
VPN逐漸成爲了翻墻的代名詞,長期以來大家都是尋找大陸境外(例如香港)設立的VPN服務器Server,通過VPN的特別通道在GFW(Great Fire Wall,大陸的網絡防火墻)也可以上到Facebook Youtube Discuss.hk等被過濾的網站。近年隨著各種電視盒子的興起,大家開始尋找大陸的VPN繙到内地去看各種“你懂的”節目和賽事。小U也盡微薄之力,向大家介紹VPN的基本概念,如何在路由器上實現VPN功能,以及幾款帶有VPN功能的路由器,希望大家可以衝破網絡的限制。
源於商用的VPN加密通道技術
這個原本是商用爲主的技術 可以把傳輸的數據加密,通過VPN建立加密通道,讓職員可以安全地與公司總部的電腦網絡相連存取。VPN就兩個核心概念:
- 通道 - Tunnel
- 加密 - Encryption
要VPN先要有數據傳輸的“通道 Tunnel”,我們常見的有PPTP和L2TP, 這就是我們賴翻牆的核心。如果你是關心翻牆,就一定要設置好這個通道,確保Tunnel順利建立沒有被封鎖。每種“通道 Tunnel”都會用某個編號的PORT端口來傳輸,常見的包括:
- PPTP: TCP 1723
- L2TP: UDP 1701, 500, 5500 (根據加密方式會有不同)
- SSTP: TCP 443
如果你想成功建立VPN連接,一定要確保你所用的Tunnel模式的端口是打開的。反過來説如果你當地的網絡想禁止你用VPN最簡單的方法就是把所有常見的VPN端口都封上!大陸很多路由器的固件都加入了“vpn pass through" (允許VPN穿透)的選項,但默認係關閉的!!!應該係有國家的指示。一般用家或酒店不會特意打開此功能,造成翻牆困難。
一個沒有加密的通道嚴格來說不是VPN,VPN的核心在於加密(Encryption),VPN的加密方式有好多種,我們比較常見的有:
- MPPE - Microsoft Point-to-Point Encryption 多數連同PPTP
- SSTP - Secure Socket Tunneling Protocol
- IPSec - Internet Protocol Security 多數結合L2TP使用
- SSL/TLS - Transport Layer Security OpenVPN和SoftEtherVPN使用
- SSH - Secure Shell 刷過wrt固體的朋友一定知道這個是什麽,原來也可以應用到VPN上
小U個人的經驗是:如果我們只是關注翻牆,那并不需要理會太多關於加密方式的設定。我的經驗很少是加密了能翻牆不加密不能。當然正確和嚴謹說法是大陸網警會抓你的信息包來分析你是否在違法,尤其是電訊茶室裡面不少討論都是有關加密抓包和反偵查的討論(http://www.telecom-cafe.com/forum/forumdisplay.php?fid=47)。大家可以多做研究,這篇VPN入門文章就不深究了。
201701更新:GFW對VPN管制越來越嚴,以前流行的PPTP、OpenVPN等翻墻方法逐一倒下,現在剩下為數不多的翻墻VPN中,ShadowSocks是名聲最大的一個,除了因為其作者被國安局約見後被迫把整個項目的源代碼下線,最重要還是其成功率和方便程度都眾多VPN之首。相關介紹請移步:
如何架設VPN伺服器SERVER
要學習假設VPN 服務器就要從設立“通道TUNNEL”開始,原因有兩個,第一:加密方式是很複雜的東西,例如IPSec,以下是一些IPSec的設置說明文章:
- Cisco: http://www.cisco.com/c/en/us/support/docs/routers/1700-series-modular-access-routers/71462-rtr-l2l-ipsec-split.html
- Ubnt: http://wiki.ubnt.com/IPSec_VPN_-_CLI_Commands
- Draytek: http://www.draytek.com/index.php?option=com_k2&view=item&id=1989&Itemid=293&lang=en
- MikroTik: http://wiki.mikrotik.com/wiki/Routing_through_remote_network_over_IPsec
如果你看得明白上面的文章那麽你也不需要繼續看這篇VPN新手入門文章。所以我們就由淺入深地開始設立屬於自己的VPN SERVER,先從不加密的VPN形式開始,最簡單的就是PPTP。架設VPN服務器SERVER常見的方法(由簡單到複雜):
- 帶有VPN功能的家用Router
- Flash刷入ddwrt或openwrt等第三方firmware實現
- 企業級/專業級路由器
- 利用電腦作為server
比較簡單的方法就是用帶有VPN功能的家用路由器Router,例如小U網販有售的 TOTOLINK A2004NS(詳細介紹),ASUS RT-AC66U(詳細介紹)。這兩款路由器原廠的FIRMWARE固件都附帶PPTP SERVER的功能。ASUS RT-AC66U更是自帶了OpenVPN,設置還算比較簡單。
如果你的路由器本身沒有VPN SERVER功能,但是可以FLASH DD-wrt或Openwrt等3rd Party Firmware固件,也是可以實現VPN功能的,詳細可以參考下面幾篇文章:
- DD-WRT/OpenWRT VPN: 安全地使用公共WIFI(沒加密)的 Hotspot熱點接入
- 从零开始学习OpenWrt:刷機 + 使用 + 編譯教程
- DD-WRT Router路由器選購指南、選擇注意事項考慮因素
- 免費翻墻?自設ShadowSocks VPN服務器超簡單!NETGEAR R6400為例
至於專業級的路由器,大家可以從上面介紹IPSec的鏈接順藤摸瓜,找到更多適合的資訊。小U不打算逐個專業牌子去分析了,留給各位高手補充。我在這裡只簡單介紹一下TP-LINK的兩款企業用ROUTER以及分享一下設置VPN服務器上的要點心得。為什麼選擇介紹這兩款?歸根到底還是本小站的宗旨:性價比:家用的價格買到企業級Router~ 下面繼續
TP-LINK WVR 系列企業級用Router
為什麼説TP-LINK是國內“網硬”的一哥,從他完整的產品線可以看出實力:兼顧家用/企業用的全線產品。正如上面所說,VPN起源於商業應用。所以不驚訝爲什麽這款TP-LINK的企業用路由器有VPN功能。
深入介紹TP-LINK WVR Series Enterprise Router之前,小U有感要先上幾張實拍圖:
首先是TL-WVR300G 300M Enterprise 4-Port VPN Router:
然後是TL-WVR450G 450M Enterprise 5+1 Ports VPN Router:
把玩路由器的朋友都會感到這兩個路由器的份量:金屬外殼(為什麼?路由器散熱要注意防止Router中暑)、雙WAN口設計、可拆天線、內置變壓等等。。。喂小U,入正題説VPN功能啦!好的好的,下面就是了~
VPN的設置界面:

這是CLIENT ROUTER的設置,我設置WAN1口是“動態IP”,WAN2口是連接到“VPN SERVER ROUTER"的,這樣設置的好處是把網線換插一下就可以選擇是用普通INTERNET上網,還是通過VPN上網
說道這裡,十分感謝友人GARY給小U嘗試的機會,幫他在深圳用WVR300G設置好了SZ-VPN SERVER,然後在香港用WVR450G設置好HK-VPN SERVER,另一隻WVR300G就作為CLIENT ROUTER,方便兩地更緊密的溝通 ^_^
事實上設置VPN SERVER還是有很多東西要學,可惜小U最近時間比較緊張,有的題目沒時間去深究,有的心得沒時間分享。如果大家在設置上有什麽問題,請都在這裡留言,大家一起學習,你的經驗也可以成為別人的明燈~
2017更新文章:免費翻墻?自設ShadowSocks VPN服務器超簡單!NETGEAR R6400為例
最后,如果果您覺得本文值得一看,不妨按一下facebook 的 like 或者 G+ share 你就能幫助到你身邊有需要的人,獨樂樂不如眾樂樂也~ ^_^ 如果你不介意成為Charles的朋友可以ADD ME o~
VPN Server Router 是否速度真是快過NAS內的VPN Server嗎?
您好,多些你的來訪!要具體型號具體分析,性能取決於芯片的運算能力,例如我的NAS是DIY的NAS,CPU是CELERON雙核2.9Ghz + 4G DDR1600 RAM的組合,性能是強過所有消費級ROUTER 和 品牌NAS。
好文!
多些你的支持!歡迎隨時再次來訪,謝謝!
hi, i’m using asus N16 offical rom to setup VPN server with No-ip free DDNS esrvice, have this method being blocked by the new china firewall? thanks
noip blocked for a long time… thanks for your visit~ ^_^
上面圖片的“最大連接數”參數上限是10,是不是代表最多只有10台電腦能連上這路由器?
是的,vpn是一項消耗資源的功能,太多連接了家用router唔夠力!
所以如果我在美国家里架设vpn,没有固定ip可以么?
你好!可以,請結合ddns服務來實現
你好,我用Buffalo Model WZR-1750DHP 設vpn,最近不知什麼原因。可以連接,上網,連local drive取file都無問題。但只能維持1分鐘左右,線是連上但無功能!
感謝那麼好的文章
多謝你的支持!希望有機會可以做shadowsock的測試再和大家分享!
好棒的文章……
多謝你的支持!後續有MERLIN SHAWDOWSOCKS 翻墻以及 SOFTETHER VPN翻墻的文章供參考:
https://upsangel.com/home-security/shadowsocks-vpn-server-on-merlin-r6400-guide/
https://upsangel.com/router-2/tomato_softether_vpn_server_gfw_netgear-r6250/
你好~請問L2TP Port一般是UDP[4500], 和[5500]是可以通用的意思嗎?謝謝喔
自定義端口範圍都是要自己定義,客戶端和服務器端定義相同就可以