快速搭建VPN

市面上大部份的路由器和防火墙,都提供VPN功能,下面以TP-ER3220G为例,记录关键的设置步骤。

一、VPN的三个主要应用场景:

  1. 公司总部与分部之间建立VPN
  2. 公司与出差员工之间建立VPN
  3. 代理上网,设置方法与2基本相同

二、总部与分部之间建立VPN

1.0 采用IPSec类型配置

1.1 总部和分部都要配备路由器,总部和分部最好都有公网固定IP地址,如果没有,就要注册动态域名,本记录假设都有固定IP地址。

1.2 准备:总部公网IP 119.145.1.8 局域网 192.168.1.0/24;分部公网IP 119.145.2.8 局域网 192.168.2.0/24。

1.3 总部路由器设置:

  • VPN – IPSec – IPSec安全策略,新增一条策略,对端网关=119.145.2.8,绑定接口=WAN1,WAN1的IP地址就是119.145.1.8,本地子网范围= 192.168.1.0/24,对端子网范围=192.168.2.0/24,预共享密钥=101010,如果两端的路由器同型号,高级设置就取默认值,如果不同型号,就保证两连的设置相同即可。

1.4 分部路由器设置:

  • VPN – IPSec – IPSec安全策略,新增一条策略,对端网关=119.145.1.8,绑定接口=WAN1,WAN1的IP地址就是119.145.2.8,本地子网范围= 192.168.2.0/24,对端子网范围=192.168.1.0/24,预共享密钥=101010,如果两端的路由器同型号,高级设置就取默认值,如果不同型号,就保证两连的设置相同即可。

1.5 设置到此就完成了,如果VPN通畅,IPSec安全联盟里可以看到两条记录。正经来说,这个方案不能算是总部与分部,因为两边的是对等的。总部与分部的架构也可以用L2TP类型,参照后面的记录。

三、公司与出差员工之间建立VPN

1.0 出差员工的电脑通过VPN链入公司局域网后,访问公司的公共资源就与在公司办公桌前差不多,数据同样安全。本记录采用L2TP的VPN类型。

1.1 公司最好有公网固定IP地址,如果没有就要注册动态域名,本记录假设有固定IP。

1.2 准备:公司公网IP 119.145.1.8,局域网 192.168.1.0/24。

1.3 公司路由器设置:

  • 对象管理 – IP地址池:新建一个地址池,地址池名称=VPN10Pool,起始IP地址=10.10.10.2,结束IP地址10.10.10.50。地址池的IP建议不要与公司局域网的网段相同,否则配置起来更加复杂。
  • VPN – 用户管理:增加一个用户,用户名称=myVPN,密码=my123456,名称和密码将用于客户端拨号,服务类型=L2TP,本地地址=10.10.10.1,地址池=VPN10Pool,DNS地址=114.114.114.114,组网模式=PC到站点,最大会话=10。注:本地地址要与地址池在同一网段,它将是VPN用户在本网的虚拟本地IP,但是本地地址不要在地址池内,否则VPN客户获得的IP有机会与本地地址相同而不能工作。
  • VPN – L2TP – L2TP服务器:增加一个服务器,服务接口=WAN1,用于监听VPN客户的拨号,其IP地址应该是准备的119.145.1.8;IPSec加密=加密;预共享密钥=101010,该密钥将用于客户电脑的VPN网卡的属性设置。

1.4 客户端windows自带VPN连接设置:

  • 控制面板 – 网络和Internet – 网络连接:新建一个到VPN的连接,Internet地址=119.145.1.8,用户名=myVPN,密码=my123456,域名可留空,点击【连接】生成一个VPN网卡。
  • VPN网卡 – 属性 – 安全 – VPN类型=L2TP;数据加密=可选加密;身份验证=充许使用这些协议 Microsoft CHAP 版本2(MS-CHAP V2)。
  • VPN网卡 – 属性 – 安全 – VPN类型 – 高级设置 – 使用预共享的密钥作为身份验证 – 密钥=101010。

1.5 到此为止,基本的VPN设置就完成了,客户电脑联网优先走VPN网卡,访问公司局域网内电脑如同在公司办公室里一样。连上VPN服务器后,在公司路由器的隧道信息列表里,能看到客户电脑的信息。

1.6 有个问题,如果客户电脑要上互联网,有可能失败,因为网络都走的VPN网卡,VPN服务器端可能不让上网,这问题有两种解决方案:A. 让VPN服务器提供代理上网功能,B. 让客户电脑的网络默认走原来的物理网卡,只有去公司时才走VPN网卡。

1.7 让VPN服务器提供代理上网,本方案多用于公司里有条不受限的上网宽带,可以连接世界上任何网站:

  • 准备:公司路由器WAN2口,IP地址 203.85.32.8,海外线路。
  • 公司路由器 – 传输控制 – NAT设置 – NAPT,增加一条NAPT规则,出接口=WAN2,源地址范围=10.10.10.0/24,勾选启用状态。
  • 实测证明,加多一条策略路由会更稳定。传输控制 – 路由设置 – 策略路由:服务类型=ALL,源地址=10.10.10.10.0/24的地址组名,目的地址=IPGROUP_ANY,生效接口=WAN2,生效时间=Any。

1.8 让客户电脑的网络默认走原物理网卡,只有去公司时才走VPN网卡:

  • 客户电脑VPN网卡 – 属性 – 网络 – TCP/IPv4 – 属性 – 高级 – IP设置,取消勾“在远程网络上使用默认网关”。
  • 查看当前VPN网卡获得的IP地址,假设是10.10.10.3。
  • 用管理员权限运行CMD 命令,并执行添加静态路由的命令:route add -p 192.168.1.0 mask 255.255.255.0 10.10.10.3。加上这条静态路由后,客户电脑访问公司网络时才走VPN网卡,否则走原来的物理网卡。

发表评论