cmd下在win上做vpn的命令分享

CMD下建立VPN
1.前提
服务里 windows防火墙停止（或者麻烦点可以把router协议，端口1723配进去）
远程注册表服务必须开启
server服务必须开启
router路由服务必须开启
两块以上网卡的win2000做vpn很方便，添加nat协议后，客户端拨入，能够使用远程网络连接internet。 使得部分客户端可提高网络速度，并达到代理的作用。
一块网卡的winxp，win2003做类似的vpn仍然很方便，nat协议添加后，再添加两个接口，一个是本地连接，一个是内部，设置本地连接为全转发，内部为私有模式，既可让有权限的用户拨入。
一块网卡的win2000，做类似的vpn就不方便了，nat协议添加后，再添加接口，只可以添加上本地连接，内部不容许图形界面的添加，察看了 netsh dump >c:\1.txt后，尝试在netsh命令添加内部接口，通过。 命令为：netsh routing ip nat add interface 内部 private
下面是部分常用命令：


代码如下:

netsh ras set user username permit //设置用户授权，该用户不能为tsinternetuser support_388945a0等。
netsh ras ip set addrassign pool //设置静态地址池模式
netsh ras ip add range 10.0.0.1 10.0.0.100 // 设置静态池范围 ，要用标准的局域网地址，避免将来在访问internet时候地址转发错误。
netsh routing ip nat install //添加nat协议
netsh routing ip nat add interface 本地连接 full //添加nat接口本地连接全转发
netsh routing ip nat add interface 内部 private //添加nat借口内部私有模式

igmp同样可以在netsh配置，命令行很长：


代码如下:

netsh routing ip igmp install
netsh routing ip igmp add interface 内部 igmpprototype=IGMPRTRV2 ifenabled=enable robustvar=2 startupquerycount=2 startupqueryinterval=31 genqueryinterval=125 genqueryresptime=10 lastmemquerycount=2 lastmemqueryinterval=1000 accnonrtralertpkts=YES
netsh routing ip igmp add interface name=”本地连接” igmpprototype=IGMPPROXY ifenabled=enable

如果配置前已经有接口，就要先删除：
netsh routing ip igmp delete interface 内部 //与此类似
路由和远程访问服务会在系统、安全日记中记录不少信息，比如ipsec、登陆信息。
修改一下注册表可以避免：


代码如下:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
ProhibitIPsec”=dword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters
LoggingFlags”=dword:00000000

现在除了登陆信息，ipsec,remoteaccess警告，已经不记录。

还有值得一提的是建立好地vpn，通常使用的都是pptp协议，tcp1723端口，如果我们在网卡的ip策略添加了tcp1723的容许条目，基本上可以拨入。为什么是基本呢，因为pptp除了 tcp1723外还有一个ip47号协议，不同于tcp不同于udp，此协议对于认证很重要。如果网络上的防火墙割断的话，会出现拨号->用户认证 ->不通过认证断开的问题。
在配置vpn的时候，还需要remoteregister服务的支持，建立好以后可以关掉。
workstation , server,rpc同样在配置时候需要。

经测试，全命令行的建立vpn后，rrasmgmt.msc不出现具体配置信息。也就是说只有看网络连接文件夹，才能看出来一个拨入的连接