將此篇文章跟 Facebook 上的朋友分享將此篇文章跟 Plurk 上的朋友分享將此篇文章跟 Twitter 上的朋友分享列印轉寄
2017/9/26

低調樹莓派加上設定簡單 不顯眼UDP封包更適合翻牆

善用開源SoftEther 建立Remote Access VPN

丁光立
在SoftEther VPN上架設Remote Access VPN,設定方法相當簡易,相對於其他知名VPN軟體而言,進入門檻較低,而且其封包先以較不易被發現為VPN封包的UDP封裝再進行傳送,可以大幅降低被發現的機率。
之前已示範過如何使用SoftEther VPN建立翻牆用的VPN。接著要進一步介紹如何使用SoftEther VPN來建立Remote Access VPN。希望在建立Remote Access VPN之後,除了可連線至內部伺服器外,用戶也可透過此VPN連線經由內網對外的防火牆連至公網。

典型架構圖簡介

圖1為典型的SoftEther Remote Access VPN架構圖,從中可以看出,最左邊的SoftEther VPN Client向SoftEther VPN Server的對外實體網卡(左邊的實體網卡)發起連線,在連線進入後,再透過Local Bridge機制將封包轉發給另一塊實體網卡(右邊的實體網卡),最後再連結至內網的實體網路。


▲圖1 Remote Access VPN架構圖。


在此架構中,除了之前介紹過的Virtual Hub外,在實體介面的網路卡(Physical Network Adapter)與Virtual Hub之間,尚須建立Local Bridge加以綁定,也因此本文的重點將放在Local Bridge的觀念,並介紹如何建立與管理Local Bridge。

測試架構說明

本次的測試架構如圖2所示,大致的運作過程如下所述。

首先,SoftEther VPN Client透過Internet連至SoftEther VPN Server。接著取得192.168.2.X的LAN IP,之後便可存取192.168.2.80的Web Server,然後亦可透過LAN的防火牆(192.168.2.1)連線至Internet。

前置作業準備

在開始實作前,請事先備妥以下的軟硬體:

‧ 硬體:Raspberry Pi 2 Mode B,之後以Pi代表。

‧ 作業系統:Raspbian Jessie Lite,版本為2017-06-21。

‧ 外接USB網路卡:此網卡使用Reltek 8152晶片,並接於Pi的USB介面上。Raspbian原生支援此卡,可直接使用。

‧ SoftEther VPN Server:版本為v4.22-9634-beta。

‧ SoftEther VPN Client:安裝於筆記型電腦上,其版本為v4.22-9634-beta。

在此假設用戶已完成Pi上的作業系統及SoftEther VPN Server的安裝,因此基本的操作就不再重複介紹。如果需要相關教學及說明,請參考筆者在網管人2017年8月第139期《安裝SoftEther VPN,活用樹莓派自造翻牆機》一文示範的操作過程。接著,依序完成Remote Access VPN的相關設定。

建立Virtual HUB

先執行「/usr/local/vpnserver/vpncmd」(假設先前已建立密碼),再點選「1. Management of VPN Server of VPN Bridge」,接著輸入:




建立一個虛擬Hub,然後切換至該Virtual Hub:




設定NAT和DHCP

之前在建立翻牆VPN時,要透過Virtual Hub直接連線至Internet,因此需要開啟NAT功能,但在此例中,會透過圖2中的白色防火牆(最上方的Firewall 192.168.2.1)上網,因此不開啟NAT的功能。

在DHCP的部分,可選擇讓內網中的防火牆或其他設備發放IP或者由SoftEther VPN Serer自行發放IP。在此例中,將讓圖2的白色防火牆發放192.168.2.0/24的IP網段。因此在SoftEther VPN中,選擇不開啟DHCP的功能。


▲圖2 Remote Access VPN測試架構圖。


設定使用者帳號及密碼

使用者在建立連線時,須使用帳號及密碼進行身分證驗,所以在此建立使用者的帳號(假設使用者帳號為john):




在建立過程中會詢問使用者群組、完整名稱及敘述,請依需求輸入。接著,要設定其密碼:




設定好密碼,並將之記錄,之後VPN Client建立連線時會用到。

 
12
這篇文章讓你覺得滿意不滿意
送出
相關文章
子午科技推出SonicWall搭配N-Reporter作好資安防護
跨網路、雲端、App 建構整合式安全體系
可視化行為模式 控管潛在資安風險
動手玩Google雲端平台 實戰架設LAMP網站主機
架通用分散式防火牆 東西向微分段集中防護
留言
顯示暱稱:
留言內容:
送出
熱門點閱文章