首页  产品介绍   软件下载   申请注册   问题解答   典型应用  联系我们   关于我们   相关报道

利用VPN网路技术实现数据大师的异地远程联网操作参考资料

第一章  WIN2000VPN设置原理

  VPN(虚拟专用网络,Virtual Private Network),是一种通过对网络数据的封包或加密传输,在公众网络上传输私有数据、达到私有网络的安全级别,从而利用公众网络构筑企业专网的组网技术。VPN是一种逻辑上的专用网络,能够向用户提供专用网络所具有的功能,但本身却不是一个独立的物理网络。
一、 VPN服务器端配置
 要求:一台2000S/AS,是否域成员均可实现,但细节上有差别,后面讨论。两块网卡,一块连Internet,一块连公司企业内部网(Intranet)。
 具体操作:
 1 开始/程序/管理工具/路由和远程访问/计算机名上右键/配置并启用路由和远程访问。
 2 将启动向导,下一步/第三项:虚拟专用网络(VPN)服务器。
   说明:如果选第三项VPN服务器,那么它仅仅只接受VPN用户连入,默认VPN端口数为:PPTP端口128个,L2TP端口128个。而且需要说明的是:即使当VPN用户拨通VPN服务器后,已经可以通过VPN网关访问企业内部网资源了,但这时远程VPN用户Ping VPN服务器的对外网卡,仍是不通的,因为它这时已经是隧道的一部分了。但内网用户Ping VPN服务器的对外网卡是通的。

 如果想使VPN服务器既接受VPN客户连入,也接受非VPN客户(即普通用户)连入,这时可选第二项:远程访问服务器,默认VPN端口数为:PPTP端口5个,L2TP5端口5个;也可以选第五项:手动配置服务器。这时的现象是远程的VPN用户可以PingVPN服务器的对外网卡。
 3 协议:TCP/IP等。
 说明:协议一般必须保证有TCP/IP,如果需要其它协议也可以添加上,但用户端也必须有相应协议才能拨通。
 4 Internet连接:对外网卡
 5 内部网络:对内网卡
注意:对外,对内网卡看清楚,切不可选错。
 6 远程客户IP分配:自动或来自一个指定的地址范围
说明:网络中若有可用的DHCP服务器,选自动。如果没有,手动指定一个内部网的合法IP地址段(注意不要冲突)即可。至少2个,因为一个分配给远程VPN用户,VPN服务器对外的虚拟PPP/SLIP网卡还需要一个内部IP
  7 是否使用RADIUS服务器:否
说明:如果不需要统一的验证、不需要记录用户上网情况进行收费,不必使用。
  若要使用RADIUSIAS服务器)验证,必须结合域,注意:应以域管理员身份配置IAS,并且在IAS上右键/AD中注册服务,否则需要手动在AD用户和计算机的“RAS and IAS Servers”组成员中添加IAS服务器的计算机帐号。
  8 完成
  9 要求配置DHCP中继代理
说明:只有在第6步选自动,且DHCP服务器与VPN服务器不在同一网段,才需要配置DHCP中继代理:指明DHCP服务器的IP
二、设置用户拨入权限
  1、如果VPN服务器不在域中,只能让远程VPN用户利用VPN服务器的本地帐号拨入。在VPN服务器上操作如下:    我的电脑/右键/管理/创建本地帐号/属性/拨入/允许访问
  2、如果VPN服务器在域中,还可让远程VPN用户利用域帐户拨入,在AD用户和计算机中设置,简单设置方法

同上。复杂设置:可利用远程访问策略,需要考虑域是本机模式还是混合模式,这里就不详细说了。
  注意:应以域管理员身份配置RRAS,否则需要手动在AD用户和计算机的“RAS and IAS Servers”组成员中添加RRASVPN服务器的计算机帐号。
三、VPN客户端配置
  操作如下:
  1 网上邻居/右键属性/新建连接/向导:下一步
  2 选第三项:通过Internet连接到专用网络(VPN
  3 公用网络:不拨初始连接或自动拨此初始连接
说明:如果用户是拨号上InternetModemADSL),可设置自动拨此初始连接:到ISP的连接;如果是固定IP上网,选不拨初始连接。
  4 目标地址:VPN服务器对外网卡的IP
  5 所用用户或仅自己使用此连接
  6 是否启用此连接的ICS共享
说明:如果想ICS,上一步必须选所有用户使用此连接。
另外就是关于“虚拟专用连接”属性设置:
  1 如果企业内部网是多层域结构,需要指明登录的域,可在“虚拟专用连接”/属性/选项/选中:包含WINDOWS登录域。
  2 如果需要指明拨入VPN服务器的类型(即所用VPN协议是PPTP、还是L2TP)可在可在“虚拟专用连接”/属性/网络/呼叫VPN服务器类型选择:自动、PPTPL2TP。需要说明的是如果想使用L2TP,必须在服务器端和客户机上安装来自共同信任CA颁发的证书。否则会出现:错误781,由于没有找到有效的证书,加密尝试失败。
四、常见问题
  1 用户拨通后,如同企业网本地用户一样,只要他有权限,可以访问公司企业网内的所有资源。但可能速度会慢一些,因为企业内部网用户一般10Mbps100Mbps甚至1000Mbps连接,也就是说慢一些是正常的。
  2 如果用户拨通后,只能访问VPN服务器,不能访问企业内部网其它服务器上的资源。应在“虚拟专用连接”/属性/网络/TCP/IP/高级/常规下,保证选中“在远程网络上使用默认网关”选项。
  3 如果用户拨通后,不能访问任何资源。这是由于VPN用户没有租到一个合法的企业内部网IP所致的,可在客户机上运行ipconfig /all,查看它的虚拟PPP/SLIP网卡的IP,如果是WIN2000及以上的系统,没租到IP,将会以一个自动的私有IPAPIPA)地址配置自己,形式如169.254.*.*。也可在“虚拟专用连接”/右键/状态/详细信息中查看。
  4 如果企业内部网是一个大型的路由式网络,只要VPN服务器的对内网卡上指明了正确的默认网关,远程VPN客户即可访问企业中与VPN服务器不在同一网段的计算机。
  5 用户拨入时出现:错误678,没有应答。这是由于VPN服务器上的RRAS未有效启动,应检查RRAS配置,或禁用后,重新配置。
  6 对于大型企业,可能会同时有许多远程VPN用户拨入。如果当初选第二项:远程访问服务器,默认VPN端口数为:PPTP端口5个,L2TP5端口5个;由于我们一般只使用PPTP,使用L2TP比较麻烦需要证书,所以第6个用户就无法连入;如果当初选第三项VPN服务器,默认VPN端口数为:PPTP端口128个,L2TP5端口128个,第129个用户就无法连入。
  解决办法很简单:VPN端口不像普通远程访问(RAS)端口那样受物理端口的限制,它的端口数可任意设置。在RRAS/端口/右键/属性/PPTP/配置/指明最多端口数。
当然有时管理员可能会基于性能的考虑,不想让太多的用户并发(同时)连接到VPN服务器上,也可以设置适应的值,当重要用户上不来时,把某用户踢下线去。方法:在RRAS/远程访问客户端/拨入用户名上,可以查看连接时间、状态、发消息给他或所有人、断开(踢下)等。在RRAS/端口下也可以踢下,看状态。

 

               以上第一章系从网上收集下载。

 
第二章  VPN服务器实现实例 

一、   本实例的硬件环境  
1、配置:CPU: Intel Celerom 700Mhz ,主板:磐英 3VCA2, 内存 128MB,两块网卡,一块是8139,一块是8029。水星16口交换机一台,TP-link TL-R402M 5口路由器一个,ADSL宽带model一个。(电脑确实够老了吧)
2、网线连接:电话线——>model ——
à路由器——〉交换机。8139网卡连接在交换机,8029网卡连接在路由器上。  
   由于有了两个网卡,因此,在网络邻居属性中,会产生连个连接图标,本地连接和本地连接2,本地连接的网卡(
对内网卡)是RTL8029,TCP/IP属性的IP地址为:192.168.1.88,子网掩码为:255.255.255.0,默认网关不要,DNS地址不要。 
  
本地连接2的网卡(
对外网卡)是RTL8139,TCP/IP属性的IP地址为:192.168.1.99,子网掩码为:255.255.255.0,网关是:192.168.1.1,DNS地址是:61.187.91.18和202.103.96.68。(注意,DNS地址各地不同)。

二、 操作系统安装  
windows 2000 server ,如果您的机器配置比较高,也可以安装windows 2003 server。

三、  VPN服务器设置  
首先,依据
VPN服务器端配置方法进行vpn服务器的设置,其中主要注意网卡的选择和IP地址范围的设置。在“地址范围指定”一步可以为VPN客户机指定所分配的IP地址范围。比如打算分配的IP地址范围为“192.168.0.100”~“192.168.0.200”。
其次,在
TP-link TL-R402M 路由器的设置中,点开转发规则——虚拟服务器,设置如下:

这样设置以后,就可以在远程电脑(按照VPN客户端配置要求建立的连接)用路由器中所看到的IP地址进行连接了。但由于IP地址是动态的,所以还必须上网域科技网站(http://www.oray.net/)上下载一个花生壳客户端版本的软件,安装在服务器上,然后申请一个护照,再申请一个免费域名,并激活,这样处理后,远程电脑就能直接用域名来建立连接了。

四、设置远程访问用户权限  
VPN服务器上操作如下:
  我的电脑/右键/管理工具/计算机管理/本地用户和组/用户,在操作菜单中点新用户,输入用户名和密码,确认。然后在其属性—拨入中选择允许访问。

五、客户端操作。以windows XP为例: 
  
1
网上邻居/右键属性/创建一个新连接/向导:下一步
  2 选第2项:连接到我的工作场所的网络  
       3、选择:虚拟专用网络连接  

       4
、输入连接名称:易通软件VPN连接  
       5
、选择:不拨初始连接  
       6
、在主机名称或IP地址中输入:cnytsoft.vicp.net  
            注:cnytsoft.vicp.net 是作者申请的花生壳免费域名。
 
     7
、完成。  
      然后,双击“易通软件VPN连接”图标,用户名中输入:ytsoftvpn,密码中输入:6103818,点连接按钮,即可连接成功。
  连接好后,此时还无法从网络邻居中看到服务器的电脑,还必须在网络邻居中先搜索出远程的计算机名,本例中的VPN服务器的机器名是:ytsoft001,搜索出来后,双击打开,根据提示输入用户名:ytsoftvpn,输入密码:6103818,这时便能使用VPN服务器上的共享文件了。

,设置数据大师的远程登陆路径
       进入数据大师(网络版)主菜单后,点系统设置设置或更换远程登陆路径,点添加,服务器名称中输入:易通软件服务器,点浏览,在路径中输入:\\ytsoft001\winsjds_nt$\,点确定,再点确认。最后点登录此服务器。注意,要测试数据录入等操作,请升级您的数据大师到3.86A版
   在数据大师的系统登录窗口,用户名称是:user,密码:user 。也可以选择userc 的密码是userc
  由于是多台电脑共用一个ASDL宽带上网,加之服务器的配置太低,因此,在数据大师中的速度会受到较大影响,有时菜单甚至不响应。但进入数据录入或查询等操作界面后,操作速度基本正常。
   如果您有兴趣想登录本室的服务器测试,请先跟我们联系,联系电话,0730-6103818。QQ:70164649
 注 :航空售票客户管理系统网络版可参照上述方法实现。

                                      易通管理软件工作室  周世鸿

                                           2006年09月

相关文章参考:

金万维天联VPN数据大师远程解决方案

中国移动通信集团公司 刘双宁博士:明明白白说VPN

图文操作 Win2003单网卡实现VPN教程

网管员进阶:VPN基础知识

中小型网络如何选择VPN的解决方案

WIN2000下VPN详细配置实例