在当今高度互联的数字世界中，网络安全和个人隐私保护变得尤为重要，无论是远程办公、跨地域访问公司内网资源，还是希望在公共Wi-Fi环境下安全浏览网页，搭建一个属于自己的虚拟私人网络（VPN）已成为许多用户的刚需，作为网络工程师，我将带你一步步在 Windows 12 系统上部署一个轻量级但功能完整的本地 VPN 服务——使用 Windows 自带的“路由和远程访问”（RRAS）功能，无需第三方软件,安全可控。

第一步：准备工作
确保你的 Windows 12 系统是专业版或企业版（家庭版不支持 RRAS），打开“控制面板 > 程序和功能 > 启用或关闭 Windows 功能”，勾选“远程桌面服务”下的“路由和远程访问服务”,安装完成后重启系统。

第二步：配置 RRAS 服务
进入“服务器管理器 > 工具 > 路由和远程访问”，右键服务器选择“配置并启用路由和远程访问”，向导会引导你选择“自定义配置”，建议选择“远程访问（拨号或VPN）”，然后点击“完成”。

第三步：设置网络接口和IP池
在 RRAS 控制台中，展开“IPv4”，右键“常规”选择“属性”，添加一个新的 IP 地址池（如 192.168.100.100 - 192.168.100.200），这是分配给连接到你 VPN 的客户端的私有地址，在“IPv4”下选择“静态路由”，添加一条指向你内部网络的路由（如果你的局域网是 192.168.1.0/24，则添加目标为该网段，下一跳为你的本地网卡IP）。

第四步：用户认证与权限
进入“用户和组”设置，创建一个用于连接 VPN 的用户账户（建议单独建一个“VPNUser”账号），右键该用户，选择“属性”，在“拨入”标签页中勾选“允许访问”并选择“远程访问策略”（可新建策略限制访问时间或设备）。

第五步：防火墙与端口开放
Windows Defender 防火墙默认会阻止 PPTP 或 L2TP 流量，你需要手动添加入站规则：

• 对于 PPTP：开放 TCP 1723 端口 + GRE 协议（协议号 47）
• 对于 L2TP/IPSec：开放 UDP 500、UDP 4500 和 UDP 1701

第六步：测试与优化
在另一台设备（如手机或另一台电脑）上配置 VPN 连接，输入你的公网IP（可用花生壳、DDNS等工具获取动态域名）和刚刚创建的用户名密码，成功连接后，可以测试是否能访问内网资源（如 NAS、打印机等）,同时检查日志确认无异常错误。

注意事项：

• 若使用 NAT 路由器，请确保端口转发已正确配置。
• 建议使用 L2TP/IPSec 替代老旧的 PPTP（更安全）。
• 定期更新 Windows 补丁以防范漏洞。

通过以上步骤，你不仅拥有了一个可定制的本地 VPN 网络，还掌握了网络架构设计的核心技能，这不仅是技术实践，更是对网络安全意识的深化，在 Win12 上搭建此类服务，既灵活又高效，适合家庭、小团队甚至小型企业部署，安全不是一劳永逸的事,持续学习与优化才是关键。