Routing VPN 網路 路由

實戰L3 IP Routing VPN 提升跨網段服務品質

2017-12-12
延續先前SoftEther VPN建立Site to Site VPN的系列文章,上一期示範的L2 Bride VPN讓不同端點使用同樣的LAN網段,而此次將解說如何建立L3 IP Routing VPN,讓不同端點端點使用不同的IP網段,在不同網段間透過IP Routing來傳輸封包。

下載並安裝VPN Server和Bridge

在此假設用戶已安裝SoftEther VPN Server,所以安裝及操作部分就不重複介紹。若需要相關教學和說明,Server的部分可參考筆者在網管人2017年8月第139期《安裝SoftEther VPN,活用樹莓派自造翻牆機》一文示範的操作過程。在此階段,先在名為「Tokyo」的Pi上安裝VPN Server。

此外,也在名為Osaka的Pi上安裝及設定SoftEther VPN Bridge,相關操作說明可參考官網的說明(https://www.softether.org/4-docs/1-manual/9._Installing_SoftEther_VPN_Bridge/9.3_Install_on_Linux_and_Initial_Configurations),筆者在網管人雜誌上也將示範如何操作,就不再贅述。同樣地,在名為「Osaka」的Pi上安裝VPN Bridge。

另外,記得設定VPN Server和VPN Bridge在開機後自動啟用服務,並且要檢查在重開機後是否能夠正常運作。

VPN Bridge相關操作

在SoftEther VPN的相關套件進行操作時,指令不受大小寫的限制,之後的示範中所有的指令都可以忽視大小寫的問題。

在VPN Bridge中,預設會自動建立名為「bridge」的Virtual Hub。之後在進行相關設定時若須輸入Virtual Hub,請輸入「bridge」即可。

接著,再次使用vpncmd指令來設定Local Bridge。在執行vpncmd後,輸入「1」,vpncmd會詢問IP與Virtual Hub的名稱,直接按下〔Enter〕略過即可。

如圖2所示,再輸入「bridgedevice list」來查看可加入Local Bridge的實體網路卡。


▲圖2 列出實體網路卡。

Raspbian在20170816之後的版本調整過網卡命名方式,改為以MAC Address作為命名依據,因此在此看到的網卡名稱與習慣的eth0有所不同,在操作時須確認其正確的名稱及介接的線路。接著把連接實體區域網路的enxb827eb0f1908加入Local Bridge,並將此Local Bridge加入Virtual Hub Bridge內。

操作過程如圖3所示,先輸入「bridgecreate」,在詢問Virtual Hub的名稱時,輸入「bridge」(VPN Bridge自建的Virtual Hub),最後再輸入要綁定的實體網路卡「enxb827eb0f1908」。


▲圖3 在Local Bridge加入Virtual Hub Bridge並綁定網路卡。

最後使用「bridgelist」指令查看目前Local Bridge的狀態,如圖4所示可看出其Virtual Hub為bridge,網卡為enxb827eb0f1908,目前狀態為Operating。


▲圖4 檢查Local Bridge狀態。

VPN Bridge的部分到此告一段落,接著要安裝設定VPN Server,並且建立名為「TOKYO」及「OSAKA」的Virtual Hub。在Virtual Hub OSAKA中,必須設定使用者並建立其密碼,做為後續認證之用。再建立一個Local Bridge將之加入Virtual Hub TOKYO,並綁定實體網路卡。最後建立Virtual L3 Switch,使用IP Routing打通這兩個Virtual Hub。

VPN Server相關操作

第一次使用VPN Server時,必須先使用vpncmd指令設定管理密碼,所以輸入「/usr/local/vpnserver/vpncmd」,並選擇「1」,進入管理模式。接著會詢問Hostname及Virtual Hub Name,直接按下〔Enter〕略過即可。

接著,先設定管理用密碼,其指令如下:


vpncmd會詢問兩次密碼,兩次密碼必須相符。

隨後,建立名為「OSAKA」的Virtual Hub(建立時會詢問先前設定的管理密碼),執行如下指令:


此Virtual Hub用以串接Branch Osaka,為易於識別,取名與Osaka相同,並用大小寫加以區隔。接著切換至該Virtual Hub,並建立使用者「osaka」:


在建立使用者時,會依序詢問其Group Name、Full Name、Description,在此均按下〔Enter〕略過,若有特殊需求,可參考官網進行設定。最後,進行密碼的設定:


同樣地,在設定密碼時須輸入兩次相同的密碼。此為後續建立VPN連線時的密碼,請備妥以利之後使用。

接下來,建立名為「TOKYO」的Virtual Hub:


接著建立Local Bridge,將之加入Virtual Hub TOKYO,並綁定實體網路卡,先切換至Virtual Hub TOKYO,執行如下指令:


再執行「bridgedevicelist」指令,確定實體網路卡的名稱,如圖5所示。


▲圖5 顯示可使用的實體網路卡。

在本例中,使用「enxb827eb18968a」與實體的192.168.1.0/24網路進行連接。若有多張有線網路卡極易造成混淆,因此在輸入網卡名稱請事先確認要連接內部網路的是哪張網路卡,可配合作業系統中mii-tool指令,查看哪一個介面目前是有接線的(Link ok)。接著,執行以下指令建立名為TOKYO的LocalBridge:


直接指定Virtual Hub為「TOKYO」,vpncmd就不會詢問其名稱,接著只須輸入其實體網卡「enxb827eb18968a」,如圖6所示。


▲圖6 將Local Bridge加入Virtual Hub並綁定實體網路卡。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!