HackMD
🛠️ 【軟體】網路、通訊 🛠️
VPN 概念及設定 (OpenVPN)
A. 原理簡介
在公共網路(如網際網路)上建立私人、加密通道的技術。
A-1. 架構
VPN Server-Client 連線流程
- 客戶端發起連線:VPN 用戶端向伺服器請求連線
- 身份驗證:伺服器驗證用戶憑據(帳號密碼、憑證、MFA 等)
- 建立加密通道:VPN 伺服器與客戶端協商加密方式並建立安全通道
- 資料傳輸:客戶端的流量經過 VPN 伺服器加密轉發到目標伺服器或內部網路
- 斷線或閒置關閉:當客戶端斷開或閒置一段時間,VPN 會自動關閉連線
VPN Server(伺服器)
- 負責驗證用戶身份
- 建立並管理加密的 VPN 通道
- 提供訪問內部網路或安全上網的功能
- 可以部署在公司內部、雲端或專門的 VPN 服務提供商的伺服器上
VPN Client(客戶端)
- 連接 VPN 伺服器
- 驗證身份後建立加密通訊
- 透過 VPN 通道訪問遠端內部網路或加密上網
- 可以是電腦、手機、路由器或其他設備
A-2. 核心技術
- 驗證 (Authentication)
只有授權的使用者可以連上 VPN 伺服器 - 加密 (Encryption)
以加密算法如 AES 封裝資料,即使資料中途被攔截也無法被解讀 - 網路隧道 (Tunneling)
將原本的資料包包裹(Encapsulation)在新的資料包裡,再經由公共網路傳送 - IP 遮蔽 (IP Maksing)
遮蔽原本的 IP 位址,讓外界只看到 VPN 伺服器的 IP
A-3. 常見的 Tunneling Protocal
| 隧道保護協定 | 簡介 |
|---|---|
| PPTP | 快速,為舊協議,安全性差(幾乎淘汰了) |
| L2TP/IPSec | 穩定、好用,但對 NAT 穿越比較敏感 |
| OpenVPN | 超穩定、安全、彈性高(最推薦) |
| WireGuard | 新世代,極速且簡單,逐漸取代 OpenVPN |
| IKEv2/IPSec | 手機專用超穩定(支援快速斷線重連) |
B. OpenVPN 設定
Router: Synology Router RT6600ax
B-1. 建立憑證(CA)
進 Synology Web 的「控制台」>「服務」>「憑證」>「建立憑證」。
設定完後「匯出憑證」,並傳給 client 端。
Synology 憑證設定
Synology 更新憑證
| 項目 | 根憑證 (CA) | 用戶端憑證 (Client Certificate) |
|---|---|---|
| 作用 | 「簽發」其他憑證的總管理員 | 每台設備(電腦 / 手機)自己持有的身份證明 |
| 用途 | 確認所有用戶端憑證是「合法發出」 | 用來驗證「連進來的是授權的使用者」 |
| 位置 | 只放在 Server(如 Synology Router)上 | 放在使用者的手機、電腦上 |
| 壽命 | 通常壽命很長(5年、10年) | 一般是 1~2年,過期要重發 |
| 重要性 | 超重要,遺失就要重建整套 | 遺失只需要重領一份即可 |
B-2. 啟用 OpenVPN
VPN Plus Server 為 Synology 自家集成 VPN 的服務。
請參閱 通用 VPN 協定 | Synology 知識中心
進 Synology Web 的「套件中心」,下載「VPN Plus Server」。
VPN Plus Server 內「通用 VPN 協定」,開啟「OpenVPN」。
設定完成後,「匯出設定檔」給 client 端。
B-3. 啟用 Web VPN
VPN Plus Server 內「Synology VPN」>「Web VPN」>「啟用 Web VPN」。
現在應能在任意網域中,透過 Synology Router 外部 IP 加上 port 訪問到登入頁面。
網址如 https://140.114.57.100:444。
Synology Wev VPN 設定
