cmd下在win上做vpn的命令分享
2020-06-09 13:53:53
供稿:網(wǎng)友
CMD下建立VPN
1.前提
服務(wù)里 windows防火墻停止(或者麻煩點(diǎn)可以把router協(xié)議,端口1723配進(jìn)去)
遠(yuǎn)程注冊(cè)表服務(wù)必須開(kāi)啟
server服務(wù)必須開(kāi)啟
router路由服務(wù)必須開(kāi)啟
兩塊以上網(wǎng)卡的win2000做vpn很方便,添加nat協(xié)議后,客戶端撥入,能夠使用遠(yuǎn)程網(wǎng)絡(luò)連接internet。 使得部分客戶端可提高網(wǎng)絡(luò)速度,并達(dá)到代理的作用。
一塊網(wǎng)卡的winxp,win2003做類似的vpn仍然很方便,nat協(xié)議添加后,再添加兩個(gè)接口,一個(gè)是本地連接,一個(gè)是內(nèi)部,設(shè)置本地連接為全轉(zhuǎn)發(fā),內(nèi)部為私有模式,既可讓有權(quán)限的用戶撥入。
一塊網(wǎng)卡的win2000,做類似的vpn就不方便了,nat協(xié)議添加后,再添加接口,只可以添加上本地連接,內(nèi)部不容許圖形界面的添加,察看了 netsh dump >c:/1.txt后,嘗試在netsh命令添加內(nèi)部接口,通過(guò)。 命令為:netsh routing ip nat add interface 內(nèi)部 private
下面是部分常用命令:
代碼如下:
netsh ras set user username permit //設(shè)置用戶授權(quán),該用戶不能為tsinternetuser support_388945a0等。
netsh ras ip set addrassign pool //設(shè)置靜態(tài)地址池模式
netsh ras ip add range 10.0.0.1 10.0.0.100 // 設(shè)置靜態(tài)池范圍 ,要用標(biāo)準(zhǔn)的局域網(wǎng)地址,避免將來(lái)在訪問(wèn)internet時(shí)候地址轉(zhuǎn)發(fā)錯(cuò)誤。
netsh routing ip nat install //添加nat協(xié)議
netsh routing ip nat add interface 本地連接 full //添加nat接口本地連接全轉(zhuǎn)發(fā)
netsh routing ip nat add interface 內(nèi)部 private //添加nat借口內(nèi)部私有模式
igmp同樣可以在netsh配置,命令行很長(zhǎng):
代碼如下:
netsh routing ip igmp install
netsh routing ip igmp add interface 內(nèi)部 igmpprototype=IGMPRTRV2 ifenabled=enable robustvar=2 startupquerycount=2 startupqueryinterval=31 genqueryinterval=125 genqueryresptime=10 lastmemquerycount=2 lastmemqueryinterval=1000 accnonrtralertpkts=YES
netsh routing ip igmp add interface name=”本地連接” igmpprototype=IGMPPROXY ifenabled=enable
如果配置前已經(jīng)有接口,就要先刪除:
netsh routing ip igmp delete interface 內(nèi)部 //與此類似
路由和遠(yuǎn)程訪問(wèn)服務(wù)會(huì)在系統(tǒng)、安全日記中記錄不少信息,比如ipsec、登陸信息。
修改一下注冊(cè)表可以避免:
代碼如下:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/RasMan/Parameters
ProhibitIPsec”=dword:00000001
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/RemoteAccess/Parameters
LoggingFlags”=dword:00000000
現(xiàn)在除了登陸信息,ipsec,remoteaccess警告,已經(jīng)不記錄。
還有值得一提的是建立好地vpn,通常使用的都是pptp協(xié)議,tcp1723端口,如果我們?cè)诰W(wǎng)卡的ip策略添加了tcp1723的容許條目,基本上可以撥入。為什么是基本呢,因?yàn)閜ptp除了 tcp1723外還有一個(gè)ip47號(hào)協(xié)議,不同于tcp不同于udp,此協(xié)議對(duì)于認(rèn)證很重要。如果網(wǎng)絡(luò)上的防火墻割斷的話,會(huì)出現(xiàn)撥號(hào)->用戶認(rèn)證 ->不通過(guò)認(rèn)證斷開(kāi)的問(wèn)題。
