如何搭建一个支持IPv6的PPTP VPN

Debian的包管理是所有发行版里最好的，所以这条命令打完就安装完毕了我们的pptp服务器端程序。

配置IP地址范围

编辑/etc/pptpdconf，在最后添加如下地址：

localip 19216801

remoteip 1921680234-238,1921680245

这两句设置了当外部计算机通过pptp联接到***后所能拿到的ip地址范围和服务器的ip地址设置。

在我的电脑点击右键——管理——找到服务，然后在里面查找PacketiX *** Client服务，查看服务的启动类型是什么，改为自动，就没问题了。再重启电脑，之后就会随机启动了。

1 安装带 *** Gate Client 插件的 SoftEther *** Client (只需在第一次时安装一次)

下载带有 "*** Gate Client 插件" 的 SoftEther *** Client 的特殊版本。

http://download***gatejp/common/cdaspx/***gate-client-20170614-build-9634138649zip

解压缩下载的 ZIP 文件内容到一个文件夹中。如上图，安装程序和一些 DLL 文件被提取。

执行以 "***gate-client" 开头的文件名的安装程序，并继续进行安装。

上述安装程序将启动。你必须在 "选择软件组件安装" 屏幕中选择 "SoftEther *** Client" 。

安装完成后，将在桌面上创建 SoftEther *** Client 的图标。

2 运行 *** Gate Client 插件并连接到 *** Gate 服务器

在桌面上双击 SoftEther *** Client 图标。

如上图， "*** Gate 公共 *** 中继服务器" 图标会显示在窗口中。双击该图标。

如果有通知显示，继续按屏幕描述的进行。

"SoftEther *** Client 的 *** Gate 学术实验项目插件" 启动。

在此屏幕上，你可以看到当前正在运行的 *** Gate 公共 *** 服务器的列表。此屏幕上的列表与 顶页的列表 是相同的。从列表中选择一个连接，然后单击 "连接到 *** 服务器" 按钮。

如果选定的 *** Gate 服务器同时支持 TCP 和 UDP 协议，上面的屏幕将会出现。在屏幕上选择 TCP 或 UDP。

如果一个 *** 连接建立成功了，上面的消息将出现。这个窗口将在 5 秒后自动消失。如果您无法连接到指定的 *** 服务器，再试一次。

3 通过 *** 中继享受互联网

虽然建立了 *** 连接，在 Windows 上将创建一个虚拟网络适配器，该适配器将被分配一个以 "10211" 开始的 IP 地址。默认网关地址将被指定在虚拟网络适配器上。您可以在 Windows 命令提示下运行 "ipconfig / all" 命令，确认这些网络配置。

当 *** 建立时，所有到互联网的通讯将通过 *** 服务器转发。您可以在 Windows 命令提示中使用 "tracert 8888" 命令验证。

如上图，如果数据包路径是通过 "10211254254" ，你的通信现在就是通过 *** Gate 公共 *** 服务器中的一个转发的。

您还可以访问 *** Gate 顶部页面 来查看当前的全球 IP 地址。如果你连接到一个位于海外国家的 *** 服务器，您可以看到您的来源国或地区已更改为其他的。

当你的 *** 连接建立时，享受 YouTube、Facebook 或 Twitter 吧。

Facebook、Twitter 和 Gmail 使用 HTTPS (SSL) 加密的通信协议。无论是否通过 *** ，没有人可以窃听这些加密通信。

参考资料

SoftEther *** Client + *** Gate ClientCSDN[引用时间2017-12-27]

连接***隧道时发生“错误 800：不能建立***连接”的原因一般有以下几个：1检查配置中的“目的地的主机名或IP地址”使用的是域名而不是IP地址， 由于***隧道需要定期进行维护，我们有可能变更***隧道服务器的IP地址，但域名不会改变。2您所在网络与我们的***隧道服务器没有正确的通道， 请尝试更换配置中的“目的地的主机名或IP地址”，将其调整为我们的登陆服务器IP地址或者域名。3临时性故障，多半是由于您使用的DNS服务器繁忙无法对服务器IP地址或者域名的名字进行解析所引起，可以使用以下操作：开始->运行->打开：cmd->确定，执行命令ipconfig /flushdns后再进行***连接尝试。4由于配置异常造成的无法连接，虽然用户没有做过任何的配置修改， 但由于系统内部的故障会导致配置（注册表信息）出现异常，这是Windows系统中常见的问题。 处理方法是删除原***隧道连接的配置，重新建立一个新的***隧道连接即可。5检查连接的安全参数配置与配置要求一致。6您机器上的防火墙规则设置过于严格，导致无法对外进行连接，请调整或关闭所有防火墙再进行尝试。7如果有安装家庭网关的用户，也建议重启一下家庭网关设备。另外一种情况：由于Windows2000/XP/2003 系统缺省情况下启动了IPSec功能,因此在发起***请求时应禁止IPSec功能,需要更改注册表。请下载: ，双击加入注册表。修改后重启操作系统即可连

手机***服务器地址填写步骤如下：

1、第一栏IP地址，填写你的有效IP地址，此文以19216815284为例来填写；

2、第二栏子网掩码，不用手动填写，只要点击它，就会自动帮你填充；

3、第三栏默认网关，将你的IP地址左后那部分改成为1，至于DNS服务器这栏，可以填写为114114115115，注意IP地址必须为你的有效IP地址。

1 ***服务器的安装与配置策略

基于ISA Server的***服务器部署在网络边缘。即Internet与局域网内部核心层的交汇处。通常采用双网卡的服务器架构，一端连接Internet公网交换机，一端连接 内网核心层交换机。

***服务器的安装和配置主要包括以下几个步骤：

1、构建一个安全稳定的***服务器操作系统平台。 为了确保***运行的安全、稳定和高效，建议采用WindowsServer2003企业版作 为操作系统平台。

配置高性能的多核心CPU处理器．、大容量内存和双千兆网卡的服务器硬件。同时加强服务器自身的安全性，在线升级和安装全部补丁程序。修复已知的各种漏洞。安装防病毒软件，防止感染计算机病毒、各种木马程序和有害插件等。

关闭默认的硬盘共享属性、禁用不必要的网络服务端。如关闭IIS的80端口、FTP的21端口、远程桌面的3389端口等。为管理员用户Administrator改名并设置复杂的密码，强制采用强密码策略，以减小词典攻击的可能性。

取消Microsoft网络的文件和打印机共享，仅保留Internet协议(TCP／IP)等，从整体上降 低网络入侵的风险。

2、安装ISA Server软件并启用***服务器。 由于教职工在家中或者外地访问校园网内部资源主要采取“远程访问的***连接”方式，所以根据网络架构，将连接Internet 公网交换机的网卡标识为WAN。

连接内部核心交换机的网卡标识为LAN，并配置网络参数。其中LAN口网卡不必设置默认网关和 DNS服务器地址，以防发生路由混淆。2块网卡的参数配置。

选用ISA Server2006标准版，按照系统推荐的方式默认安装。指定LAN口网卡 表1 标识ISA内部网络。ISA Server安装完成后，重新启动操作系统。

默认状态下ISA Server的***功能是禁用的，首先启用***服务器并且做相关配置。进入ISA主界面，在“***客户端任务”中，启用“***客户端访问属性。主要设置2个选项，即服务器；“常规”一栏中的“***客户端访问”．设置允许的最大***客户端数量。

如设置200 个***客户的同时连接数。在“协议”一栏中，启用“可用于远程访问连接的隧道协议”，PPTP为远程访问提供一个安全的连接方式， 即“启用TCP/IP协议”。其它两个栏目(组、用户映射)保留默认设置即可。

在虚拟专用网络(***)属性中，点击“远程访问***客户端 连接”，选择客户端可以从中启动到***服务器的连接网络为“外部”。在地址分配中，选择IP静态地址池，用于ISA Server服务器 通过DHCP方式为***拨入用户动态分配IP地址。

由于上述指定了200个***客户同时连接数，同时地址范围一定不能与已经 定义了的内部网络和DMZ网络重复。因此设置l0．0．0．1至10．0．0．200的A类IP地址池。

在“身份验证”栏目中，选择Microsoft加密 的身份验证版本(MS—CHAPv2)。基本配置完毕，点击“应用”保存修改的参数。

由于上述指定了200个***客户同时连接数，同时地址范围一定不能与已经 定义了的内部网络和DMZ网络重复．因此设置l0．0．0．1至10．0．0．200的A类IP地址池。

在“身份验证”栏目中，选择Microsoft加密 的身份验证版本(MS—CHAPv2)。基本配置完毕，点击“应用”保存修改的参数。

3、 建立防火墙策略与***远程访问规则。 当ISA服务器处理网络数据传输请求时，首先严格检查网络规则和防火墙策略，以判断网络传输的合法性。ISA Server的多网络访问功能可以轻松设置网络间的访问规则，必须仔细规划防火墙策略与***远程访问规则，才能实现安全的***访问功能。

我们在群晖nas里安装*** Server 套件可以把我们的群晖nas变成一个***服务器，我们可以安全的在远端存取Synology NAS 局域网内分享的资源，群晖的*** server整合了常用的通讯协定：  PPTP、Open*** 、 L2TP/IPSec，当我们启用了nas的***服务，会影响系统的网络性能。

我们先来了解一下三种协议：

PPTP

PPTP (Point-to-Point Tunneling Protocol，点对点信道协议) 是常用的 *** 解决方案，且大多数的客户端 (包含 Windows、Mac、Linux 及行动装置) 皆支持。

若要启动 PPTP *** 服务器：

1、开启 *** Server 并前往左侧面板的 PPTP。

2、勾选启动 PPTP *** 服务器。

3、在动态 IP 地址字段输入 *** 服务器的虚拟 IP 地址。请参阅下方的关于动态 IP 地址来了解更多信息。

4、设定最大联机数量来限制 *** 联机的共同联机数量。

5、设定同一账号最多联机数量来限制使用同一个账号所进行 *** 联机的共同联机数量。

6、从认证下拉式选单中选择下列任一项目来认证 *** 客户端：

PAP：认证过程中，将不加密 *** 客户端的密码。

MS-CHAP v2：认证过程中，将使用 Microsoft CHAP version 2 加密 *** 客户端的密码。

7、若您选择 MS-CHAP v2 验证，请从加密下拉式选单中选择下列任一项目来加密 *** 联机：

No MPPE：*** 联机不会受到加密机制保护。

Optional MPPE：客户端设定将决定 *** 联机会 / 不会受到 40-bit 或 128-bit 加密机制保护。

Require MPPE：客户端设定将决定 *** 联机会受到 40-bit 或 128-bit 加密机制保护。

8、设定 MTU (最大传输单元) 来限制 *** 网络传输的数据封包大小。

9、勾选手动设定 DNS 并指派 DNS 服务器的 IP 地址来发送给 PPTP 客户端。若停用此选项，则会将 Synology NAS 目前所使用的 DNS 服务器发送给客户端。

10、单击套用来让变更生效。

注意：

联机至 *** 时，*** 客户端的验证及加密设定必须与 *** Server 上的相同，否则客户端将无法成功联机。

为兼容于运行在 Windows、Mac OS、iOS 与 Android 系统的大部分 PPTP 客户端，预设的 MTU 值为 1400。若您的网络环境较为复杂，可能需要设定一个较小的 MTU 值。若您经常收到逾时讯息或联机不稳定，请降低 MTU 值。

请检查 Synology NAS 与路由器上的端口转送规则与防火墙设定，确认 TCP 1723 端口已开启。

部分路由器内建 PPTP *** 服务，因此可能已占用 1723 端口。您需先透过路由器的管理接口关闭其内建的 PPTP *** 服务，才能确保 *** Server 上的 PPTP *** 服务可以正常运作。此外，部分旧式路由器可能会封锁 GRE 协议 (IP 协议 47)，造成 *** 联机失败；建议使用支持 *** pass-through 联机的路由器。

Open***

Open*** 是开放原始码的 *** 服务解决方案，会以 SSL / TLS 加密机制保护 *** 联机。

若要启动 Open*** *** 服务器：

1、开启 *** Server，前往左侧面板的 Open***。

2、勾选启动 Open*** 服务器。

3、在动态 IP 地址字段输入 *** 服务器的虚拟内部 IP 地址。请参阅下方的关于动态 IP 地址来了解更多信息。

4、设定最大联机数量来限制 *** 联机的共同联机数量。

5、设定同一账号最多联机数量来限制使用同一个账号进行 *** 联机的共同联机数量。

6、为 Open*** 数据传输设定端口与通讯协议。您可以决定要将何种协议的数据封包透过 *** 转送至 Synology NAS 的哪个端口。默认值为 UDP 端口 1194

注意： 为确保 Synology NAS 上的服务可以正常运作，请避免将同样的一组端口与通讯协议指派给其他 Synology 服务。请参阅此篇应用教学以了解更多信息。

7、在加密下拉式选单中择一，以加密 *** 信道中的数据封包。

8、在验证下拉式选单中择一，以验证 *** 客户端。

9、若要在传输数据时压缩数据，请勾选启动 *** 压缩联机。此选项可提升传输速度，但可能会消耗较多系统资源。

10、勾选允许客户端存取服务器的局域网络来让客户端存取服务器的局域网络。

11、勾选启动 IPv6 服务器模式来启动 Open*** 服务器，以传送 IPv6 地址。您必须先在控制面板 > 网络 > 网络接口中，透过 6in4/6to4/DHCP-PD 取得 Prefix，并在此页面中选择该 Prefix。

12、单击套用来让变更生效。

注意：

*** Server 不支持站台对站台的桥接模式。

请检查 Synology NAS 与路由器上的端口转送规则与防火墙设定，确认 UDP 1194 端口已开启。

在 Windows Vista 或 Windows 7 上执行 Open*** GUI 时，请注意，UAC (用户帐户控制) 预设为开启。此设定开启时，需使用以系统管理员身份执行选项来透过 Open*** GUI 进行联机。

在 Windows 上透过 Open*** GUI 启动 IPv6 服务器模式时，请注意以下事项：

*** 所使用的接口名称不可包含空格，例如：LAN 1 须变更为 LAN1。

重新导向网关 (redirect-gateway) 选项须由客户端于 open***o*** 档案中设定。若您不想设定此选项，应手动设定 *** 接口的 DNS。您可以使用 Google IPv6 DNS：2001:4860:4860::8888。

若要汇出配置文件：

单击汇出配置文件。Open*** 让 *** 服务器可颁发证书供客户端使用。所汇出的档案为 zip 压缩文件，其中包含 cacrt (*** 服务器的凭证档案)、open***o*** (客户端使用的配置文件案)，以及 READMEtxt (客户端如何设定 Open*** 联机的简易说明)。

注意：

每次启动 *** Server 时，便会自动复制、使用显示于控制面板 > 安全性 > 凭证之凭证。若您需使用第三方凭证，请到控制台 > 安全性 > 凭证 > 新增来汇入凭证，并重新启动 *** Server。

每次修改凭证文件 (显示于控制面板 > 安全性 > 凭证) 后，*** Server 将会自动重新启动。

L2TP/IPSec

L2TP (Layer 2 Tunneling Protocol) over IPSec 提供更安全的虚拟私有网络，且大多数的客户端 (如 Windows、Mac、Linux 及行动装置) 皆支持。

若要启动 L2TP/IPSec *** 服务器：

1、开启 *** Server 并前往左侧面板的 L2TP/IPSec。

2、勾选启动 L2TP/IPSec *** 服务器。

3、在动态 IP 地址字段输入 *** 服务器的虚拟 IP 地址。请参阅下方的关于动态 IP 地址来了解更多信息。

4、设定最大联机数量来限制 *** 联机的共同联机数量。

5、设定同一账号最多联机数量来限制使用同一个账号进行 *** 联机的共同联机数量。

6、从认证下拉式选单中选择下列任一项目来认证 *** 客户端：

PAP：认证过程中，将不加密 *** 客户端的密码。

MS-CHAP v2：认证过程中，将使用 Microsoft CHAP version 2 加密 *** 客户端的密码。

7、设定 MTU (最大传输单元) 来限制 *** 网络传输的数据封包大小。

8、勾选手动设定 DNS 并指派 DNS 服务器的 IP 地址来发送给 L2TP/IPSec 客户端。若停用此选项，则会将 Synology NAS 目前所使用的 DNS 服务器发送给客户端。

9、若要发挥 *** 最大效能，选取执行核心 (kernel) 模式。

10、输入并确认预先共享密钥。您应将此密钥提供给 L2TP/IPSec *** 使用者以验证联机。

11、勾选启动 SHA2-256 兼容模式 (96 bit)，以让特定客户端 (非 RFC 标准) 可以使用 L2TP/IPSec 联机。

12、单击套用来让变更生效。

注意：

联机至 *** 时，*** 客户端的验证及加密设定必须与 *** Server 上的设定相同，否则客户端将无法成功进行联机。

为兼容于运行在 Windows、Mac OS、iOS 与 Android 系统的大部分 L2TP/IPSec 客户端，预设的 MTU 值为 1400。若您的网络环境较为复杂，可能需要设定一个较小的 MTU 值。若您经常收到逾时讯息或联机不稳定，请降低 MTU 值。

请检查 Synology NAS 与路由器上的端口转送规则与防火墙设定，以确认 UDP 1701、500、4500 端口已开启。

部分路由器内建 L2TP 或 IPSec *** 服务，因此可能已占用 1701、500 或 4500 端口。您需先透过路由器的管理接口关闭其内建的 L2TP 或 IPsec *** 服务，才能确保 *** Server 上的 L2TP/IPsec *** 服务可以正常运作。建议使用支持 *** pass-through 联机的路由器。

关于动态 IP 地址

*** Server 会依据您在动态 IP 地址中输入的数字，从虚拟 IP 地址范围中选择一个 IP 地址来分配给 *** 客户端使用。例如：若 *** 服务器的动态 IP 地址设定为「10000」，则 PPTP *** 客户端的虚拟 IP 地址范围为「10001」至「1000[最大联机数量]」；Open*** 客户端的虚拟 IP 地址范围则为「10002」至「1000255」。

重要事项： 指定 *** 服务器的动态 IP 地址之前，请注意：

1、*** 服务器可使用的动态 IP 地址必须为下列其一：

从「10000」至「102552550」

从「1721600」至「172312550」

从「19216800」至「1921682550」

2、您指定的 *** 服务器动态 IP 地址以及指派给 *** 客户端的虚拟 IP 地址，皆不能与局域网络中任一已使用的 IP 地址冲突。

关于客户端进行 *** 联机时使用的网关设定

使用 *** 联机至 Synology NAS 的局域网络之，客户端可能需要为 *** 联机变更网关设定；否则，在 *** 联机建立之后，它们可能会无法联机至因特网。