Windows Server 2016 中配置站点到站点（Site-to-Site）VPN 的完整指南

在企业网络环境中，远程分支机构与总部之间的安全通信至关重要，Windows Server 2016 提供了内置的路由和远程访问（RRAS）功能，可以轻松搭建站点到站点（Site-to-Site）IPsec VPN 隧道，实现跨地域的安全数据传输，本文将详细介绍如何在 Windows Server 2016 上配置站点到站点 VPN,适用于中小型企业或需要自建私有云连接的场景。

确保你具备以下前提条件：

• 两台运行 Windows Server 2016 的服务器（分别代表两个站点）。
• 每个站点至少有一个公网 IP 地址（用于 NAT 穿透）。
• 本地子网（如 192.168.1.0/24 和 192.168.2.0/24）已规划好。
• 具备管理员权限登录服务器。

第一步：安装 RRAS 角色

1. 打开“服务器管理器”，点击“添加角色和功能”。
2. 选择“基于角色或基于功能的安装”,然后选择目标服务器。
3. 在“服务器角色”中勾选“远程访问”，并确认“路由”选项也被选中（这是关键，它启用 IP 路由功能）。
4. 安装完成后重启服务器。

第二步：配置路由和远程访问

1. 打开“路由和远程访问”管理工具（可以在“服务器管理器”中找到）。
2. 右键服务器名，选择“配置并启用路由和远程访问”。
3. 选择“自定义配置”，点击“下一步”。
4. 勾选“LAN 和 Internet 连接”，然后完成向导,这会为服务器创建一个基本的路由环境。

第三步：设置 IPsec 站点到站点隧道

1. 在“路由和远程访问”控制台中，展开服务器节点，右键“IP 路由”，选择“新建静态路由”。
2. 输入对端站点的子网地址（192.168.2.0/24），下一跳为对端公网 IP。
3. 然后右键“IPsec 策略”，选择“新建策略”。
4. 设置策略名称（如 “S2S-VPN-Policy”），选择“使用预共享密钥进行身份验证”。
5. 添加“IPSec 安全规则”：源子网（本端）→ 目标子网（对端），加密算法推荐 AES-256，哈希算法 SHA-256，IKE 版本建议 IKEv2。
6. 将该策略应用到所有接口（特别是外网接口）。

第四步：配置防火墙和 NAT

• 开启 Windows 防火墙中的“允许传入的 IPsec 包”规则（通常默认已启用）。
• 若使用 NAT 设备，需在路由器上做端口映射（UDP 500 和 4500）指向服务器公网 IP。
• 在服务器上配置“启用 NAT”以支持内部主机访问互联网。

第五步：测试与验证

• 使用 ping 或 tracert 测试两个子网之间是否可达。
• 查看事件查看器中是否有 IPsec 错误日志（路径：Windows 日志 → Security）。
• 使用 netstat -an | findstr "500" 检查 UDP 500 是否监听成功。

通过以上步骤，即可在 Windows Server 2016 上成功部署站点到站点 VPN，这种方案成本低、易维护，特别适合没有专用硬件设备的企业，但注意：若需高可用或大规模部署，建议结合 Azure Site-to-Site VPN 或 SD-WAN 解决方案，掌握 Windows Server 的原生 VPN 功能是网络工程师的基础技能之一。