Windows Server 2019/2022 中配置站点到站点（Site-to-Site）VPN 的完整指南

在企业网络环境中,远程分支机构与总部之间的安全通信至关重要，Windows Server 操作系统内置的“路由和远程访问服务”（RRAS）提供了强大的功能来实现站点到站点（Site-to-Site）虚拟私人网络（VPN），尤其适用于中小型企业部署，本文将详细介绍如何在 Windows Server 2019 或 2022 上配置站点到站点 IPsec VPN，确保两个不同地点的网络能够通过加密隧道安全互联。

第一步：准备工作
确保两台 Windows Server 实例分别位于两个不同的物理位置（例如总部和分支机构），每台服务器必须具备公网 IP 地址（静态或动态均可，但建议使用静态 IP 以避免配置失效），需在防火墙（包括服务器本地防火墙和路由器）上开放 UDP 端口 500（IKE）、UDP 端口 4500（IPsec NAT-Traversal），以及 TCP 端口 1723（若使用 PPTP，不过推荐使用更安全的 IPsec）。

第二步：安装 RRAS 角色
登录到其中一台服务器（如总部服务器），打开“服务器管理器”，点击“添加角色和功能”，选择“远程访问” → 勾选“路由”和“远程访问”子功能，完成安装，安装完成后重启服务器以加载新服务。

第三步：配置 RRAS 路由器
打开“路由和远程访问”管理工具（rrasmgmt.msc），右键服务器名称，选择“配置并启用路由和远程访问”，向导中选择“自定义配置”，然后勾选“启用 IP 路由”选项，这一步是关键，它将服务器转变为一个三层路由设备，支持跨子网通信。

第四步：创建站点到站点连接
在“路由和远程访问”控制台中，展开“IPv4”节点，右键“静态路由”，选择“新建静态路由”，输入以下信息：

• 目标网络：分支机构的局域网子网（如 192.168.2.0/24）
• 下一跳：分支机构服务器的公网 IP
• 接口：用于连接外网的网卡（通常为 WAN 接口）

第五步：设置 IPsec 安全策略
进入“IPSec 策略管理器”（secpol.msc），右键“IPSec 策略”，选择“创建 IPSec 策略”，命名为 “Site-to-Site-VPN-Policy”，在“属性”中，添加一个新的规则，目标为“所有网络流量”，安全方法选择“协商安全”（即 IKEv2），加密算法推荐 AES-256，认证方式用预共享密钥（PSK）。

第六步：对端配置（分支机构服务器）
重复上述步骤，在另一台服务器上配置相同的 IPsec 策略和静态路由，确保两端使用相同的 PSK 密钥、IPsec 参数和目标网络范围。

第七步：测试与验证
配置完成后，在总部服务器执行 ping 测试，尝试 ping 分支机构的内网地址（如 192.168.2.100），如果成功，则说明隧道建立成功，可通过命令行查看 IPsec 状态：netsh ipsec policy show all，检查事件日志（Event Viewer）中的“Microsoft-Windows-RoutingAndRemoteAccess”通道，确认无错误信息。

注意事项：

• 若使用动态公网 IP，请结合 DDNS 或第三方隧道服务（如 OpenVPN、WireGuard）作为补充方案。
• 建议定期轮换 PSK 密钥以增强安全性。
• 对于高可用场景,可考虑部署双机热备或使用 Azure Site-to-Site VPN 替代本地 RRAS。

通过以上步骤,您可以构建一个稳定、安全且成本低廉的站点到站点 IPsec 隧道，实现跨地域办公网络的无缝融合，此方案特别适合没有专业网络设备的小型组织。