問題八: 有無辦法紀(jì)錄VPN連接的日志?

答: 有的,一般可以通過設(shè)置radius服務(wù)器來實(shí)現(xiàn)外,還有如下方法:

通過命令行下操作實(shí)現(xiàn)PPP等日志文件
netsh ras set tracing * enable
這時候目錄C:\WinNT\tracing下將會有一堆log文件.

另外,運(yùn)行regedit.exe,打開
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\
Parameters在右窗口將DWORD"值LoggingFlags"改為"3"
然后就可以在eventvwr.msc的"系統(tǒng)日志"下看到關(guān)于"remoteaccess"的信息.

其中DWORD值"LoggingFlags"對應(yīng)的數(shù)字含義如下:
0:禁用事件日志
1:只紀(jì)錄錯誤
2:記錄錯誤及警告(這是默認(rèn)值)
3:記錄最多信息

問題九: 如何使用Radius服務(wù)器實(shí)現(xiàn)對VPN的記賬功能?

答:可參照如下步驟
1.安裝并運(yùn)行IAS服務(wù)
 運(yùn)行sysocmgr -i:sysoc.inf,
 選中"網(wǎng)絡(luò)服務(wù)--Internet驗(yàn)證服務(wù)",然后安裝.
 安裝完畢運(yùn)行IAS服務(wù),net start ias

2.安裝并運(yùn)行VPN服務(wù)
  具體不再詳述.

3.運(yùn)行netsh.exe
E:\WINNT\system32>netsh
netsh>ras aaaa
ras aaaa>set accounting radius
要使改動生效，必須重啟動遠(yuǎn)程訪問服務(wù)。

ras aaaa>add acctserver name = "本機(jī)器名稱" init-score = 5 port = 1813 timeo
ut = 30 messages = disabled
要使改動生效，必須重啟動遠(yuǎn)程訪問服務(wù)。

4.運(yùn)行ias.msc(要保證remoteregistry服務(wù)正處于運(yùn)行狀態(tài))
"客戶端"有窗口新建一"客戶端",名稱為VPN,客戶端地址為"本機(jī)器的IP",都按照
默認(rèn)的設(shè)定.
"遠(yuǎn)程訪問記錄"右窗口記錄著日志記錄的地方,以及日志記錄的內(nèi)容設(shè)置.設(shè)置里
最好三個選項(xiàng)都打上勾.
"遠(yuǎn)程訪問策略"一般是驗(yàn)證用戶時候用的,如果用的是windows自帶的用戶驗(yàn)證,可
以不必設(shè)置.為了使iaslog.log看著舒服,可以把"如果啟用撥入許可，就允許訪問"
改成"authen".

補(bǔ)充:Win2000 ResourceKit中的iasparse.exe可以對iaslog.log進(jìn)行分析.


問題十: 默認(rèn)情況下,撥到VPN服務(wù)器后,所有的網(wǎng)絡(luò)數(shù)據(jù)都是要經(jīng)過VPN服務(wù)
器的(本地網(wǎng)絡(luò)除外),對于一些站點(diǎn),我們更希望直接訪問而不通過VPN,那該
怎么辦呢?

答: 可以通過route add命令來為那些站點(diǎn)設(shè)定特定路由.
比如說,本地網(wǎng)絡(luò)是192.168.0.5/24,網(wǎng)關(guān)是192.168.0.1
現(xiàn)在正連接到一個VPN服務(wù)器,這時候?qū)τ?02.117.1.8的訪問想通過原有的線
路,那么可以用
route add 202.117.1.8 mask 255.255.255.255 192.168.0.1
來實(shí)現(xiàn),這時候訪問202.117.1.8將不再通過VPN服務(wù)器了.


問題十一: 默認(rèn)情況下,撥到VPN服務(wù)器后,所有的網(wǎng)絡(luò)數(shù)據(jù)都是要經(jīng)過VPN服務(wù)
器的(本地網(wǎng)絡(luò)除外),然而,有時候我們只希望對一些特定的站點(diǎn)的訪問從VPN
服務(wù)器經(jīng)過,其他都還是和原來一樣,應(yīng)該怎么做呢?

答:可以通過修改VPN連接的屬性來實(shí)現(xiàn),右鍵"網(wǎng)上鄰居"屬性,打開"網(wǎng)絡(luò)和撥
號連接",找到撥出VPN名稱(默認(rèn)名字是"虛擬專用連接"),右鍵"VPN名稱"的屬
性,選擇"網(wǎng)絡(luò)--'Internet協(xié)議(TCP/IP)'--高級--常規(guī)",把"在遠(yuǎn)程網(wǎng)絡(luò)上使
用默認(rèn)網(wǎng)關(guān)"那一項(xiàng)的勾去掉即可.這樣所有的網(wǎng)絡(luò)訪問都將不再通過VPN服務(wù)
器了.當(dāng)然可以通過route add命令來為一些站點(diǎn)設(shè)定特定路由.

比如說,本地網(wǎng)絡(luò)是192.168.0.5/24,網(wǎng)關(guān)是192.168.0.1,撥到一VPN服務(wù)器,
得到新的IP為192.168.3.3/32
經(jīng)過先前的設(shè)置,所有的網(wǎng)絡(luò)數(shù)據(jù)都將不再經(jīng)過VPN服務(wù)器了,但對于202.117.1.8
的訪問想通過VPN服務(wù)器實(shí)現(xiàn),可以用
route add 202.117.1.8 mask 255.255.255.255 192.168.3.3
來實(shí)現(xiàn),這時候訪問202.117.1.8將通過VPN服務(wù)器.

問題九: VPN可不可以穿透內(nèi)網(wǎng)以及串聯(lián)？

答: 所謂穿透內(nèi)網(wǎng),就是說VPN Client可以位于一個使用內(nèi)部地址的網(wǎng)絡(luò)內(nèi),而
VPN服務(wù)器位于公網(wǎng)上一個合法的IP地址;
    所謂串聯(lián),是先撥一個VPN服務(wù)器,然后再撥第二個VPN服務(wù)器.(本來第二個
VPN服務(wù)器是你不知能直接訪問的,但是通過第一個VPN就可以使用第二個VPN服
務(wù)器).
   對于PPTP方式的VPN來說,是可以穿透內(nèi)網(wǎng)的,也是可以串聯(lián)的.
   原來L2TP/IPsec模式的VPN是無法穿越內(nèi)網(wǎng)的,但是經(jīng)過Microsoft公司的
努力(Microsoft Knowledge Base Article - 818043),使用了NAT-T技術(shù),可
以讓L2TP/IPsec方式的VPN可以穿越內(nèi)網(wǎng),當(dāng)然也可以串聯(lián).

問題十二: 單網(wǎng)卡VPN服務(wù)器能否將給撥入的客戶一個虛擬的內(nèi)部地址然后通過
VPN服務(wù)器進(jìn)行地址轉(zhuǎn)換再出去?

答: 是可以的.在Windows2000下只有通過netsh.exe來實(shí)現(xiàn)
netsh ras ip set addrassign method = pool
#使用地址池的方式分配IP
netsh ras ip add range from = 192.168.3.1 to = 192.168.3.254
#地址池的范圍是從192.168.3.1到192.168.3.254,這里用的是一個虛擬的內(nèi)部
地址池.
netsh routing ip nat install #安裝NAT協(xié)議
netsh routing ip nat add interface= 本地連接 mode =full
#設(shè)置"本地連接"這塊網(wǎng)卡為對外網(wǎng)卡(進(jìn)行地址和端口轉(zhuǎn)換),注意此時
remoteregistry服務(wù)必須處于啟動狀態(tài)
netsh routing ip nat add interface=內(nèi)部 mode=private
#設(shè)置"內(nèi)部"這塊虛擬網(wǎng)卡為內(nèi)部地址,這塊網(wǎng)卡是操作系統(tǒng)虛擬的一塊不可見
網(wǎng)卡


問題十三: 能否對虛擬的VPN網(wǎng)卡進(jìn)行sniff?

答: 曾經(jīng)用了三種軟件在服務(wù)器和客戶端進(jìn)行了測試:
Sniffer pro4.6, tcpdump, netmon.exe(MS自帶的網(wǎng)絡(luò)監(jiān)視器)

結(jié)果發(fā)現(xiàn):
1.Sniffer pro4.6無法找到虛擬的VPN網(wǎng)卡,因此不能對虛擬的VPN網(wǎng)卡進(jìn)行監(jiān)測

2.tcpdump倒是可以對虛擬的VPN網(wǎng)卡監(jiān)測(tcpdump -i \device\packet_NdisWanIP)
可以無論在服務(wù)器端還是客戶端,一旦監(jiān)測這塊虛擬的VPN網(wǎng)卡,那么VPN將不再
能夠使用.(盡管顯示VPN還處于連接狀態(tài),但已經(jīng)無法工作了)

3.只有netmon.exe(網(wǎng)絡(luò)監(jiān)視器)可以正常工作,不影響VPN的使用,同樣還可以監(jiān)測
該虛擬的VPN網(wǎng)卡上流經(jīng)的數(shù)據(jù)

問題十四: 使用VPN這塊虛擬的網(wǎng)卡有什么特性?

答:首先看一下官方的說法:
當(dāng)建立RAS或VPN連接時,為了能與RAS/VPN客戶實(shí)現(xiàn)通信,RAS服務(wù)器從RAS靜態(tài)
IP地址池或DHCP中提取一個IP地址,然后為每個連接至服務(wù)器的客戶分配一個
IP地址.RAS/RRAS必須使這些IP地址綁定到一個適配器上.由于不存在物理適配
器,將創(chuàng)建一個虛擬的適配器,稱為NDISWAN.

WindowsNT客戶端將為每個拔出的連接創(chuàng)建一個NDISWAN適配器,為拔入/拔出連
接配置的Windows NT RAS服務(wù)器將創(chuàng)建一個NDISWAN適配器用于與RAS/VPN客戶
的通信,為每個拔出的連接創(chuàng)建一個NDISWAN 適配器.

只有當(dāng)?shù)谝粋€RAS/VPN客戶建立連接后,RAS服務(wù)器才為拔入的連接創(chuàng)建一個
NDISWAN適配器.IP地址被綁定到NDISWAN適配器上,直到RAS服務(wù)停止.

這個NDISWAN適配器僅對RAS/VPN客戶的請求作出響應(yīng).局域網(wǎng)客戶無法PING通
這個NDISWAN接口。

NDISWAN在RAS/RRAS中是有連接才創(chuàng)建.對于PPTP,創(chuàng)建的NDISWAN適配器數(shù)與所
配置的 PPTP 端口數(shù)相同。

查看 NDISWAN 適配器信息。

可以通過在命令行鍵入 ipconfig/all 來查看 NDISWAN 適配器,也可以在注冊
表的下列位置查看 NDISWAN 適配器：
HKLM\SOFTWARE\Microsoft\NdisWan
HKLM\SYSTEM\CCS\Services\NdisWan(x)
HKLM\SYSTEM\CCS\Services\NetBT\Adapters\NdisWan(x)
HKLM\SYSTEM\CCS\Services\NwlnkIpx\NetConfig\NdisWan(x)

我的幾個經(jīng)驗(yàn)是:
1.VPN Client撥入VPN服務(wù)器后,VPN client獲得的IP地址以及VPN服務(wù)器自己
保留的IP地址在VPN服務(wù)器網(wǎng)段里將不再可用,否則雙方將出現(xiàn)地址沖突;

2.VPN服務(wù)器在NDISWAN適配器尚未啟用之前,其地址池中第一個地址(將被VPN
服務(wù)器自己使用)可以存在于VPN服務(wù)器所在網(wǎng)段,并且在VPN Client撥入VPN服
務(wù)其后也不影響VPN正常使用(不沖突);

3.VPN Client撥入VPN服務(wù)器后,如果VPN client獲得的IP地址已經(jīng)被VPN服務(wù)
器網(wǎng)段的機(jī)器使用,那么雙方將不會出現(xiàn)沖突.表面上看VPN是正常的,實(shí)際上
VPN Client將不再能夠通過VPN服務(wù)器出去.