==== 基于Windows Server 2012 R2 VPN搭建 ====

=== 搭建环境 ===

- 打开“服务器管理器”，选择“添加角色和功能”。
- 在角色选择中，选中“远程访问”。
- 在“角色服务”中，选中“DirectAccess和VPN(RAS)”以及“路由”。
- 按照提示完成安装。

=== 配置VPN服务器 ===

- 在“服务器管理器”中，点击菜单栏的“工具”，选择“路由和远程访问”。
- 在本地连接上右键点击，选择“配置并启用路由和远程访问”。
- 选择“自定义服务器”。
- 勾选“VPN访问”和“NAT”，然后点击“下一步”直到完成。
- 在完成提示中点击“启动服务”，使“SONG(本地)”变为绿色状态。
- 在“IPv4”-“NAT”上右键点击，选择“新增接口”，并选择外网接口（例如“以太网 2”）。
- 在接口属性中选择“公用接口连接到Internet”，并启用NAT。
- 右键点击“SONG(本地)”选择“属性”，配置VPN客户端地址池。

=== 配置VPN帐号 ===

- 在“服务器管理器”中，点击菜单栏的“工具”，选择“计算机管理”。
- 在“用户”上右键点击，选择“新用户”，输入用户名和密码，并设置用户不能更换密码以及密码永不过期。
- 创建用户后，双击用户打开属性窗口，选择“拨入”标签页，勾选“允许访问”。

==== 注意：====

- 创建用户时可以指定静态IP，但不能是地址池起始IP或超过池最后一个IP。
- 若系统开启防火墙，需开放相应端口（PPTP需开放TCP 1723和GRE 47端口；L2TP需开放UDP 500、1701、4500端口）。

=== PPTP和L2TP服务端口开启 ===

- PPTP服务：在防火墙地址转换中开启TCP端口1723。
- L2TP服务：在防火墙地址转换中开启UDP端口500、1701、4500。

==== 其他VPN协议端口 ====

- [[..:pptp]]：TCP 1723、GRE 47
- [[..:l2tp]]：UDP 500、4500
- [[..:openvpn]]：UDP 443 或 UDP 1195
- [[..:ikev2]]：UDP 500、4500
- [[..:openconnect]]：TCP 443

==== WIN7系统PPTP无法连接VPN的问题 ====

- 确认services.msc服务中已开启Remote Access Auto Connection Manager。

==== WIN7系统L2TP无法连接VPN的问题 ====

- **789错误处理方法**：
  - 修改注册表项HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters，新增DWORD值“ProhibitIpSec”并设为1。
  - 若无“AllowL2TPWeakCrypto”，则新建DWORD值并设为1。
  - 重启计算机。

- **809错误处理方法**：
  - 删除注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\Parameters下的“ProhibitIpSec”键值。
  - 在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent下新建DWORD值“AssumeUDPEncapsulationContextOnSendRule”并设为2。
  - 重启计算机。

==== L2TP VPN连接异常 ====

- 若提示“windows无法使用你提供的用户名和密码连接到网络……”，可能原因包括：
  - 局域网中其他服务器占用了并映射了所需端口。
  - 防火墙地址转换中双向地址转换使用了相同端口。
- 若内网无法使用VPN连接内网服务器，可能原因是防火墙地址转换未开启双向地址转换。
- 若Iphone6无法使用L2TP连接VPN服务器，请启用SHA2-256兼容模式。