記得剛開始接觸VPN時是為了觀看限制地區的線上影片,因為有些服務會限制地區存取資源,非得透過VPN來穿中隱線。然而因公司出差到對岸,所以利用NAS架設VPN服務,讓到對岸的人員可以順利連回來;想一想,台灣中小企業不少,因據點問題也常常有分公司或服務中心,每次利用前端連線似乎麻煩些,若再能Router上直接Site-to-Site VPN那該多方便,不過這類的Router所費不貲,其實Synology RT2600ac/RT1900ac 無線路由器中的 VPN Plus Server 讓你輕鬆實現多個實體地點的區域網路之間的安全VPN連線。
Bloggerads載入中~
Synology RT2600ac無線路由器內建 VPN Plus Server套件,讓你的無線路由器立即成為 VPN 伺服器,使用者也可以安全地遠端存取區域網路內分享的資源,尤其是WebVPN 不須另外安裝用戶端軟體,只要有瀏覽器即可從各處登入並透過安全連線進行存取。但有些服務會限制地區存取資源,網路就是無遠佛屆,只要有通,山不轉路轉,透過VPN就可以破除地區性的限制,像筆者介紹過的瀏覽器ZenMate外掛套件與OkayFreedom VPN工具都是前端的連線VPN方式,連Opera瀏覽器也都內建VPN Client。
前端VPN工具Google一下百百種,後端VPN伺服器架設就比較有些難度,但只要有Synology NAS 或 Router 即可輕鬆架設 VPN Server,筆者家中使用的是 Synology RT2600ac 無線路由器,因此寫過一篇使用 VPN Plus Server套件說明SSL VPN、WebVPN、SSTP,PPTP、OpenVPN 與 L2TP/IPSec的協定的連結方式,不過當時Synology Router的VPN Plus Server僅是伺服器的功能,不支援網站與網站間的VPN橋接有些可惜,終於前些日子在VPN Plus Server套件上推出了Site-to-Site VPN 功能,來看看這個Router與Router間的VPN橋接方式。
Synology Router與其他Router的VPN連線
Synology Router 的 VPN Plus Server 套件推出 Site-to-Site VPN功能 ,不僅可以與自家的產品VPN連線外,也可與其他Router來VPN連線,大品牌的Router可能較不會有問題,但雜牌或知名度不高的Router得費一些功夫,畢竟只要有一個參數設定落差,就會VPN連線失敗。
VPN Plus Server套件上提供SSL VPN、WebVPN、SSTP,PPTP、OpenVPN 與 L2TP/IPSec的協定的連結方式,其中WebVPN、Synology SSL VPN、SSTP 僅提供一組免費連結帳號,想要多帳號當然得購買授權。可想而知,Site-to-Site VPN功能應該不可能是免費,不過每一台支援 VPN Plus 的 Synology 產品皆提供一次性 30 天免費試用,筆者就利用這一次性的30天來玩玩試試。
在Synology Router網頁管理畫面上進入套件中心,找到VPN Plus Server套件來安裝。
安裝 VPN Plus Server 套件後並啟動進入。
進入主畫面後及可以看到Site-to-Site VPN的選項功能,點選出現右邊內容未偵測到有效的Site-to-Site VPN授權。
在授權的畫面上有〔新增授權〕的按鈕,那是直接購買的方式,想要一次性的免費測試30天,要點選紅色框內的「開始30天美免費試用」。
出現授權合約的說明,請仔細閱讀,30天的免費是連續的,且以啟動日開始倒數計算,試用期後無法再啟用免費測試,也就是30天免費測試是一次性的,了解後按下〔同意〕來開始。
想要免費的VPN測試必須要有Synology的帳號,沒有的話請申請一個吧(可參考這篇文章),有帳號就直接輸入並按〔下一步〕來繼續。
最後來到啟動的畫面,再次提醒一次,每一台Synology產品只有一次30天的免費試用,按下〔啟動〕來受授權。
最後看到啟動成功的畫面,30天的倒數計時即開始囉!
回到授權的畫面,看到免費試用的天數剩餘30天,請把握測試的時間。
授權後即可開始進行Router與Router的VPN連線設定,第一次設定 Site-to-Site IPSec VPN 時,您會需要在 Synology Router 上手動新增一組設定檔。
虛擬私有網路 (VPN) 是一種使用公用的網際網路架設的私有網路,可提供安全、加密的資料傳輸連線。一般企業使用VPN 來連接兩地的分公司,或讓員工出門在外或在家中能安全地連線至公司私有網路中來取得資源。Synology Site-to-Site VPN 可讓多個實體地點的區域網路之間建立安全的連線,在網際網路上互相串聯,老實說當中牽涉到的術語與技術有些門檻,筆者也不是這方面的專家,為了方便讀者理解,僅解略會出下圖兩個Site A/B間的WAN IP與LAN IP,以方便接下來的設定。
假如上圖Site B是筆者的Synology RT2600ac,Site A是遠端的Router,在Synology Router 新增的設定檔中主要分成一般與加密兩個分頁設定內容,下圖是一般分頁的內容,先來看看藍色框內的設定,設定檔名稱可自定,預先共同金鑰與確定預先共同金鑰是要與Site A建立Tunnel時的金鑰認證,設定完第一部份後當然要勾選「啟動此連線」。
綠色框內的參數設定就是指本地的Router,也就是挨踢路人甲家中RT2600ac的WAN IP與LAN網段,筆者家中是中華電信的100/40M動態固IP,所以看到PPPoE的字眼(你不用擔心一定要使用固IP)。在對外IP與本地ID上填上小烏龜配給的動態固IP,私有子網路就是內部的區網IP範圍。接下來就是要指定遠端Site A的IP,一樣在橘色框內的IP與遠端ID填入Site A的WAN IP,私有網路則是填入Site A的區網範圍,個人認為兩端Site A與Site B的Wan IP /Lan IP設定不難,只要參考上圖與下圖的設定,大概可以看出端倪。
加密分頁可說是最難搞定的地方,因為只要有一參數設定有落差,VPN連線就會失敗,且連線模式、加密演演算法名詞一大堆,一般人看了都會傻眼,這個地方筆者也沒辦法一一詳述,更何況筆者也不是這方面的專家,實在無法多作說明,所以列出筆者的設定參數,下圖中要注意IKE的版本、連線模式、加密、驗證的演演算法、DH群組與金鑰存活週期的參數,這些參數要與遠端Site A Router相對應,切記!只要有任一參數不對,都會造成VPN連線失敗。
每家的Router提供的IPsecVPN 設定差異不小,筆者分公司使用的是集中式威脅管理(Unified Threat Management,UTM)資安硬體設備,有內含Site-to-Site VPN功能,列出如下圖以供你比對上圖的設定,。紅色框內的設定不難懂,比較特別是使用的介面有WAN1~WAN5,因為此台UTM可以連接5個WAN,所以設定與Site B連線時需指定哪一條WAN要VPN,遠端的IP位址當然就是Site B的WAN IP,至於本地與遠端的區網應該看圖就可以理解了。藍色框的IKE設定才是重點,連線模式、金鑰、演演算法、DH Group、IKE SA 生存時間一定與Site B上的Router(RT2600ac)對應,稍有不同都會連線失敗。
Synology Router 支援的加密演演算法如下圖,與其他Router連線時必須選擇支援的加密方式,切記不要全部勾選,不然連線會失敗,筆者剛開全勾選,想說應該會自動選擇可連線的加密演演算法,失敗多次後才知道自己太天真啊!假如下列加密方式當中,都沒有與遠端Router相同的加密方式,那就提早下課囉!
Synology 自家Router的VPN連線
Site-to-Site VPN的變數較多,且各家的Router又有差異,一般想要兩地VPN對連都會使用相同的Router,因為IT人員不會自找苦吃。假如你有兩台Synology Router,那兩邊VPN對連更加容易,只要一邊建立設定檔,然後將設定檔匯出,再到另一台匯入即可自動連線,筆者試過RT2600ac匯出設定檔,之後再到RT1900ac匯入,當匯入成功後即看到VPN自動連線了。
Site-to-Site VPN 授權的售價為 USD 9.99,每一組授權可在一台支援 VPN Plus 的 Synology 產品上啟動 Site-to-Site VPN 功能,啟動後即可永久使用,且可建立多個通道,Synology RT2600ac最多可以設定10條Site-to-Site VPN 通道,而RT1900ac僅能4條通道,畢竟RT2600ac的硬體強多了。
例如在筆者的Synology RT2600ac再建立一條VPN通道,此通道主要是與自家的遠端RT1900ac對連,所以將設定檔名稱指定為RT1900ac,金鑰自行輸入並勾選「啟動此連線」。紅色框內是筆者RT2600ac端的WAN IP與LAN區網段,藍色框是遠端的Synology RT1900ac的WAN IP與LAN區網段。
至於加密分頁就依自己的喜好,因為設定後匯出再匯入另一台Router,都是使用Synology Router,所以加密與驗證都會相同,當然使用愈高級的加密,機器會也會有些負擔。
接著將設定後的資料匯出,筆者將匯出的檔案命名為RT1900ac。
兩台Synology Router對連,基本上都要授權,例如筆者的RT2600ac要與RT1900ac對連VPN,RT2600ac與RT1900ac都必須購買授權,因為授權是綁住在機器與Synology帳號上,所以也在RT1900ac上同樣試用30天免費授權。
授權後進入VPN Plus Server畫面上,此時將RT2600ac匯出的設定檔,使用〔瀏覽〕按鈕來匯入。
匯入成功後即可看到已連線的狀態,方便又快速。
進入設定檔查看,原先設定檔的遠端資料變成了本地站台的資料(藍色框),可見匯入設定檔時會自動轉換,難怪匯入後就可以立即連線。
既然是匯入,加密的資料也會一樣,不然是不可能VPN連線的,使用相同的Synology Router就是有同品牌的設定優勢。
回到筆者讀的RtT600ac設備上,在VPN Plus Server的Site-to-Site VPN畫面上,可以看到兩條通道以連線,一條是與別品牌的Router建立的通道,一條是與自家的RT1900ac互連。
連線的過程都可以在日誌上查看,兩邊建立了Site-to-Site VPN通道後,兩邊區網上的電腦均不用在使用任何前端工具,直接可以連到另一方的伺服器上,真的很方便。
延伸閱讀: