[MIS] 如何使用DIR-130(固定IP)與DI-804HV(PPPoE)設定IPSec VPN？

By Salinna 【何謂VPN】 VPN，“虛擬私有網路”，簡易的說法，即是指在公眾網路架構上所建立的企業網路，且此企業網路擁有與私有網路相同的安全、管理及效能等條件。VPN乃是原有專線式企業私有廣域網路的替代方案，VPN並不是改變原有廣域網路的一些特性，諸如多重協定的支援、高可靠性及高擴充度，而是使用更為符合成本效益的方式來達成這些特性。 【VPN技術簡介】 VPN所使用的技術可分為四類：穿隧傳輸技術（Tunneling）、加解密技術（Encryption & Decryption）、密鑰管理技術（Key Management）、使用者與設備身分認證技術。 現在穿隧傳輸技術所使用的協定主要有：IPSec、PPTP、L2TP３三種。 IPSec為第三層的穿隧技術，專門為IP所設計，不但符合線有IPv4的環境，同時也是IPv6的標準，它也是IETF所制定的業界標準。 PPTP與L2TP均為第二層的穿隧技術，適合具有IP/IPX/Apple Talk等多種協定的環境。 IPSec、PPTP、L2TP三者，最大的不同點在於運用IPsec的技術，使用者可以同時使用Internet與VPN的功能。而PPTP與L2TP建構在點對點協定(PPP)上，所以只能在Internet或VPN兩種功能中，選擇一種使用，也就是說，利用PPTP或L2TP執行穿隧傳輸時，就無法同時連結網際網路其他節點，使用起來比較不方便，所以較完整的虛擬私有網路整合性設備（VSU）均採用IPSec協定。 此範例為DIR-130(韌體1.21)和804HV(韌體1.51b07)分別在兩端，架構圖如下: 【DI-804HV端設定】 ★ 請先確定已設好PPPoE的連線並可連至網路，設定方式可參考：DI-804HV 如何設定 PPPoE 連線上網 (ISP有給一組帳號密碼) 1、登入DI-804HV的設定畫面 192.168.10.1，使用者名稱：admin 密碼：空白 2、至「 Home」à 「VPN」 à 勾選「啟用VPN和NetBIOS broadcast」à 「Max number of tunnels」自訂(最多可設40條)à「Tunnel Name」自訂名稱à 按下「 Apply」儲存 3、點選「More」按鈕à設定如下所示 按下「Select IKE Proposal」的按鈕 (1) Proposal Name輸入自訂名稱 (2) 選擇加密方式，兩端設定一定要相同 (Life time：300~172800 Sec 或 20480 ~2,147,483,647 KBs) (3) Select Proposal ID下拉式選單選 1 à按下「Add to」按鈕新增 (4) 按下「Apply」按鈕儲存設定 按下「Select IPSec Proposal」的按鈕 (1) Proposal Name輸入自訂名稱 (2) 選擇加密方式，兩端設定一定要相同 (Life time：300~172800 Sec 或 20480 ~2,147,483,647 KBs) (3) Select Proposal ID下拉式選單選 1 à按下「Add to」按鈕新增 (4) 按下「Apply」按鈕儲存設定 4、設定完成後到「Status」à「VPN Status」，看到建立了一條Tunnel，DI-804端的設定已經完成了 5、因為申請PPPoE網路類型IP位址會變動，為避免因IP變動造成VPN斷線，建議申請免費的DDNS網域服務， 在「 Advanced」à 「DDNS」à 勾選「Enable」à 輸入您申請DDNS服務的相關資料à 按下「Apply」按鈕 ★ 此處為範例，實際請依您申請的資料輸入，如何申請DDNS可參考：如何申請D-Link提供的DDNS服務? 【DIR-130端設定】 ★ 請先確定已設好固定IP的連線並可連至網路，設定方式可參考：DIR-130 如何設定ADSL固定制IP？ 1、登入DIR-130設定畫面，預設IP位址：192.168.0.1 使用者名稱：admin 密碼：無 2、至「SETUP」à「 VPN Settings」à 下拉式選單內選擇「IPSec – Internet Protocol Security」à 按下「Add」按鈕 3、依以下說明在欄位內輸入相關資料 · Enable Settings: 打勾 · Name: 自行輸入VPN名稱 · Local Net/Mask: 輸入區域網路端(DIR-130)的網段192.168.0.0/24 · Remote IP: 選擇Site to Site並輸入DI-804HV端設定的DDNS網址 · Remote Local LAN Net /Mask: 輸入遠端網路端(DI-804HV)的網段192.168.1.0/24 · Authentication: 輸入一組Pre-shared Key密碼 (兩端必須要設定相同的Key) 4、按下「Save Settings 」儲存設定後再按下「Continue」 5、在清單內出現剛設定的名稱表示已完成IPSec VPN設定 【VPN連線驗證】 1、兩端確定都有連上Internet，IPSec VPN會自動建立起來，DI-804HV端可至「Status」à「VPN Status」會顯示已建立的狀態 2、DIR-130端可至「STATUS」à「VPN 」確認清單內有出現連線資料 3、可至電腦「 所有程式」à 「附屬應用程式」à 「命令提示字元」內做【Ping】的動作，利用互相Ping對方電腦的IP位置或對方的LAN Gateway看是否有回應的訊息(reply)； 以及網路上的芳鄰是否可以找到對方的電腦，即可驗證 (以下範例為DIR-130下端的電腦ping DI-804HV的IP位址)