windows server(2016-2022)配置pptp l2tp server详细文档

pptp l2tp是windows server自有功能，请不要用于非法业务

pptp l2tp是windows server自有功能，请不要用于非法业务

pptp l2tp是windows server自有功能，请不要用于非法业务

2012R2 end of life未验证，文档通用server2016-2022，理论上应该也适用server2025（目前未正式发布，发布后我抽空验证下）

查资料配置pptp和l2tp server，测试3个客户端连接，最多只能连2个pptp客户端，断掉1个才能连第3个(本质上总数还是2个)，发现是server系统默认2个会话限制导致的，需要配置server系统多用户多会话（默认120天免费期，超出的话，原则上需要找微软购买license，网上有一些"免费"的办法，可以自行查资料）

注意配置server系统多用户多会话需要至少把补丁打到2024年8月，因为多用户多会话有安全漏洞，微软在24年七八月份才出补丁修复，参考：https://cloud.tencent.com/developer/article/1835377

1、如果不考虑别的（超出120天的问题自己解决），单纯验证多用户多会话的话，2句powershell：执行完成后重启机器生效（参考https://cloud.tencent.com/developer/article/1598570）

winrm quickconfig -q 2>&1> $null;winrm quickconfig -q -force 2>&1> $null;netstat -ano|findstr :5985;
Get-WindowsFeature -name rds-rd-server,*rds-licensing*|Install-WindowsFeature

如果远程登录服务器出现被锁定的情况，vnc上用密码登录进入执行这句命令后可恢复正常远程：

net accounts /lockoutthreshold:0

2、配置pptp和l2tp server，参考：https://www.ywbj.cc/?p=744

安装的话一句powershell搞定，配置的话参考上述文档里的截图配置（防火墙那段因为腾讯云防火墙默认关闭的，无需配置，安全组层面看自己需求，如果要配的话在安全组里配规则，由于我是简单验证，就安全组放行ALL了）

Install-WindowsFeature -Name RemoteAccess,DirectAccess-VPN,Routing -IncludeManagementTools -Restart

3、pptp客户端连接很顺利，但需要注意在连接前先参考https://www.tintsoft.com/articles/676.html去掉默认网关并添加vpn网段路由

比如我配置的10.10.10.0/24网段（如下图10.10.10.1~10.10.10.254，第一个地址就是vpn server的地址，也就是虚拟IP段的网关），我的server地址是119.45.62.115，那所有客户端添加路由的命令就是：

route add -p 10.10.10.0/24 119.45.62.115

没有这句命令的话，客户端访问不了公网

route add -p 10.10.10.0/24 10.10.10.1
route add -p 10.10.10.0/24 10.10.10.1 metric 1 if $vpnIndex

$vpnIndex是vpn客户端连接成功后，netstat -r查看到的网卡号，没有这句命令的话，各vpn客户端之间不通

4、l2tp客户端一开始没连上，需要配置下注册表并设置3个服务PolicyAgent/RasMan/RemoteAccess开机自动启动（不要手动、也不要延迟启动，服务端、客户端最好都设置下）然后重启一次客户端机器才能连上

l2tp客户端也需要像pptp客户端那样去掉默认网关

l2tp客户端也需要像pptp客户端那样去掉默认网关

l2tp客户端也需要像pptp客户端那样去掉默认网关

路由在pptp客户端那时已经加过的话，l2tp这里就不用加了

①设置几个服务开机启动（服务端如果有network policy server即IAS，则IAS服务也设置开机启动，没有就算了；下面的服务有就设置开机启动，没有就算了）

参考https://www.jianshu.com/p/db34baf698d4等文档

IPsec Policy Agent（PolicyAgent）

Remote Access Auto Connection Manager（RasAuto）

Remote Access Connection Manager（RasMan）

Routing and Remote Access（RemoteAccess）

Remote Access Management service（RaMgmtSvc）

Secure Socket Tunneling Protocol Service（SstpSvc）

②配置3个注册表：（我参考的https://woshub.com/l2tp-ipsec-vpn-server-behind/）重启机器生效

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent" /v AssumeUDPEncapsulationContextOnSendRule /t REG_DWORD /d 2 /f
reg add "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters" /v AllowL2TPWeakCrypto /t REG_DWORD /d 1 /f
reg add "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters" /v ProhibitIpSec /t REG_DWORD /d 0 /f

5、这是我3台机器（pptp、l2tp各1个）6个客户端连接的效果

在服务端"Windows管理工具"中找到"路由和远程访问"查看客户端情况

直接运行调出工具的命令也行：rrasmgmt.msc

6个vpn客户端

3个实体客户端