在现代企业网络架构中,安全、稳定的远程访问是保障业务连续性的关键,Windows Server 2022 提供了强大的内置功能,支持通过“路由和远程访问服务”(RRAS)搭建站点到站点(Site-to-Site)VPN,实现两个不同地理位置的局域网之间的加密通信,本文将详细介绍如何在 Windows Server 2022 上配置一个稳定可靠的 Site-to-Site IPsec VPN 隧道,适用于中小型企业或分支机构互联场景。
第一步:准备工作
确保你拥有两台运行 Windows Server 2022 的服务器,分别位于不同的物理位置(如总部和分部),并具备公网IP地址,需在网络边界设备(如防火墙或路由器)上开放 UDP 端口 500(IKE)、4500(ESP)以支持 IPsec 协议,建议使用静态公网IP,动态IP可能导致连接中断。
第二步:安装并配置 RRAS 角色
登录至主服务器(通常为总部服务器),打开“服务器管理器”,点击“添加角色和功能”,选择“远程访问”角色,并勾选“路由”子功能,同时启用“远程访问”中的“DirectAccess 和 VPN(路由)”选项,安装完成后重启服务器。
第三步:配置 IP 地址池与接口
进入“服务器管理器”→“工具”→“路由和远程访问”,右键服务器节点,选择“配置并启用路由和远程访问”,向导中选择“自定义配置”,然后勾选“LAN 和 WAN 接口”,点击完成,在“IPv4”下右键“静态路由”,添加指向对端网络的路由规则(目标网段 192.168.2.0/24,下一跳为对端公网IP)。
第四步:设置 IPsec 站点到站点隧道
右键“IPv4” → “IPSec 策略”,新建策略并命名为“Site-to-Site-VPN”,点击“添加筛选器”,选择“源地址”为本地内网网段,“目标地址”为对端内网网段,随后配置“加密方法”(推荐 AES-256 + SHA-256),并启用“预共享密钥”认证方式(两端必须一致),保存后应用策略。
第五步:配置对端服务器(分部)
重复上述步骤在另一台服务器上完成相同配置,唯一区别在于“源地址”和“目标地址”互换,且预共享密钥必须完全一致,确保两端的防火墙允许相关端口通信。
第六步:测试与验证
在任意一端的客户端机器上执行 ping 命令测试对端内网主机连通性,若不通,可通过事件查看器检查“Routing and Remote Access”日志,排查 IPsec 认证失败或路由错误问题,必要时使用 Wireshark 抓包分析 ESP 数据流是否正常建立。
通过以上步骤,即可在 Windows Server 2022 上成功部署一条安全、稳定的站点到站点 IPsec 隧道,此方案无需第三方硬件或软件,成本低、维护简单,非常适合希望快速实现异地网络互通的企业用户,后续可根据需求扩展为多站点拓扑或结合证书认证提升安全性。
