源於商用的VPN加密通道技術
這個原本是商用爲主的技術 可以把傳輸的數據加密,通過VPN建立加密通道,讓職員可以安全地與公司總部的電腦網絡相連存取。VPN就兩個核心概念:
- 通道 – Tunnel
- 加密 – Encryption
要VPN先要有數據傳輸的“通道 Tunnel”,我們常見的有PPTP和L2TP, 這就是我們賴翻牆的核心。如果你是關心翻牆,就一定要設置好這個通道,確保Tunnel順利建立沒有被封鎖。每種“通道 Tunnel”都會用某個編號的PORT端口來傳輸,常見的包括:
- PPTP: TCP 1723
- L2TP: UDP 1701, 500, 5500 (根據加密方式會有不同)
- SSTP: TCP 443
如果你想成功建立VPN連接,一定要確保你所用的Tunnel模式的端口是打開的。反過來説如果你當地的網絡想禁止你用VPN最簡單的方法就是把所有常見的VPN端口都封上!大陸很多路由器的固件都加入了“vpn pass through” (允許VPN穿透)的選項,但默認係關閉的!!!應該係有國家的指示。一般用家或酒店不會特意打開此功能,造成翻牆困難。
一個沒有加密的通道嚴格來說不是VPN,VPN的核心在於加密(Encryption),VPN的加密方式有好多種,我們比較常見的有:
- MPPE – Microsoft Point-to-Point Encryption 多數連同PPTP
- SSTP – Secure Socket Tunneling Protocol
- IPSec – Internet Protocol Security 多數結合L2TP使用
- SSL/TLS – Transport Layer Security OpenVPN和SoftEtherVPN使用
- SSH – Secure Shell 刷過wrt固體的朋友一定知道這個是什麽,原來也可以應用到VPN上
小U個人的經驗是:如果我們只是關注翻牆,那并不需要理會太多關於加密方式的設定。我的經驗很少是加密了能翻牆不加密不能。當然正確和嚴謹說法是大陸網警會抓你的信息包來分析你是否在違法,尤其是電訊茶室裡面不少討論都是有關加密抓包和反偵查的討論(http://www.telecom-cafe.com/forum/forumdisplay.php?fid=47)。大家可以多做研究,這篇VPN入門文章就不深究了。
201701更新:GFW對VPN管制越來越嚴,以前流行的PPTP、OpenVPN等翻墻方法逐一倒下,現在剩下為數不多的翻墻VPN中,ShadowSocks是名聲最大的一個,除了因為其作者被國安局約見後被迫把整個項目的源代碼下線,最重要還是其成功率和方便程度都眾多VPN之首。相關介紹請移步:
如何架設VPN伺服器SERVER
要學習假設VPN 服務器就要從設立“通道TUNNEL”開始,原因有兩個,第一:加密方式是很複雜的東西,例如IPSec,以下是一些IPSec的設置說明文章:
- Cisco: http://www.cisco.com/c/en/us/support/docs/routers/1700-series-modular-access-routers/71462-rtr-l2l-ipsec-split.html
- Ubnt: http://wiki.ubnt.com/IPSec_VPN_-_CLI_Commands
- Draytek: http://www.draytek.com/index.php?option=com_k2&view=item&id=1989&Itemid=293&lang=en
- MikroTik: http://wiki.mikrotik.com/wiki/Routing_through_remote_network_over_IPsec
如果你看得明白上面的文章那麽你也不需要繼續看這篇VPN新手入門文章。所以我們就由淺入深地開始設立屬於自己的VPN SERVER,先從不加密的VPN形式開始,最簡單的就是PPTP。架設VPN服務器SERVER常見的方法(由簡單到複雜):
- 帶有VPN功能的家用Router
- Flash刷入ddwrt或openwrt等第三方firmware實現
- 企業級/專業級路由器
- 利用電腦作為server
- 購買VPS/CLOUD主機設立VPN
比較簡單的方法就是用帶有VPN功能的家用路由器Router,例如小U網販有售的 TOTOLINK A2004NS(詳細介紹),ASUS RT-AC66U(詳細介紹)。這兩款路由器原廠的FIRMWARE固件都附帶PPTP SERVER的功能。ASUS RT-AC66U更是自帶了OpenVPN,設置還算比較簡單。
如果你的路由器本身沒有VPN SERVER功能,但是可以FLASH DD-wrt或Openwrt等3rd Party Firmware固件,也是可以實現VPN功能的,詳細可以參考下面幾篇文章:
- DD-WRT/OpenWRT VPN: 安全地使用公共WIFI(沒加密)的 Hotspot熱點接入
- 从零开始学习OpenWrt:刷機 + 使用 + 編譯教程
- DD-WRT Router路由器選購指南、選擇注意事項考慮因素
- 免費翻墻?自設ShadowSocks VPN服務器超簡單!NETGEAR R6400為例
至於專業級的路由器,大家可以從上面介紹IPSec的鏈接順藤摸瓜,找到更多適合的資訊。小U不打算逐個專業牌子去分析了,留給各位高手補充。
總結:在Router上架設VPN翻墻可行、但需要時間學習和調試
如果你想更快的學到如何在Router上翻墻,請瀏覽以下兩篇文章:
連WhatsApp都要翻墻?路由器刷固件架設SoftEther VPN Server翻墻的圖文攻略:以NETGEAR R6250為例
免費翻墻?自設ShadowSocks VPN服務器超簡單!NETGEAR R6400為例
但是如果你覺得太複雜了怎麼辦?你可以考慮付費VPN服務,但是要留意
想用平價錢去體驗安全VPN,有沒有可能:
我會在下一頁簡單介紹一下TP-LINK的兩款企業用ROUTER以及分享一下設置VPN服務器上的要點心得。為什麼選擇介紹這兩款?歸根到底還是本小站的宗旨:性價比:家用的價格買到企業級Router~ 下面繼續(以下為2016年的產品,可能過時,但可以參考)
VPN Server Router 是否速度真是快過NAS內的VPN Server嗎?
您好,多些你的來訪!要具體型號具體分析,性能取決於芯片的運算能力,例如我的NAS是DIY的NAS,CPU是CELERON雙核2.9Ghz + 4G DDR1600 RAM的組合,性能是強過所有消費級ROUTER 和 品牌NAS。
好文!
多些你的支持!歡迎隨時再次來訪,謝謝!
你好~ 我人在大陸 我想在台灣家裡架VPN, 如果說我想玩台服遊戲 ping可以達到70以下的話, 台灣架的vpn 需要哪些規格(網路, 路由器,vpn server)~ 真心求救!!
hi, i’m using asus N16 offical rom to setup VPN server with No-ip free DDNS esrvice, have this method being blocked by the new china firewall? thanks
noip blocked for a long time… thanks for your visit~ ^_^
上面圖片的“最大連接數”參數上限是10,是不是代表最多只有10台電腦能連上這路由器?
是的,vpn是一項消耗資源的功能,太多連接了家用router唔夠力!
所以如果我在美国家里架设vpn,没有固定ip可以么?
你好!可以,請結合ddns服務來實現
你好~請問一下有辦法解決AC-66U VPN慢的方法嗎? 我是原裝VPN SET的PPTP,謝謝
你好,我剛好買了一台WVR300 現在正為了怎麼設VPN 傷透腦筋 請問一下你可以教我嗎?
你好,我用Buffalo Model WZR-1750DHP 設vpn,最近不知什麼原因。可以連接,上網,連local drive取file都無問題。但只能維持1分鐘左右,線是連上但無功能!
感謝那麼好的文章
多謝你的支持!希望有機會可以做shadowsock的測試再和大家分享!
好棒的文章……
多謝你的支持!後續有MERLIN SHAWDOWSOCKS 翻墻以及 SOFTETHER VPN翻墻的文章供參考:
https://upsangel.com/home-security/shadowsocks-vpn-server-on-merlin-r6400-guide/
https://upsangel.com/router-2/tomato_softether_vpn_server_gfw_netgear-r6250/
自從APPLE的i8不支持PPTP的VPN連線之後,版主大大有什麼建議的路由器Router?
你好~請問L2TP Port一般是UDP[4500], 和[5500]是可以通用的意思嗎?謝謝喔
自定義端口範圍都是要自己定義,客戶端和服務器端定義相同就可以
我是初哥……😅
我在大陸的WIFI是廣電局(順便提供電視節目)的,是否應該另安裝一個Router? 另外如果在大陸買的Router是封閉了VPN端口,那我在香港買一個上去插入廣電局的WLAN端口,是否就可以翻墙到香港家里的ROUTER? 謝謝提供您的專業意見