问在Windows2008 R2上建立虚拟专用网，我应该使用PPTP还是SSTP？

EN

如果您有Windows /7客户端和2008r2服务器，则可能应该使用IKEv2作为主服务器，如果由于任何原因UDP端口500在客户端的站点上被阻塞，则应该使用SSTP。

SSTP有一个严重的性能问题，因为在大多数数据通信中您都会得到TCP.这会导致“内部”TCP层误报网络上的实际数据包丢失，从而导致巨大的延迟或断开。有关此问题的详细信息，请参见此链接。

我们自己的测试显示，SSTP在有损耗的网络上表现非常糟糕，特别是在酒店、咖啡店、移动宽带等无线网络上。因此，我们错误地选择了IKEv2作为我们的主要机制，而SSTP作为退路。SSTP或IKEv2都不需要客户端证书部署，但它们确实要求所有客户端信任VPN服务器的证书。通过组策略很容易地部署VPN服务器证书。

Windows实现中PPTP、SSTP和IKEv2的另一个常见问题是，它们不验证客户端计算机是否可信，只验证正在连接的用户是否知道密码并具有VPN权限。这个问题最终导致我们回到L2TP，使用进行客户端证书部署，以向受信任的计算机颁发证书。您可以使用注册表设置(同样通过组策略部署)配置L2TP的NAT遍历。

不要使用PPTP--如果您使用的是MSChapv2协议，它是完全不安全的。https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/

如果您使用的是不同的加密方法，比如证书--设置它的工作量要大得多，从一开始就消除了PPTP的任何好处。

我计划在我自己的组织中用OpenVPN替换PPTP。IPSec / L2TP是另一个很好的选择。

如果您有一个较新的Cisco防火墙，您可以使用SSL功能，如果您许可它。还可以使用正常的Cisco VPN客户端/服务器设置。

对于使用W2k8 R2，我建议在PPTP上使用SSTP路由。PPTP可能更容易部署，但除了安全性之外，现在有相当多的地方(其他行业、酒店等)。这不允许你从他们那里连接(出站)，这会让员工、客人感到沮丧。