為什么有的機器無法啟動"路由與遠程訪問"服務?

答: 這可能與你啟動了"Internet連接共享"(Internet Connection Sharing)
服務有關,你可以用net stop sharedaccess來停止"Internet連接共享"服務,
然后啟動"路由與遠程訪問"服務.


問題二: 為什么啟動"路由和遠程訪問"服務后在網絡鄰居"屬性"看不到"傳入
的連接"呢?或者出現這樣的情形,"路由和遠程訪問"服務已經啟動,但是在網
絡鄰居"屬性"看不到"傳入的連接".

答: 這是可能是你曾經配置過"網絡路由器"的原因,由兩種方法可以改正之:
方法一: 通過rrasmgmt.msc
1.啟動"遠程注冊表服務"(net start remoteregistry),停止"路由和遠程訪
問"服務(net stop remoteaccess);

2.運行rrasmgmt.msc,如果右鍵出現的是"禁止路由和遠程訪問",那么你先"禁
止路由和遠程訪問",然后關閉rrasmgmt.msc.否則直接進入第三步;

3.運行rrasmgmt.msc,然后選擇"配置并啟用路由和遠程訪問",然后按下一步,
選擇"手動配置服務器",按一下步,然后選擇"完成"結束安裝;

4.這時候你打開網絡鄰居會看到"傳入的連接"又出現了;

5.此時你運行rrasmgmt.msc,可以再次右鍵選擇"禁用路由和遠程訪問",然后
關閉rrasmgmt.msc.因為"手動配置服務器"打開了太多的服務.

7.然后你可以啟動"路由和遠程訪問"服務,網絡鄰居屬性里那個"傳入的連接"
又出現了.

方法二:運行regedit,打開
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\
Parameters把右窗口的DWORD值"RouterType"從2改成7(實際上只要不是2,其
他任意整數均可).


問題三: 能不能通過命令行方式配置VPN服務器?

答:可以通過netsh.exe來實現:
netsh ras set user administrator permit #允許administrator撥入該VPN
netsh ras set user administrator deny #禁止administrator撥入該VPN
netsh ras show user #查看哪些用戶可以撥入VPN
netsh ras ip show config #查看VPN分配IP的方式
netsh ras ip set addrassign method = pool #使用地址池的方式分配IP
netsh ras ip add range from = 192.168.3.1 to = 192.168.3.254 #地址池
的范圍是從192.168.3.1到192.168.3.254


問題四: 一般情況下只有通過rrasmgmt.msc才能對VPN客戶端連接數(默認情
況下PPTP和L2TP各5個,直接并行端口1個),與連接方式(PPTP或是L2tp)進行修
改.上文中將rrasmgmt.msc禁用了,是否有其他辦法修改端口呢?

答: 有的,方法如下:
1.運行regedit,打開
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Control\Class\{4D36E972--E325-
11CE-BFC1-08002BE10318}\0000,0001,0002...
找到右窗口"DriverDesc"為"WAN 微型端口 (PPTP)"和"WAN 微型端口 (L2TP)"
的目錄

2.察看右窗口是否有DWORD值"WanEndpoints",如果有,則對之進行修改，
如果沒有,則新建一DWORD值"WanEndpoints",其大小為你要設定的連接數

3.重新啟動機器.

經過研究,發現對于Win2k Srv或Win2k AdvSrv來說,通過注冊表可以修改服務
器接受的連接數,對于Win2k Pro來說,最多只能接受一個Client的連接,但是
修改可以使之不接受Client的連接.


問題五: 開了VPN服務后,有時日志里會有這么一項:
事件類型: 警告
事件來源: RemoteAccess
事件種類: 無
事件 ID: 20192
日期:  2002-8-2
事件:  8:55:12
用戶:  N/A
計算機: COMPUTER
描述:
找不到證書。使用在IPSec上的L2TP協議的連接要求安裝機器證書,這也叫做計
算機證書.將不會接受L2TP呼叫.

這是怎么回事,怎么才能解決這個問題呢?

答:這是因為Windows為L2TP連接的VPN自動創建一個IPsec策略,這個IPsec策略
使用本地機器上的證書來進行雙方的認證.如果本地機器沒有合適的證書,那么
就會出現上面的問題.有兩種辦法可以解決之:
方法一:取消L2TP VPN自動創建的IPsec策略
運行regedit.exe,打開
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
新建一DWORD值ProhibitIPsec,并將值設置為1

方法二,取消L2TP方式的VPN
運行regedit.exe,打開
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Control\Class\{4D36E972--E325-
11CE-BFC1-08002BE10318}\0000,0001,0002...
找到右窗口"DriverDesc"為"WAN 微型端口 (L2TP)"
把DWORD值"WanEndpoints"改為0即可


問題六: 怎么做一個認證方式為預共享密鑰的L2TP/IPsec方式的VPN?

答:可以參照如下步驟
步驟一:.首先,打開L2TP端口
一般情況下用Win2k Server通過常規方式搭建的VPN服務器對客戶端連接情
況是PPTP和L2TP各5個,直接并行端口1個.可通過如下方式修改支持的使用
L2TP的VPN客戶端的個數.

運行regedit,打開
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Control\Class\{4D36E972--E325-
11CE-BFC1-08002BE10318}\0000,0001,0002...

找到右窗口"DriverDesc"為"WAN 微型端口 (L2TP)"的目錄.
察看右窗口是否有DWORD值"WanEndpoints",如果有,則對之進行修改，
如果沒有,則新建一DWORD值"WanEndpoints",其大小為你要設定的連接數

2.取消L2TP VPN自動創建的使用證書方式認證IPsec策略
運行regedit.exe,打開
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
新建一DWORD值ProhibitIPsec,并將值設置為1

3.設置IPsec策略保護L2TP通訊,保護內容為本機1701端口到其他任何機器1701端口
的所有UDP通訊.如果安裝了Win2000 Resource Kit,使用如下命令:
ipsecpol -w reg -p VPN -r VPN -a preshare:"vpn"
-x -n ESP[3DES,SHA]3600S/100000KP ESP[3DES,MD5]3600S/100000KP ESP[DES,
SHA]3600S/100000KP ESP[DES,MD5]3600S/100000KP
-f 0:1071+*:1071:udp


問題七: PPTP方式和L2TP方式的VPN有何異同?

答:與其協議和工作方式有關

使用PPTP方式的VPN連接時,VPN服務器端保持著1723端口與客戶端一任意
端口的TCP連接,TCP端口1723上跑的是PPTP Control Message,包括了
PPTP隧道創建,維護和終止之類的日常管理工作(建立/斷開VPN連接的
請求等).客戶端通過TCP與服務器1723端口建立連接后,進入基于GRE
(通用路由協議--IP協議編號為47,TCP的IP協議編號為6)的PPP協商,
包括了用戶驗證,數據傳輸等所有通訊.斷開VPN連接時又用到了基于
1723端口的PPTP Control Message.

也就是說,PPTP方式的VPN連接,VPN客戶端的建立/斷開連接請求都是通
過和服務器的TCP 1723端口用PPTP協議聯系的,至于具體的用戶驗證,
數據傳輸等都是通過PPP協議來通訊的,而PPP協議又是跑在GRE(和TCP,
UDP協議平行的協議,GRE的IP協議編號為47)之上的.

PPTP方式的VPN有以下幾個特點,
1.VPN客戶端可以使用私有地址通過NAT服務器來連接具有合法地址VPN服務器;
2.VPN連接時只有一層驗證--就是用戶身份驗證

使用L2TP方式VPN連接時,VPN服務器保持著1701端口與客戶端1701端口的
UDP"連接".由于Microsoft不鼓勵將L2TP直接暴露在網絡中,因此自動為L2TP
連接創建一個使用證書方式認證IPsec策略(當然可以通過修改注冊表使證書
認證變成與共享密鑰認證)

因此L2TP通訊就被裹在IPsec策略創建的Ipsec隧道內,用ipsecmon可以看清楚
實際上還是1701<-->1701的UDP通訊

VPN開始通訊時,需要雙方交換密鑰,這是通過UPD 500端口的ISAKMP來實現的.
從此以后所有的VPN通訊,包括建立/斷開連接請求,用戶驗證,數據傳輸都是通過
ESP(與TCP,UDP協議平行的協議,ESP的IP編號為50)之上傳輸的.

L2TP/IPsec方式的VPN有以下幾個特點:
1.VPN客戶端無法使用私有地址來連接具有合法地址的VPN服務器(2002年末經過
Microsoft公司的努力(Microsoft Knowledge Base Article - 818043),使用
了NAT-T技術,可以讓L2TP/IPsec方式的VPN可以穿越內網)
2.VPN連接需要兩層驗證:密鑰驗證和用戶身份驗證(其中密鑰是Ipsec層面的認證)