Windows Server 2019/2022 上搭建 PPTP 和 L2TP/IPSec VPN 服务完整指南

在现代企业网络架构中,远程访问是保障员工办公灵活性和业务连续性的关键环节，Windows Server 提供了内置的路由与远程访问（RRAS）功能，可以轻松搭建安全可靠的虚拟私人网络（VPN）服务，本文将详细介绍如何在 Windows Server 2019 或 2022 系统上配置 PPTP 和 L2TP/IPSec 两种常见类型的 VPN，适用于中小型企业或个人开发者快速部署远程接入方案。

确保服务器已安装并配置好静态公网 IP 地址，并且防火墙允许必要的端口通信，PPTP 使用 TCP 1723 和 GRE 协议（协议号 47），而 L2TP/IPSec 则使用 UDP 500（IKE）、UDP 4500（NAT-T）以及 ESP 协议（协议号 50），若使用云服务器（如 Azure、阿里云等），需在安全组或网络 ACL 中放行这些端口。

第一步：启用 RRAS 功能
登录 Windows Server，打开“服务器管理器”，选择“添加角色和功能”，在“功能”选项卡中，勾选“远程访问” → “路由” → “远程桌面服务”（可选）→ “远程访问服务器”（RRAS），系统会自动安装相关组件，包括路由、IP 路由、网络策略服务器（NPS）等，完成后重启服务器以使更改生效。

第二步：配置 RRAS 服务
进入“服务器管理器” → “工具” → “远程桌面服务” → “远程访问配置向导”，选择“配置路由和远程访问”并点击下一步，选择“本地计算机”作为目标服务器，然后选择“启用此服务器上的路由和远程访问”。

第三步：设置网络接口和 IP 分配
在 RRAS 控制台中，右键“IPv4” → “属性”，选择“分配 IP 地址”方式为“从指定范围中分配”，设置一个私有子网（如 192.168.100.100–192.168.100.200）用于客户端连接时分配地址，在“常规”标签页中配置 DNS 服务器（如内网 DNS 或公共 DNS 如 8.8.8.8）。

第四步：创建 VPN 连接类型
右键“远程访问策略” → “新建远程访问策略”，在“身份验证方法”中，选择“使用 Windows 用户名和密码”（即本地用户或域账户），在“拨入设置”中，指定允许连接的用户组，并设置“允许连接”策略。

第五步：配置 PPTP 和 L2TP/IPSec

• 对于 PPTP：在“IPv4”下右键“PPP 设置”，启用“加密”并选择“MS-CHAP v2”，注意：PPTP 安全性较低，仅建议用于内部测试或非敏感环境。
• 对于 L2TP/IPSec：在“IPSec 设置”中启用“使用预共享密钥”，输入强密钥（如 32 字符以上字母数字组合），此方式更安全，推荐生产环境使用。

第六步：客户端连接测试
在 Windows 客户端上，通过“设置 → 网络和 Internet → VPN”添加新连接，选择协议类型（PPTP/L2TP），填写服务器地址和凭据，成功连接后，客户端应能访问内网资源，如文件共享、数据库或内部网站。

Windows Server 的 RRAS 功能提供了灵活、低成本的 VPN 解决方案，尽管现代趋势是采用 SSL-VPN（如 OpenVPN、WireGuard），但 PPTP 和 L2TP/IPSec 仍广泛兼容旧设备和特定场景，合理配置防火墙规则、启用日志审计，并定期更新补丁，可显著提升安全性与稳定性，对于有更高需求的企业，建议结合 NPS 和证书认证进一步强化身份验证机制。