第 1 课:配置 VPN 服务
在本课中,您将学习如何将电脑设置为 VPN 服务器。
您将配置名为“myserver.example.com”的服务器,以接受 Mac 客户端的加密连接,从而允许此类客户端访问本地网络。
在本课中,您将学习:
域名、主机名称和完全资格域名
域名服务 (DNS)(静态和动态)
公共和专用 IP 地址
IP 地址子网
IP 流量端口转发
步骤 1. 获取公共静态 IP 地址
服务器需要公共互联网可用作 Web 服务器位置的 IP 地址。ISP 分配了一个静态 IP 地址给您。
-
如果您隶属一家大型组织,则咨询控制将网络连接到 ISP 的寻址、路由器、网关或防火墙的人员。
域名系统将使用此 IP 地址在人类可读域名和电脑可读 IP 地址之间建立链接。
步骤 2. 获取主机名称和完全资格域名
以下是一些您需要了解的重要互联网命名术语:
-
域名系统 (DNS) 是互联网将电脑可读静态 IP 地址链接到人类可读域名的方式。
动态 DNS 是将人类可读命名与将定期更改和定期重新分配的 IP 地址配合使用的方式。如果您未取得公共静态 IP 地址,则必须使用动态 DNS,而非普通 DNS。
主机名称是服务器在本地网络上为人所知的名称。例如,您可以将服务器命名为“myserver”或其他任何将在网络上唯一标识它的内容。
域名是指定大型组织而非个人成员的名称。例如,Apple 的域名为“apple.com”。互联网服务相关文稿有时使用“example.com”作为域名。域名可向域名注册商(记录域名并确定其唯一的公司)租赁。
完全资格域名包括主机名称和完整域名。
DNS 服务商记录域名和完全资格域名及其关联的静态 IP 地址。
-
如果您独自学习本课,则需要一个域名和一个主机名称。您可以挑选自己的主机名称,但需要租赁一个域名。
如果您隶属现有组织,您很有可能已有域名(如 example.com)和用于挑选主机名称的某个系统。贵组织还应具有 DNS 主机来将静态 IP 地址和域名互相链接。
在本课中,您将看到以下占位符名称:
设置
占位符名称
域名
example.com
主机名称
www
完全资格域名
www.example.com
【警告】请勿在本教程中使用占位符设置。名称“example.com”保留用于此类文稿,不会在实际软件配置中起作用。使用您自己的设置。
步骤 3. 配置 VPN 地址设置
-
打开 Server 应用,以查看 OS X Server 中提供的服务列表。选择“VPN”。
使用以下设置:
设置
值
为什么?
配置 VPN,用于:
L2TP
L2TP 受 Mac 电脑本地支持。
VPN 主机名称
myserver.example.com
与公开静态 IP 地址链接的完全资格域名。
共享密钥
保留原样
自动生成的字符串,用作 VPN 服务的“密码”。
客户端地址,路由
保留原样
本课无需更改。
DNS 设置
保留原样
仅当 ISP 或组织具有您特定的设置,才需要更改此项。
【警告】若要防止网络冲突,VPN 服务提供的地址不能与网络管理员通过 DHCP 提供的地址相同。咨询网络管理员,或者确定自己的路由器未尝试分发与 VPN 服务的地址。
步骤 4. 在网关上打开必要的互联网端口
-
如果使用的是通过 Server 应用配置的 AirPort 基站,则可以自动完成端口转发。在 Server 为 VPN 提供互联网访问时,点按“允许”。
如果您隶属某个组织,则可能需要调整防火墙来让 VPN 连接通过。同样,如果您使用互联网路由器或 Wi-Fi 访问点设置此项,则需要设置端口转发。
防火墙和 NAT 路由器(网关)会阻止有害的外部连接尝试,因此需要明确告诉它们允许未经请求的外部连接。这些连接(称为“端口”)将编号。将这些端口视为墙壁上的隧道或洞孔,用于将外部连接到服务处理的特定内部位置。
在路由器的配置软件中,为 VPN 打开或转发以下端口:
端口
类型
用于
500
UDP
ISAKMP/IKE
1701
UDP
L2TP
4500
UDP
IPsec NAT Traversal
步骤 5. 存储 VPN 描述文件
-
检查所有设置后,打开 VPN 服务。
点按“存储配置描述文件”,然后存储文稿(记住存储位置,因为后面将使用它测试设置)。
描述文件如下所示:
步骤 6. 准备测试 Mac
-
将配置描述文件拷贝到外部 Mac,然后连按以安装它。安装期间,提供测试用户的登录名称。
步骤 7. 测试配置
-
使用外部网络上的测试 Mac,选取苹果菜单 >“系统偏好设置”,然后点按“网络”。选择“VPN”,然后点按“连接”。
连接成功后,它将反映在偏好设置面板中,而且您将在 VPN 连接地址范围中看到 IP 地址。