在SoftEther VPN上架設Remote Access VPN,設定方法相當簡易,相對於其他知名VPN軟體而言,進入門檻較低,而且其封包先以較不易被發現為VPN封包的UDP封裝再進行傳送,可以大幅降低被發現的機率。
之前已示範過如何使用SoftEther VPN建立翻牆用的VPN。接著要進一步介紹如何使用SoftEther VPN來建立Remote Access VPN。希望在建立Remote Access VPN之後,除了可連線至內部伺服器外,用戶也可透過此VPN連線經由內網對外的防火牆連至公網。
典型架構圖簡介
圖1為典型的SoftEther Remote Access VPN架構圖,從中可以看出,最左邊的SoftEther VPN Client向SoftEther VPN Server的對外實體網卡(左邊的實體網卡)發起連線,在連線進入後,再透過Local Bridge機制將封包轉發給另一塊實體網卡(右邊的實體網卡),最後再連結至內網的實體網路。
|
▲圖1 Remote Access VPN架構圖。 |
在此架構中,除了之前介紹過的Virtual Hub外,在實體介面的網路卡(Physical Network Adapter)與Virtual Hub之間,尚須建立Local Bridge加以綁定,也因此本文的重點將放在Local Bridge的觀念,並介紹如何建立與管理Local Bridge。
測試架構說明
本次的測試架構如圖2所示,大致的運作過程如下所述。
首先,SoftEther VPN Client透過Internet連至SoftEther VPN Server。接著取得192.168.2.X的LAN IP,之後便可存取192.168.2.80的Web Server,然後亦可透過LAN的防火牆(192.168.2.1)連線至Internet。
前置作業準備
在開始實作前,請事先備妥以下的軟硬體:
‧ 硬體:Raspberry Pi 2 Mode B,之後以Pi代表。
‧ 作業系統:Raspbian Jessie Lite,版本為2017-06-21。
‧ 外接USB網路卡:此網卡使用Reltek 8152晶片,並接於Pi的USB介面上。Raspbian原生支援此卡,可直接使用。
‧ SoftEther VPN Server:版本為v4.22-9634-beta。
‧ SoftEther VPN Client:安裝於筆記型電腦上,其版本為v4.22-9634-beta。
在此假設用戶已完成Pi上的作業系統及SoftEther VPN Server的安裝,因此基本的操作就不再重複介紹。如果需要相關教學及說明,請參考筆者在網管人2017年8月第139期《安裝SoftEther VPN,活用樹莓派自造翻牆機》一文示範的操作過程。接著,依序完成Remote Access VPN的相關設定。
建立Virtual HUB
先執行「/usr/local/vpnserver/vpncmd」(假設先前已建立密碼),再點選「1. Management of VPN Server of VPN Bridge」,接著輸入:
建立一個虛擬Hub,然後切換至該Virtual Hub:
設定NAT和DHCP
之前在建立翻牆VPN時,要透過Virtual Hub直接連線至Internet,因此需要開啟NAT功能,但在此例中,會透過圖2中的白色防火牆(最上方的Firewall 192.168.2.1)上網,因此不開啟NAT的功能。
在DHCP的部分,可選擇讓內網中的防火牆或其他設備發放IP或者由SoftEther VPN Serer自行發放IP。在此例中,將讓圖2的白色防火牆發放192.168.2.0/24的IP網段。因此在SoftEther VPN中,選擇不開啟DHCP的功能。
|
▲圖2 Remote Access VPN測試架構圖。 |
設定使用者帳號及密碼
使用者在建立連線時,須使用帳號及密碼進行身分證驗,所以在此建立使用者的帳號(假設使用者帳號為john):
在建立過程中會詢問使用者群組、完整名稱及敘述,請依需求輸入。接著,要設定其密碼:
設定好密碼,並將之記錄,之後VPN Client建立連線時會用到。