延續先前SoftEther VPN建立Site to Site VPN的系列文章,上一期示範的L2 Bride VPN讓不同端點使用同樣的LAN網段,而此次將解說如何建立L3 IP Routing VPN,讓不同端點端點使用不同的IP網段,在不同網段間透過IP Routing來傳輸封包。
同樣地,在VPN Bridge,亦將用以串接實體網路的網卡IP為192.168.2.254,編輯「/etc/dhcpcd.conf」,並加入如下的設定:
在VPN連線建立後,用兩部電腦分別接至已設定固定IP的介面,並設定預設閘道IP為192.168.X.254。接著,在192.168.2.254這部電腦測試能否Ping到192.168.1.254,測試結果如圖16所示。
|
▲圖16 在192.168.2.0測試192.168.1.254。 |
為確認其路由運作方式,使用tracert指令確認其封包傳達路徑。封包在出了192.168.2.254之後,就直接抵達192.168.1.254,如圖17所示可以看出封包的確透過VPN轉發。
|
▲圖17 確認封包傳達路徑。 |
同樣地,在192.168.1.0/24的網段測試192.168.2.254,如圖18所示。在此可看到很有趣的現象,到192.168.2.254的回應時間均為1毫秒(ms)(理論上要加上實體線路的回應時間,應為40~80毫秒)。
|
▲圖18 測試VPN連線是否正常。 |
同樣地,如果在192.168.2.0/24電腦上測試192.168.2.254,回應時間也遠比想像來得大(非小於10毫秒或1毫秒)。推測其原因為對VPN Server的L3 Switch而言,192.168.2.254是在其直連範圍中,所以回應時間很短(雖然實際上192.168.2.254是在另一端的VPN)。
同樣以tracert來驗證其路徑,確認封包是透過VPN通道轉發,如圖19所示。
|
▲圖19 從Server端驗證封包轉發路徑。 |
最後,在兩端的電腦上安裝iperf,以測試其VPN連線速率,在Server與Bridge均使用30Mb的線路。
測試結果如圖20所示,透過VPN實際傳輸速率約14Mbps。以免費VPN的解決方案而言,算是不錯的表現了。
|
▲圖20 測試VPN連線速率。 |
<本文作者:丁光立,在ISP工作多年。對於Cisco設備較熟悉,除此之外也研究Linux,這幾年慢慢把觸角伸到資安的領域,並會在自己的blog(http://tiserle.blogspot.com/)分享一些實務上的經驗和測試心得。>