[DrayTek]使用VPN Port Forwarding讓4G/LTE虛擬IP轉真實IP~Vigor實作

常遇到Server被架在天涯海角，且電信商又不給申請真實的固定IP(Public IP)，這些在4G LTE 行動網路或社區網路都是使用虛擬IP(Private IP)，因此無法讓Server可以在真實的網路下存取。這時候只有一個方法，就是將Server端的流量全部導到有實體IP(Public IP)的VPN路由器，使用VPN Port Forwarding即可達到該效果。本次選用IPsec site to site(LAN)模式，因為DrayTek的Vigor Router有些有支援硬體IPsec加速功能，以下這個範例適合DVR/NVR......等無法安裝VPN client軟體的機器使用。

網路架構圖
*右邊的VPN路由器(需Vigor 2925/2926或2952以上等級 V3.8.4): 
WAN IP: 123.123.123.123(實體IP)
LAN: 192.168.88.1/24
VPN 隧道: IPsec site to site VPN(Aggressive mode)
Port Forwarding的條件: 123.123.123.123的Port 88 轉換至192.168.3.10的Port 88

*左邊的VPN路由器(DrayTek 任一機種): 
WAN IP: 100.100.2.5(4G LTE 虛擬IP)
LAN: 192.168.3.1/24
VPN 隧道: IPsec site to site VPN(Aggressive mode)
Server Web IP: 192.168.3.10
Server Web service: TCP 88

========================================================================
首先先設定右邊的VPN路由器
1. 到VPN and Remote Access >> LAN to LAN新增一個profile

選擇IPsec並設定Peer ID

設定pre-shared key

設定 local/remote network

2. 到NAT >> Port Redirection設定Port Forwarding

========================================================================
首先先設定右邊的VPN路由器
1. 到VPN and Remote Access >> LAN to LAN新增一個profile

輸入pre-shared key

選擇Aggressive mode並輸入Peer ID

設定 local/remote network，最重要的一件事情就是勾選"Change default route to this VPN tunnel"，這個意思就是讓這台router的所有流量導到另一台具有固定IP的VPN router上，簡單說固定IP的VPN router就是翻牆跳板，如果不勾選此選項會導致client可以收到固定IP的VPN router傳下來的封包，但是client回覆的時候會把封包丟到自己的gateway上而沒有丟回固定IP的VPN router gateway上，導致封包有下來但回不去。