在现代企业网络架构中,安全、稳定的远程访问能力至关重要,尤其是当公司拥有多个分支机构或需要将本地数据中心与云平台(如 Azure 或 AWS)连接时,站点到站点(Site-to-Site, S2S)VPN 成为首选方案之一,作为网络工程师,我们经常被要求在 Windows Server 上搭建和维护这类 VPN 连接,本文将以 Windows Server 2019 和 2022 为例,详细介绍如何配置站点到站点 IPsec/IKEv2 VPN,确保跨地域网络的安全互通。
确保你已准备好以下前提条件:
- 两台运行 Windows Server 的设备(一台作为本地网关,另一台作为远程网关)
- 两台设备分别位于不同的物理位置或网络环境
- 每个站点至少有一个公网可访问的 IP 地址(用于建立 IKE 安全通道)
- 本地和远程子网需明确规划(192.168.1.0/24 和 192.168.2.0/24)
- 具备管理员权限并能访问服务器管理器(Server Manager)
第一步:安装“路由和远程访问服务”(RRAS) 打开服务器管理器 → 添加角色和功能 → 选择“远程访问” → 勾选“路由”和“远程访问”服务(包括“网络策略和访问服务”),完成后重启服务器使配置生效。
第二步:配置 RRAS 服务 进入“路由和远程访问”管理控制台(RRAS MMC),右键服务器 → “配置并启用路由和远程访问” → 选择“自定义配置” → 勾选“LAN 路由器”选项(即允许服务器充当路由器)→ 点击完成。
第三步:创建站点到站点连接 右键“IP 路由” → “新建路由接口” → 选择“PPTP 或 L2TP/IPsec”类型(建议使用 IPsec/IKEv2 更安全)→ 输入远程网关的公网 IP 地址(203.0.113.10)→ 设置预共享密钥(PSK),该密钥必须与远程端一致(如“MYP@ssw0rd!”)。
第四步:设置静态路由 在“IP 路由”下添加静态路由:目标网络(如 192.168.2.0/24)、下一跳(远程网关 IP)→ 启用“自动度量”或手动指定跃点数以优化路径。
第五步:防火墙规则调整 确保 Windows 防火墙允许以下协议和端口:
- UDP 500(IKE)
- UDP 4500(NAT-T)
- ESP(协议号 50)
- TCP 1723(若使用 PPTP,但不推荐)
第六步:测试与验证
使用 ping 和 tracert 测试两端子网通信是否正常;查看 RRAS 日志(事件查看器 → 应用程序和服务日志 → Microsoft → Routing and Remote Access)确认隧道建立成功(事件 ID 1015 表示协商完成)。
强烈建议定期轮换预共享密钥、监控隧道状态(可通过 PowerShell cmdlet Get-VpnConnection 获取连接信息)、并启用日志审计,对于生产环境,可进一步集成证书认证(EAP-TLS)提升安全性。
通过以上步骤,你可以在 Windows Server 上快速部署一个稳定、加密的站点到站点 VPN,实现跨地域业务系统的无缝互联,此方案成本低、兼容性强,非常适合中小型企业及混合云场景下的网络扩展需求。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
