基于Windows Server 2019系统的VPN+NAT技术分享

创建VPN组和VPN用户

在命令提示符（CMD）中输入命令“compmgmt”打开计算机管理，添加VPN组及VPN账户，如下图所示；

系统添加远程访问功能

打开系统“服务器管理器”，点击“添加角色和功能”，如下图所示；

在“添加角色和功能向导”页面中的“服务器角色”选择中，选中“远程访问”，如下图所示；其它步骤点击下一步操作即可；

在“添加角色和功能向导”页面中的“角色服务”选择中，选中“DirectAccess和VPN（RAS）”和“路由”，如下图所示；其它步骤点击下一步操作即可；

路由和远程访问初始化配置

打开系统“服务器管理器”，点击“工具”，选中“路由和远程访问”，如下图所示；

在“路由和远程访问”页面，右键点击“本地”，然后点击“配置并启用路由和远程访问”，如下图所示；

在“路由和远程访问服务器安装向导”页面中，选中“自定义”，如下图所示;

在“路由和远程访问服务器安装向导”“自定义配置”页面中，选中“VPN访问(V)”“NAT(A)”和“LAN路由(L)”，如下图所示;省略步骤截图，默认下一步即可，直至配置完成；

在“路由和远程访问”页面中，右键点击“远程访问日志记录和策略”，然后点击“启动NPS”并进行配置，相关配置如下图所示；

在“条件”页面中，添加用户组和隧道类型，用户组选择前期创建的vpn组，隧道类型选择“PPTP”，如下图所示；

创建VPN服务虚拟地址池，如下图所示；

重启VPN服务，如下图所示；

在“路由和远程访问”页面“IPv4”列表中，右键点击“NAT”，然后“新建接口”，把网卡“Ethernet0”添加进来，如下图所示；

Windows 10 物理主机连接VPN及查看状态

连接VPN

打开Windows 设置，如下图所示；

PPTP使用传输控制协议（TCP 1723端口）创建控制通道来发送控制命令，以及利用通用路由封装（GRE）通道来封装点对点协议（PPP）数据包以发送数据。若Windows Server 2016系统开启防火墙，系统防火墙策略需放通TCP 1723端口和GRE协议。