转发(如果服务器在局域网内)
- 如果您的服务器不是直接连接到互联网,而是连接在一个路由器后面,您必须在路由器上进行端口转发。
- 将以下端口转发到服务器的内网IP地址:
- TCP端口 1723 (PPTP控制连接)
- 协议 GRE (IP Protocol 47) (PPTP数据隧道)
- 注意:GRE协议不是一个端口,而是一个IP协议号,有些家用路由器可能不支持,这会影响连接成功率。
第二部分:客户端配置 (Windows XP/7/10)
客户端配置非常简单,以Windows 7为例。
步骤 1: 创建VPN连接
- 打开“网络和共享中心”(可以在控制面板中找到)。
- 点击 “设置新的连接或网络”。
- 选择 “连接到工作区” -> “下一步”。
- 选择 “使用我的Internet连接(VPN)”。
- 输入VPN服务器信息:
- Internet地址:输入您的服务器公网IP地址或动态DNS域名。
- 目标名称:给这个连接起一个名字,“My Office VPN”。
- 不要勾选 “此连接需要登录” 和 “使用智能卡”。
- 点击“下一步”。
步骤 2: 输入登录凭据
- 输入您在步骤3中创建的用户名和密码(
vpnuser和其密码)。 - 可以勾选“记住此密码”,方便下次连接。
- 点击“连接”。
步骤 3: 连接到VPN
- 系统会尝试连接,如果一切正常,它会成功连接到您的VPN服务器。
- 连接成功后,您可以在任务栏的网络图标上看到一个两个电脑连接的小标志。
- 您的客户端已经可以通过VPN安全地访问服务器所在局域网内的所有资源了(如共享文件、打印机等)。
第三部分:常见问题排查
如果连接失败,请按以下顺序检查:
-
检查网络连通性:
- 在客户端上,按
Win + R,输入cmd,打开命令提示符。 - 运行
ping <服务器公网IP>,看是否能收到回复,如果不行,说明网络基础连接有问题(检查防火墙、ISP限制等)。
- 在客户端上,按
-
检查防火墙:
- 服务器端:确保Windows防火墙的“路由和远程访问”例外已添加。
- 客户端:暂时关闭Windows防火墙,看是否能连接,如果能,说明防火墙规则阻止了VPN流量,需要添加入站规则允许PPTP相关端口。
-
检查用户凭据和权限:
- 确认用户名和密码正确无误。
- 再次确认该用户的“拨入”属性设置为“允许访问”。
-
检查IP地址池:
确保服务器端配置的IP地址池(无论是DHCP还是静态池)没有与您局域网的其它IP地址冲突。
-
检查NAT配置:
- 在RRAS控制台中,确保连接到内部网络的网卡已启用了NAT,连接到外部网络(互联网)的网卡则不需要。
-
ISP限制:
- 某些ISP(特别是中国的宽带运营商)可能会封锁PPTP协议(TCP 1723和GRE),这是导致VPN连接失败最常见的原因之一,您可以尝试更换为L2TP/IPSec协议(配置更复杂,需要服务器端安装证书),或者联系您的ISP。
-
日志查看:
在服务器端的“事件查看器”中,查看“系统”和“应用程序”日志,特别是来源为“RemoteAccess”的事件,里面通常会记录详细的错误信息。
希望这份详细的教程能帮助您成功搭建起Windows Server 2003的VPN服务器,再次强调,请务必注意安全风险!
