在现代企业网络架构中,远程办公和跨地域连接已成为常态,为了安全、高效地实现不同地理位置之间的私有网络互通,站点到站点(Site-to-Site)虚拟私有网络(VPN)是一种成熟且广泛采用的技术方案,Windows Server 2016 提供了强大的路由与远程访问(RRAS)功能,支持通过 Internet 安全隧道实现两个局域网之间的加密通信,本文将详细介绍如何在 Windows Server 2016 上配置一个完整的 Site-to-Site VPN 连接,适用于中小型企业或分支机构之间的安全互联。
确保你拥有两台运行 Windows Server 2016 的服务器,分别位于不同的物理位置(例如总部和分公司),每台服务器都需具备公网 IP 地址,并能访问互联网,你需要为每个站点分配一个私有子网(如 192.168.1.0/24 和 192.168.2.0/24),并确保这些子网不重叠。
第一步是安装“路由和远程访问服务”(Routing and Remote Access Service, RRAS),打开“服务器管理器”,选择“添加角色和功能”,在功能列表中勾选“远程访问”下的“路由”,然后完成安装,安装完成后,右键点击服务器名称,选择“配置并启用路由和远程访问”,按照向导选择“自定义配置”,勾选“LAN 路由器”和“NAT/基本防火墙”选项,点击“完成”。
第二步是配置 IPsec 策略以建立安全隧道,打开“管理工具”中的“路由和远程访问”,展开服务器节点,右键点击“IPv4” → “配置和安全” → “IPsec 策略”,创建一个新的策略,在策略属性中,指定本地子网(如 192.168.1.0/24)和对端子网(如 192.168.2.0/24),并选择合适的加密算法(推荐 AES-256 + SHA-256),在“IPsec 设置”中启用“使用预共享密钥进行身份验证”,设置一个强密码用于两端设备匹配。
第三步是配置静态路由,在“路由和远程访问”中,右键点击“IPv4” → “常规”,添加静态路由,目标地址为对端子网,下一跳为对端公网 IP 地址(或使用动态路由协议如 OSPF,但需额外配置),这一步确保流量能够正确指向远程网络。
重复上述步骤在另一台服务器上配置对称的 Site-to-Site 配置,完成后,可以通过 ping 或 traceroute 测试两端子网是否互通,建议使用 Wireshark 抓包分析来验证 IPsec 数据包封装过程,确认加密隧道已成功建立。
需要注意的是,防火墙(Windows Defender 防火墙或第三方防火墙)必须允许 UDP 500(IKE)、UDP 4500(IPsec NAT-T)和 ESP 协议通过,如果使用路由器做 NAT,还需配置端口转发规则。
Windows Server 2016 的 RRAS 功能为企业提供了低成本、高安全性的 Site-to-Site VPN 解决方案,合理规划子网、配置 IPsec 策略和静态路由,即可实现跨地域网络的稳定互联互通,满足远程办公、数据同步等核心业务需求。
