# 在 Windows Server 2025 上部署 PPTP VPN

明白 ✅  
你想在 **Windows Server 2025** 上部署 **PPTP VPN**。  
虽然微软官方在 Windows Server 2012 R2 之后就一直强调不要再用 PPTP（因为安全性较差，推荐 L2TP/IPsec 或 SSTP），但如果你是做兼容性或临时方案，还是可以部署。

下面给你一个完整的 **Windows Server 2025 PPTP VPN 部署指南**：

---

## 🔹 一、准备工作

1. 已安装 **Windows Server 2025**（Datacenter / Standard）。
2. 配置好公网 IP 或能通过 NAT 转发 TCP 1723 和 GRE 协议（协议号 47）。
3. 确保已加入域（可选，如果需要 AD 账号认证）。
4. 管理员权限。

---

## 🔹 二、安装远程访问角色

1. 打开 **服务器管理器** → **添加角色和功能**。
2. 在角色里选择：
    
    
    - **远程访问 (Remote Access)**
3. 在角色服务中勾选：
    
    
    - **DirectAccess 和 VPN (RAS)**
    - **路由 (Routing)**
4. 完成安装后，不要重启（系统可能会提示）。

---

## 🔹 三、配置 RRAS（Routing and Remote Access Service）

1. 打开 **服务器管理器** → **工具** → **路由和远程访问**。
2. 在左侧选择本机 → 右键 → **配置并启用路由和远程访问**。
3. 向导中选择：
    
    
    - **自定义配置**
    - 勾选 **VPN 访问** 和（如需要）**NAT**。
4. 完成后，点击 **启动服务**。

---

## 🔹 四、启用 PPTP

1. 在 RRAS 控制台，右键服务器 → 属性。
2. 切换到 **安全性** → **身份验证方法**，勾选：
    
    
    - **MS-CHAP v2**（建议只启用这个，避免 PAP/CHAP）。
3. 切换到 **IPv4**：
    
    
    - 选择 **静态地址池**，添加一个地址段（例如 192.168.100.100–192.168.100.200）。
    - 或选择 DHCP（如果有现成 DHCP 服务器）。
4. 切换到 **VPN**：
    
    
    - 确认 **允许的 VPN 协议** 里勾选了 **PPTP**。

---

## 🔹 五、防火墙 & 端口

在防火墙（本机或边界防火墙）放行：

- **TCP 1723**（PPTP 控制通道）
- **GRE 协议 (Protocol 47)**（数据通道，不是 TCP/UDP 端口）

检查命令：

```powershell
netsh advfirewall firewall add rule name="PPTP-1723" protocol=TCP dir=in localport=1723 action=allow
netsh advfirewall firewall add rule name="PPTP-GRE" protocol=47 dir=in action=allow

```

---

## 🔹 六、用户配置

1. 打开 **计算机管理** → **本地用户和组** → 用户。
2. 新建或选择用户 → 右键属性 → **拨入**。
3. 选择 **允许访问**。

如果是域用户，可以在 ADUC 中同样设置。

---

## 🔹 七、客户端连接

- Windows 10/11/Server 客户端：
    
    
    - 打开 VPN 设置 → 添加 VPN → 类型选 PPTP → 输入服务器公网地址 + 用户名密码。

---

## 🔹 八、验证

在服务端可以用以下命令查看 VPN 连接：

```powershell
Get-RemoteAccessConnectionStatistics

```

---

⚠️ **安全提醒**  
PPTP 已知有弱点（MS-CHAPv2 可被暴力破解）。如果是生产环境，建议用 **L2TP/IPsec** 或 **IKEv2**。

---

要不要我帮你整理一份 **同时支持 PPTP + L2TP/IPsec 的部署方案**，这样你兼容老客户端的同时也能提供安全的接入？