Windows 10 作業系統密技 (Windows 10 Tips and Tricks)

路由器架設VPN伺服器,可以翻牆也提高遠端桌面安全性

透過架設的方式,可以將不同的兩地串在一起,變成一個私人的虛擬網路環境。在現在來說透過VPN有許多好處,常見來說,如果您是在中國的環境,可以翻出牆外來觀賞其他網路內容。對於遠端桌面連線,也可以讓這些電腦不用直接對外開放,多一套防護進行連線。如果需要要使用到公司的ERP系統,透過這種方式就能在外也能使用公司內的服務。架設VPN方式有許多種,其實在我們使用的路由器功能中,如果中高階機種的路由器有提供VPN功能,就可以拿來使用。

VPN使用原理,以及許多種方式架設VPN

什麼是VPN?VPN全名為Virtual Private Network,中文為虛擬私人網路(維基百科,自由的百科全書:VPN 虛擬私人網路),主要是將分隔兩地不同的網路環境,串成一個虛擬的區域網路環境,讓外地的電腦,可以輕鬆連回原始本地端的網路環境使用。在運用方面舉例來說,最簡單的是不在公司內,在外地也能VPN回公司使用ERP系統,或者是進行遠端桌面連線,甚至用家裡、公司的網路進行網路連線。關於遠端桌面功能可以參考:隨時遠端連線到自己電腦,Windows 10 「遠端桌面」連線設定

在生活化的例子方面,老貓以文章開頭提到的在中國出差來說,由於中國當地會有Great Wall網路長城所阻擋(維基百科),讓中國境內的無法瀏覽Facebook、Line,以及一些網站等。這些被封鎖阻擋的網站都有隨時在更新,但不在本章節的討論中。這時可以在台灣的公司、家中架設VPN伺服器,接下來從中國直接連回來台灣的VPN主機。此時就算電腦在中國境內,順利透過台灣的網路環境去連接這些原先被阻擋的網站。

以上的這個過程,就是我們常見的「翻牆」,從中國翻牆出來。但由於是先從中國連回台灣,在台灣連線後再傳送回中國,因此這兩地個別的網路速度非常重要,都會影響到操作體驗。另一方面,有些服務內容只提供當地國家使用,例如有些影片只限在美國、日本、中國等當地才能觀看的話,就能透過VPN方式先連至當地就能觀看,也就是翻牆到其他國家。不過這情況的前提,就是要在這些國家有VPN主機服務才方便,此篇先以自行架設的方式來說明。

老貓這邊整理幾項VPN的使用情境參考:

  • VPN連回公司環境,連線ERP相關系統。
  • NAS不對外開放,透過VPN連回區網進行連線取檔。
  • 遠端桌面電腦不直接開放對外,僅限VPN連線避免直接被入侵。
  • 從中國連回VPN,進行Facebook、Line等社群上網連線使用。

在架設VPN方面,最基本就是從電腦自己本身來架設,在 10作業系統中就有提供相關服務,這個之後會再來分享。如果你有使用NAS網路服務器的話,有些NAS也會提供VPN主機服務。而最簡單的方式,在部分中高階以上的路由器機種,本身就有提供VPN架設功能服務,只要動動手指就能讓外地的電腦連回來本地端使用。老貓這邊提醒一下,如果是Windows 10以及NAS來進行設定的話,路由器端要設定轉連接埠,這些設定時要多加注意。而本篇以路由器方式來設定VPN,則是可以略過這些設定,因此難度上更為容易

▼ 在Synology NAS上就有提供PPTP、L2TP/IPSec、OpenVPN這3種VPN設定,提供使用者使用。由於還會經過上游路由器連線,因此需要開通相關連接埠才能順利連線。

以一般常見的VPN連線設定的安全性,當外地設備透過VPN連線讓外地的設備連回來後,就視為本地端的區網來進行操作。當登入VPN的相關資訊若被其他人知道了,這在資安方面來說是有疑慮的。因此,在設定VPN的帳號、密碼等資訊,請記的不要設定太過於簡單。如果是透過企業級等級的VPN路由器,我們可以限制透過VPN連進來的設備能做哪一些動作連線。例如連進VPN後只能連線特定主機的ERP主機、NAS等,其他全部限制都不能連線。如果你的使用者環境有資安相關考量,建議還是以專業型VPN設備或者是詢問資安相關人員比較保險

▼ 以專業型 ZYXEL VPN100 VPN防火牆機種來說,可以設定更多詳細的安全策略,來確保區網內任何的連線動作。如果對於安全性有疑慮,建議使用商用型防火牆相關設備。

購買路由器,先了解支援哪一種VPN協議

架設VPN有許多種協議,常見有PPTP、L2TP/IPSec、OpenVPN和SSTP等,路由器要支援哪一些則是要看廠商提供的機種服務而定,並非我們想要什麼就是什麼。因此,若你是因為想要使用VPN才購買這些路由器的話,可以先了解一下是否有你想要使用的VPN服務。在VPN使用上來說,最常見的會是PPTP、L2TP/IPSec、OpenVPN這3種最為常見。在了解VPN的連線IP後,PPTP只要帳號、密碼就能連線;L2TP/IPSec除了帳號、密碼外還要多一道共用金鑰。比較起來,L2TP/IPSec的安全性會更好一些。因此如非必要,盡量少使用PPTP,雖然非常方便,但也是目前在資安上比較有疑慮的VPN疑慮。至於OpenVPN的方式,屬於開源方式設定,過程較為複雜但也較安全。

無論以上哪一種,擁有良好的密碼、檔案控管更為重要,這一點請務必小心。就算密碼設定複雜,但可能密碼沒有保管好一切都沒有用。另外,如果確認不使用VPN時,也可以將VPN服務暫時關閉,等到有需要時再啟用

在設定VPN種類來說,老貓以身邊不同的3台廠商來進行示範,如TP-Link Archer AX50提供PPTP、OpenVPN;D-Link DIR-880L提供L2TP/IPSec VPN;Nighthawk X6 R8000提供OpenVPN。這些例子不代表這些廠商只提供特定的VPN模式,同家廠商在不同機種中也有可能提供不同的VPN模式,詳細資訊請以實際規格為主。老貓以下分享一下其設定的頁面,讓大家能夠快速了解到如何進行連線設定與使用。在購買使用來說,若你針對VPN有特別的要求,建議購買前要多注意一下。至於Windows 10連線VPN的方式,可以參考老貓以下設定方式:

設定VPN前先搞定連結IP或域名

在設定VPN之前,要先搞定VPN的IP位址設定,如此一來才能從外面進行連線回來。若是使用中華電信Hinet的光世代網路,可以指定一組固定IP來進行連線。若沒有固定IP,浮動IP還可以透過動態域名來進行連線,有些無線路由器也會提供自家的動態域名(動態DNS)服務,例如前陣子剛測試的TP-Link Archer C80 AC1900 就有提供。如果不使用或者該型號沒有提供自家動態域名,還可以透過第三方的動態域名服務來使用,老貓也有分享過免費的NOIP DDNS 動態域名免費服務。在設定VPN之前,請先了解自己的路由器的連結路徑。

相關教學可以參考以下3個:

另外,當連線至VPN成功之後,代表已經順利連回所設定的區網內。在高階網管級機種中可以設定許多限制,可以針對對外的網路連線,以及區網內其他電腦的連線進行限制。至於我們一般使用的消費型無線路由器來說,各家不同機種提供的功能都皆有不同。在設定時有些會註明是否僅能連線家庭網路,或者能連線網際網路,這些在設定時要注意清楚。另外,有些機種還能設定VPN區網IP的範圍、連接埠等設定,如果想要以路由器來架設VPN以及有更進階需要的話,這部分可以多留意一下。

路由器設定VPN:PPTP VPN

在設定 PPTP VPN 時,只要有一組「帳號」以及「密碼」就可以進行連線,在TP-Link Archer AX50設定頁面中只要設定此2項即可完成一個登入的帳號設定。

▼ 在TP-Link Archer AX50頁面設定中,PPTP VPN只要新增一組帳號、密碼即可。

▼ 如果點開「進階設定」後,就可以看到下方能針對SAMBA網路芳鄰等功能進行設定,預設為全開啟狀態。

▼ 在多數路由器在設定頁面中,都會提供相關的設定與連線說明,有疑慮都可以參考官方說明。

路由器設定VPN:L2TP/IPSec VPN

在設定L2TP/IPSec VPN時,除了要新增一組帳號、密碼外,還要設定一組共同的金鑰,因此就算帳密被留出,還有一組金鑰才能順利連線。D-Link DIR-880L在設定L2TP/IPSec VPN非常容易,屬於提供非常基本的功能,只要依序填入資訊即可設定完成。

▼ D-Link DIR-880L只要進入 Quick VPN 就能設定L2TP/IPSec VPN,由於在此是提供最簡單快速的VPN服務,設定的細節相對比較少。

路由器設定VPN:OpenVPN VPN

OpenVPN 在設定方面,主要是要由路由器產生憑證來進行驗證連線,因此當設定值有所變動時,建議都再產生一份新的憑證最為安全。以這次分享的TP-Link Archer AX50、Nighthawk X6 R8000機種中,設定VPN都可以再設定用戶端存取僅限家庭網路,或者有包含網際網路,在設定時要多加注意。

▼ 在 TP-Link Archer AX50 的頁面中,在設定完內容後要先按下儲存鍵,接下來再進行生成憑證。

▼ 生成憑證需要一些時間,這部分要耐心等待一下。

▼ 生成完畢後會顯示成功鍵,請再按下下方的組態區的匯出線。

▼ 此時就會順利下載 TP-Link Archer AX50 的OpenVPN設定檔。

▼ 當有疑問時,也可以按下旁邊的說明鍵。

▼ 至於在 Nighthawk X6 R8000 的機種中,一樣在設定後點選套用設定,再下載OpenVPN配置套件檔即可完成。

▼ 在儲存時,Nighthawk X6 R8000還會提醒一下是否有設定動態DNS服務,方便VPN連線使用。

Leave a Comment

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

*