- A+
用樹莓派做VPN路由網(wǎng)關
對于一般家用的路由器,一直苦于路由OS的功能限制,DD-WRT系的軟件陳舊。想用PC直接當路由,但價錢上顯然是獅子抓耗子。
這個實驗的目標是將樹莓派做成VPN路由網(wǎng)關,即本身是一個VPN的Client,同時可以轉發(fā)網(wǎng)絡請求。這樣只要連上家里的WIFI就可以無縫訪問公司網(wǎng)絡和其它網(wǎng)絡。
實際情況我用的是PPTP協(xié)議,當然你可以用其它各種協(xié)議來實現(xiàn)。
組網(wǎng)
拓撲如下,也可以再買USB2RJ11和WIFI天線將樹莓派變成一個完整的WIFI路由,我這個拓撲是考慮到TP-Link路由可以做備用的網(wǎng)關。
Raspberry Pi安裝基本環(huán)境
先裝Debian,安裝方法可以參考這里。
默認只有vi和nano,可以裝個vim或emacs。
裝PPTP Client:
sudo apt-get install pptp-linux
為系統(tǒng)配置靜態(tài)IP,實際情況里我使用192.168.1.69做網(wǎng)關靜態(tài)IP,詳細見 Debian Wiki
配置PPTP連接
配置以太網(wǎng)口可用時自動連接PPTP服務器:sudo vi /etc/network/if-up.d/vpn,鍵入以下內容(< >里的內容按實際情況填寫)
#! /bin/bash
/usr/sbin/pptpsetup --create <名字(隨便起)> --server <服務器地址> --username <用戶名> --password <密碼> --encrypt --start
配置PPTP鏈接斷開后自動重連,執(zhí)行以下命令
sudo cp /etc/network/if-up.d/vpn /etc/ppp/if-down.d/vpn
修改路由表,將PPTP服務器作為下一跳的網(wǎng)關,即默認使用PPTP連接發(fā)送所有流量(如果你有這個需求)。在PPTP連接成功后進行修改:sudo vi /etc/ppp/ip-up.d/vpn,鍵入以下內容
#! /bin/sh
/sbin/route add default dev $PPP_IFACE
由于家里使用的PPPoE上網(wǎng),加上PPTP協(xié)議封裝,鏈路實際可用的MTU減小。我的PPTP服務器使用的MTU是1300,當內網(wǎng)中其它終端以樹莓派 為網(wǎng)關時并不知道網(wǎng)關的下一跳鏈路的MTU小于1500,終端也不會在DHCP過程中主動配置MTU值,1500大小的包轉發(fā)到PPTP鏈路中會被丟棄, 造成無法上網(wǎng)的現(xiàn)象。解決方法是配置TCP MSS值,使系統(tǒng)遇到大于MSS值的包時先拆包再轉發(fā):
sudo iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1268
配置網(wǎng)關相關功能
修改/etc/sysctl.conf,使樹莓派可以轉發(fā)ipv4的流量
net.ipv4.ip_forward=1
使sysctl.conf的修改馬上生效
sudo sysctl -p
配置iptables,使系統(tǒng)強制轉發(fā)所有流量
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
其它配置
保存iptables的信息,用于之后快速恢復當前配置
sudo iptables-save > /etc/iptables.rules
當以太網(wǎng)端口可用時,恢復iptables配置,sudo vi /etc/network/if-up.d/iptables,鍵入以下內容:
#! /bin/sh
iptables-restore < /etc/iptables.rules
如果你使用了PPTP服務器作為網(wǎng)關轉發(fā)所有流量,你很可能需要配置路由表,使某些ip是例外,不走PPTP鏈路的。這種腳本網(wǎng)上很多, 一般分ip-pre-up和ip-down兩個腳本分別用于添加、刪除路由表記錄。將ip-pre-up放到/etc/network/if-up.d /下;ip-down放到/etc/network/if-down.d/下
確保上面的所有鉤子腳本都有執(zhí)行權限:
sudo chmod +x /etc/network/if-up.d/* /etc/network/if-down.d/* /etc/ppp/ip-up.d/* /etc/ppp/ip-down.d/*
配置DHCP
配置DHCP服務器信息,網(wǎng)關填上樹莓派的靜態(tài)ip,我是在TP-Link上配置DHCP信息的
結束語
以上就是VPN路由的所有配置,現(xiàn)在你可以iPhone、iPad、 Android、電腦、PSVita、3DS、PS3、XBOX360等等連上你的TP-Link,即可無縫使用VPN鏈路,樹莓派也會像一般的路由器一樣穩(wěn)定工作。
所有終端因為DHCP的配置將流量發(fā)向樹莓派,樹莓派按路由表的配置選擇使用PPTP鏈路。
注意,要配置的地方比較多,中間有一步出了問題都可能使樹莓派無法穩(wěn)定工作,需要你熟悉計算機網(wǎng)絡,Linux網(wǎng)絡配置。【網(wǎng)關VPN應用】寫字樓及小區(qū)多級路由下的IP語音部署
據(jù)《2013-2017年中國智能建筑行業(yè)發(fā)展前景與投資戰(zhàn)略規(guī)劃分析報告》數(shù)據(jù)顯示,我國智能建筑行業(yè)市場在2012年達到861億元,并以每年20%以上的增長態(tài)勢在發(fā)展。
三網(wǎng)融合電話業(yè)務是智能建筑信息化的重要一環(huán)。然而,一些迅友在實施寫字樓或小區(qū)的IP語音項目時,飽受多級路由器之困擾。
語音終端無法注冊?
有語音單通等問題?
本文向大家推薦一種基于OpenVPN的低成本解決方案。
薛哥是迅時客戶服務部經(jīng)理,所住小區(qū)由上海電信提供寬帶網(wǎng)絡。他曾經(jīng)試圖在家中安裝一臺語音網(wǎng)關,上連到公司OM網(wǎng)絡型辦公電話系統(tǒng)進行組網(wǎng),但始終無法注冊成功。
“我通過Tracert(跟蹤路由)發(fā)現(xiàn),原來小區(qū)網(wǎng)絡由多級路由器構成,多層NAT使外部SIP服務器返回的消息無法到達網(wǎng)關……”薛哥很頭疼。
最近迅時發(fā)布了新版MX升級包,支持內嵌OpenVPN客戶端功能。
近水樓臺先得月,薛哥馬上升級了家中的MX8A語音網(wǎng)關,配置OpenVPN參數(shù)重啟后,設備立刻與公司私網(wǎng)下的OpenVPN服務器建立了“加密隧道”,并與OpenVPN服務器在同一網(wǎng)段的OM系統(tǒng)成功實現(xiàn)雙向連接。
(本照片由薛哥友情奉獻)
我關注了24小時,語音連接始終很正常。我還意外發(fā)現(xiàn),與在網(wǎng)關前外掛帶VPN路由器相比,音質更清晰。
——客戶服務部經(jīng)理薛哥
迅時最新發(fā)布的HX4E和MX8A升級包,支持內嵌OpenVPN和L2TP兩種VPN客戶端。
尤其是OpenVPN,與基于IPSec的VPN相比,具有更強的防火墻和NAT穿越能力,占用帶寬更小,能有效解決語音安全問題,解除路由器和防火墻等對IP語音的干擾。
我們正在進行更多相關實證試驗,到時將把結果與大家分享。也希望迅友提供各種網(wǎng)絡環(huán)境對IP語音干擾的實例。愛快路由器vpn重映射實現(xiàn)私有外網(wǎng)地址訪問
環(huán)境描述:
兩個不同的局域網(wǎng):一個路由器A的外網(wǎng)地址為公網(wǎng)地址,可以通過此地址在外網(wǎng)遠程這臺路由器;路由器B的外網(wǎng)地址是私有地址,無法通過外網(wǎng)地址的形式做外網(wǎng)訪問。
需求
在外網(wǎng)環(huán)境下,需要實現(xiàn)遠程訪問路由B下面的客戶機(比如某服務器或者監(jiān)控機等),但是由于路由B的外網(wǎng)為私網(wǎng)IP地址,無法通過路由映射的方式進行外網(wǎng)訪問。
解決方法
1、聯(lián)系你的上級運營商,給你更換公網(wǎng)IP地址
2、聯(lián)系你的上級運營商,給你做映射,映射對應的端口
3、通過vpn的方式,撥號到有公網(wǎng)IP地址的路由A上面做映射,實現(xiàn)可以通過路由A的公網(wǎng)IP加對應端口,可以成功通過外網(wǎng)訪問到路由B內部的客戶機。
(此次要說明的是在愛快路由里面怎么實現(xiàn)第三種解決方式)
操作方法:
路由器A,開啟PPTP或者L2TP服務端(認證計費---認證服務管理)
路由器A,創(chuàng)建PPTP或者L2TP的賬號(認證計費---認證賬號管理)
路由器B,在VPN客戶端,添加對應信息,撥號路由器A(服務中心---VPN客戶端)
路由器B,設置端口映射,映射內網(wǎng)客戶機的地址加對應端口(服務中---端口映射)
路由器A,設置端口映射,映射VPN撥號得到的地址加對應端口(服務中心---端口映射)
路由器A,設置NAT轉發(fā),原地址可以不填,代表所有;目的地址填寫VPN撥號得到的IP
地址,轉發(fā)地址就寫VPN服務器的地址,線路選擇“任意”,動作為“轉發(fā)”
舉例說明
l路由器A:
⑴:開啟PPTP服務端
⑵在路由器A上,創(chuàng)建PPTP的賬號
創(chuàng)建PPTP賬號完成:賬號密碼都是1
l路由器B:設置VPN客戶端,撥號路由器A
此時也可以在路由器A上面的認證計費---認證用戶管理---賬號在線看到撥號成功的信息
l路由器B:設置端口映射
l路由器A:設置NAT轉發(fā)
l路由器A:設置端口映射
注意:
如果路由器A開啟的是PPTP服務端,路由器B就使用PPTP客戶端
如果路由器A開啟的是L2TP服務端,路由器B就使用L2TP客戶端
測評:適合小企業(yè)的最佳VPN路由器
當您在為您企業(yè)選擇一款VPN路由器時,相信您肯定想要選擇一款能夠支持您企業(yè)所選擇的VPN協(xié)議的產(chǎn)品。如果您正在尋找一款IPSec VPN產(chǎn)品,我們建議您不妨考慮那些能夠提供一種簡化配置的產(chǎn)品,如思科、Linksys或Netgear公司的產(chǎn)品。而如果您正在尋找更多樣的VPN方案,則不妨考慮D-Link的產(chǎn)品。
如果您正在尋找一個價格較為便宜的選擇,建議您可以考慮UTT技術的產(chǎn)品。而如果您正在尋找的是具備了獨特功能的產(chǎn)品,則可以考慮DrayTek公司的產(chǎn)品,或該公司的其他整合了無線Wi-Fi、光纖或具備VoIP支持的設備。
如下是對這些產(chǎn)品的詳細測評:
思科RV325
這款思科RV325是一款雙千兆WAN VPN路由器,售價468美元,但網(wǎng)上售價則不到300美元。這是思科面向小型企業(yè)RV VPN路由器系列中的頂級型號。一些較低的模型產(chǎn)品還具有Wi-Fi功能,但該款模型產(chǎn)品則沒有。
這款思科設備支持多達50個 IPSec 通道,任一站點到站點或客戶端到站點的連接,其宣稱的IPSec吞吐量約為100Mbps。其PPTP和SSL VPN服務器均同時支持多達10個客戶端到站點的隧道。
在該產(chǎn)品的包裝盒中,您還會發(fā)現(xiàn)包括了一根以太網(wǎng)電纜,電源適配器,快速入門指南,以及一張具備完整文檔的CD光盤。此外,還包括L型支架以便該產(chǎn)品可以安裝在標準的19英寸機架上。
該產(chǎn)品測量約有9?英寸長,7英寸寬,2英寸高。外殼大多是灰金屬色。產(chǎn)品的背面是電源輸入口和開關。在底部是預先應用的防滑墊以安放在具備孔壁裝支架的桌子或架子上。
在本設備的前面,您會發(fā)現(xiàn)有狀態(tài)燈、14交換機端口、兩個WAN端口和復位按鈕。您在前面還會發(fā)現(xiàn)一個USB端口,另有一個USB端口在側面,兩者均可用于3G網(wǎng)絡故障或用于維修使用。
登錄web GUI界面后,您將進入“入門”頁面,快捷方式指導您運行安裝向導,進行初始設置,并引導您進入其他常見的網(wǎng)頁。基本設置向導可幫助您配置廣域網(wǎng)端口和訪問規(guī)則向導,以幫助您添加防火墻規(guī)則。GUI的主菜單是在左側,分為幾個可擴展的列表。在任何一個頁面,您都可以通過點擊右上角的幫助快捷鍵,其便能夠彈出設置特定網(wǎng)頁的幫助說明。通過VPN設置,我們發(fā)現(xiàn)該設備支持思科簡易VPN解決方案,其簡化了遠程VPN用戶的配置。然而,我們發(fā)現(xiàn)唯一的站點到站點VPN選項是IPSec。而如果能夠看到有其他站點到站點的選擇將是極好的,因為IPSec從來都不是最簡單的配置。
經(jīng)過對該產(chǎn)品的測評之后,我們認為該產(chǎn)品的圖形用戶界面相當簡單明了。這是一款具備了最常見的VPN路由器功能的固件產(chǎn)品。
D-Link DSR-250
D-Link的DSR-250是一款具備8個端口的千兆VPN路由器,標價189.99美元,但在網(wǎng)上也可以以大約115美元的價格找到。這款機型是該公司DSR產(chǎn)品線系列之一。像其他產(chǎn)品一樣,其還有一個無線版本的產(chǎn)品,增加了802.11n的無線網(wǎng)絡Wi-Fi連接功能。
該款D-Link模型產(chǎn)品支持六種VPN類型。最多可支持25個并發(fā)站點到站點或客戶端到站點的IPSec連接,最大吞吐量約為50Mbps。SSL VPN支持多達5個通道。還包括一個服務器和客戶端的PPTP和L2TP VPN連接,支持多達25個通道。一個OpenVPN服務器和客戶端支持最多達5個通道。最后,該設備支持多達10個GRE隧道,使遠程網(wǎng)絡能夠接收局域網(wǎng)廣播流量。
在產(chǎn)品的包裝盒中,隨著這款DSR-250設備一起發(fā)售的,您還會發(fā)現(xiàn)一個電源適配器,以太網(wǎng)電纜和以太網(wǎng)串行控制臺電纜。但您不會找到像任何其他大多數(shù)供應商產(chǎn)品一樣的安裝指南。但是,隨附的CD光盤上則有安裝指南和全手動的PDF文件。
該設備測量約 7? 英寸長,5英寸寬,1.5英寸高。外殼為全黑金屬色,產(chǎn)品的頂部有浮雕的供應商名稱。
在設備的前面,您會發(fā)現(xiàn)一個用于3G上網(wǎng)的故障切換、文件和打印機共享或維修使用的USB 2.0端口。另外還有八個千兆交換機端口,一個千兆WAN端口,和一個以太網(wǎng)端口的控制臺訪問。有一個簡單的電源燈,然后活動狀態(tài)指示燈的端口。沒有墻壁安裝孔,也沒有包括安裝支架;小的防滑墊您可以將其放置在底部,以便您把它放在桌子或架子上。
登錄到網(wǎng)絡圖形用戶界面后,您會發(fā)現(xiàn)狀態(tài)儀表板和一組流量和資源統(tǒng)計圖表。
您也可以選擇單擊圖形用戶界面的右上角的向導鏈接以運行向導之一來配置不同的設置。將鼠標懸停在圖形用戶界面頂部的菜單,將彈出該特定類別中的所有設置頁面的列表。在每個設置頁面的右上角,可以看到一個問號按鈕,您可以點擊調出特定頁面上的幫助。
圖形用戶界面是相當有吸引力,且直白簡單的,但也可以進行一些改進以便使得其可以變得更加用戶友好。例如,您必須手動為您添加的VLAN子網(wǎng)輸入所有的IP和DHCP設置。而許多路由器則在您添加VLAN時能夠自動或預配置這些設置。
除了典型的VPN路由器的功能,本機支持英特爾AMT使得在在斷電時或缺乏一個硬盤驅動器或操作系統(tǒng)時,可以管理計算機。其還支持動態(tài)網(wǎng)頁內容過濾功能,但需要以大約60美元/年的價格訂購。
總體來說,這款D-Link產(chǎn)品是一款功能豐富的路由器。支持多種VPN選項,提供USB文件和打印機共享,并支持動態(tài)網(wǎng)頁內容過濾。我們對其GUI的抱怨是次要的。
DrayTek Vigor2925
DrayTek Vigor2925的售價為288美元,是一款雙WAN千兆VPN路由器,提供五個交換端口。該產(chǎn)品是DrayTek公司的眾多系列產(chǎn)品之一,而其每款產(chǎn)品均提供幾個不同版本以支持不同的Wi-Fi標準,光纖連接和VoIP支持。我們選擇了包括其基礎版本在內的產(chǎn)品進行測試,其缺乏某些額外的功能。
本機支持多達50個并發(fā)VPN通道,通過站點到站點或客戶端到站點的IPSec、PPTP或L2TP。IPSec通道的吞吐量等級為50Mbps。SSL VPN服務器支持多達25個客戶端到站點的通道。
在該產(chǎn)品的包裝盒中,您會發(fā)現(xiàn)一份快速入門指南,有完整的文檔的CD光盤,以太網(wǎng)電纜和電源適配器。
黑色塑料機身測量尺寸約為 9 ? 英寸長,6?英寸寬, 1 ? 英寸高。在機身前面,您會發(fā)現(xiàn)所有的狀態(tài)指示燈和接口,除了電源輸入和開關在機身背面。在機身前面的左邊是復位出廠設置的按鈕、狀態(tài)指示燈及2個用于3G上網(wǎng)的故障切換、通過SMB或FTP進行文件共享或打印機共享的USB 2.0端口。然后有第二個廣域網(wǎng)端口,5個交換機端口。在本產(chǎn)品的底部有防滑墊及四個孔,可選的壁掛式安裝。
在插上該設備后,我們沒有立刻連接到互聯(lián)網(wǎng)。不像大多數(shù)路由器,該產(chǎn)品的WAN連接沒有默認設置獲得一個動態(tài)的IP。您必須去到Web GUI來啟用。如果您有一個靜態(tài)IP,這并不重要,但如果您有一個動態(tài)IP,這有點不方便。
登錄到網(wǎng)絡圖形用戶界面后,登錄到基于Web的管理界面后您就會看到儀表板頁面,其顯示了主要的狀態(tài),以及一個表示路由器前端和狀態(tài)指示燈的圖像。沒有任何向導提示,但該產(chǎn)品卻是提供了一些向導,您可以從在主菜單頂部的左上側進行訪問。
當您點擊左邊的可折疊的主菜單時,其將分類顯示相關網(wǎng)頁。有些頁面也有多個選項卡,您可以通過點擊進入。有些頁面有信息或幫助按鈕,您可以單擊以獲得更多信息,但它不是整個圖形用戶界面保持一致。 GUI還可以更組織和打理一下,使之更具吸引力和用戶友好。
我們發(fā)現(xiàn)這款DrayTek產(chǎn)品功能豐富,支持除了OpenVPN之外的所有主要的VPN解決方案。除了VPN路由器通常的一些功能外,還包括動態(tài)網(wǎng)頁過濾,中央的VPN和無線接入點的管理和FTP訪問(除了SMB)用于基于USB文件共享的。還具有一些獨特的功能,如支持通過USB傳感器進行溫度監(jiān)測。
Linksys LRT224
Linksys LRT224是一款千兆四端口的雙WAN VPN路由器,標價為249.99美元,但網(wǎng)上可以大約175美元的價格獲得,這是該公司所提供的兩款企業(yè)級VPN路由器產(chǎn)品之一。另一款產(chǎn)品(LRT214)非常相似,但缺少了雙WAN口與WAN負載均衡及LRT224提供的故障轉移功能。
這款Linksys產(chǎn)品支持多達45個IPSec通道,任一站點到站點或客戶端到站點的連接,該公司聲稱其最大吞吐量為110Mbps——這是所有我們所測評的產(chǎn)品中最高的。基于PPTP的VPN服務器支持最多五個并發(fā)用戶。 OpenVPN服務器支持多達五個傳入的客戶端到站點的通道,而OpenVPN客戶端讓您可以執(zhí)行一個站點到站點的連接。
該設備還包括了新的易于連接的VPN功能,旨在簡化站點到站點的IPSec通道,迄今為止,只有該產(chǎn)品及其他的LRT模型支持支持這一點。服務器支持通過一個單一的用戶名和密碼同時最多5個的傳入連接,客戶端支持一個出站連接。
除了設備本身,在產(chǎn)品的包裝盒子里,您會找到一個電源適配器,以太網(wǎng)電纜,快速安裝指南,和一個包括了全部文件的CD光盤。
該設備測量大約5英寸長,7 ?英寸寬,1 ?英寸高。外殼為金屬的黑色和藍色。該設備可以安置在桌面/架子上,也可以通過兩個在底部/背面的內置的安裝孔安裝在墻上。
在設備前面的頂部是系統(tǒng)、診斷狀態(tài)、廣域網(wǎng)、WAN / DMZ、VPN的LED狀態(tài)燈和四個交換機端口。設備的背面是千兆以太網(wǎng)端口:四個交換端口、廣域網(wǎng)端口和一個WAN/DMZ端口。
,您會在在標簽選項卡式GUI界面看到系統(tǒng)狀態(tài)頁面。在那里,您可以檢查主數(shù)據(jù),并選擇啟動安裝向導,其會提示您設置廣域網(wǎng),局域網(wǎng),時間和密碼。您也可以通過單擊快速啟動選項卡進入設置向導。
大多數(shù)的設置是通過配置選項卡訪問,在頁面的左邊的菜單上包含了子標簽分類。維護選項卡中還包含一對子標簽選項卡工具。最后一個標簽選項卡即所謂的幫助支持,其只是一個簡單的頁面提供到達Linksys的主營產(chǎn)品和支持頁面的捷徑。但如果這些鏈接能夠直接到達該特定型號的產(chǎn)品和支持頁面,將是更有用的。
在Web GUI的頂部,您會發(fā)現(xiàn)幫助鏈接,其能夠方便地為您調出您當前頁面的設置文檔。其彈出一個瀏覽器窗口,但內容來自路由器,因此,其是可以離線訪問的,打印機也相當?shù)挠押谩D部梢酝ㄟ^幫助內容搜索瀏覽。在Web GUI的頂部也有頁面寬度的選擇,讓您能夠輕松的切換頁面尺寸大小。
這款Linksys產(chǎn)品似乎是那些想要IPSec VPN的用戶的一個不錯的選擇,他們廣告宣稱的吞吐量是本文所測評的路由器中最高的,并提供了簡化的配置和路由器。但是記住,其沒有提供基于瀏覽器的SSL VPN功能,PPTP VPN通道的最大量僅為五個。
Netgear FVS336G
Netgear FVS336G是雙WAN VPN服務器,售價425美元,但在網(wǎng)上也可以約230美元獲得。較之該公司的其他VPN路由器產(chǎn)品,這款產(chǎn)品屬于其中檔產(chǎn)品。該產(chǎn)品僅僅提供了一個廣域網(wǎng)連接,支持較少的VPN通道,并缺乏SSL VPN,但也提供一款無線模型。上述模型支持多達四個WAN連接,提供更高的吞吐量,并支持更多的VPN通道。
這款Netgear產(chǎn)品最多支持25個IPSec站點到站點或客戶端到站點的通道,廣告宣稱的最大吞吐量達78Mbps。SSL VPN服務器支持多達10個通道,PPTP和L2TP VPN服務器支持多達25個用戶。
除了設備本身,在產(chǎn)品的包裝盒子里,您會發(fā)現(xiàn)一份安裝指南、包括了全部文件的CD光盤和VPN客戶端軟件,以太網(wǎng)電纜,電源適配器,和防滑橡膠墊以安放在桌子或架子上的使用。
這款全金屬外殼的設備測量大約有10英寸長,1?英寸高,7英寸寬。在該設備的前面是LED狀態(tài)指示燈和以太網(wǎng)端口:2個WAN端口和四個交換端口。在后端,您會找到電源輸入和一個串行端口,用于控制臺訪問。設備底部沒有墻上安裝孔。
登錄Web GUI界面后,您會看到狀態(tài)頁面。我們沒有發(fā)現(xiàn)任何設置向導。在頁面的頂部,您會發(fā)現(xiàn)主菜單,然后其之下是子菜單。而在其之下很多網(wǎng)頁也有多個選項卡選擇。所有三個菜單在頁面頂部以導航顯示。但是,我們的確喜歡所提供的幫助和文檔。在Web GUI中每個部分的設置都有一個問號按鈕,將把您帶到這些設置相關的全面的描述界面。
我們發(fā)現(xiàn),這款Netgear是款普通的VPN路由器,沒有任何鈴聲,雖然Netgear提供了IPSec VPN客戶端程序簡化了客戶端部署。但請記住,該設備缺乏PPTP、L2TP客戶端支持,使IPSec成為執(zhí)行站點到站點的連接的唯一途徑。
我們也認為該款產(chǎn)品可以在用戶友好的圖形用戶界面,特別是菜單設計方面進行一些改進。另外,當添加VLAN時,必須手動為新的子網(wǎng)輸入IP和DHCP設置,這一點類似于D-Link的產(chǎn)品。然而,大多數(shù)路由器都能夠為您自動完成或預配置這些設置。
UTT Technologies HiPER 518
這款HiPER 518曾經(jīng)的標價為69.99美元,但目前的售價為59.99美元。這是UTT Technologies公司的三款面向小企業(yè)的路由器產(chǎn)品之一,其中另一款的功能特點與這一款非常類似,還有一款則具備更多的WAN連接、VPN通道支持,以及額外的認證和計費功能。
這款設備最多可支持五個并發(fā)IPSec VPN站點到站點或客戶端到站點的通道,廣告標榜的吞吐量等級極低,僅為15Mbps。唯一其他的VPN支持是PPTP服務器和客戶端,支持多達五個并發(fā)用戶。
除了設備本身,在產(chǎn)品的包裝盒子里,您會發(fā)現(xiàn)一根以太網(wǎng)電纜,電源適配器和一份產(chǎn)品目錄。您不會找到任何安裝指南或手冊,但您可以從他們的網(wǎng)站下載手冊。
該金屬外殼的設備測量長7英寸,高1英寸,寬5英寸。在該設備的前面是電源,系統(tǒng)和WAN/LAN端口的狀態(tài)指示燈。在背面,您會發(fā)現(xiàn)一個端口專門用于一個廣域網(wǎng)連接,然后四個局域網(wǎng)端口,其中三個可以用作額外的廣域網(wǎng)連接。您還可以在產(chǎn)品的背面找到電源輸入和復位按鈕。在該設備的底部是防滑墊,可用于方便放置在桌子或架子上,以及2個可供選擇的墻壁安裝孔。
登錄到網(wǎng)絡圖形用戶界面后,您會被提示“可選向導”,其只會幫助配置網(wǎng)絡連接。之后,您將被帶到一個顯示一些主要數(shù)據(jù)的簡單的系統(tǒng)信息頁面。
雖然網(wǎng)絡圖形用戶界面的外觀和設計是非常基本和簡單的,但仍然是用戶友好的。主菜單是在該頁的左邊具備可擴展的類別,能夠顯示所有主要頁面的快捷方式。這些頁面中有許多有多個選項卡以便查看附加設置。一些頁面有一個幫助按鈕,能夠彈出另一個瀏覽器選項卡,進行該特定頁面設置的簡單的描述。
在瀏覽了GUI,界面后,我們發(fā)現(xiàn)了最常見的VPN路由器的功能。然而,一個例外是缺乏VLAN的支持;您不能定義單獨的VLAN以隔離流量。也缺乏QoS設置。其只允許控制帶寬速率,而不是優(yōu)先級控制。然而,該設備提供的PPPoE服務器支持多達30個用戶,在被授權互聯(lián)網(wǎng)訪問權限之前,Web認證進行本地用戶認證。
我們發(fā)現(xiàn),這款設備是相當獨特的。其包括了一些其他的路由器不具備的功能,如PPPoE服務器和Web認證。然而,其也缺乏一些共同的功能特征,如SSL VPN和VLAN。但請知曉,UTT 公司的其他產(chǎn)品模型能夠支持VLAN以及其他額外的功能。
路由器比較綜述
本文所測評的所有的路由器均具備IPSec和PPTP VPN服務器,除兩款產(chǎn)品(Linksys和UTT公司的產(chǎn)品)外,均有一個SSL VPN服務器允許通過Web瀏覽器訪問客戶端。所有的路由器都支持站點到站點和客戶端到站點的IPSec通道,其中多款路由器均只支持客戶端到站點的其他或所有其他VPN協(xié)議。
每款路由器都提供某種類型的WAN負載均衡和要么通過第二WAN端口要么通過支持3G或4G無線USB適配器進行故障轉移。除一款產(chǎn)品外(UTT Technologies公司產(chǎn)品)所有其他產(chǎn)品均提供VLAN標記支持。還有兩款路由器(D-Link公司和DrayTek公司的產(chǎn)品)也通過其USB端口提供簡單的文件和打印機共享。
格局顛覆者紫光Mywifi首開百元路由內置VPN先河
隨著互聯(lián)網(wǎng)經(jīng)濟的高速發(fā)展,網(wǎng)絡安全問題也與日俱增。就在“棱鏡門”持續(xù)發(fā)酵的時候,2014年新年伊始,韓國又爆發(fā)了駭人聽聞的信用卡資料泄密事件,一名黑客泄露了韓國KB國民卡、樂天卡和NH農協(xié)卡三家信用卡公司約2000萬張信用卡的數(shù)據(jù),意味著韓國40%的國民個人資料失密。無獨有偶,俄羅斯黑客同樣使美國Target 1.1億客戶的個人數(shù)據(jù)失竊。愈演愈烈的黑客攻擊與網(wǎng)絡完全漏洞,引發(fā)了企業(yè)的強烈擔憂。為避免因泄密和業(yè)務中斷造成巨大損失,現(xiàn)代企業(yè)開始著眼于辦公環(huán)境的安全建設,在辦公網(wǎng)絡中使用內置VPN服務功能的“智能路由器”成為標志性舉措之一。不過并不是每個企業(yè)都對此持有積極態(tài)度,譬如一部分中小微企業(yè)的辦公環(huán)境,迄今就依然處于“不設防”的狀態(tài)。
捍衛(wèi)辦公安全 VPN路由不可或缺
當代企業(yè)的網(wǎng)絡安全威脅主要有主動和被動兩種。像“無間道”、和離職員工報復泄密這類典型的主動泄密事件,只能通過加強制度管理和訴諸法律來解決。而非主觀的被動泄密由于發(fā)生于無形,其管理難度則要數(shù)倍于主動泄密。涉密的安全機構和科研單位,采取了一種極端的保密方式,自建局域網(wǎng),與互聯(lián)網(wǎng)物理隔絕,嚴禁工作人員將圖文和數(shù)據(jù)資料、記憶卡、手提電腦帶離辦公區(qū),嚴禁辦公設備接入互聯(lián)網(wǎng)……除非綁架策反,“網(wǎng)絡強盜”慣用的植入木馬和黑客攻擊的方式此時全然無用。不過,此等極端方式對于民間企業(yè)來說并不具備可操作性。以典型的企業(yè)獨立OA辦公系統(tǒng)為例,面對跨區(qū)域和超出OA系統(tǒng)覆蓋范圍的訪問請求,出于安全需要會遭到OA系統(tǒng)的禁止。企業(yè)員工在公出、休假等狀態(tài)下,將無法進入企業(yè)OA系統(tǒng)。在辦公模式靈活多樣、跨國和跨區(qū)域商務往來日益頻繁的時代背景下,這種拒絕往往是災難性的。VPN技術就是為了解決公共互聯(lián)網(wǎng)與企業(yè)OA銜接安全性課題誕生的。
VPN技術(Virtual Private Network)是虛擬專用網(wǎng)絡的英文縮寫。它通過特殊的加密通訊協(xié)議,在Internet上為兩個或多個企業(yè)內部網(wǎng)之間建立一條專有的通訊線路,只不過這條線路是完全虛擬化的,通過加密與普通公共線路加以阻隔。一句話概括,就是在公共網(wǎng)絡中人為的開辟虛擬的私人領地,極大的提升了企業(yè)資料和信息交互過程中的安全性。VPN路由器就是利用路由器實現(xiàn)VPN的基本配置。安裝VPN路由的企業(yè),人員可以實現(xiàn)對OA系統(tǒng)的遠程登錄,實現(xiàn)了辦公安全和靈活性的兼顧。因而,受到更多企業(yè)的青睞,一些企業(yè)依然選擇“不設防”,其實事出有因。
企業(yè)級VPN路由器 “屌絲夢中的白富美”
“VPN路由器帶來的安全辦公環(huán)境令人期待,但是對小型企業(yè)來說,采購和運用的壓力很大,繼續(xù)‘裸奔’也是無奈之舉。”
一位某大型企業(yè)的網(wǎng)絡安全負責人道出了問題的癥結。目前主流企業(yè)級VPN路由采購價格千元左右為,日常還需要企業(yè)安排專門團隊實施管護。對于大型企業(yè)而言,和安全相比,更新數(shù)百臺設備和增加人力成本支出都是可以接受的。而對中小微企業(yè)來說,為幾千元乃至數(shù)萬的花費、以及新增崗位埋單,并不情愿。因此,即便帶有VPN功能的企業(yè)級路由器已經(jīng)證明了自己的價值,一部分企業(yè)依然堅持“不設防”狀態(tài),很難想像,隨著威脅的升級,中小微企業(yè)的辦公安全何去何從——“除非VPN路由器降低門檻,不再冷艷高貴”。這位負責人如是說。
千元功能百元買 紫光Mywifi破解困局
今天,采購“白菜化”、應用“傻瓜化”的親民VPN路由器已經(jīng)成為了一種普遍的期待。如果一款具備VPN服務、能夠滿足中小微企業(yè)需要的路由器處于百元價位,那么還會被企業(yè)負責人所拒絕么?一百元買到千元級功能的VPN企業(yè)路由器,紫光Mywifi云智能路由器問世之處,就給出了答案“這個可以有,這個真的有。”
紫光Mywifi屬于“第三代云智能路由器”產(chǎn)品。作為“紫光股份云服務戰(zhàn)略”的延伸,它融合了紫光股份云計算、云存儲的優(yōu)勢,在提供智能路由器基功能同時,通過自有VPN客戶端,實現(xiàn)媲美千元級VPN服務器的安全保障。它還非常強調了個性化的“私人訂制”,便于用戶根據(jù)自身需求選擇相應服務。
在硬件方面,紫光Mywifi采用了Broadcom BCM5357方案,集成企業(yè)級的300M MIPS74KCPU和相應DDR內存控制器,內置64M閃存,以及符合802.11BGN規(guī)范的2進2出 MIMO 2.4G數(shù)據(jù)通道。軟件方面,得益于媲美千元級專業(yè)路由的VPN功能,用戶無論身在何地,都可隨時訪問企業(yè)的OA系統(tǒng)。
事實上,VPN功能只是紫光Mywifi特色功能——“私人訂制”其中的一個選項,在這個完全不同于傳統(tǒng)路由的界面里,用戶只需注冊登錄應用商店,就可以選擇清爽視頻、綠色信號調節(jié)、防蹭網(wǎng)、游戲機加速、無線考勤、臨時訪客、VPN客戶端、多SSID、洋蔥路由等多種功能。其中無線考勤、上網(wǎng)行為管理功能,為中小企業(yè)辦公室實現(xiàn)了WIFI覆蓋范圍內的考勤記錄,免去了指紋機機械識讀,打卡機代打卡的尷尬問題,只要用戶在無線范圍內,便可查詢到崗情況。最重要的是可時時查詢員工的上網(wǎng)記錄。實現(xiàn)了公司網(wǎng)絡環(huán)境的真正可控。臨時訪客功能則能夠在不公開密碼的前提下,滿足企業(yè)臨時訪客上網(wǎng)需要。至于洋蔥路由功能則堪稱神器,能夠實現(xiàn)網(wǎng)絡身份的隱身,斯諾登逃脫美國政府網(wǎng)絡監(jiān)控,洋蔥路由技術可謂功不可沒。想這些特色功能,對于特定用戶來說,將會提供意想不到的應用便利,而簡單易懂的圖文對接界面,也省去了企業(yè)設置專門崗位管理維護設備的負擔。
無論是比拼家用產(chǎn)品市場普遍的低端方案,還是挑戰(zhàn)價格數(shù)倍于自身的千元級企業(yè)路由器,展露強大性價比的紫光Mywifi,似乎可以當之無愧的被人們稱為“業(yè)界良心”。
花費一百元,告別不設防的辦公環(huán)境!
這是屬于中小微企業(yè)的史詩福利,同樣也適合做出明智選擇的大型企業(yè)。除非大家死硬的堅持“不求最好,但求最貴”。
600M雙頻無線企業(yè)VPN路由器
600Mbps 雙頻無線,提供高速、穩(wěn)定、安全的無線網(wǎng)絡
2.4GHz和5GHz雙頻同時工作,無線傳輸速率最高可達600Mbps;
5GHz頻段具有純凈低干擾的高速無線環(huán)境,可提供更好的無線體驗;
外置4根可拆卸單頻天線,科學布局,有效降低同頻干擾,提供穩(wěn)定的無線傳輸性能;
專業(yè)級功放和低噪音放大器,有效提高無線發(fā)射強度和接收靈敏度,無線覆蓋范圍廣,抗干擾能力強。
支持16個SSID(2.4GHz頻段和5GHz頻段各8個),可為企業(yè)不同部門設置不同的SSID,可實現(xiàn)SSID之間隔離及SSID內部隔離,
靈活管控用戶間的無線網(wǎng)絡互訪權限;
一鍵設置訪客網(wǎng)絡,使來訪賓客與企業(yè)內網(wǎng)完全隔離,確保企業(yè)數(shù)據(jù)安全。
專用網(wǎng)絡處理區(qū),告訴數(shù)據(jù)轉發(fā);工業(yè)電源,鋼殼設計,適應各類環(huán)境
內置專用網(wǎng)絡處理器,1Gbit DDRII高速內存,數(shù)據(jù)處理能力強;
全千兆有線端口,可實現(xiàn) LAN-WAN間高速數(shù)據(jù)轉發(fā);
雙WAN口設計,滿足雙線接入需求,成倍提高網(wǎng)絡出口帶寬;
內置工業(yè)級高品質電源,適應100V-240V寬電壓輸入范圍,有效抵抗電壓波動,適應各類環(huán)境;
鋼殼設計,散熱性能好,屏蔽性好,抗干擾能力更強,環(huán)境適應能力更強。
VPN,行為管控,保障數(shù)據(jù)安全傳輸,規(guī)范員工網(wǎng)絡使用
支持IPSec VPN(10條隧道),加密企業(yè)和分支機構的機密數(shù)據(jù),保障數(shù)據(jù)安全;
支持PPTP VPN(10條隧道)和L2TP VPN(10條隧道),方便出差員工、移動辦公人員遠程訪問的企業(yè)內部服務器,輕松實現(xiàn)遠程辦公
內置8大類60多種上網(wǎng)應用數(shù)據(jù)庫,可一鍵管控QQ、迅雷、同花順、游戲等常見應用;
支持QQ 、MSN黑白名單,靈活管控企業(yè)中QQ、MSN的使用權限;
支持網(wǎng)址過濾和網(wǎng)頁安全功能,內置十幾類共幾百個網(wǎng)址數(shù)據(jù)庫,只需勾選相應網(wǎng)站類別即可限制員工對相應網(wǎng)站的訪問;
行為審計軟件,用于企業(yè)網(wǎng)絡的上網(wǎng)行為監(jiān)控、記錄和分析。可定制化導出報表功能,滿足多種報表需求。
更多功能實現(xiàn)
USB打印服務器 提供一個USB 2.0端口,內置打印服務器功能,可外接USB打印機,輕松實現(xiàn)有線/無線打印。
智能帶寬控制可根據(jù)實際帶寬利用率靈活啟用帶寬控制,能夠針對網(wǎng)絡中的每一臺主機(IP)進行雙向帶寬控制,保障網(wǎng)絡時刻暢通。
負載均衡支持多種負載均衡策略,包括智能均衡、特殊應用程序選路、ISP選路、策略選路等,多管齊下,可充分利用WAN口帶寬,保護用戶投資。
ARP雙重防護能夠同時綁定LAN口(內網(wǎng))、WAN口(外網(wǎng))主機的IP與MAC地址,有效防止內/外網(wǎng)
ARP欺騙。
攻擊防護
支持內/外網(wǎng)攻擊防護功能,可有效防范各種常見的DoS攻擊、掃描類攻擊和可疑包攻擊行為。
?[企業(yè)路由器]PPTPVPN應用與配置指南
[企業(yè)路由器] PPTP VPN移動辦公應用及配置指南(PC-站點)
企業(yè)VPN路由器提供多類VPN功能。其中PPTP VPN的PC到站點模式可以為終端提供接入總部的安全隧道。終端可以通過寬帶、專網(wǎng)、3G、WLAN等各類接入方式接入到Internet,使用終端自帶的VPN客戶端撥號與總部路由器連接,建立安全隧道進行數(shù)據(jù)傳輸。
本文介紹搭建PPTP VPN服務器,以及不同類型的客戶端連接PPTP的方法。
某公司需要為出差員工提供VPN接入,保證出差員工可以通過VPN隧道安全訪問內網(wǎng)服務器資源。分析用戶需求,可以通過PPTP VPN功能滿足該需求。以下為服務器參考設置表:
注意:上表中的參數(shù)僅供參考。
1、增加PPTP地址池
登錄路由器管理界面,在VPN >> L2TP/PPTP >> 隧道地址池管理中添加PPTP地址池,點擊新增,設置如下:
2、設置PPTP VPN
在VPN >> PPTP >> PPTP服務器設置中設置PPTP服務器參數(shù),點擊新增,設置如下:
最大連接數(shù):一個賬號允許同時撥號的客戶端最大數(shù)目。
3、啟用VPN-to-Internet通道
在L2TP/PPTP中的全局管理設置,勾選“啟用VPN-to-Internet通道”,如下圖:
不同PPTP客戶端的配置方式有所差異,請選擇客戶端操作系統(tǒng),參考對應指導文檔:
客戶端撥號成功后,可以在PPTP服務器隧道信息顯示客戶端信息。
終端連接成功后,在VPN >> PPTP >> PPTP服務器隧道信息中會顯示對應條目,所示:
至此,PPTP VPN設置連接成功,VPN客戶端可以訪問上網(wǎng)并訪問總部內網(wǎng)。
企業(yè)VPN路由器無線穿墻,行為管控,規(guī)范員工網(wǎng)絡使用
TP-LINK TL-WVR600G 600M雙頻無線路由器 企業(yè)VPN路由器無線穿墻
2.4GHz和5GHz雙頻同時工作,無線傳輸速率最高可達600Mbps;5GHz頻段具有純凈低干擾的高速無線環(huán)境. 外置4根可拆卸單頻天線,科學布局,有效降低同頻干擾,提供穩(wěn)定的無線傳輸性能;專業(yè)級功放和低噪音放大器,有效提高無線發(fā)射強度和接收靈敏度,無線覆蓋范圍廣,抗干擾能力強。
2.4GHz和5GHz雙頻同時工作,無線傳輸速率最高可達600Mbps;
5GHz頻段具有純凈低干擾的高速無線環(huán)境,可提供更好的無線體驗;
外置4根可拆卸單頻天線,科學布局,有效降低同頻干擾,提供穩(wěn)定的無線傳輸性能;
專業(yè)級功放和低噪音放大器,有效提高無線發(fā)射強度和接收靈敏度,無線覆蓋范圍廣,抗干擾能力強。
支持16個SSID(2.4GHz頻段和5GHz頻段各8個),可為企業(yè)不同部門設置不同的SSID,可實現(xiàn)SSID之間隔離及SSID內部隔離,
靈活管控用戶間的無線網(wǎng)絡互訪權限;
一鍵設置訪客網(wǎng)絡,使來訪賓客與企業(yè)內網(wǎng)完全隔離,確保企業(yè)數(shù)據(jù)安全。
內置專用網(wǎng)絡處理器,1Gbit DDRII高速內存,數(shù)據(jù)處理能力強;
全千兆有線端口,可實現(xiàn) LAN-WAN間高速數(shù)據(jù)轉發(fā);
雙WAN口設計,滿足雙線接入需求,成倍提高網(wǎng)絡出口帶寬;
內置工業(yè)級高品質電源,適應100V-240V寬電壓輸入范圍,有效抵抗電壓波動,適應各類環(huán)境;
鋼殼設計,散熱性能好,屏蔽性好,抗干擾能力更強,環(huán)境適應能力更強。
支持IPSec VPN(10條隧道),加密企業(yè)和分支機構的機密數(shù)據(jù),保障數(shù)據(jù)安全;
支持PPTP VPN(10條隧道)和L2TP VPN(10條隧道),方便出差員工、移動辦公人員遠程訪問的企業(yè)內部服務器,輕松實現(xiàn)遠程辦公。
內置8大類60多種上網(wǎng)應用數(shù)據(jù)庫,可一鍵管控QQ、迅雷、同花順、游戲等常見應用;
支持QQ 、MSN黑白名單,靈活管控企業(yè)中QQ、MSN的使用權限;
支持網(wǎng)址過濾和網(wǎng)頁安全功能,內置十幾類共幾百個網(wǎng)址數(shù)據(jù)庫,只需勾選相應網(wǎng)站類別即可限制員工對相應網(wǎng)站的訪問;
行為審計軟件,用于企業(yè)網(wǎng)絡的上網(wǎng)行為監(jiān)控、記錄和分析。可定制化導出報表功能,滿足多種報表需求。
南京金奇石公司—南京知名網(wǎng)絡分銷商,無線方案解決商!代理品牌:華為、中興、美國網(wǎng)件、Broadlink智能家居、H3C、飛魚星、TOTOLINK、TPLINK、極路由、光點。
