在 Windows Server 2025 上部署 PPTP VPN
明白 ✅
你想在 Windows Server 2025 上部署 PPTP VPN。
虽然微软官方在 Windows Server 2012 R2 之后就一直强调不要再用 PPTP(因为安全性较差,推荐 L2TP/IPsec 或 SSTP),但如果你是做兼容性或临时方案,还是可以部署。
下面给你一个完整的 Windows Server 2025 PPTP VPN 部署指南:
🔹 一、准备工作
-
已安装 Windows Server 2025(Datacenter / Standard)。
-
配置好公网 IP 或能通过 NAT 转发 TCP 1723 和 GRE 协议(协议号 47)。
-
确保已加入域(可选,如果需要 AD 账号认证)。
-
管理员权限。
🔹 二、安装远程访问角色
-
打开 服务器管理器 → 添加角色和功能。
-
在角色里选择:
-
远程访问 (Remote Access)
-
-
在角色服务中勾选:
-
DirectAccess 和 VPN (RAS)
-
路由 (Routing)
-
-
完成安装后,不要重启(系统可能会提示)。
🔹 三、配置 RRAS(Routing and Remote Access Service)
-
打开 服务器管理器 → 工具 → 路由和远程访问。
-
在左侧选择本机 → 右键 → 配置并启用路由和远程访问。
-
向导中选择:
-
自定义配置
-
勾选 VPN 访问 和(如需要)NAT。
-
-
完成后,点击 启动服务。
🔹 四、启用 PPTP
-
在 RRAS 控制台,右键服务器 → 属性。
-
切换到 安全性 → 身份验证方法,勾选:
-
MS-CHAP v2(建议只启用这个,避免 PAP/CHAP)。
-
-
切换到 IPv4:
-
选择 静态地址池,添加一个地址段(例如 192.168.100.100–192.168.100.200)。
-
或选择 DHCP(如果有现成 DHCP 服务器)。
-
-
切换到 VPN:
-
确认 允许的 VPN 协议 里勾选了 PPTP。
-
🔹 五、防火墙 & 端口
在防火墙(本机或边界防火墙)放行:
-
TCP 1723(PPTP 控制通道)
-
GRE 协议 (Protocol 47)(数据通道,不是 TCP/UDP 端口)
检查命令:
netsh advfirewall firewall add rule name="PPTP-1723" protocol=TCP dir=in localport=1723 action=allow
netsh advfirewall firewall add rule name="PPTP-GRE" protocol=47 dir=in action=allow
🔹 六、用户配置
-
打开 计算机管理 → 本地用户和组 → 用户。
-
新建或选择用户 → 右键属性 → 拨入。
-
选择 允许访问。
如果是域用户,可以在 ADUC 中同样设置。
🔹 七、客户端连接
-
Windows 10/11/Server 客户端:
-
打开 VPN 设置 → 添加 VPN → 类型选 PPTP → 输入服务器公网地址 + 用户名密码。
-
🔹 八、验证
在服务端可以用以下命令查看 VPN 连接:
Get-RemoteAccessConnectionStatistics
⚠️ 安全提醒
PPTP 已知有弱点(MS-CHAPv2 可被暴力破解)。如果是生产环境,建议用 L2TP/IPsec 或 IKEv2。
要不要我帮你整理一份 同时支持 PPTP + L2TP/IPsec 的部署方案,这样你兼容老客户端的同时也能提供安全的接入?
No Comments