Windows Server 2019/2022 中搭建站点到站点（Site-to-Site）VPN 的完整指南

在现代企业网络架构中,安全可靠的远程访问能力至关重要，无论是分支机构与总部之间的互联，还是云环境与本地数据中心的混合部署，虚拟专用网络（VPN）都是实现数据加密传输和网络隔离的关键技术，本文将以 Windows Server 2019 或 Windows Server 2022 为例，详细讲解如何使用内置的“路由和远程访问服务”（RRAS）搭建一个稳定、安全的站点到站点（Site-to-Site）IPsec VPN 连接。

确保你的服务器已安装并配置了必要的角色和服务,打开“服务器管理器”，点击“添加角色和功能”，选择“远程访问”角色，并勾选“路由”子功能，这将自动安装 RRAS 和相关的 IPsec 策略组件，完成后重启服务器以使更改生效。

配置本地网络接口和静态IP地址,建议为连接外部网络的网卡分配一个公网IP（或通过NAT映射后的公网IP），并在防火墙上开放 UDP 500（IKE）和 UDP 4500（ESP）端口，这是IPsec协议通信所必需的，在路由器上设置端口转发规则，将这两个UDP端口指向服务器的内网IP地址。

然后进入“路由和远程访问”管理控制台（右键服务器 → “配置并启用路由和远程访问”），选择“自定义配置”，然后勾选“LAN路由（包括Internet连接共享）”，向导完成后，你会看到新的服务状态为“正在运行”。

现在创建站点到站点连接,右键“IPv4” → “新建隧道连接” → 输入对端网关IP（即对方路由器的公网IP），选择“IPsec策略”类型为“自定义”，然后手动配置预共享密钥（PSK），该密钥必须与对端设备一致，定义本地子网（如192.168.10.0/24）和远程子网（如192.168.20.0/24），系统会自动生成IPsec安全关联（SA）策略。

为了增强安全性,推荐使用证书认证替代预共享密钥，可通过Windows CA服务器颁发客户端和服务器证书，并在IPsec策略中引用这些证书，从而实现双向身份验证。

最后一步是测试连接,在本地机器上执行 ping 命令测试是否能通达远程子网内的主机；也可使用 route print 查看路由表是否包含对端子网的动态路由条目，如果出现连接失败，请检查事件查看器中的“Routing and Remote Access”日志，重点关注IPsec协商失败或证书验证错误。

基于Windows Server的站点到站点VPN不仅成本低、易维护，而且深度集成于Active Directory和组策略环境中，非常适合中小型企业快速部署跨地域的安全网络通道，掌握这一技能，有助于提升企业IT基础设施的灵活性和可扩展性。