cmd下在win上做vpn的命令分享
CMD下建立VPN
1.前提
服务里 windows防火墙停止(或者麻烦点可以把router协议,端口1723配进去)
远程注册表服务必须开启
server服务必须开启
router路由服务必须开启
两块以上网卡的win2000做vpn很方便,添加nat协议后,客户端拨入,能够使用远程网络连接internet。 使得部分客户端可提高网络速度,并达到代理的作用。
一块网卡的winxp,win2003做类似的vpn仍然很方便,nat协议添加后,再添加两个接口,一个是本地连接,一个是内部,设置本地连接为全转发,内部为私有模式,既可让有权限的用户拨入。
一块网卡的win2000,做类似的vpn就不方便了,nat协议添加后,再添加接口,只可以添加上本地连接,内部不容许图形界面的添加,察看了 netsh dump >c:\1.txt后,尝试在netsh命令添加内部接口,通过。 命令为:netsh routing ip nat add interface 内部 private
下面是部分常用命令:
代码如下:
netsh ras set user username permit //设置用户授权,该用户不能为tsinternetuser support_388945a0等。
netsh ras ip set addrassign pool //设置静态地址池模式
netsh ras ip add range 10.0.0.1 10.0.0.100 // 设置静态池范围 ,要用标准的局域网地址,避免将来在访问internet时候地址转发错误。
netsh routing ip nat install //添加nat协议
netsh routing ip nat add interface 本地连接 full //添加nat接口本地连接全转发
netsh routing ip nat add interface 内部 private //添加nat借口内部私有模式
netsh routing ip igmp install
netsh routing ip igmp add interface 内部 igmpprototype=IGMPRTRV2 ifenabled=enable robustvar=2 startupquerycount=2 startupqueryinterval=31 genqueryinterval=125 genqueryresptime=10 lastmemquerycount=2 lastmemqueryinterval=1000 accnonrtralertpkts=YES
netsh routing ip igmp add interface name=”本地连接” igmpprototype=IGMPPROXY ifenabled=enable
如果配置前已经有接口,就要先删除:
netsh routing ip igmp delete interface 内部 //与此类似
路由和远程访问服务会在系统、安全日记中记录不少信息,比如ipsec、登陆信息。
修改一下注册表可以避免:
代码如下:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
ProhibitIPsec”=dword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters
LoggingFlags”=dword:00000000
现在除了登陆信息,ipsec,remoteaccess警告,已经不记录。
还有值得一提的是建立好地vpn,通常使用的都是pptp协议,tcp1723端口,如果我们在网卡的ip策略添加了tcp1723的容许条目,基本上可以拨入。为什么是基本呢,因为pptp除了 tcp1723外还有一个ip47号协议,不同于tcp不同于udp,此协议对于认证很重要。如果网络上的防火墙割断的话,会出现拨号->用户认证 ->不通过认证断开的问题。
在配置vpn的时候,还需要remoteregister服务的支持,建立好以后可以关掉。
workstation , server,rpc同样在配置时候需要。
经测试,全命令行的建立vpn后,rrasmgmt.msc不出现具体配置信息。也就是说只有看网络连接文件夹,才能看出来一个拨入的连接