Windows Server 2016/2022 安全VPN配置指南

如何在Windows Server（2016、2022）上设置基本VPN连接

对于许多小型企业和IT团队而言，网络安全始于保护用户连接到内部系统的方式。提高远程访问安全性的最简单方法之一是使用VPN（虚拟专用网络）。尽管许多IT管理员熟悉此过程，并且许多防火墙或路由器都内置了VPN服务器功能（例如带有Cisco VPN客户端的Cisco防火墙），但您也可以在Windows Server 2016或2022上设置基本VPN服务器。这允许您连接到隔离系统，前提是您能控制防火墙。例如，您可以使用此方法创建从办公室到家庭PC的安全连接，避免在开放互联网上进行RDP（远程桌面协议）会话。

为什么使用VPN而不是开放RDP端口？

虽然现代远程桌面实现是加密的，但将RDP端口开放到互联网上并不是最小化安全足迹的理想做法。使用VPN是更好的实践。

VPN增加了一层电子邮件和网络保护，仅允许受信任的用户安全访问您的环境。它还减少了您面临电子邮件欺骗、域名欺骗以及其他与暴露服务相关的网络安全风险的风险。

或者，您可以通过配置防火墙规则来限制暴露，仅允许来自受信任IP地址的RDP访问，但VPN仍然是更安全、更灵活的解决方案，特别是对于不断增长的团队或远程访问需求。

谁应该使用此方法？

最能从此设置中受益的用户是从第三方VPS提供商租用虚拟机并希望避免在标准RDP端口上暴露这些机器的用户。

此VPN设置也强烈推荐给：

• 在云或虚拟环境中管理Windows服务器的MSP
• 希望通过不将RDP端口暴露给公共互联网来降低风险的企业
• 需要从家庭或卫星办公室进行安全远程访问的用户
• 专注于改善网络安全、电子邮件安全以及防范网络钓鱼或欺骗的组织

使用VPN有助于减少您的攻击面，并支持更强大、更分层化的网络安全方法。

服务器端：设置VPN连接器

在设置VPN之前，请确保任何物理防火墙（如路由器或硬件防火墙）允许PPTP穿透：

• 必须开放端口1723
• 必须允许GRE协议47（注意：这是一个协议，而不是端口）

这些应该开放并路由到您要连接的机器。

假设防火墙已正确配置，以下是在Windows服务器上设置VPN的方法（此示例使用Windows Server 2008）：

1. 转到控制面板 > 网络 > 网络和共享中心
2. 单击“更改适配器设置”

一旦进入“更改适配器设置”页面，按Alt-F调出“文件”菜单，因为在某些情况下此菜单可能默认隐藏。

您应该看到一个菜单弹出。单击“新建传入连接”。

将出现一个名为“允许连接到此计算机”的新窗口。在现代Windows Server上，默认不会选择任何用户。在旧版本的Windows Server上，将选择管理员用户。

在我们的案例中，我们只想为RDP访问进行VPN，因此我们选择“管理员”。

单击下一步继续。

出现另一个弹出窗口。系统问：“人们将如何连接？”当然是通过互联网！单击下一步。

在下一个窗格中，您将被要求允许访问。从此窗格中，选择IPv4或IPv6（无论您使用哪种），然后单击“属性”。

在单击“允许访问”之前，您可以配置如何将IP地址分配给VPN客户端。当有人连接到此计算机时，他们将从您分配的池中接收动态IP地址。这是一个仅链接VPN服务器和任何其他连接到它的机器的专用网络。

您可以简单地保留默认设置并立即单击“允许访问”。机器将获取本地LAN上的可用IP，然后分配给将连接到您的服务器的工作站。

（可选）配置VPN客户端的IP范围

如果您单击“属性”，将打开一个窗口，您可以在其中定义自定义IP地址范围。

这是您指定要分配给连接到此机器的系统的IP范围的地方。最好确保这与内部使用的任何IP范围不冲突。在这种情况下，我们输入192.168.10.10到192.168.10.15。VPN服务器本身（目标机器）将自动绑定到第一个IP（192.168.10.10），因此您的第一台连接到它的机器应该获得192.168.10.11。

一旦单击“确定”，您将再次看到“允许访问”窗格。

只需单击“允许访问”。您现在将看到类似这样的确认；在这种情况下，您就完成了。原则上，机器应自动打开必要的端口。在这种情况下，我们希望PPTP端口（1723）开放。

单击关闭完成设置。

您现在应该看到一个标记为“传入连接”的新适配器。这意味着系统已准备好接受VPN连接。

如果您转到Windows防火墙，操作系统应该已经自动为您打开了PPTP-in端口（TCP: 1723）和GRE-in（GRE:47）。

这些允许VPN连接通过您的防火墙。如果您没有看到这些启用，您可以通过Windows Defender防火墙 > 入站规则部分手动允许它们。

此时，您已完成接收机器的设置。

如果您希望它绑定到此，您可能需要重新启动它或重新启动远程桌面服务。

如果我的服务器在物理防火墙后面怎么办？

如果您的VPN服务器在物理防火墙或路由器后面，就像这种情况——一个Unifi SOHO路由器——您需要手动将所需的VPN端口转发到Windows服务器。

您需要创建一个端口转发规则，将端口1723 TCP入站转发到相关服务器。并且，还要允许PPTP和GRE入站。

在Unifi控制器界面中：

转到配置（左下角的齿轮图标）并搜索“端口转发”。然后单击该选项。

创建一个新的端口转发条目…

添加服务器信息，包括端口和您LAN的服务器IP地址

单击“应用更改”

您将在端口转发表中看到新列出的规则。

双重检查防火墙设置

在您的防火墙设置下，双重检查PPTP和GRE是否全局允许。如果两者都允许，您应该可以开始了。

在客户端机器上

现在让我们从Windows 10或Windows 11客户端设置连接（在下面的示例中，是Windows 11）。

在Windows搜索栏中，键入VPN并选择“添加VPN连接”。

单击添加VPN

在“添加VPN连接”面板中，填写所需信息。

在这种情况下，我们正在连接到我们在互联网上的公共域名。

当您的防火墙正确配置时，它应将VPN流量路由到您设置的后端服务器。

单击保存。VPN连接现在将出现在您的可用网络列表中。

连接到VPN

从客户端机器上的主Windows屏幕，单击网络图标（右下角），然后在弹出窗口中单击“VPN”。

接下来，单击“连接”。系统将提示您输入凭据：

输入您之前启用的Windows服务器用户的用户名和密码（例如，Administrator）。

我们已连接！

从此时起，我们应该能够使用私有IP（在这种情况下是192.168.1.80）正常RDP到服务器本身，并从那里开始。

在示例中，我们使用远程桌面连接到服务器，使用本地LAN地址（即使我是从网络外部连接的）。

您可以在服务器端的屏幕截图中看到管理员通过Wan Miniport（PPTP）连接，因此我们通过PPTP通过VPN进行隧道传输。

事实上，在我连接VPN的工作站上，我被分配了同一本地网络中的IP：

为什么要经历所有这些麻烦？

将远程桌面协议（RDP）端口（通常为3389）暴露给公共互联网是不安全的，因为：

• 易受暴力攻击：RDP是自动化攻击的常见目标，试图猜测用户名和密码，特别是如果使用弱凭据。
• 可利用的漏洞：RDP有多个安全缺陷（例如，BlueKeep、CVE-2019-0708），如果未打补丁的系统暴露，允许未经身份验证的远程代码执行。
• 默认缺乏加密：旧版本的RDP可能不强制执行强加密，暴露敏感数据给拦截。
• 凭据盗窃：攻击者可以使用网络钓鱼或恶意软件窃取凭据，获得对暴露的RDP服务器的直接访问。
• 僵尸网络和勒索软件风险：受感染的RDP服务器通常用于传播恶意软件、挖掘加密货币或部署勒索软件。

使用VPN进行RDP更安全，因为它：

• 将RDP端口从公共互联网隐藏，减少暴露于网络攻击。
• 使用强协议加密数据，保护敏感信息。
• 限制访问授权用户，最小化攻击面。

将VPN安全与更广泛的网络安全实践连接起来

设置VPN是减少暴露于远程访问威胁的重要一步。但对于全面的安全态势，解决VPN未覆盖的风险也很重要，特别是那些与电子邮件安全相关的风险。

诸如网络钓鱼、电子邮件欺骗和恶意软件交付等攻击通常绕过网络级保护。这就是DMARC强制执行、电子邮件认证和入站电子邮件过滤等解决方案变得关键的地方。

Vircom支持MSP和IT团队通过诸如用于域认证的OnDMARC和用于网络钓鱼和恶意软件保护的Proofpoint Essentials等工具添加这些保护层。这些解决方案通过在威胁到达用户之前识别和阻止它们来帮助降低风险。

通过将安全访问与强大的电子邮件保护相结合，组织可以加强其整体网络安全策略，而不会增加复杂性。