暉獲無度的步烙閣

我朋友買了這台居易 Vigor2910 已經好一陣子了，它有支援 VPN 的功能，但都還沒有時間做測試。後來有依照居易的技術問答來實作，那次記得只能連到 Vigor2910，其它的都連不到。實用不大，就告一個段落，再找時間來測試。

參考：DrayTek 技術問答 IPSec、PPTP、吉米丘上的海盜樂園

最近因為公司也需要這樣的功能，所以就先利用我朋友這台 Vigor2910 來做測試囉！一樣參照同一篇文章來進行設定。我下載了最新版的 SmartVPNClient v4.0.0.4。

借用該篇文章的圖，稍做修改來符合這次的測試架構：

1.先登入 Vigor2910 管理畫面，點選「VPN 與遠端存取」→「遠端撥入使用者」。

2.選取「索引編號 1」後，其相關設定如下：
　勾選「開啟這個帳號」。
　閒置逾時：0。
　允許的撥入模式：IPSec通道。
　按下「確定」來讓設定生效。

3.再點選「VPN 與遠端存取」→「IPSec 基本設定」，其相關設定如下：
　IKE 認證方式：預先共用金鑰：123456789。
　IPSec 安全防護方式：高級(ESP)3DES。
　按下「確定」來讓設定生效。

如此便完成了，Vigor2910 Clinet to Site IPSec VPN 設定。

接下來在 Windows XP SP3 上安裝新版的 SmartVPNClient v4.0.0.4：

這邊的選擇，之所以會把「Drivers」這個選項拿掉。是因為我試不出來可以使用「虛擬 IP」的方式進行 IPSec VPN 連線。如果不安裝，就無法使用「虛擬 IP」，也就不會多一個「區域網路連線」裝置。

安裝完成後，就可以啟動 Smart VPN Client 了。

點選上方的「設定」，可以看到一些設定可選擇，預設都是「停用」，可以不用調整。

接下來按下「插入」來新增設定：
　設定檔名稱：ToVigor2910。
　VPN 伺服器 IP/主機名稱(...)：60.124.67.128。
　VPN 類型：IPSec 通道。
　按下「確定」來進行下一項設定。

　IPSec 類型：標準 IPsec 通道。（因為沒裝 Drivers，所以「虛擬 IP」選項是反灰的。）
　　遠端子網路：192.168.0.0。
　　遠端子網路遮罩：255.255.255.0。
　安全防護方式：高級(ESP)3DES with SHA1。
　驗證方式：預先共用金鑰：123456789。
　勾選「啟用PING以維持連線」。
　指定PING IP位址：192.168.0.10。（Vigor2910 LAN IP）
　按下「確定」來完成設定。

接下來直接按「啟用」來進行 VPN 連線。

這時會出現「撥入 VPN」的資訊，按下「確定」來進行連線。

微軟防火牆會跳出「是否要保持對這個程式的封鎖？」視窗，按下「解除封鎖」來繼續。

當連上後，可以在程式的最下方看到相關資訊。

在「命令提示字元」底下，輸入 ping 192.168.0.10（Vigor2910 LAN IP），是會有回應的。

執行 telnet 指令來連 192.168.0.11 的 80 port，再從 192.168.0.11 的連線狀態來看，就會發現是由 192.168.1.168 來連。所以就可以知道是直接透過 VPN Client 本身的 IP 進行連線。

#netstat -anlt |grep :80 tcp        0      0 :::80                       :::*                        LISTEN tcp        0      0 ::ffff:192.168.0.11:80      ::ffff:192.168.1.168:2520   ESTABLISHED

在 Vigor2910 WEB 管理介面「VPN 與遠端存取」→「連線管理」也可以看到 VPN 的連線狀態。

所以說呢！如果遠端伺服器的預設閘道不是指向 Vigor2910，或是沒有加一筆 192.168.1.0 的固定路由。那 VPN Client 就連不到該台主機啦！這是不使用「虛擬 IP」所帶來的影響。

20110222