討論群組
小惡魔市集 悅遊日本 活動報導
我要回覆
Kaiens
Kaiens
72分
樓主
Kaiens
Kaiens
個人積分:72分
文章編號:58046373

多站點 VPN 的可能性?

  • 2015-11-02 23:54
  • 3993
目前小弟我在台灣這邊建的VPN 還算可以用..
撇除有時因亞太骨幹用虛擬IP互連造成的問題...勉強還OK..


現在因為有一日本友人 現居於大阪的集合住宅..是沒有獨立連外網路的..
但他京都老家跟台灣這邊的辦公室與住所有獨立的網路...

之前他想說在大阪家裡裝台伺服器..人在外面時可以連回家抓檔案...
但因沒有實體連外IP..所以也沒辦法用DDNS的方式做處理..
伺服器上也沒有支援穿透的服務...

花生壳有提供穿透的DDNS..但他不敢用..
我在淘寶上是有看過類似的產品..

後來我想了一下...PPTP VPN CLIENT 可以不用俱備實體IP的樣子..
先不想社區網路會不會擋VPN的封包...
不知我以下的規畫與想法是否可行?


多站點 VPN 的可能性?
2015-11-02 23:54 #1
文章關鍵字
站點 可能性 VPN
YAWPYNG
YAWPYNG
618分
2樓
YAWPYNG
YAWPYNG
個人積分:618分
文章編號:58047059

Kaiens wrote:
目前小弟我在台灣這...(恕刪)


借助第三地當跳板都可以的。

只是網路延遲會變大些。
2015-11-03 1:18 #2
hsyah
hsyah
13分
3樓
hsyah
hsyah
個人積分:13分
文章編號:58047223
在日本只是想要存取檔案,那就買台NAS , NAT 下也外部存取用

AKiTiO 迷你私有雲 MyCloud Mini 2.5吋 - 網路儲存伺服器 NAS ( 銀色
890元台幣 +60 宅便即可 , 我剛好多買一台全新

如果要建VPN site to site 或sslvpn 建議買二台Fortigate 50B 亙建VPN
配合SSLVPN 肯定是安全性高 可用性也高

以上供參考
2015-11-03 1:44 #3
chuchulee
chuchulee
2118分
4樓
chuchulee
chuchulee
個人積分:2118分
文章編號:58058738
SSL VPN也可考慮vigor 買二台應不用一台forti的價
2015-11-03 22:04 #4
Kaiens
Kaiens
72分
樓主
Kaiens
Kaiens
個人積分:72分
文章編號:58065849
其實我不是說要買啥設備或用什麼協定去建VPN...
而是問說在分享器後裝一個ROUTE去連VPN SERVER會不會有什麼問題..

目前經實測...如果 不想 使用 "使用遠端網路的預設閘道" 或 傳送所有流量 的話)
設備本身就需要加入靜態路由...

LAPTOP是還好...容易處理 加個指令就行..實測也OK..

可是IOS與安卓 我找不到可以自行加入 靜態路由的方法...

準備再裝一台ESXI/NAS+ROUTER 放到朋友家的分享器之後來繼續測試...
2015-11-04 13:05 #5
明月下的清風
明月下的清風
3709分
6樓
明月下的清風
明月下的清風
個人積分:3709分
文章編號:58069226
不難。

1.在有實體IP/DDNS可用地方(透天),架openvpn server
2.設定部份分兩段。
大阪集合住宅->透天:site to site。集合宅沒實體IP OK,由這當client主動連出就好。(這應該是您要的主要答案)
透天到其他設備-> site roaming

3.site roaming部份要把大阪集合住宅的路由推(push)過去。
要細部或複雜一點的設定,請參考client-config-dir這個server端的參數

4.如果設備限制,無法作site to site,那直接透天開一個site roaming,然後加「client-to-client」這個參數,然後把集合住宅的網段push出去也行。
(安全一點的話,最好要搭配client-config-dir來各自寫routing push rule)

openvpn config其他部份,我在另外一篇有簡單說明過,不贅述。


如果網路設備很難辦到你需要的openvpn功能,自己開一個linux vm架openvpn server,然後firewall/router作nat/ip或port mapping指過來也可以。
這現在有不少nas已經支援vm了,不然拿舊的PC/notebook也可以玩看看。


But,更機車也更簡單的方法....直接開teamviewer架在集合宅
這玩意本身就能穿牆當vpn server....
只要有ID跟password就行!

PS:如果是我...我會乖乖去跟google買1TB雲端硬碟...
只要檔案不是影音之類的東西的話。
2015-11-04 17:21 #6
Kaiens
Kaiens
72分
樓主
Kaiens
Kaiens
個人積分:72分
文章編號:58071673
明月下的清風 wrote:
不難。1.在有實體IP...(恕刪)


hi
其實我也很想動手改成全部OPENVPN的方式..
but...除了要時間消化外..我的胃對於這麼專業的英文 ...
實在在消化不良..我是做設計的..念的是商管..
我有找到一篇 DD-WRT OPENVPN 教學
不過看起來更難吞了...

其實我並沒有把整個環境講得很清楚...
因為要放在第四地 分享器後 的 VPN CLIENT (ROUTE) 還沒完成..

還有就是 老婆家那邊的AP有PPTP VPN SERVER 與 OPENVPN SERVER的功能..(MERLIN WRT)
我是用手機的4G去連這AP的PPTP VPN SERVER..才發覺手機不能加靜態路由的問題很大...

另外請問一下 PPTP VPN 有什麼毀滅性的安全性問題存在嗎?
因為即便用OPENVPN 建立ROUTER 間的VPN...
人在外面的時候還是會有可能用到AP附帶的PPTP VPN

PS:我"家裡的NAS們"
其硬碟大約是 808G*1 1TB*1 1.5TB*1 2T*7顆 3TB*1 4TB*1 最近可能還要再買一顆4TB...

2015-11-04 21:27 #7
ulimie
ulimie
2036分
8樓
ulimie
ulimie
個人積分:2036分
文章編號:58072486

Kaiens wrote:
另外請問一下 PPTP VPN 有什麼毀滅性的安全性問題存在嗎?

不用想太多,這個問題就像....

外面一天到晚都有車禍死人的新聞,那我今天開車出去安全嗎?
2015-11-04 22:37 #8
chuchulee
chuchulee
2118分
9樓
chuchulee
chuchulee
個人積分:2118分
文章編號:58076424
方法有很多, 這篇你可以看看, 應有幾分應用相似..

http://www.ublink.org/index.php/news-choice/news/229-4g-lte-vigor2960vpn-portredirection-3g-4g-ip-dvr-nvr-ipcam.html
2015-11-05 9:54 #9
明月下的清風
明月下的清風
3709分
10樓
明月下的清風
明月下的清風
個人積分:3709分
文章編號:58078515
Kaiens wrote:
另外請問一下 PPTP VPN 有什麼毀滅性的安全性問題存在嗎?
因為即便用OPENVPN 建立ROUTER 間的VPN...
人在外面的時候還是會有可能用到AP附帶的PPTP VPN



PPTP的安全性,其實一般使用還可以。
但對比IPSec跟OpenVPN,就小巫見大巫了。
這部份有點複雜,有興趣可以找時間去研究PPTP、IPSec跟OpenVPN是怎麼加密的。

尤其OpenVPN,port還可以自訂,不像PPTP跟IPSec,把GRE封掉就...
(GRE穿牆還很容易出狀況 ...)

要說缺點,對樓主來說,就是直接default gateway導過去會造成麻煩。(行動裝置上要加路由)
這一點openvpn倒是可以很輕鬆的處理。

而且Openvpn說穿了不難設,但要有概念是真的。
您可以不用瞭解通道建立的幾個階段,但需要知道site-to-site跟site-to-roaming兩種方式運作差別很大。


Router的site-to-site,建立其實很簡單。
簡單說,生一隻static key出來就差不多了。

先假設
1.兩台要建立VPN的IP為2.2.2.2跟1.1.1.1

2.
2.2.2.2這一台後面有192.168.12.0/255.255.255.0這個網段
1.1.1.1這一台後面有192.168.13.0/255.255.255.0這個網段

3.VPN通道建立後,2.2.2.2的這一端,通道使用的IP為192.168.0.165
1.1.1.1的這一端,通道使用的IP為192.168.0.166

(請注意這兩個通道使用的IP不能亂設。
基本原則是尾數字(此例中是165跟166)除以4,一個必須餘1,另一個必須餘2)


下面就是個很簡單的設定檔例子
user nobody
group nobody

keepalive 10 360
ping-timer-rem
persist-tun
persist-key

proto udp
dev tun0
secret shared.key

remote 2.2.2.2
ifconfig 192.168.0.166 192.168.0.165
cipher AES-128-CBC
route 192.168.12.0 255.255.255.0

其中遠方的server IP為2.2.2.2,通道建立後,本地端通道IP為192.168.0.166
建立後會新增192.168.12.0 via 192.168.0.165這條路由進系統。




另外一邊的設定是
user nobody
group nobody

keepalive 10 360
ping-timer-rem
persist-tun
persist-key

proto udp
dev tun0
secret shared.key

remote 1.1.1.1
ifconfig 192.168.0.165 192.168.0.166
cipher AES-128-CBC
route 192.168.13.0 255.255.255.0


如果其中一邊沒有固定IP,可以把有固定IP那台上的remote這個參數拿掉當作Server,由沒有固定IP的這端主動連過去。


至於shared.key這個檔案,openvpn可以直接產出。
openvpn --genkey --secret shared.key
不過這要看你的網路設備支不支援openvpn的site-to-site mode。



Site-Roaming網路上範例很多,可以找看看。
看到server端設定檔有「ca」這個參數的,就一定是Site-Roaming模式。
有不懂的可以把問題、設定檔跟紀錄貼上來讓大家協助。

PS:openvpn有iOS跟android的app。
不用root也不用jb。

PS2: openvpn可以一次執行多個,來各自建立通道。
所以可以日本台灣兩地先用site-to-site串起來,然後再啟動site-roaming server給行動裝置來連。

設定正確的話,台灣這邊的行動裝置要連到日本躲在router後面的資料,只需打開Openvpn連上site-roaming,然後...沒有然後了,就這樣。
此時台灣這邊行動裝置上,往日本router後面的封包會走VPN穿過去,其他的流量還是照正常原本openvpn未啟動前的方向走。
相信這就是樓主所需要的最主要功能。
2015-11-05 12:01 #10
我要回覆

小惡魔廣編特輯

MSI Katana 15 / Katana 17 揮舞效能之刃,開啟電競新戰場!
[12月] Mobile01會員獨享丨年度最終賞!Apple AirPods Pro 3 夢幻降臨!
Toyota bZ4X性能與續航力全面升級、質感與配備同時進化,最值得入手的超值進口純電休旅!
文章分享
加入好友名單
取消 確定
評分
取消 確定
評分
取消 確定
複製連結
複製
留言回報
取消 確定

今日熱門文章 網友點擊推薦!