VPN穿透是你可以在路由器上啟用的功能。它允許連接的設備在不受路由器NAT設定(網路地址轉換)影響的情況下建立出站的VPN連線。這使得VPN流量可以繞過路由器對舊VPN協定(如PPTP、L2TP和IPsec)可能施加的限制。
我們遇到過許多用戶在配置路由器以便與VPN連接無縫運行時遇到困難,尤其是在使用較舊的協定時。最常見的問題之一是由於所選協定與路由器的NAT設定不相容,無法建立穩定的VPN隧道。
為了幫助用戶克服這些連線問題,我們創建了這份關於VPN穿透的綜合指南。這份指南將解釋什麼是VPN穿透,它如何運作,以及為什麼它是必要的。這樣,你可以確定是否需要啟用此功能,並了解具體如何操作。
什麼是VPN穿透?
VPN穿透是一項路由器功能,它允許本地網路中的裝置透過路由器的防火牆傳輸加密的VPN封包,而不會被阻止或丟棄。需要注意的是,VPN穿透並未建立VPN連接,它只是促進VPN流量通過路由器的無障礙流量。
如果沒有啟用VPN穿透,由於與NAT的衝突,一些較舊的VPN協定可能無法正常運作。路由器使用NAT允許本地網路中的多個設備共享一個公共IP地址。 NAT類型也決定了你的本地網路從網路造訪的難易度。較舊的VPN協定如L2TP、PPTP和IPsec與NAT不相容。如果在沒有啟用VPN穿透的情況下使用這些協議,路由器可能會丟棄VPN封包或完全阻止VPN連線。
VPN穿透本質上是將VPN流量通過路由器,允許其繞過NAT過程。例如,如果啟用了IPSec Passthrough,IPsec流量將內部傳遞給應用層網關,並由其處理流量重新導向。較新的VPN協定如OpenVPN、IKEv2和WireGuard與NAT相容,因此它們不需要VPN穿透才能正常運作。
了解VPN穿透的運行原理後,你可以確定在你的特定VPN設定中是否需要啟用此功能。
VPN穿透如何運作?
VPN穿透促進VPN流量透過路由器的NAT流程順利傳輸。當你的VPN軟體嘗試與遠端VPN伺服器連接時,它使用VPN協定封裝其連接請求,這些請求隨後透過路由器的NAT。 NAT透過透明地將內部網路上使用的私人IP地址轉換為需要用於網際網路通訊的公用IP地址,允許單一公用IP地址在多個裝置之間共用。它充當中介,將私有IP地址對應到公共IP地址,反之亦然。
然而,使用較舊的VPN協定如PPTP、LT2P和IPsec時會出現問題,因為這些協定加密和重新打包資料包的方式沒有為NAT提供足夠的資訊來將它們傳送到預定的接收者。一個公共地址可能與多個私有IP相關聯,因此NAT無法知道將資料轉送到哪個接收者。
VPN穿透解決了相容性問題,允許加密的VPN流量繞過NAT過程,確保VPN資料包無幹擾地傳輸到預定接收者,從而實現無縫的VPN連接,同時保留NAT對本地網路的好處。
VPN穿透的類型
VPN穿透透過路由器轉送VPN流量,繞過NAT流程。不同VPN協定的VPN穿透實作方式有所不同,但整體原理是透過在VPN資料通道中加入額外的識別字段,例如Call ID或Session ID,來修改VPN資料通道。路由器接著使用這些標識符和目標IP地址將資料通道流量與對應的控制通道連接相關聯,允許其正確地將VPN封包轉送到伺服器。
PPTP Passthrough
PPTP Passthrough透過修改PPTP協定的運行方式允許VPN流量通過NAT路由器或防火牆:
- PPTP使用TCP控制通道(連接埠1723)建立和管理隧道,並使用GRE資料通道傳輸加密的封包。
- GRE缺乏連接埠號,這與NAT的連接埠轉換需求衝突。
- Passthrough在GRE頭部添加一個Call ID字段,作為連接埠號碼的替代。
- 當PPTP客戶端發起VPN連線時,它會透過連接埠1723上的TCP控制通道傳送請求,路由器透過標準NAT規則允許該請求通過。
- PPTP伺服器回應,將唯一的Call ID插入GRE資料通道封包中。
- 路由器檢查GRE封包,使用Call ID和目標IP將其與控制通道關聯。
- 路由器轉換客戶端的私人IP/端口,並將GRE資料轉送給VPN伺服器,建立PPTP VPN隧道。
IPsec Passthrough
IPsec Passthrough使用NAT-T(NAT-Traversal)技術運行:
- IPsec透過在IP層驗證/加密資料包來確保IP通信,但由於在資料流中嵌入IP地址,與NAT衝突。
- NAT-T將IPsec封包封裝在NAT可以處理的UDP封包中。
- NAT-T偵測到IPsec客戶端透過UDP連接埠4500發送的IKE(網際網路金鑰交換)封包。
- NAT路由器偵測到此UDP流量,並將客戶端的私人IP/連接埠轉換為公用IP/連接埠。
- IPsec伺服器回應的IKE封包透過UDP發送,NAT將其路由回客戶端。
- IKE協商後,IPsec資料(ESP封包)也封裝在使用連接埠4500的UDP封包中。
- NAT轉換UDP/IP頭部,但保留IPsec有效負載不變,使VPN流量通過路由器。
L2TP Passthrough
L2TP Passthrough的運行方式類似於PPTP,因為L2TP源自PPTP和L2F:
- 與PPTP類似,L2TP使用TCP控制通道(連接埠1701)進行隧道管理,並使用UDP資料通道傳輸加密的資料包。
- UDP資料通道缺乏連接埠號,這與NAT的轉換要求衝突。
- L2TP Passthrough在L2TP over UDP頭部添加一個Session ID字段,該Session ID充當NAT可以用來進行轉換的連接埠號碼替代。
- 當L2TP客戶端發起VPN連線時,它會透過連接埠1701上的TCP控制通道傳送請求。路由器通過標準NAT規則允許此流量通過。
- L2TP伺服器回應,插入唯一的Session ID到UDP資料通道封包的L2TP頭。
- 路由器檢查UDP封包,並基於Session ID和目標IP地址將其與對應的TCP控制通道連接關聯。
- 路由器將L2TP用戶端的私有IP/連接埠轉換為公用IP/端口,並將UDP封包轉送給VPN伺服器,從而建立L2TP VPN隧道。
VPN穿透和VPN客戶端是同一回事嗎?
VPN穿透和VPN用戶端是完全不同的東西。 VPN客戶端是安裝在設備上的軟體應用程序,允許你配置VPN的連接設定。透過VPN客戶端,你可以選擇伺服器、調整設定並啟用連線。
VPN穿透是路由器上的一項功能,它允許VPN客戶端使用舊協定連接到伺服器。你可以在路由器的設定中啟用它。
VPN穿透和VPN路由器有什麼不同?
VPN路由器是安裝了VPN軟體的路由器。它可以加密本地網路上所有裝置的流量,同時保護它們。
你可以購買預先裝有VPN軟體的VPN路由器,或是使用相容的路由器刷入自訂韌體,如OpenWrt或FreshTomato 。 VPN路由器支援現代VPN協議,如OpenVPN和WireGuard ,提供進階功能。
VPN路由器充當VPN用戶端,在自身與VPN伺服器之間建立隧道。這使得不支援原生VPN的裝置(如遊戲機、智慧電視、物聯網裝置)可以安全連線。
相反, VPN穿透是普通路由器上的一項功能,它透過修改協定頭部使VPN流量可以繞過NAT。在這種情況下,VPN客戶端運行在你的裝置上,而不是路由器上。
是否應該啟用VPN穿透?
優點 | 缺點 |
---|---|
允許使用舊VPN協定連接VPN,當連線可能被NAT阻止時。 | 削弱本地網路的安全性。 |
沒有技術經驗的情況下,設定可能會很複雜。 | |
僅對已經不安全的過時協議有必要。 | |
需要在路由器上啟用連接埠轉送。 |
系統在不啟用VPN穿透的情況下總是更安全。 VPN穿透會在本地防火牆中打開原本無法造訪的連接埠——開放的連接埠越少,你的安全性就越高。
此外,它需要在路由器上啟用連接埠轉發,這也帶來了安全風險。例如, PPTP Passthrough使用TCP連接埠1723。如果你經常連接和斷開VPN,該連接埠可能會比必要的時間更長時間保持開放,暴露你的網路於攻擊之中。
然而,如果你確實需要啟用此功能,我們建議使用Private Internet Access,因為它是一個值得信賴的VPN服務,並且與許多其他VPN不同,PIA允許所有用戶使用連接埠轉送。
VPN穿透也依賴很少更新的過時協定和技術。它們更可能存在安全漏洞,不像現代協定那樣安全。
這些過時的VPN協定可能會被駭客攻擊,只有在絕對必要時才應使用。如果VPN穿透沒有被積極使用,應該立即停用。
此功能最常用於專業或商業環境中與遠端造訪VPN一起使用。如果公司的VPN使用舊協定如IPsec或PPTP,你需要設定VPN穿透才能成功連線到辦公室VPN。
何時使用VPN穿透:
當你需要建立不支援現代VPN協定的VPN連線時,應使用VPN穿透。如果你在依賴過時技術的專業環境中,並且不涉及敏感訊息,你可以使用VPN穿透。
何時不使用VPN穿透:
使用消費者VPN服務、在路由器上安裝VPN或使用現代協定連接VPN時,不需要啟用VPN穿透。如果你可以使用支援最新協定的現代硬件,那麼應優先選擇這些協定而不是VPN穿透。
如何在路由器上啟用或停用VPN穿透
如果必須在路由器上啟用VPN穿透,請依照下列步驟操作:
1. 找到路由器的IP地址
你可以在裝置的網路設定中找到路由器的IP地址,通常列為「預設閘道」或「路由器」。
在以下範例中,路由器的地址是192.168.1.1
:
在設備的網路設定中找到路由器的IP。(This article is created by how&best)
2. 造訪路由器設定
開啟一個瀏覽器並輸入路由器的IP地址。輸入預設登入憑證(通常使用者名稱為admin,密碼為password),這些資訊通常寫在路由器背面。
範例登入介面。
3. 找到VPN穿透部分
VPN穿透設定通常位於「安全」或「防火牆」選項下。如果找不到,請參閱路由器手冊,因為某些路由器可能不支援此功能。
我們在Linksys的安全選單中找到了VPN穿透功能。
4. 設定VPN設置
啟用你的VPN所使用的協定並套用設定。常見協定和連接埠:
- IPSec Passthrough:UDP連接埠500和4500(IKE和NAT-T)
- PPTP Passthrough:TCP埠1723
- L2TP Passthrough:UDP連接埠500、4500和1701
Linksys協定設定選單。
5. 重新啟動路由器
拔掉路由器電源10秒鐘,然後重新插上以套用新的VPN穿透設定。
常見問題解答
VPN穿透對遊戲有影響嗎?
不會, VPN穿透不會直接影響遊戲效能。它只是在需要時幫助建立VPN連接。遊戲時的高延遲和慢速效能可能是由於連接到遠端的VPN伺服器位置所致。
什麼是NAT Passthrough?
NAT Passthrough是VPN穿透的另一種說法。較舊的VPN協定缺乏NAT正確路由資料包所需的信息,導致連線被阻止。 VPN穿透允許這些協定繞過NAT,因此被稱為「NAT Passthrough」。
什麼是IP Passthrough模式?
大多數ISP提供的路由器結合了數據機、路由器和無線造訪點的功能。 IP Passthrough模式可停用路由器和無線功能,讓你在網路上使用單獨的路由器設備。僅在計劃使用不同的路由器時啟用。
停用VPN穿透會發生什麼事?
在路由器上停用VPN穿透將阻止使用IPsec、PPTP和L2TP協定建立VPN連線。一些路由器防火牆連接埠將會被阻止,提升網路安全性。然而,你仍然可以使用不需要Passthrough的現代VPN服務。