1. 如何用 WINDOWS VPS搭建 VPN 服务
器
2011 年 08 月 5 日 DEV 37 条评论
之前发过一篇《如何用 Windows VPS 搭建翻墙 VPN》留言的朋友很多，都是在
配置 NAT 的时候遇到客户机连接 VPN 后不能访问外网的问题。由于那篇文章引
用了景德镇特产导致 URL 被屏蔽，下面重新整理发布一下(人比较懒，原文复制
修改)，总结了一些朋友在配置时遇到的问题和困惑，希望在这篇文章中得以解
决。
最近从 Photonvps.com 租了一台 windows 主机用来测试网站，512MB 的内存，
35GB 的硬盘空间，每个月 500GB 的流量和 2 个独立 IP 地址。我感觉价格偏贵，
不过售后服务还是蛮不错的，每次提交的 ticket 很快就会得到回复。
既然有两个 IP 当然不能浪费了，干脆做个 windows VPN，当然一个 IP 也没问题。
下面详细图文介绍如何用 Windows VPS 搭建 VPN 服务器。首先我们要保证 vpn
起用的条件“一停四开”
1.停止 window 自带的防火墙(windows firewall/internet connection sharing (ICS)服
务
2.远程注册表服务（Remote Registry)必须开启
3.server 服务 (Server)必须开启
4.route 路由服务(Routing and Remote Access)必须开启
5.Workstation 服务必须开启
如果服务器是默认配置的情况下，只需要关闭防火墙就并设置启动方式为禁用。
然后在管理工具中打开“路由和远程访问”在列出的本地服务器上点击右键，选择
“配置并启用路由和远程访问”。

2. 由于 Windows VPS 服务器是公网上的一台一般的服务器，不是具有路由功能的
服务器，是单网卡的，所以这里选择“自定义配置”。这里选“VPN 访问”和“NAT/
基本防火墙”。下一步，配置向导完成。

3. 点击“是”，开始服务。看启动了 VPN 服务后，“路由和远程访问”的界面下面开
始配置 VPN 服务器,在服务器上点击右键，选择 “属性”，在弹出的窗口中选择“IP”
标签，在“IP 地址指派”中选择“静态地址池”。这里有些朋友会问为什么不用
DHCP，因为咱租的机器配置太低用 DHCP 会浪费不必要的资源。另外静态地
址池中的地址是随便添的，只要是保留的私有 IP 就 OK，不明白的朋友可以直
接和我添一样的。
然后点击“添加”按钮设置 IP 地址范围，这个 IP 范围就是 VPN 局域网内部的虚
拟 IP 地址范围，每个拨入到 VPN 的服务器都会分配到一个范围内的 IP，在虚
拟局域网中用这个 IP 相互访问。这里设置为 10.10.10.1-10.10.10.10，一共 10 个
IP，默认的 VPN 服务器占用第一个 IP，所以，10.10.10.1 实际上就是这个 VPN
服务器在虚拟局域网的 IP。
每个客户端拨入 VPN 服务器都需要有一个帐号，默认是 windows 身份验证，所
以要给每个需要拨入到 VPN 的客户端设置一个用户，并为这个用户制定一个固
定的内部虚拟 IP 以便客户端之间相互访问。在管理工 具中的计算机管理里添加
用户，这里以添加一个 vpnuser 用户为例：先新建一个叫“vpnuser”的用户，创建
好后，查看这个用户的属性，在“拨入” 标签中做相应的设置，如图：

4. 远程访问权限设置为“允许访问”，以允许这个用户通过VPN 拨入服务器。点选“分
配静态 IP 地址”，并设置一个 VPN 服务器中静态 IP 池范围内的一个 IP 地址，
这里设为 10.10.10.10 。如果有多个客户端机器要接入 VPN，请给每个客户端都
新建一个用户，并设定一个虚拟 IP 地址，各个客户端都使用分配给自己的用户
拨入 VPN，这样各个客 户端每次拨入 VPN 后都会得到相同的 IP。如果用户没
设置为“分配静态 IP 地址”，客户端每次拨入到 VPN，VPN 服务器会随机给这个
客户端分配一个范围 内的 IP。这里有的朋友问可不可以不分配静态 IP 地址，
答案是当然可以，分配静态 IP 地址是为了方便统计每个用户的所使用的 VPN
流量。
至此，客户端就可以直接通过 windows 连接向导连接 VPN 服务器了，但是服务
器还没有完全配置完，这里需要特别说明一下：我们搭建 VPN 服务器的目的是
￥翻￥墙￥，而不是访问服务器所在的内网。如果仅仅是为了访问内网资源而搭
建 VPN 请看《windows2003 架设 VPN 穿越 Juniper 防火墙设置步骤》这篇文章
介绍了用 Windows2003 搭建 VPN 需要注意的细节及通过 VPN 跨网段访问内网
资源的设置。

5. 再回到路由和远程控制，找到“NAT/基本防火墙”右键点击新建接口并选择本地
区域链接。这里是最关键的哦，也是好多朋友配置出错的地方，前面可以完全
按照我的来配置，这里就需要根据自己的环境来配置了。如图：
在 NAT/基本防火墙设置中选择公共接口链接到 Internet，并在这个接口上启用
NAT。如图：

6. 选择IP地址池选项卡，将 ISP也就是你的主机供应商分配给的公网 IP地址添上。
注意！！！就是这里了！好多朋友不知道这里的 IP 是什么，这个 IP 是你主机
商分配给你的，如果只有一个 IP就添你主机的 IP，掩码也必须是主机商提供的，
可不能写我的掩码（MASK）哦，不然连接 VPN 的客户机会找不到外网网关，
就不能访问外网了。如果是两个可以都添，也可以随便选一个添。如图：

7. 为了维护起来方便，我们可以将 VPN 用户名和 IP 绑定起来，也就说每个用户连
接 VPN 会分到固定的 IP 地址，点击预留 IP 将公网 IP 和私有 IP 进行 绑定，我
刚刚建立了一个 vpnuser 的用户并给此用户分配了私有 IP：10.10.10.10 那么我就
把这个私有 IP 绑定在多余的 IP 地址上。如果你有多个公网 IP，这个配置能够实
现每个用户每次拨入 VPN 后都会得到一个固定的公网 IP。如图：

8. OK！到这里 VPN 就配置完成了。如果还遇到问题请描述清楚留言！