windows 2003与艾泰 HiPER 811路由器组vpn翻墙

作者：farmerluo   来源：http://hi.baidu.com/farmerluo/blog/item/9044277f60330b0428388adf.html

在国外有windows 2003的服务器，公司用的是艾泰 HiPER 811路由器，只支持chap和pap的验证方式。因需要访问Facebook，所以想利用windows 2003与艾泰 HiPER 811路由器组vpn翻墙。

先配置windows 2003的vpn服务：


下一步安装后会出现配置路由及远程访问向导：



选择虚拟专用网(VPN)和NAT,下一步：



选择连接internet的网卡，下一步：



设置给VPN客户端用的IP地址，我是手工给一个地址段给它用。



下一步：



选择启用DNS和DHCP,下一步就完成配置了。

完成后需要建一个用户给vpn客户端连接vpn时用，在"管理工具->计算机管理-本地用户和组->用户"内新增一个用户，完成后编辑用户的属性：



点拨入选项卡，在远程访问权限内选择允许访问，确定。

这样服务器上的配置暂时就可以了（但是和路由器还不行，后面需要改验证方式。），先用windows xp的vpn客户端测试：

先新建一个VPN连接：
























不出意外的话应该可以连上了，上网查下自己的IP地址，已经是windows 2003的公网地址了，上上Facebook，OK，可以打开。哈哈。

但是不要高兴得太早，艾泰 HiPER 811路由器只支持CHAP和PAP两种验证方式，而默认这两个方式在windows 2003内都是禁用的。所以还需要修改路由及远程访问的配置，先打开远程访问策略中的第一条：到Microsoft路由选择和远程访问服务的策略：



点编辑配置文件：



将“加密身份验证(CHAP)”和未加密的身份验证（PAP,SPAP）选中，启用它们。



再到加密选项卡，选中“无加密”。



上面弄完了之后，服务的属性内也要改，到“安全”选项卡，打开"身份验证方法"：



将“加密身份验证(CHAP)”和未加密的身份验证（PAP）选中，启用它们。



别急，还没完，呵呵。

因为windows 2003的密码保存方式已经和CHAP验证方式不兼容了，所以还得改变系统的密码保存方式，打开组策略编辑器：




在 计算机配置->windows 设置 -> 安全配置 -> 密码策略内，修改“用可还原的加密来储存密码”，启用它。






改完后，再去把之前建来给vpn客户端用所有用户的密码再修改一遍，这样系统就以新的方式存储用户密码了。

至此，服务器上的配置就此完成，累死了。:-)

再用windows xp的vpn客户端测试一下：






按上图修改，改完后连接服务器，能连上就可以改路由器了。

艾泰 HiPER 811路由器的修改：

先增加帐户：


连接：



然后就可以找到需要访问国外网站的IP段，配置相应的路由表。



OK，现在整个公司的人都可以访问Facebook了。


今天发现一个问题，上面配好了，不能远程登陆windows 2003服务器了。解决如下：

在NAT/基本防火墙内，找到连接公网的网卡，点属性：


到服务和端口选项卡内，选中远程桌面。


配置一下，IP可以填127.0.0.1。


OK，可以从外面远程连接到服务器的公网IP了。