[DrayTek]SSL VPN使用者撥入(host to site)-Vigor實作

DrayTek的SSL VPN服務最大的優點是可以讓使用者在NAT的環境下還能正常使用，今天要實作host to site範例，讓電腦的使用者使用SSL VPN連線至VPN router LAN端，適合需要複雜的NAT環境下連線至VPN router的VPN使用者才適合host to site特殊範例，居易PPTP的速度略快於SSL VPN，但PPTP安全性略低於SSL VPN，如果使用者在大陸連線過來台灣，建議使用SSL VPN，建議使用DrayTek Vigor 2925系列以上(因SSL VPN需使用大量CPU資源)、

網路架構圖
*VPN 路由器: 
建議使用DrayTek Vigor 2925系列以上(因SSL VPN需使用大量CPU資源)
WAN: 實體IP
LAN: 192.168.88.1/24
VPN 隧道: SSL host to site VPN(host to LAN)

*PC
撥接SSL至VPN router，VPN router分配一組192.168.88.X/32網段IP給PC

=====================================================================
首先先設定DrayTek Vigor

1. 到VPN and Remote Access >> Remote Dial-in 建立一個新profile

2. 選擇SSL tunnel模式以及輸入帳號密碼

=====================================================================
再來我們設定PC

A. 安裝與下載 DrayTek Smart VPN Client 工具

下載 DrayTek Smart VPN Client http://www.draytek.com/en/download/utility/ 並安裝它.

B. 軟體設定

1. 開啟 Smart VPN Client, 點選"新增"建立一個VPN設定檔

2. 請設定VPN設定檔如下:

a. 輸入設定檔名稱

b. 選取使用SSL VPN 通道

c. 輸入伺服器位置VPN router的IP 

d. 輸入帳號與密碼

e. 啟用 "按下連線......確認視窗"
e-1. 如果你想翻牆，請啟用 "使用遠端......閘道"

f. 點擊"確認"完成VPN設定檔

g.  點擊"連線"即可開始建立SSL VPN通道

安橋聖科技有限公司

網址: http://www.enchose.com/

[DrayTek]PPTP VPN使用者撥入(host to site)-Vigor實作

DrayTek的PPTP VPN服務最大的優點是可以讓使用者在NAT的環境下還能正常使用，今天要實作host to site範例，讓電腦的使用者使用PPTP VPN連線至VPN router LAN端，適合需要複雜的NAT環境下連線至VPN router的VPN使用者才適合host to site特殊範例，居易PPTP的速度略快於SSL VPN，但PPTP安全性略低於SSL VPN，如果使用者在大陸連線過來台灣，建議使用SSL VPN

網路架構圖
*VPN 路由器: 
DrayTek Vigor 任一系列路由器
WAN: 實體IP
LAN: 192.168.88.1/24
VPN 隧道: PPTP host to site VPN(host to LAN)

*PC
撥接PPTP至VPN router，VPN router分配一組192.168.88.X/32網段IP給PC

=====================================================================
首先先設定DrayTek Vigor

1. 到VPN and Remote Access >> Remote Dial-in 建立一個新profile

2. 選擇PPTP模式以及輸入帳號密碼

=====================================================================
再來我們設定PC

A. 安裝與下載 DrayTek Smart VPN Client 工具

下載 DrayTek Smart VPN Client http://www.draytek.com/en/download/utility/ 並安裝它.

B. 軟體設定

1. 開啟 Smart VPN Client, 點選"新增"建立一個VPN設定檔

2. 請設定VPN設定檔如下:

a. 輸入設定檔名稱

b. 選取使用PPTP VPN 通道

c. 輸入伺服器位置VPN router的IP 

d. 輸入帳號與密碼

e. 啟用 "按下連線......確認視窗"

f. 點擊"確認"完成VPN設定檔

g. 點擊"連線"即可開始建立PPTP VPN通道

安橋聖科技有限公司

網址: http://www.enchose.com/

[DrayTek]使用VPN Port Forwarding讓4G/LTE虛擬IP轉真實IP~Vigor實作

常遇到Server被架在天涯海角，且電信商又不給申請真實的固定IP(Public IP)，這些在4G LTE 行動網路或社區網路都是使用虛擬IP(Private IP)，因此無法讓Server可以在真實的網路下存取。這時候只有一個方法，就是將Server端的流量全部導到有實體IP(Public IP)的VPN路由器，使用VPN Port Forwarding即可達到該效果。本次選用IPsec site to site(LAN)模式，因為DrayTek的Vigor Router有些有支援硬體IPsec加速功能，以下這個範例適合DVR/NVR......等無法安裝VPN client軟體的機器使用。

網路架構圖
*右邊的VPN路由器(需Vigor 2925/2926或2952以上等級 V3.8.4): 
WAN IP: 123.123.123.123(實體IP)
LAN: 192.168.88.1/24
VPN 隧道: IPsec site to site VPN(Aggressive mode)
Port Forwarding的條件: 123.123.123.123的Port 88 轉換至192.168.3.10的Port 88

*左邊的VPN路由器(DrayTek 任一機種): 
WAN IP: 100.100.2.5(4G LTE 虛擬IP)
LAN: 192.168.3.1/24
VPN 隧道: IPsec site to site VPN(Aggressive mode)
Server Web IP: 192.168.3.10
Server Web service: TCP 88

========================================================================
首先先設定右邊的VPN路由器
1. 到VPN and Remote Access >> LAN to LAN新增一個profile

選擇IPsec並設定Peer ID

設定pre-shared key

設定 local/remote network

2. 到NAT >> Port Redirection設定Port Forwarding

========================================================================
首先先設定右邊的VPN路由器
1. 到VPN and Remote Access >> LAN to LAN新增一個profile

輸入pre-shared key

選擇Aggressive mode並輸入Peer ID

設定 local/remote network，最重要的一件事情就是勾選"Change default route to this VPN tunnel"，這個意思就是讓這台router的所有流量導到另一台具有固定IP的VPN router上，簡單說固定IP的VPN router就是翻牆跳板，如果不勾選此選項會導致client可以收到固定IP的VPN router傳下來的封包，但是client回覆的時候會把封包丟到自己的gateway上而沒有丟回固定IP的VPN router gateway上，導致封包有下來但回不去。