[分享]用兩台ASUS RT-N16(Tomato)建置兩地同網段的VPN

333分

樓主

個人積分：333分

文章編號：31912392

ulimie wrote:
Physical Ethernet Adapter 的 Default Gateway 不會被停用. 不然 VPN Tunnel 要如何建立.
VPN Tunnel 必需建立在既有的連線上, 既有的連線沒 gateway, 就根本不會有可用的連線, VPN Tunnel 更無法建立, 資料要從哪裡出去?...(恕刪)

VPN Tunnel 必需建立在既有的連線上,這句話是肯定的,
但停用Default Gateway,並不是停用網卡,所以連線仍然存在,並沒有失去可用連線的問題.
或許 "停用" 這個字眼聽起來怪怪的,用 "清除指定" 不知道會不會好一點.

當一條馬路(Ethernet Adapter)有二個車道(Default Gateway)時,
要如何讓全部的車子(封包)都走你指定的車道?

有二個辦法:
1.規定車子行走的車道(在Route Table給它指定).
2.封閉其中一個車道(停用其中一個Default Gateway).
要用那一個方法? 你可以自己選.

當dev="tap" 時,經redirect-gateway後,雙網卡仍有二個Default Gateway,
要讓封包重新導向,靠的就是辦法1.

當dev="tun" 時,經redirect-gateway後,雙網卡只剩一個Default Gateway,
要讓封包重新導向,靠的就是辦法2.

我的結論還是和第102樓寫的一樣：
※要翻牆,請設定dev="tun",經一再測試,當dev="tap" 還是問題多多.

linshengchih

602分

132樓

linshengchih

個人積分：602分

文章編號：31914099

我將把TUN改成TAP後，VPN的gateway不會消失，穩定連回家中RT-N16 (192.168.1.103).

不管有沒有用VPN，當IE(公司proxy需輸入帳號、密碼)連網頁測試對外IP，結果都是公司的IP。

但用tracert msa.hinet.net時，似乎有繞道。　我就不清楚其中運作機制了。　 orz

linshengchih wrote:
再輸入ipconfig，發現區域連線2的gateway消失了。

rontzong

333分

樓主

rontzong

個人積分：333分

文章編號：31914705

linshengchih wrote:
我將把TUN改成TAP後，VPN的gateway不會消失，穩定連回家中RT-N16 (192.168.1.103).

這樣是Bridge公司和家裡兩地的網路,要存取家裡N16下的區網設備,這樣就沒有問題了.
但封包不會重新導向.

linshengchih wrote:
不管有沒有用VPN，當IE(公司proxy需輸入帳號、密碼)連網頁測試對外IP，結果都是公司的IP。

這樣代表兩地的網路封包傳輸是分道揚鑣的,「你走你的陽關道，我過我的獨木橋。」

linshengchih wrote:
但用tracert msa.hinet.net時，似乎有繞道。　我就不清楚其中運作機制了。

怎麼樣算翻牆成功? 簡單比喻一下..
公司的防火牆阻擋你去對岸淘寶,但是你經由VPN再連到對岸後,沒這個限制了.
而且公司也紀錄不到你連到對岸,只知道你連到VPN Server這個IP.

ulimie

1940分

134樓

ulimie

個人積分：1940分

文章編號：31915408

rontzong wrote:
當一條馬路(Ethernet Adapter)有二個車道(Default Gateway)時,
要如何讓全部的車子(封包)都走你指定的車道?

其實, 只有一個車道. 並沒有兩個車道.
帶著真正資料的小車子, 是被載在一部大卡車上的.

想像一下一台載了好幾部新小客車的大卡車在國一高速公路上奔馳....
國一就是那唯一的車道. 正確的說法是 route 不是 track.
那部大卡車就是 VPN Tunnel, 小客車就是 data packet.
那些小客車根本就不需要發動引擎來跑哪條路.

這麼說好了, "我要去 msa.hinet.net" 這件事根本不需要告訴大陸那邊的設備.
所以大陸那邊不需要也無從幫我決定要走大陸那邊的 gateway, 還是走台灣的 gateway 到 msa.hinet.net. 因為他根本不知道 "我要去 msa.hinet.net" 這件事. (不然怎麼會叫 "VPN Tunnel"?)

"我要去 msa.hinet.net" 這個需求是被秘密封裝在小客車裡, 直到小客車被送達台灣 (VPN Server) 才揭曉, 然後才由台灣這邊送到 msa.hinet.net 去. 這時, 才會有第一個具體行動的 hop.

這和 TAP/TUN 沒有關係. TAP/TUN 只是決定那部小客車要怎麼運送(直達或是第三地轉運)而已. "我要去 msa.hinet.net" 這個秘密需求, 還是得到台灣了才會揭曉.

VPN Client 在收到 redirect 指令後, 就是把所有要上 internet 的東西都裝上小客車.

linshengchih

602分

135樓

linshengchih

個人積分：602分

文章編號：31916554

可是設定為 TUN 時，pc端的vpn gateway只出現5秒的連線，後來就ping不到家中RT-N16 192.168.1.103了。　我還要再進一步試驗其他設定。

謝謝大家的指點。　 100分

rontzong wrote:
這樣是Bridge公司和家裡兩地的網路,要存取家裡N16下的區網設備,這樣就沒有問題了.
但封包不會重新導向.

ulimie

1940分

136樓

ulimie

個人積分：1940分

文章編號：31919648

試了一下 TUN VPN, 連上 VPN 之後,
Physical Ethernet Adapter 的 Default Gateway 確實會是空白的.
但是翻牆轉向結果 (代表 IP)和 TAP 是一樣的, 是否經過 VPN, 看速率就可推知了:

TUN VPN:

這個時候, 不意外, 另一台用 TAP 連上的 N16 Client, 在這單台 pc client 上無法 reach. 就是無法三地相通.

linshengchih

602分

137樓

linshengchih

個人積分：602分

文章編號：31964848

現在我改成TCP+TAP連線，port為443，可以成功連接家中RT-N16。　且
1.可以使用ftp軟體對外連線。
2.IE不要設定公司proxy，IE自動透過VPN繞道。

如果使用UDP或TUN，VPN連線會失敗。　我的歷程及解決方法請參考本篇及請教 - VPN設置應該如何設定 - Mobile01

感謝大家的幫忙。　 100分

rontzong wrote:
這樣代表兩地的網路封包傳輸是分道揚鑣的,「你走你的陽關道，我過我的獨木橋。」
rontzong wrote:
linshengchih wrote:
但用tracert msa.hinet.net時，似乎有繞道。　我就不清楚其中運作機制了。

公司的防火牆阻擋你去對岸淘寶,但是你經由VPN再連到對岸後,沒這個限制了.
而且公司也紀錄不到你連到對岸,只知道你連到VPN Server這個IP.

ulimie

1940分

138樓

ulimie

個人積分：1940分

文章編號：32107163

也許是個好消息, 土司超人昨晚半夜推出他的 tomato-K26USB-1.28.7489MIPSR2-Toastman-RT 新版本, 如果照他的說明:

◦ OpenVPN enhancements & username/password only authentication
◦ PPTP VPN client integration and GUI

可以直接用最簡單的帳密登入, 不必一定要製作憑證登入, 也有一樣效果的話, 那就省事多了, 至少對部份製作憑證搞到霧煞煞的人是個好消息. 操作使用門檻會降低不少.

有人想要踹他一下來分享結果嗎?

然後, 只有 PPTP VPN client? 怎摸沒有 PPTP VPN Server 嘞? 小失望, 期待吧...