如何在同網段之間建立 IPsec VPN（使用 2960 & 2925）

本文件將說明如何在相同區域網段的 Vigor2960 & Vigor2925 之間建立 IPsec VPN。

 

在標準的 LAN to LAN VPN 協定中，撥出與撥入端必須是不同網段，才能建立 VPN。但實際上我們往往很難去一一變動每個據點的網段，尤其是已有許多伺服器或主機的龐大架構，一旦更改網段，所有的主機都要配合變更IP位址以及 rule，工程可謂相當浩大。

 

為此居易推出了利用指定虛擬網段，使得同網段之間也可以建立 VPN 的解決方案，用戶只要使用指定型號的路由器，即可在同網段之間建立 VPN 而不需更動設備原本的內部網段，以下將使用 Vigor2960 和 Vigor2925 作為示範說明設定方法。

※ 並非所有機型都有支援同網段建立 VPN 的功能，採購前請先向本公司客服人員洽詢。

 

 

架構說明

 

總公司與分公司使用不同型號的路由器 Vigor2960／Vigor2925，並且擁有相同的區域網段192.168.1.X，且都有一台IP為 192.168.1.10 的電腦。我們將為 Vigor2925 指定一組不同於原本網段的虛擬網段 192.168.20.X，且在 Vigor2960 也建立一組不同於 Vigor2925 的虛擬網段192.168.10.X。當 Vigor2925 的電腦要來存取 Vigor2960 底下的電腦 192.168.1.10 時，只要代入前面設定的虛擬網段，也就是將 192.168.1.10 轉換成 192.168.10.10 即可進行溝通，如此就可以達成同網段雙向存取的目的。

 

 

 

 

設定 Vigor2960

 

1. 登入Vigor2960點選「VPN以及遠端存取 > VPN設定 > IPSec」，點選「新增」。

 

（圖1）

 

2. IPsec 設定
2.1 自行輸入設定檔名稱並勾選「啟用」。
2.2 「本機IP／子網路遮罩」：設備目前使用的區網段 192.168.1.0／255.255.255.0
2.3 「遠端IP／子網路遮罩」：輸入 Vigor2925 的虛擬網段 192.168.20.0／255.255.255.0
2.4 「遠端主機」：輸入 Vigor2925 的WAN IP

 

（圖2）

 

3. 在「預先共用金鑰」欄位輸入自訂密碼。

 

（圖3）

 

4. 點選「進階」分頁，「套用NAT策略」勾選啟用，「轉換局部網路」為 Vigor2960所要轉換的虛擬網段，輸入192.168.10.0／255.255.255.0。

 

（圖4）

 

 

設定 Vigor2925

 

5. 進入 VPN及遠端存取 > >LAN to LAN 分頁，點選「索引編號1.」。

 

（圖5）

 

6. 輸入「設定檔名稱」勾選「啟用此設定檔」，撥號方向選擇「撥出」，「永遠連線」打勾。

 

（圖6）

 

7. 撥出設定部分
7.1 「我撥出的伺服器類型」選擇IPSec通道。
7.2 「對方VPN所需之伺服器IP或域名」輸入 Vigor2960 的Wan IP。
7.3 點選「IKE預先共用金鑰」後系統會自動彈出密碼設定視窗。

 

（圖7）

 

8. 輸入與步驟 3. 相同的VPN密碼。

 

（圖8）

 

9. 「IPSec安全防護方式」點選「高級（ESP）」下拉式選單選擇「DES無驗證」。

 

（圖9）

 

10. TCP/IP網路設定部分
10.1 勾選「具有相同子網之IPSec VPN」。
10.2 遠端網路IP輸入 Vigor2960 的虛擬網段192.168.10.0/255.255.255.0。
10.3 轉換本機網路LAN1至 Vigor2925 所要轉換的虛擬網段，這裡是192.168.20.0。

 

（圖10）

 

11. 點選「VPN與遠端存取 > 連線管理」，可以查看VPN有沒有成功建立連線。

 

（圖11）

 

12. 使用 Vigor2960 區網下的電腦 ping 192.168.20.10，有回 ping 代表 Vigor2960
已可與 Vigor2925 區網下的電腦192.168.1.10互通。

 

（圖12）

 

---