系統 - 使用KWF工具打造與眾不同的VPN服務器

[psac]

使用KWF工具打造與眾不同的VPN服務器

　　大家常用Windows系統的「路由和遠端訪問」元件架設VPN服務器，但此方法配置較為複雜。

如果能將網路防火牆和VPN功能整合在一起，就可以簡化架設過程，並且還可以利用防火牆策

略增強VPN服務的安全。Kerio Winroute Firewall（以下簡稱KWF）就是這樣一款工具，它內置了

VPN服務器，並且還可以利用KWF的內置功能增強安全、方便VPN管理，如何利用KWF架設VPN

服務器，下面就一起來看吧！

　　安裝VPN服務器

　　KWF內置了VPN服務，並且VPN服務的安裝過程非常簡單，不需要對它進行單獨配置，VPN

服務的安裝和KWF防火牆的安裝是同步進行的。它可以應用於Windows 2000/XP/2003系統中，

執行KWF防火牆安裝程式，預定情況會安裝VPN服務，還要記得在「管理員賬號」交談視窗中為管理

員賬號設置初始密碼，就能完成VPN服務的安裝。

　　小提示：在安裝VPN服務器過程中，會彈出「Kerio VPN Adapter驅動程式沒有通過Windows徽

標測試……」的交談視窗，不必理會該錯誤提示，點擊「仍然繼續」按鈕即可。

　　配置VPN服務器

　　1． 啟動VPN服務

　　重新啟動Windows系統，完成VPN服務器的安裝，但這時VPN服務還沒啟動。雙擊系統工作列中

的「KWF圖示」，彈出控制台登入交談視窗，在「Host」欄中選擇「Localhost」，接著在「Username」和「Password」

欄中輸入管理員賬號和密碼，點擊「Connect」按鈕，即可登入到KWF控制台。

　　啟動VPN服務也是全自動的，第一次登入KWF控制台會彈出「Network rules Wizard」交談視窗，接著

就一路點擊「下一步（Next）」，但要確保在第五頁中選擇「Yes,I want to use Kerio VPN」選項，最後點

擊「Finish」按鈕，就完成VPN服務的啟動。

　　2． 配置VPN參數

　　完成了VPN服務的啟動後，接下來還要簡單配置下VPN參數。在KWF控制台左側框體中依次點

擊「Configuration→Interfaces」選項，接著在右側框體中雙擊「VPN Server」專案，彈出VPN Server內容

配置交談視窗，切換到「General」標籤頁。預定情況下，VPN服務會為VPN客戶隨機產生一個和你本機

內部網路不同的C類網路地址，但這個網路地址未必能滿足需要，你可以根據自己需要進行手工修改。

　　為了保證VPN網路的安全，VPN服務還會使用「SSL Certificate」加密網路中的訊息，並且這個證

書是VPN服務自動產生的。如果想修改「SSL Certificate」也很簡單，點擊「General」標籤頁下方的

「Change SSL Certificate」按鈕，彈出「Server SSL Certificate」交談視窗，點擊「Generate Certificate…」按鈕，

然後輸入SSL證書訊息，最後點擊「OK」按鈕，就產生了一個新的證書。

　　要修改VPN服務的監聽連接阜也很簡單，預定使用「4090」。切換到「Advanced」標籤頁，在「Listen on port」

欄中輸入新的連接阜值即可。

　　完成以上VPN參數設置後，記得點擊VPN Server內容配置交談視窗中的「OK」按鈕，儲存修改設置。

　　3． 創建VPN賬號

　　雖然以上完成了VPN服務的啟動和參數配置，但這時VPN客戶還是不能登入VPN網路，需要合

法的用戶賬號。

　　在KWF控制台視窗中，依次點擊「Users and Groups→ Users」後，就可以在右側框體中創建VPN賬

號。點擊「Add」按鈕，彈出賬號創建嚮導交談視窗，在「Name」欄中輸入VPN賬號，如「CCE1VPN」，接著

在「Authentication」下拉列表框中選擇「Internal user database」項，然後還要兩次輸入VPN賬號密碼。

　　兩次點擊「Next」按鈕後，進入到用戶權限設置交談視窗，這裡要根據實際需要指定用戶的權限，

但必須要選中「User can connect using VPN」項，否則VPN用戶就無法連接VPN服務器。

　　點擊「Next」後，進入「限額」交談視窗，在這裡可以對VPN用戶的網路流量進行限制，如限制「CCE1VPN」

賬號每天的總流量為100MB，這裡一定要選中「Enable daily limit」選項，然後在「Direction」下拉列表中選擇

「all traffic」，在「Quota」欄中輸入「100」，單位選擇「MB」，這樣就完成該用戶的流量限制。點擊「Next」後，

對內容策略進行設置，對於VPN用戶來說，KWF防火牆預定是不允許通過KWF上網的，這裡使用預定值即可。

　　點擊「Next」按鈕後，進入到「自動登入」設置交談視窗，如果對「CCE1VPN」賬號使用的IP地址沒有特

殊限制，可以不進行任何限制，最後點擊「Finish」按鈕，完成VPN賬號的創建。

　　4． 自動產生VPN流量策略

　　當KWF啟動了VPN服務後，就會發現在控制台的「Traffic policy」框體中多出兩條關於VPN服務的

策略，它的作用就是允許外部的VPN用戶訪問VPN服務，以及允許VPN 客戶和內部網路相互訪問。

無需要手工配置，就自動完成了VPN服務的公網發佈。

　　登入VPN網路

　　以上完成了VPN服務器的所有設置。接下來的遠端客戶機就可以連接到這個VPN服務器了，

從「http://www.cloudnet.com.cn/download/...」下載Kerio VPN客戶程式，

安裝後執行。在VPN客戶程式交談視窗中點擊「Add」按鈕，彈出編輯VPN服務器交談視窗，在「Server」欄

輸入VPN服務器的IP地址，「Username」和「Password」欄中輸入VPN賬號和密碼，最後點擊「OK」按鈕。

　　下面在VPN客戶程式交談視窗中選中剛才新增的選項，然後點擊下方的「Connect」按鈕，稍等一

會，VPN客戶機即可連入VPN網路。

　　Kerio VPN客戶程式和一般的VPN客戶程式稍有不同，它登入到VPN服務器後，只會自動更新本

地的路由表，不會對其它內容做任何修改。因此Kerio VPN客戶程式可以同時連接到多個VPN 服務

器中，也不會產生任何衝突問題，這點是其它VPN客戶程式很難做到的。