Vigor Router Firewall 特殊功能
原文網址
在標準的 LAN to LAN VPN 協定中,並不允許相同網段之間互相建立 VPN,必須為每個點設定不同的網段,才能確保 VPN 可以建立,但實際上我們往往很難去一一更動所有設備的 IP,例如已有許多伺服器或主機配置固定IP的龐大架構,一旦更改網段,則所有的主機都要配合變更IP位址以及 rule,工程可謂相當浩大。
為此居易 Draytek 推出了可以在同網段間建立 VPN 的解決方案,用戶只要使用指定型號的路由器即可達成在同網段之間建立VPN,以下使用 Vigor2925 為示範,並說明設定方法。
※ 並非所有機型都有支援同網段建立VPN功能,建議採購前先向本公司客服人員洽詢。
如下圖,假設 Vigor2925A & Vigor2925B 兩個區網下各有一台電腦 IP 為192.168.1.10,首先在 Vigor2925B 建立一組 VPN 設定檔,並指定一組不同於原本網段的虛擬網段給Vigor2925B(這裡使用192.168.20.0),當 Vigor2925A 區網下的電腦 192.168.1.10 要去存取 Vigor2925B 區網下的 192.168.1.10 時,只要輸入剛才設定的虛擬網段 IP 192.168.20.10,就能透過VPN通道連接到 Vigor2925B 底下的192.168.1.10,同樣的 Vigor2925A 也要建立一組虛擬網段(範例使用192.168.10.0),當 Vigor2925B 的電腦要來存取 Vigor2925A 底下的電腦(192.168.1.10)時,只要輸入192.168.10.10 即可進行溝通,如此就可以達成同網段雙向存取的效果。
VPN 本地端
VPN 遠端同為 192.168.1.x
1. 登入 Vigor2925A,此台設定為 VPN 撥入方,點選 "VPN 與遠端存取 > LAN to LAN > 索引編號1 ",輸入設定檔名稱後,勾選啟用設定檔,撥號方向選擇為撥入,閒置逾時修改為0秒。
2. 在撥入設定 > 允許撥入模式,勾選 IPSec 通道 & 指定遠端 VPN 閘道,並輸入 Vigor2925B 的 WAN IP位址,點選 IKE 預先共用金鑰後輸入 VPN 密碼
3. 先勾選含相同子網的 IPSec VPN,在遠端網路 IP 欄位輸入 Vigor2925B 的虛擬網段192.168.20.0,接著勾選轉換本機網路 LAN1 至 192.168.10.0 也就是 Vigor2925A 的虛擬網段。
4. 登入 Vigor2925B,此台設定為 VPN 撥出方,點選 " VPN 與遠端存取 > LAN to LAN > 索引編號1 ",輸入設定檔名稱後勾選啟用設定檔,撥號方向選擇為撥出,將永遠連線打勾。
5. 撥出伺服器類型勾選 IPSec 通道,並輸入 Vigor2925A 的 WAN IP 位址,點選 IKE預先共用金鑰後輸入 VPN 密碼,將 IPSec 安全防護方式修改為高級。
6. 先將右邊含相同子網的 IPSec VPN選項打勾,接著回到遠端網路IP欄位輸入 Vigor2925A 的虛擬網段192.168.10.0,轉換本機網路 LAN1 至 192.168.20.0 也就是 Vigor2925B 的虛擬網段。
7. 點選 " VPN與遠端存取 > 連線管理 " 查看 VPN 是否有成功建立連線。
8. 使用 Vigor2925A 區網下的電腦,ping 192.168.20.10,有回 ping 則代表 Vigor2925A 已可與 Vigor2925B 區網下的電腦互通。
Vigor2927 轉換區域網路