VPN-сервер - это компьютер, принимающий VPN-соединения от VPN-клиентов. Он поддерживает как VPN-соединения удаленного доступа, так и VPN-соединения типа маршрутизатор-маршрутизатор. Имя и IP-адрес VPN-сервера должны быть разрешимы и доступны через корпоративные брандмауэры. 

Создание VPN-соединений и туннелей
Туннель (tunnel) - это тот участок соединения, в который помещается блок данных для передачи. VPN-соединение - это участок соединения, в котором данные шифруются. Объединение этих подходов обеспечивает защищенное VPN-соединение.

Туннель без шифрования данных не является VPN-соединением, так как в этом случае дан­ные, пересылаемые через Internet, могут быть легко прочитаны.

Инфраструктура Internet и intranet-сети
Для установки VPN-соединения требуется наличие сетевой структуры общего доступа. Для Windows Server 2003 средой для передачи данных через VPN всегда является сеть на базе протокола IP, которая включает в себя как Internet, так и intranet-сеть корпорации.
Варианты аутентификации в системе RRAS
В любом сетевом окружении пользователь должен пройти процесс аутентификации для того, чтобы получить права на доступ к сетевым ресурсам. Аутентификация является важным компонентом политики безопасности в Windows Server 2003. Аутентификация удаленного подключения пользователя в Windows Server 2003 может осуществляться через несколько протоколов аутентификации РРР, которые перечисляются ниже.
• Протокол аутентификации пароля (Password Authentication Protocol - PAP).
• Протокол аутентификации с предварительным согласованием вызова (Challenge Handshake Authentication Protocol - CHAP).
• Протокол аутентификации с предварительным согласованием вызова от компании Microsoft (Microsoft Challenge Handshake Authentication Protocol - MS-CHAP).
• Протокол аутентификации с предварительным согласованием вызова от компании Microsoft версии 2 (MS-CHAP v2).
• Расширяемый протокол идентификации с поддержкой алгоритма Message Digest 5 (Extensible Authentication Protocol - Message Digest 5, EAP-MD5).
• Расширяемый протокол идентификации - протокол транспортного уровня (Extensible Authentication Protocol - Transport Level Protocol, EAP-TLS).
Обзор протоколов аутентификации для PPTP соединений
Для PPTP-соединений только три протокола аутентификации (MS-CHAP, MS-CHAP v2 и EAP-TLS) поддерживают механизм генерации одинакового ключа шифрования на VPN-клиенте и VPN-сервере. Механизм шифрования соединения типа "точка-точка" от компании Microsoft (Microsoft Point-to-Point Encryption - MPPE) использует этот ключ для шифрования всего потока данных, передаваемых через VPN-соединение. MS-CHAP и MS-CHAP v2 - это протоколы аутентификации на основе паролей.
Если в окружении не используется сервер сертификатов (Certificate Authority server) или смарт-карты, рекомендуется применять более строгий протокол MS-CHAP v2. Кроме того, MS-CHAP v2 поддерживает взаимную аутентификацию, которая позволяет VPN-клиенту аутентифицировать VPN-сервер и наоборот.
Протоколы аутентификации EAP-TLS
Протоколы аутентификации EAP-TLS разработаны для применения в инфраструктуре с использованием сертификатов пользователей или смарт-карт. Через EAP-TLS VPN-клиент передает VPN-серверу для аутентификации сертификат пользователя, VPN-сервер в ответ отсылает свой сертификат. Такой способ проверки подлинности является самым надежным, так как в нем не используются пароли. Независимые центры сертификации можно использовать в том случае, когда сертификат в хранилище сервера IAS содержит объект certificate purpose - назначение сертификата (он также известен под названиями использование сертификата - certificate usage и политика выпуска сертификата - certificate issuance policy). Назначение сертификата опреде­ляется по идентификатору объекта (object identifier, OID). Если OID серверной аутентификации выглядит как 1.2.3.7.6.5.7.8.1, сертификат пользователя, установленный на клиенте удаленного доступа Windows 2000, должен иметь OID 1.2.3.7.6.5.7.8.2 (Client Authentication certificate purpose).