在Windows Server上设置基础VPN连接(2016、2022)
对于许多小型企业和IT团队而言,网络安全始于保护用户连接到内部系统的方式。提高远程访问安全性的最简单方法之一是使用VPN(虚拟专用网络)。
尽管许多IT管理员熟悉此过程,并且许多防火墙或路由器都内置了VPN服务器功能(例如带有Cisco VPN客户端的Cisco防火墙),您也可以在Windows Server 2016或2022上设置基础VPN服务器。只要您能控制防火墙,这使您能够连接到隔离系统。例如,您可以使用此方法创建从办公室到家庭PC的安全连接,避免在开放互联网上进行RDP(远程桌面协议)会话。
为什么使用VPN而不是开放RDP端口?
虽然现代远程桌面实现已加密,但将RDP端口开放到互联网对于最小化安全足迹并不理想。使用VPN是更好的做法。
VPN增加了一层电子邮件和网络保护,仅允许受信任的用户安全访问您的环境。它还减少了您面临电子邮件欺骗、域名欺骗以及其他与暴露服务相关的网络安全风险的风险。
或者,您可以通过配置防火墙规则来限制暴露,仅允许来自受信任IP地址的RDP访问,但VPN仍然是更安全、更灵活的解决方案,特别是对于不断增长的团队或远程访问需求。
谁应该使用此方法?
最能从此设置中受益的用户是从第三方VPS提供商租用虚拟机并希望避免在标准RDP端口上暴露这些机器的用户。
此VPN设置也强烈推荐给:
- 在云或虚拟环境中管理Windows服务器的MSP
- 希望通过不向公共互联网暴露RDP端口来降低风险的企业
- 需要从家庭或卫星办公室进行安全远程访问的用户
- 专注于改进网络安全、电子邮件安全以及防范网络钓鱼或欺骗的组织
使用VPN有助于减少攻击面,并支持更强大、更分层的网络安全方法。
服务器端:设置VPN连接器
在设置VPN之前,请确保任何物理防火墙(如路由器或硬件防火墙)允许PPTP穿透:
- 必须开放端口1723
- 必须允许GRE协议47(注意:这是协议,不是端口)
这些应该被开放并路由到您想要连接的机器。
假设防火墙已正确配置,以下是在Windows服务器上设置VPN的方法(此示例使用Windows Server 2008):
- 转到控制面板 > 网络 > 网络和共享中心
- 点击"更改适配器设置"
进入"更改适配器设置"页面后,按Alt-F调出"文件"菜单,因为在某些情况下此菜单可能默认隐藏。
您应该会看到一个菜单弹出。点击"新建传入连接"。
将出现一个名为"允许连接到此计算机"的新窗口。在现代Windows Server上,默认不会选择任何用户。在旧版Windows Server上,将选择管理员用户。
在我们的案例中,我们只想为RDP访问进行VPN,因此我们选择"administrator"。 点击下一步继续。
出现另一个弹出窗口。系统询问:“人们将如何连接?“当然是通过互联网!点击下一步。
在下一个窗格中,您将被要求允许访问。从此窗格中,选择IPv4或IPv6(无论您使用哪个)并点击"属性”。
在点击"允许访问"之前,您可以配置如何将IP地址分配给VPN客户端。当有人连接到此计算机时,他们将从您分配的池中收到一个动态IP地址。这是一个仅链接VPN服务器和任何其他连接到它的机器的专用网络。
您可以简单地保留默认设置,并立即点击"允许访问”。机器将获取本地LAN上的一个可用IP,然后分配给将连接到您服务器的工作站。
(可选)为VPN客户端配置IP范围
如果您点击"属性",将打开一个窗口,您可以在其中定义自定义IP地址范围。
在这里,您可以指定要分配给连接到此机器的系统的IP范围。最好确保这不与内部使用的任何IP范围冲突。在这种情况下,我们输入192.168.10.10到192.168.10.15。VPN服务器本身(目标机器)将自动绑定到第一个IP(192.168.10.10),因此您连接到此的第一个机器应该获得192.168.10.11。
一旦点击"确定",您将再次看到"允许访问"窗格。 只需点击"允许访问"。您现在将看到类似这样的确认;在这种情况下,您就完成了。原则上,机器应自动打开必要的端口。在这种情况下,我们希望PPTP端口(1723)开放。 点击关闭完成设置。
您现在应该看到一个标记为"传入连接"的新适配器。这意味着系统已准备好接受VPN连接。
如果您转到Windows防火墙,操作系统应该已经自动为您打开了PPTP-in端口(TCP: 1723)和GRE-in(GRE:47)。
这些允许VPN连接通过您的防火墙。如果您没有看到这些已启用,您可以通过Windows Defender防火墙 > 入站规则部分手动允许它们。
此时,您已完成接收机器的设置。 如果您希望它绑定到此,可能需要重新启动它或重新启动远程桌面服务。
如果我的服务器在物理防火墙后面怎么办?
如果您的VPN服务器在物理防火墙或路由器后面,如本例中的Unifi SOHO路由器,您需要手动将所需的VPN端口转发到Windows服务器。
您需要在端口1723 TCP入站上为相关服务器创建端口转发规则。并且,还要允许PPTP和GRE入站。
在Unifi控制器界面中:
- 转到配置(左下角的齿轮图标)并搜索"端口转发"。然后点击该选项。
- 创建新的端口转发条目…
- 添加服务器信息,包括端口和您LAN上服务器的IP地址
- 点击"应用更改"
您将在端口转发表中看到新列出的规则。
双重检查防火墙设置
在您的防火墙设置下,双重检查PPTP和GRE是否全局允许。如果两者都允许,您应该可以开始了。
在客户端机器上
现在让我们从Windows 10或Windows 11客户端设置连接(在下面的示例中,是windows 11)。
在windows搜索栏中,键入VPN并选择"添加VPN连接"。 点击[添加VPN] 在"添加VPN连接"面板中,填写所需信息。 在这种情况下,我们正在连接到互联网上我们网络的公共域名。
当您的防火墙正确配置时,它应将VPN流量路由到您设置的后端服务器。 点击保存。VPN连接现在将出现在您的可用网络列表中。
连接到VPN
从客户端机器上的主windows屏幕,点击网络图标(右下角),然后在弹出窗口中点击"VPN"。 接下来,点击"连接"。系统将提示您输入凭据: 输入您之前启用的Windows Server用户的用户名和密码(例如,Administrator)。 我们就连接上了!
从此时起,我们应该能够使用私有IP(在这种情况下是192.168.1.80)正常RDP到服务器本身,并从那里继续。
在示例中,我们使用远程桌面连接到服务器,使用本地LAN地址(即使我是从网络外部连接的)。 您可以从服务器端的屏幕截图中看到,管理员是通过Wan Miniport(PPTP)连接的,因此我们通过PPTP通过VPN进行了隧道传输。
事实上,在我连接VPN的工作站上,我被分配了同一本地网络中的IP:
为什么要经历所有这些步骤?
将远程桌面协议(RDP)端口(通常是3389)暴露给公共互联网是不安全的,因为:
- 暴力攻击的脆弱性:RDP是自动化攻击试图猜测用户名和密码的常见目标,特别是如果使用弱凭据。
- 可利用的漏洞:RDP有多个安全缺陷(例如,BlueKeep、CVE-2019-0708),如果暴露未修补的系统,允许未经身份验证的远程代码执行。
- 默认缺乏加密:旧版RDP可能不强制执行强加密,将敏感数据暴露于拦截。
- 凭据盗窃:攻击者可以使用网络钓鱼或恶意软件窃取凭据,获得对暴露的RDP服务器的直接访问。
- 僵尸网络和勒索软件风险:被入侵的RDP服务器通常用于传播恶意软件、挖掘加密货币或部署勒索软件。
使用VPN进行RDP更安全,因为它:
- 将RDP端口从公共互联网隐藏,减少暴露于网络攻击。
- 使用强协议加密数据,保护敏感信息。
- 限制对授权用户的访问,最小化攻击面。
将VPN安全与更广泛的网络安全实践联系起来
设置VPN是减少暴露于远程访问威胁的重要步骤。但对于全面的安全态势,解决VPN未覆盖的风险也很重要,特别是那些与电子邮件安全相关的风险。
诸如网络钓鱼、电子邮件欺骗和恶意软件传递等攻击通常绕过网络级保护。这就是诸如DMARC强制执行、电子邮件身份验证和入站电子邮件过滤等解决方案变得关键的地方。
Vircom支持MSP和IT团队通过诸如OnDMARC用于域身份验证和Proofpoint Essentials用于网络钓鱼和恶意软件保护等工具添加这些保护层。这些解决方案通过在威胁到达用户之前识别和阻止它们来帮助降低风险。
通过将安全访问与强大的电子邮件保护相结合,组织可以在不增加复杂性的情况下加强其整体网络安全策略。