实战金蝶K3免费VPN远程应用

“免费的午餐”你要不要？——图解金蝶K/3免费VPN远程应用金蝶K/3系统是金蝶软件公司推出的面向中小企业，构建在BOS平台之上的信息管理软件。因其主要适用于网络运用，所以软件安装有三个层次：服务器端（数据库）、中间层、客户端，即可以单机使用，又可以在公司局域网内网络运用。但是现在很多公司都是集团公司，下属有若干个分子公司或分布各地的销售部，这就对金蝶K/3系统的远程访问提出了要求。但是金蝶K/3对远程访问应用支持并不是很好，于是各种VPN（虚拟专用网络）软件或硬件产品、远程终端服务软件都层出不穷，在为各公司远程应用提出了各种解决方案的同时其远程访问应用花费也是不小的。我们来初步的算一个帐，不算K/3系统的投入，仅VPN软件或硬件的产品、远程终端服务的国内软件都是以大几千元到上万元为代价，国外软件更贵。这还没有算上各个分支机构的客户端的费用。本文在这里介绍是运用服务器版操作系统自身自带的VPN设置实现上述远程访问功能。不用花一分钱而拥有远程访问的功能，你是不是也想试试呢？为了使大家对本文的介绍不流于空对空的形式，本文将以笔者所在公司为实例主要用图解详细介绍各种配置环境和操作步骤，希望对大家有所启发。因笔者是财务人员并非网管，下列叙述中如有用词不当请批评指正。一、公司网络环境及软硬件情况：图11、硬件网络环境：如图1所示，集团公司总部是通过ADSL+路由器上网的。公司中以192.168.1.0为局域网网段，以192.168.1.2这台计算机为服务器（单网卡），分支机构也是以ADSL形式上网。2、软件环境：公司服务器上安装的是windowsserver2003SP1企业版，未设置域服务器，公司共享文件运用的是FTP，公司服务器上安装好金蝶K/3的服务端和中间层，在另一台总部计算机（比如：192.168.1.3这台计算机）上安装好金蝶客户端，并在局域网内部测试通过。分支机构计算机操作系统采用的是windowsxpSP2。二、什么是VPN（虚拟专用网络）？以本例来说就是现在集团总部192.168.1.2这台服务器上设置好VPN服务，通过分支机构的计算机上的VPN客户端访问集团总部这台机器，建立连接后，这两台机器通信时就像在局域网中一样，如图分支计算机中安装好金蝶客户端后访问192.168.1.2这台服务器上的金蝶中间层和服务器端，就跟192.168.1.3这台计算机访问192.168.1.2这台服务器上的金蝶软件一样。虽然是通过Internet进行通信，但整个过程都是加密的，就像是在Internet中穿了一条只有两台机器才能通过的隧道，这就是VPN(VirtualPrivateNetworks)虚拟专用网。当然这里还有一个问题，就是如何访问到局域网内的公司服务器，这里面还涉及到一个动态IP绑定服务（如花生壳服务）和端口映射问题，这将在后面提到。三、如何设置VPN服务：1、启用VPN服务。在公司服务器192.168.1.2这台机器上启用VPN服务，在windowsserver2003SP1企业版中选择“开始”—“管理工具”—“路由和远程访问”。在“服务器状态”下右键点击本地的计算机名，如图2。本列的服务器名为JF，进行“配置并启用路由和远程访问”。图2如图3，安装向导当然是下一步。图3如图4，我们是单网卡的VPN服务器，要选择“自定义配置”。图4如图5，选择启用VPN访问服务。图5如图6，最终完成。图6如图7，是否开始服务，当然点“是”。图7这样VPN服务就启用了。现在我们还要设置一下VPN拨入帐号的IP地址。右键点击已经启用的服务器名，本例中是JF上点击右键，打开“属性”窗口，如图8。点击选中IP选项卡—IP地址指派—静态地址池—点击“添加”。图8在本例中给予10个可拨入的IP地址。如图9。当然如果你觉得10个IP地址不够，可以在结束的IP地址中添加。图92、设置客户端拨入权限经过上面的设置，公司服务器192.168.1.2这台计算机上的VPN服务就已经启用了，但要登录到这台服务器，必须要该服务器知道有一个拨入权限的用户，为了大家容易理解，下面在192.168.1.2这台服务器上新建一个用户并赋予该用户拨入的权限。选择“开始”—“管理工具”—“计算机管理”，如图10，点击“本地用户和组”，在用户上点击右键，建立一个“新用户”。图10如图11，我们创建一个“test”用户。图11在创建好的test用户上点击右键，打开“属性”窗口，在“拨入”选项卡中，如图12，一定要选中“远程访问权限”—“允许访问”，否则这个帐号是拨入不上VPN服务器的。图12四、分支机构计算机接入前的准备工作1、动态IP绑定。分支机构要接入公司的服务器首先要将知道公司服务器的IP的地址，如果公司服务器的IP是静态就十分简单，但在本例中公司服务器的IP，就是ADSL接入互联网时ISP动态分配的。这就需要申请将动态IP绑定，本公司采用的是花生壳的免费服务。登陆护照，在护照底下申请域名（Oray提供了免费域名注册），激活域名对应的花生壳服务，下载花生壳客户端，在局域网内192.168.1.2这台服务器主机上安装花生壳客户端登陆在线，或是在集成花生壳动态域名解析服务的路由器上把护照名和密码填在路由器DDNS模块里并启用在线。2、进行端口映射，从图1可以看出，本例是通过在ADSL+路由器接入Internet的，通过这种方式一定要在路由器中作端口映射，由于windows2003的VNP服务用的是1723端口，所以如图15，将1723端口映射到192.168.1.2这台设有VPN服务的机器。如果用的是直接拨号，那在防火墙中将这个端口放开就行了。本例中使用的是TP-LINK的无线路由器WR641G，端口映射如图13图13五、远程VPN服务接入上面的准备工作做好之后，就可以在分支机构的计算机上设置远程连接了，在widnowsxpSP2中点击“开始”—“控制面板”—“网络连接”。点击左上角的“创建一个新的连接”，如图14图14弹出“新建连接向导”，如图15图15网络连接类型，选“连接到我的工作场所的网络”，如图16图16选“虚拟专用网络连接”，如图17图17输入你的公司名，中文英文都可以。如图18图18这一步确认你的宽带连接是否已经连上，如果已经连上就如图19选择就是了。图19输入你要登录的VPN服务器的公网IP地址，本例中就是我们申请的免费花生壳服务的域名，如图20，输入***.vicp.net。图20终于完成了，点击“完成”就可以了。如果不想每次拔号到“控制面板”中找，当然要选择“在我的桌面上添加一个到此连接的快捷方式”，如图21图21马上拨号了，在弹出的窗口中输入你在VPN服务器上新建好的用户名和密码。你的VPN网络就接通了。如图22图22六、K/3系统远程VPN连接可能出现几点问题的解决。1、因为公司服务器采用的Windowsserver2003系统并未启用域服务器，对于K/3系统的远程网络默认安全认证方式“相同域”方式，需要更改为“信任”方式。如图23图23这个项目的更改在“金蝶K3”—“中间层服务部件”—“系统工具”—“注册中间层组件”中调用。图中JF是192.168.1.2服务器的计算机名，k3srv是服务器上一个具有管理员权限的帐号，如果你的服务器上没有这个帐号，可以在“计算机管理”的“本地用户和组”中添加。2、可能是因为Windowsserver2003系统的验证机制问题，各远程访问的分支机构的计算机都不能使用默认的administrator的用户名登录，并且密码不能为空。比如：其中一个分支机构的计算机windowsxp的登录名改为admin，密码设为123456。并且各分支机构的计算机的登录名不能重名，否则也会出现中间层测试无法通过的情况。这里还有一点也是要注意的，分支机构计算机本地登录的用户名和密码，也不能和VPN远程接入的帐号和密码一样。否则K/3客户端是通不过中间层测试的。3、分支机构和公司服务器的计算机上如果安装了网络防火墙，要将局域网内的IP段加入到白名单或可信区中并开放所有端口。在本例中就是将192.168.1.0至192.168.1.255之间区段的IP加入到白名单或可信区中并打开所有端口。4、如果分机构的计算机也在局域网内，如图1像集团总部的网络环境连入互联网的，这时分支机构的局域网段不能和集团总部的局域网段一样。否则也无法访问总部的192.168.1.2这台服务器。本例中集团总部的局域网段是192.168.1.0至192.168.1.255之间，这样分支机构在路由器设置的局域网段就不能是192.168.1.0至192.168.1.255这个区间，可以改为192.168.2.0至192.168.2.255这个区间。5、以上所有的项目都做到了，但分支机构计算机上安装的K/3客户端的远程访问在中间层测试仍然不能通过，并且中间层测试时是用服务器名进行的，将服务器名改为内网的IP地址测试一下（在本例中就是将192.168.1.2这个IP放在中间层进行测试），一般就可以通过了。如图24图246、VPN在实际连接中很顺利，但遇到一个问题，在分支计算机通过VPN连入公司服务器后和公司服务器的连接完全正常，但分支机构的计算机不能正常上网了。用routeprint检查路由（如图25所示）发现有两个到目标0.0.0.0的路由，网关一个是分支机构计算机ADSL拨号ISP自动分配的IP地址58.48.131.41，一个是建立VPN后的IPF地址192.168.1.204，这样在访问Internet网络时就有问题了。图25解决的办法：删除接入VPN后的路由，命令如下所示：C:\routedelete0.0.0.0mask0.0.0.0192.168.1.204加一条指向VPN服务器所在网络的路由，本例（如图1）VPN服务器的地址为192.168.1.2,所以只要将到192.168.1.0这个网络的指向VPN的地址192.168.1.204就行了。C:\routeadd192.168.1.0mask255.255.255.0192.168.1.204当然这一步是否操作对访问K/3中间层和服务端是没有影响的。VPN连通后不能上Internet，如果从节省带宽的角度考虑，反而是有益的。是否操作就看读者们自己的看法了。经过上述的所有操作，看到久违的K/3主控台了吧？看到不用付费的VPN远程应用的实现，心里是不是一阵窃喜呢？心动不如行动，赶快试试吧！跟那些价格昂贵的VPN软硬件产品和终端服务软件说再见吧！有免费的当然用免费的哟^_^当然VPN的运用不止实现金蝶K3的远程访问，比如用FTP服务器实现集团内部上传下达文件等。