省32000元!将工控机变为VPN路由器(下)
网络设备
上一期,我们已经指导大家完成了硬件部分的准备工作,相关技术知识和改造所需的工控机、软件RouterOS都已准备好了,本期我们就会开始具体的改造工作。本次改造工作的重点将集中在安装RouterOS之后对Server端和客户端的改造。因此进行此次改造之前,我们还要提醒大家一定要事先了解、熟悉RouterOS。
现在,让我们开始动手……
VPN Server端的配置
RouterOS安装完成后,路由器局域网端口默认IP地址是192.168.0.1/24,用户名admin,密码为空。下面重点介绍如何在RouterOS中配置VPN。为了增强RouterOS与其他设备之间的兼容性,我们没有选择目前流行的L2TP/IPSec协议,而是选择了通用性更强的PPTP协议。接下来,介绍实现过程。
Step1:将计算机接到路由器的局域网端口,设置计算机的IP地址与路由器在同一网段,接着使用Ping命令检查计算机和路由器之间是否连通。
Step2:在浏览器地址栏中输入路由器的IP地址,显示如图1所示画面。RouterOS可以通过Winbox、Telnet等方式对路由器进行配置,我们可通过Winbox方式配置VPN,单击Winbox图标,下载Winbox管理程序。
Step3:进入Winbox管理程序主界面,输入路由器IP地址和用户名,单击“Connect”按钮进入RouterOS配置界面。
Step4:单击“PPP”选项,在“PPP”窗口中单击“Profiles”,添加一个PPTP Server配置文件。单击“+”按钮弹出“New PPP Profile”对话框,在“Name”框中输入配置文件名称,如“pptp-con”。在“Local Address”框中输入路由器在互联网上的IP地址(如“218.16.93.199”),另外还要选中“Use Encryption”中的“yes”,表示使用128位加密。
其它参数可依据网络环境进行设定,完成设置后单击“OK”按钮。
Step5:接下来添加拨号用户。进入“Secrets”选项卡,单击“+”按钮,弹出“New PPP Secret”对话框(图2),设置用户信息。在“Profile”选项中选择已创建的配置文件,在“Remote Address”中设置远程用户通过VPN进入本地局域网后获得的IP地址,该地址可以不与本地局域网IP地址在同一网段,但需要添加路由规则(下文将说明)。
Step6:添加PPTP Server,在“Interfaces”选项卡中单击“+”按钮,选择“PPTP Server”,弹出“New Interface”对话框,直接单击“OK”按钮即可。
Step7:接下来添加路由规则,如果VPN用户与本地局域网的IP地址在同一网段则不需要设定。单击“IP→firewall”,弹出“Firewall”对话框,切换到“NAT”选项卡,单击“+”按钮,弹出“New NAT Rule”,在“Chain”选项中选择“srcnat”,在“Src. Address”中输入源地址(即需要转换的IP地址)。
客户端如何设置
与Server端的设置相比,客户端的设置简单得多。以下是在分支机构的RouterOS路由器上进行配置。
在“Interfaces”选项卡中单击“+”按钮,选择“PPTP client”,进入“Dial Out”选项卡,在“Server Address”文本框中输入PPTP Server的IP地址(即公司总部RouterOS路由器在互联网上的IP地址),在“User”和“Password”中分别输入在PPTP Server中创建的用户名和密码。
移动客户端如何连
出差在外的移动用户要想通过VPN进入公司内部网络存取资料,需要事先创建一个VPN连接,才能凭网络管理员分配的用户名进入公司内部网络。这样才可以无论身在何处,都可以像在办公室中一样使用网络资源。下面以Windows 2000 Professional为例介绍VPN连接的创建方法。
进入“网络连接向导”,单击“下一步”按钮。在“网络连接类型”对话框中选择“通过Internet连接到专用网络”,接着点击“下一步”按钮。在“主机名或IP地址”文本框中输入PPTP Server在互联网上的IP地址,然后依照提示完成VPN连接的创建。
VPN连接创建完毕后,输入网管提供的用户名和口令,接着点击“连接”即可进入公司内部网络。
以上就是用“工控机+RouterOS”实现VPN的方法,RouterOS的功能非常强大,也很容易定制化,完全可满足中小型企业各种Internet服务的应用,为企业信息化提供了一种经济实用的解决方案。