如何在 Synology RT6600ax Router 上建立 Site-to-Site VPN 連線

記得剛開始接觸VPN時是為了觀看限制地區的線上影片,因為有些服務會限制地區存取資源,非得透過VPN來穿中隱線。然而因公司出差到對岸,所以利用NAS架設VPN服務,讓到對岸的人員可以順利連回來;想一想,台灣中小企業不少,因據點問題也常常有分公司或服務中心,每次利用前端連線似乎麻煩些,若能在 Router上直接 Site-to-Site VPN 那該多方便,不過這類的Router所費不貲,其實Synology RT6600ax/RT2600ac/RT1900ac/MR2200ac 無線路由器,免費的 VPN Plus 讓你輕鬆實現多個實體地點區域網路之間的安全VPN連線。

Site-to-Site VPN

用 Telegram 訂閱【挨踢路人甲】最新文章:https://t.me/itwshare

Synology Router 路由器均有內建 VPN Plus Server套件,讓你的無線路由器立即成為 VPN 伺服器,使用者也可以安全地遠端存取區域網路內分享的資源,尤其是WebVPN 不須另外安裝用戶端軟體,只要有瀏覽器即可從各處登入並透過安全連線進行存取。但有些服務會限制地區存取資源,網路就是無遠佛屆,只要有通,山不轉路轉,透過VPN就可以破除地區性的限制,像筆者介紹過的瀏覽器ZenMate外掛套件OkayFreedom VPN工具都是前端的連線VPN方式,連Opera瀏覽器也都內建VPN Client,不用捨近求遠,Synology Router 路由器的VPN是免費的喔!

vpn plus

前端VPN工具Google一下百百種,後端VPN伺服器架設就比較有些難度,筆者家中使用的是 Synology RT2600ac 無線路由器,因此寫過一篇使用 VPN Plus Server套件說明SSL VPN、WebVPN、SSTP,PPTP、OpenVPN 與 L2TP/IPSec的協定的連結方式。

 

不過當時Synology Router的VPN Plus Server 舊版僅是伺服器的功能,不支援網站與網站間的VPN橋接有些可惜,之後在VPN Plus Server套件上推出了Site-to-Site VPN 功能,但需要費用授權, Synology 在 2020 年疫情開始之初開放免費啟用授權,協助全球企業建構遠距工作環境,最後2021年9月28日針對 Synology 路由器推出 VPN 伺服器解決方案 VPN Plus 永久免費授權計畫,既然是免費,來看看這個Router與Router間的VPN橋接方式。

 

Synology RT6600ax與其他防火牆的VPN連線

Synology Router 的 VPN Plus Server 套件推出Site-to-Site VPN功能 ,不僅可以與自家的產品VPN連線外,也可與其他Router來VPN連線,大品牌的Router可能較不會有問題,但雜牌或知名度不高的Router得費一些功夫,畢竟只要有一個參數設定落差,就會VPN連線失敗。

在Synology SRM網頁管理畫面上進入套件中心,找到VPN Plus Server套件來安裝。

vpn plus

 

安裝 VPN Plus Server 套件後並啟動進入。

vpn plus

[the_ad id=”4707″]

開始精靈的安裝操作,按下〔套用〕即可。

vpn plus

 

由於RT6600ax兼具防火牆功能,預設應用程式連接埠是關閉的,安裝啟用VPN Plus套件時,也會建立相關協議的連接埠防火牆規則。

vpn plus

 

看到快速入門的VPN Plus Server專屬功能,其實就是原本VPN Server加上自家的WebVPN、Synology SSL VPN和遠端桌面等。

vpn plus

 

進入主畫面後可以看到左邊選項的功能,有總攬、Synology VPN、通用VPN協定、Site-to-Sitee VPN、權限、物件、連線、日誌和報表,點選的選項功能,點選Synology VPN右邊內容出現未偵測到授權,請點選「此處」來啟用免費的Synology VPN服務。

vpn plus

 

啟用時需要登入的認證,沒有的請這裡申請。

vpn plus

[the_ad id=”4707″]

啟用Snology VPN後,SSL VPN、遠端桌面、WebVPN、WebVPN入口和網域設定等服務就可永久生效了。

vpn plus

 

一樣Site-to-Site VPN也是要授權啟用,過程也是要經過Synology帳戶的認證。

vpn plus

 

啟用Snology VPN與Site-to-Site VPN後,可以到登錄Synology帳戶查看授權的狀況,有效期為永久授權。

vpn plus

 

授權後即可開始進行Router與Router的VPN連線設定,第一次設定 Site-to-Site IPSec VPN 時,您會需要在 Synology Router 上手動新增一組設定檔。

vpn plus

 

虛擬私有網路 (VPN) 是一種使用公用的網際網路架設的私有網路,可提供安全、加密的資料傳輸連線。一般企業使用VPN 來連接兩地的分公司,或讓員工出門在外或在家中能安全地連線至公司私有網路中來取得資源。Synology Site-to-Site VPN可讓多個實體地點的區域網路之間建立安全的連線,在網際網路上互相串聯,老實說當中牽涉到的術語與技術有些門檻,筆者也不是這方面的專家,為了方便讀者理解,僅解略會出下圖兩個Site A/B間的WAN IP與LAN IP,以方便接下來的設定。

vpn plus

 

假如上圖Site B是筆者的Synology RT6600ax,Site A是遠端的防火牆Router,在Synology Router新增的設定檔中主要分成「一般」與「加密」兩個分頁設定內容,下圖是一般分頁的內容,先來看看紅色框內的設定,設定檔名稱可自定,預先共同金鑰與確定預先共同金鑰是要與Site A建立Tunnel時的金鑰認證,設定完第一部份後當然要勾選「啟動此連線」。

[the_ad id=”4707″]

藍色框內的參數設定就是指本地的Router(也就是挨踢路人甲家中RT6600ax)的WAN IP與LAN網段,筆者家中是中華電信的500/250M動態固IP,所以看到PPPoE的字眼(你不用擔心一定要使用固IP)。在對外IP與本地ID上填上小烏龜配給的IP,私有子網路就是內部的區網IP範圍。接下來就是要指定遠端Site A的IP,一樣在綠色框內的IP與遠端ID填入Site A的WAN IP,私有網路則是填入Site A的區網範圍,個人認為兩端Site A與Site B的Wan IP /Lan IP設定不難,只要參考上圖與下圖的設定,大概可以看出端倪。

vpn plus

 

加密分頁可說是最難搞定的地方,因為只要有一參數設定有落差,VPN連線就會失敗,且連線模式、加密演算法名詞一大堆,一般人看了都會傻眼,這個地方筆者也沒辦法一一詳述,更何況筆者也不是這方面的專家,實在無法多作說明,所以列出筆者的設定參數,下圖中要注意IKE的版本、連線模式、加密、驗證的演算法、DH群組與金鑰存活週期的參數,這些參數要與遠端Site A Router相對應,切記!只要有任一參數不對,都有可能造成VPN連線失敗。

vpn plus

 

每家的Router提供的IPsecVPN 設定差異不小,筆者分公司使用的是集中式威脅管理(Unified Threat Management,UTM)資安硬體設備,有內含Site-to-Site VPN功能,列出如下圖以供你比對上圖的設定。紅色框內的設定不難懂,比較特別是使用的介面有WAN1~WAN4,因為此台UTM可以連接4個WAN,所以設定與Site B連線時需指定哪一條WAN要VPN,遠端的IP位址當然就是Site B的WAN IP,至於本地與遠端的區網應該看圖就可以理解了。

vpn plus

 

藍色框的IKE設定才是重點,連線模式、金鑰、演算法、DH Group、IKE SA 生存時間一定與Site B上的Router(RT6600ax)對應,稍有不同都會連線失敗。

vpn plus

[the_ad id=”4707″]

Synology Router 支援的加密演算法如下圖,與其他Router連線時必須選擇支援的加密方式,切記不要全部勾選,不然連線會失敗,筆者剛開全勾選,想說應該會自動選擇可連線的加密演算法,失敗多次後才知道自己太天真啊!或許是其他品牌Router連接的相容性,難怪都會建議使用同廠牌的產品,加密方式的選擇相當重要,假如下列加密方式當中,都沒有與遠端Router相同的加密方式,那就提早下課囉!

vpn plus

 

到連接UTM內查看,果然已經連線了。

vpn plus

 

再到自己的RT6600ax Router上的VPN plus Server查看,也一樣處在已連線狀態中,

vpn plus

 

我RT6600ax的內網192.168.9.x網段,來PING試一下遠端的192.168.8.x內網是否通,如下圖所示OK啦!

vpn plus

 

Synology RT6600ax與自家Router的VPN連線

Site-to-Site VPN的變數較多,且各家的Router又有差異,一般想要兩地VPN對連都會使用相同的Router,因為IT人員不會自找苦吃。假如你有兩台Synology Router,那兩邊VPN對連更加容易,只要一邊建立設定檔,然後將設定檔匯出,再到另一台匯入即可自動連線,筆者試過RT6600ax匯出設定檔,之後再到RT1900ac匯入,當匯入成功後即看到VPN自動連線了。 SRM 1.3.1 只有支援 RT6600ax RT2600ac 和 MR2200ac,本文使用 RT1900ac 僅為測試,竟然還可以成功,不過建議要用在公司建議兩台機器還是要使用使用一致的 SRM 版本會比較穩定。筆者擁有的RT6600ax、RT2600ac與MR2200ac都可以任意設定Site-to-Site VPN 通道,主要是群暉仍對舊產品的延續韌體升級喔!

vpn plus

 

Site-to-Site VPN 授權為免費,啟動後可建立多個通道,Synology RT6600ax最多可以設定20條Site-to-Site VPN 通道,而RT2600ac僅能10條通道,畢竟RT6600ac的硬體強多了。

vpn plus

[the_ad id=”4707″]

例如在筆者的工作室Synology RT6600ax建立一條VPN通道,此通道主要是與老家的遠端RT1900ac對連,所以將設定檔名稱指定為RTVPN,金鑰自行輸入並勾選「啟動此連線」。紅色框內是筆者RT6600ax端的WAN IP與LAN區網段,藍色框是遠端的Synology RT1900ac的WAN IP與LAN區網段。

vpn plus

 

至於加密分頁就依自己的喜好,因為設定後匯出再匯入另一台Router,都是使用Synology Router,所以加密與驗證都會相同,當然使用愈高級的加密,機器會也會有些負擔。

vpn plus

 

此時將RT6600ax匯出設定檔。

vpn plus

 

再到遠端的RT1900ac匯入之前RT6600ax匯出的設定檔,使用〔瀏覽〕按鈕來匯入。

vpn plus

[the_ad id=”5115″]

匯入成功後即可看到已連線的狀態,方便又快速。

vpn plus

 

進入設定檔查看,原先設定檔的遠端資料變成了本地站台的資料(藍色框),可見匯入設定檔時會自動轉換,難怪匯入後就可以立即連線。

vpn plus

 

既然是匯入,加密的資料也會一樣,不然是不可能VPN連線的,使用相同的Synology Router就是有同品牌的設定優勢。

vpn plus

 

回到筆者讀的RT6600ax設備上,在VPN Plus Server的Site-to-Site VPN畫面上,可以看到兩條通道以連線,一條是與其他公司的UTM建立VPN通道,一條是與老家的RT1900ac互連。

vpn plus

[the_ad id=”4707″]

連線的過程都可以在日誌上查看,兩邊建立了Site-to-Site VPN通道後,兩邊區網上的電腦均不用在使用任何前端工具,直接可以連到另一方的伺服器上,真的很方便。

vpn plus

 

itwalker
itwalker

或許技術與功力已遠遠不及時下年輕人,但試著去畫一個圓,圓不圓沒關係,盡力就好,如果覺得文章不錯的話,請大家按個「讚」或「+1」,感謝您的支持與鼓勵!歡迎加入我的粉絲團 : https://www.facebook.com/itwalker ,更多關於挨踢路人甲的文章: https://walker-a.com

文章: 2982