安装远程访问作为 VPN 服务器

本入门指南介绍如何安装和配置远程访问 (RAS) 作为 VPN 服务器。

先决条件

Administrators 组成员或同等身份是执行这些过程的最低要求。 但是,如果 RAS 服务器已加入域,则该过程需要由域管理员执行。

安装远程访问角色

若要使用 Windows PowerShell 安装远程访问角色,请执行以下操作:

  1. 以管理员身份打开 Windows PowerShell。

  2. 输入并运行以下 cmdlet:

    Install-WindowsFeature DirectAccess-VPN -IncludeManagementTools
    

    安装完成后,Windows PowerShell 中会显示以下消息。

    | Success | Restart Needed | Exit Code |               Feature Result               |
    |---------|----------------|-----------|--------------------------------------------|
    |  True   |       No       |  Success  | RAS Connection Manager Administration Kit |
    

将远程访问配置为 VPN 服务器

在本部分,我们将配置远程访问,以允许 IKEv2 VPN 连接并拒绝来自其他 VPN 协议的连接。 我们还将分配一个静态 IP 地址池,用于向要进行连接的已授权 VPN 客户端颁发 IP 地址。

路由和远程访问服务(RRAS)使用虚拟专用网络(VPN)或拨号连接支持远程用户或站点到站点连接。 它接受基于 PPTP、L2TP、SSTP 和 IKEv2 等协议的 VPN 连接。 安装 RRAS 角色并使用默认配置进行设置时,所有协议都处于启用状态。 默认情况下,授权客户端可以使用任何已启用的协议建立 VPN 连接。 从 Windows Server 2025 开始,新的 RRAS 设置不接受基于 PPTP 和 L2TP 协议的 VPN 连接。 如有必要,仍可启用这些协议。 基于 SSTP 和 IKEv2 的 VPN 连接仍可接受,不会有任何变化。

现有配置和 Windows Server 版本保留其行为。 例如,如果你运行的是 Windows Server 2019 并接受 PPTP 和 L2TP 连接,则使用就地更新更新到 Windows Server 2025 时,仍接受基于 L2TP 和 PPTP 的连接。 这一更改不会影响 Windows 客户端操作系统。

注意

除了 IKEv2 之外,你也可以选择使用 SSTP。 我们不建议使用 PPTP,因为它缺少安全功能。

  1. 确保防火墙规则允许 UDP 端口 500 和 4500 入站连接到应用于 VPN 服务器上的公共接口的外部 IP 地址。

  2. 在 VPN 服务器上的服务器管理器中,选择“通知”标志。 可能需要等待一两分钟才能看到“通知”标志。

  3. 在“任务”菜单中,选择“打开入门向导”以打开配置远程访问向导。

    注意

    配置远程访问向导可能会在服务器管理器后面打开。 如果打开该向导花费的时间太长,请移动或最小化服务器管理器,以查看该向导是否在服务器管理器的后面。 如果不是,请等待向导完成初始化。

  4. 选择“仅部署 VPN”打开路由和远程访问 Microsoft 管理控制台 (MMC)。

  5. 右键单击 VPN 服务器,然后选择“配置并启用路由和远程访问”打开路由和远程访问服务器安装向导。

  6. 在“欢迎使用路由和远程访问服务器安装向导”中选择“下一步”。

  7. 在“配置”中选择“自定义配置”,然后选择“下一步”。

  8. 在“自定义配置”中选择“VPN 访问”,然后选择“下一步”打开“正在完成路由和远程访问服务器安装向导”。

  9. 选择“完成”关闭向导,然后选择“确定”关闭“路由和远程访问”对话框。

  10. VPN 服务器运行后,右键单击 VPN 服务器并选择“属性”。

  11. 选择“IPv4”选项卡并执行以下步骤:

    1. 选择“静态地址池”。

    2. 选择“添加”以配置 IP 地址池。

    3. 在“起始 IP 地址”中,输入要分配给 VPN 客户端的 IP 范围内的起始 IP 地址。

    4. 在“结束 IP 地址”中,输入要分配给 VPN 客户端的 IP 范围内的结束 IP 地址,或者在“地址数”中输入要提供的地址数量。

  12. 选择“确定”关闭“属性”对话框。

  13. 在“路由和远程访问”MMC 中右键单击“端口”,然后选择“属性”打开“端口属性”对话框。

  14. 选择“WAN 微型端口(SSTP)”,然后选择“配置”打开“配置设备 - WAN 微型端口(SSTP)”对话框。

    1. 清除“远程访问连接(仅入站)”和“请求拨号路由连接(入站和出站)”。

    2. 选择“确定”。

  15. 选择“WAN 微型端口(IKEv2)”,然后选择“配置”打开“配置设备 - WAN 微型端口(IKEv2)”对话框。

    1. 确保“远程访问连接(仅入站)”和“请求拨号路由连接(入站和出站)”处于选中状态。

    2. 在“最多端口数”中,输入与你要支持的同时 VPN 连接数上限匹配的端口数。

    3. 选择“确定”。

  16. 选择“WAN 微型端口(L2TP)”,然后选择“配置”打开“配置设备 - WAN 微型端口(L2TP)”对话框。

    1. 清除“远程访问连接(仅入站)”和“请求拨号路由连接(入站和出站)”。

    2. 选择“确定”。

  17. 选择“WAN 微型端口(PPTP)”,然后选择“配置”打开“配置设备 - WAN 微型端口(PPTP)”对话框。

    1. 清除“远程访问连接(仅入站)”和“请求拨号路由连接(入站和出站)”。

    2. 选择“确定”。

后续步骤