行動網路有不易斷線的特性,因為當單一基地台異常,其他基地台可互相涵蓋。本文將示範如何使用Raspberry Pi 3(RPI3),將行動網路門號作為IP分享器使用,同時將其設定為VPN節點,並採用具備完善管理介面與流量分析管理功能的OpenWrt,來減輕管理者的負擔。
接著,如圖12所示切換至Wireless Security頁面,在Encryption請選擇WPA2-PSK,Key部分請自行輸入,最後按下〔Save & Apply〕按鈕。
|
▲圖12 設定Wireless Security。 |
最後,使用辦公室的電腦透過MyOffice這個SSID連線,並利用Speedtest的網頁測速,結果如圖13所示,確認已可透過RPI3上網並正常使用。
|
▲圖13 透過RPI3上網並進行測速。 |
安裝及設定SoftEther VPN
接下來,要在OpenWrt安裝SoftEther VPN的相關檔案。先使用WinSCP,把softethervpn_4.22-9634-1_arm_cortex-a53_neon-vfpv4.ipk這個檔案以scp的方式複製到OpenWrt的root目錄中,接著透過cli開始進行安裝作業:
opkg update
opkg install libreadline
opkg install libopenssl
opkg install libncurses
opkg install kmod-tun
opkg install zlib
opkg install softethervpn_4.22-
9634-1_arm_cortex-a53_ neon-vfpv4.
ipk
安裝完成後,先測試模組是否能夠正常運作。執行vpncmd,並選擇3,再輸入check,進行確認,確認均正常後,記得輸入exit離開。
然後設定OpenWrt,讓Softether VPN的封包能正常進出,避免因防火牆設定造成VPN無法建立。
要開放存取的Port,如下所示:
TCP 443、TCP 992、TCP 1194、TCP 5555
先點選【Network】選單裡的【Firewall】,如圖14所示。接著,選擇Traffic Rules。然後,找到Open ports on router欄位,並在Name部分輸入Softether VPN 443,而Protocol部分選擇TCP,External port欄位則輸入443,如圖15所示。依序完成放行TCP 443、TCP 992、TCP 1194、TCP 5555的相關設定,設定完成後記得點選最下方的〔Save & Apply〕。
|
▲圖14 設定防火牆。 |
|
▲圖15 設定防火牆規則放行Softether VPN封包。 |
操作至此,已可將此RPI3作為Softether VPN的VPN Bridge或VPN Client使用。
由於這裡是透過RPI3再連線至遠端的VPN,因此要設定的是VPN Bridge,而非VPN Client,筆者在測試時也曾多次因設定為VPN Client造成測試失敗。
建立L3 VPN連線
經過筆者的多次實測驗證,在OpenWrt的架構下,可以將RPI3加入Softether VPN的L3 VPN中,成為VPN網路中的一個節點。設定的部分較為繁瑣,就不再逐步示範。
這些設定步驟筆者之前曾在網管人進行介紹,請自行參酌《實戰L3 IP Routing VPN 提升跨網段服務品質》(http://www.netadmin.com.tw/article_content.aspx?sn=1712040004&jump=3)一文。
在此,簡單提醒一下相關概念。首先,在Softether VPN Server(Linux Server)上建立兩個Hub,第一個Hub(headquarter)與內網串接並綁定伺服器上的實體網卡以連接至區域網路,第二個Hub(branch)則須設定帳號和密碼,等待RPI3的VPN Bridge進行連接。
最後,再建立一個L3 Switch(VPN),並且以設定路由表的方式綁定這兩個Hub。在RPI3上的Hub(bridge)先行綁定介面(br-lan),然後再以串接(Cascade)的方式(須設定遠端主機位址及帳號密碼)與VPN Server的第二個Hub(Branch)連接。