什么是VPN Passthrough(VPN穿透)?

VPN Passthrough(VPN穿透)是你可以在路由器上启用的一项功能。它允许连接的设备在不受路由器NAT设置(网络地址转换)影响的情况下建立出站的VPN连接。这使得VPN流量可以绕过路由器对旧VPN协议(如PPTP、L2TP和IPsec)可能施加的限制。

我们遇到过许多用户在配置路由器以便与VPN连接无缝工作时遇到困难,尤其是在使用较旧的协议时。最常见的问题之一是由于所选协议与路由器的NAT设置不兼容,无法建立稳定的VPN隧道。

为了帮助用户克服这些连接问题,我们创建了这份关于VPN Passthrough的综合指南。这份指南将解释什么是VPN Passthrough,它如何工作,以及为什么它是必要的。这样,你可以确定是否需要启用此功能,并了解具体如何操作。

什么是VPN Passthrough?

VPN Passthrough是一项路由器功能,它允许本地网络中的设备通过路由器的防火墙传输加密的VPN数据包,而不会被阻止或丢弃。需要注意的是,VPN Passthrough并不建立VPN连接,它只是促进VPN流量通过路由器的无障碍流动。

如果没有启用VPN Passthrough,由于与NAT的冲突,一些较旧的VPN协议可能无法正常工作。路由器使用NAT允许本地网络中的多个设备共享一个公共IP地址。NAT类型还决定了你的本地网络从网络访问的难易程度。较旧的VPN协议如L2TP、PPTP和IPsec与NAT不兼容。如果在没有启用VPN Passthrough的情况下使用这些协议,路由器可能会丢弃VPN数据包或完全阻止VPN连接。

VPN Passthrough本质上是将VPN流量通过路由器,允许其绕过NAT过程。例如,如果启用了IPSec Passthrough,IPsec流量将内部传递给应用层网关,由其处理流量重定向。较新的VPN协议如OpenVPN、IKEv2和WireGuard与NAT兼容,因此它们不需要VPN Passthrough才能正常工作。

了解VPN Passthrough的工作原理后,你可以确定在你的特定VPN设置中是否需要启用此功能。

VPN Passthrough如何工作?

VPN Passthrough促进VPN流量通过路由器的NAT过程顺利传输。当你的VPN软件尝试与远程VPN服务器连接时,它使用VPN协议封装其连接请求,这些请求随后通过路由器的NAT。NAT通过透明地将内部网络上使用的私有IP地址转换为需要用于网络通信的公共IP地址,允许单个公共IP地址在多个设备之间共享。它充当中介,将私有IP地址映射到公共IP地址,反之亦然。

然而,使用较旧的VPN协议如PPTP、LT2P和IPsec时会出现问题,因为这些协议加密和重新打包数据包的方式没有为NAT提供足够的信息来将它们发送到预定的接收者。一个公共地址可能与多个私有IP相关联,因此NAT无法知道将数据转发到哪个接收者。

VPN Passthrough解决了兼容性问题,允许加密的VPN流量绕过NAT过程,确保VPN数据包无干扰地传输到预定接收者,从而实现无缝的VPN连接,同时保留NAT对本地网络的好处。

VPN Passthrough的类型

VPN Passthrough通过路由器转发VPN流量,绕过NAT过程。不同VPN协议的VPN Passthrough实现方式有所不同,但总体原理是通过在VPN数据通道中加入额外的标识字段,如Call ID或Session ID,来修改VPN数据通道。路由器然后使用这些标识符和目标IP地址将数据通道流量与对应的控制通道连接相关联,允许其正确地将VPN数据包转发到服务器。

PPTP Passthrough

PPTP Passthrough通过修改PPTP协议的工作方式允许VPN流量通过NAT路由器或防火墙:

  1. PPTP使用TCP控制通道(端口1723)建立和管理隧道,并使用GRE数据通道传输加密的数据包。
  2. GRE缺乏端口号,这与NAT的端口转换需求冲突。
  3. Passthrough在GRE头部添加一个Call ID字段,作为端口号的替代。
  4. 当PPTP客户端发起VPN连接时,它通过端口1723上的TCP控制通道发送请求,路由器通过标准NAT规则允许该请求通过。
  5. PPTP服务器响应,将唯一的Call ID插入到GRE数据通道数据包中。
  6. 路由器检查GRE数据包,使用Call ID和目标IP将其与控制通道关联。
  7. 路由器转换客户端的私有IP/端口,并将GRE数据转发给VPN服务器,建立PPTP VPN隧道。

IPsec Passthrough

IPsec Passthrough使用NAT-T(NAT-Traversal)技术工作:

  1. IPsec通过在IP层验证/加密数据包来确保IP通信,但由于在数据流中嵌入IP地址,与NAT冲突。
  2. NAT-T将IPsec数据包封装在NAT可以处理的UDP数据包中。
  3. NAT-T检测到IPsec客户端通过UDP端口4500发送的IKE(网络密钥交换)数据包。
  4. NAT路由器检测到此UDP流量,并将客户端的私有IP/端口转换为公共IP/端口。
  5. IPsec服务器响应的IKE数据包通过UDP发送,NAT将其路由回客户端。
  6. IKE协商后,IPsec数据(ESP数据包)也封装在使用端口4500的UDP数据包中。
  7. NAT转换UDP/IP头部,但保留IPsec有效负载不变,使VPN流量通过路由器。

L2TP Passthrough

L2TP Passthrough的工作方式类似于PPTP,因为L2TP源自PPTP和L2F:

  1. 与PPTP类似,L2TP使用TCP控制通道(端口1701)进行隧道管理,并使用UDP数据通道传输加密的数据包。
  2. UDP数据通道缺乏端口号,这与NAT的转换要求冲突。
  3. L2TP Passthrough在L2TP over UDP头部添加一个Session ID字段,该Session ID充当NAT可以用来进行转换的端口号替代。
  4. 当L2TP客户端发起VPN连接时,它通过端口1701上的TCP控制通道发送请求。路由器通过标准NAT规则允许此流量通过。
  5. L2TP服务器响应,插入唯一的Session ID到UDP数据通道数据包的L2TP头部。
  6. 路由器检查UDP数据包,并基于Session ID和目标IP地址将其与对应的TCP控制通道连接关联。
  7. 路由器将L2TP客户端的私有IP/端口转换为公共IP/端口,并将UDP数据包转发给VPN服务器,从而建立L2TP VPN隧道。

VPN Passthrough和VPN客户端是同一回事吗?

VPN Passthrough和VPN客户端是完全不同的东西。VPN客户端是安装在设备上的软件应用程序,允许你配置VPN的连接设置。通过VPN客户端,你可以选择服务器、调整设置并启用连接。

VPN Passthrough是路由器上的一项功能,它允许VPN客户端使用旧协议连接到服务器。你可以在路由器的设置中启用它。

VPN Passthrough和VPN路由器有什么区别?

VPN路由器是安装了VPN软件的路由器。它可以加密本地网络上所有设备的流量,同时保护它们。

你可以购买预装有VPN软件的VPN路由器,或者使用兼容的路由器刷入自定义固件,如OpenWrt或FreshTomato。VPN路由器支持现代VPN协议,如OpenVPN和WireGuard,提供高级功能。

VPN路由器充当VPN客户端,在自身与VPN服务器之间建立隧道。这使得不支持原生VPN的设备(如游戏机、智能电视、物联网设备)可以安全连接。

相反,VPN Passthrough是普通路由器上的一项功能,它通过修改协议头部使VPN流量可以绕过NAT。在这种情况下,VPN客户端运行在你的设备上,而不是路由器上。

是否应该启用VPN Passthrough?

优点缺点
允许使用旧VPN协议连接VPN,当连接可能被NAT阻止时。削弱本地网络的安全性。
没有技术经验的情况下,设置可能会复杂。
仅对已经不安全的过时协议有必要。
需要在路由器

上启用端口转发。 |

系统在不启用VPN Passthrough的情况下总是更安全。VPN Passthrough会在本地防火墙中打开原本无法访问的端口——开放的端口越少,你的安全性就越高。

此外,它需要在路由器上启用端口转发,这也带来了安全风险。例如,PPTP Passthrough使用TCP端口1723。如果你经常连接和断开VPN,该端口可能会比必要的时间更长时间保持开放,暴露你的网络于攻击之中。

然而,如果你确实需要启用此功能,我们建议使用Private Internet Access,因为它是一个值得信赖的VPN服务,并且与许多其他VPN不同,PIA允许所有用户使用端口转发。

VPN Passthrough还依赖于很少更新的过时协议和技术。它们更可能存在安全漏洞,不像现代协议那样安全。

这些过时的VPN协议可能会被黑客攻击,只有在绝对必要时才应使用。如果VPN Passthrough没有被积极使用,应该立即禁用。

此功能最常用于专业或商业环境中与远程访问VPN一起使用。如果公司的VPN使用旧协议如IPsec或PPTP,你需要设置VPN Passthrough才能成功连接到办公VPN。

何时使用VPN Passthrough:
当你需要建立不支持现代VPN协议的VPN连接时,应使用VPN Passthrough。如果你在依赖过时技术的专业环境中,并且不涉及敏感信息,你可以使用VPN Passthrough。

何时不使用VPN Passthrough:

使用消费者VPN服务、在路由器上安装VPN或使用现代协议连接到VPN时,不需要启用VPN Passthrough。如果你可以使用支持最新协议的现代硬件,那么应优先选择这些协议而不是VPN Passthrough。

如何在路由器上启用或禁用VPN Passthrough

如果必须在路由器上启用VPN Passthrough,请按以下步骤操作:

1. 找到路由器的IP地址

你可以在设备的网络设置中找到路由器的IP地址,通常列为“默认网关”或“路由器”。

在以下示例中,路由器的地址是 192.168.1.1

在设备的网络设置中找到路由器的IP。(This article is created by how and best.com)

2. 访问路由器设置

打开一个浏览器并输入路由器的IP地址。输入默认登录凭据(通常用户名为admin,密码为password),这些信息通常写在路由器背面。

示例登录界面。

3. 找到VPN Passthrough部分

VPN Passthrough设置通常位于“安全”或“防火墙”选项下。如果找不到,请参阅路由器手册,因为某些路由器可能不支持此功能。

我们在Linksys的安全菜单中找到了VPN Passthrough功能。

4. 配置VPN设置

启用你的VPN所使用的协议并应用设置。常见协议和端口:

  • IPSec Passthrough:UDP端口500和4500(IKE和NAT-T)
  • PPTP Passthrough:TCP端口1723
  • L2TP Passthrough:UDP端口500、4500和1701

Linksys协议设置菜单。

5. 重启路由器

拔掉路由器电源10秒钟,然后重新插上以应用新的VPN Passthrough设置。

常见问题解答

VPN Passthrough对游戏有影响吗?

不会,VPN Passthrough不会直接影响游戏性能。它只是在需要时帮助建立VPN连接。游戏时的高延迟和慢速性能可能是由于连接到远程的VPN服务器位置所致。

什么是NAT Passthrough?

NAT Passthrough是VPN Passthrough的另一种说法。较旧的VPN协议缺乏NAT正确路由数据包所需的信息,导致连接被阻止。VPN Passthrough允许这些协议绕过NAT,因此被称为“NAT Passthrough”。

什么是IP Passthrough模式?

大多数ISP提供的路由器结合了调制解调器、路由器和无线接入点的功能。IP Passthrough模式禁用路由器和无线功能,允许你在网络上使用单独的路由器设备。仅在计划使用不同的路由器时启用。

禁用VPN Passthrough会发生什么?

在路由器上禁用VPN Passthrough将阻止使用IPsec、PPTP和L2TP协议建立VPN连接。一些路由器防火墙端口将被阻止,提升网络安全性。然而,你仍然可以使用不需要Passthrough的现代VPN服务。

相关文章
什么是VPN的静态/固定IP地址?
固定IP

VPN的静态/固定IP地址即使在断开连接并重新连接到服务器时也始终保持不变。这有助于安全地访问特定区...

什么是SOCKS5代理?
SOCKS5代理

SOCKS5代理是一种通过远程服务器路由数据的方式,为预配置的应用程序分配一个新的IP地址。与传统代...

VPN会降低你的网络速度吗?
VPN降低网速

使用VPN确实会降低你的网络速度,因为你的数据必须经过更远的距离才能到达目的地。根据我们的VPN速度...

VPN无法跨区Netflix?试试这些修复方法
VPN无法跨区Netflix

如果你的 VPN 无法连接 Netflix,那是因为 Netflix 屏蔽了你的 VPN 服务器的 ...

为什么 VPN 会断开连接及其解决方法
VPN断开连接

如果你的 VPN 经常断开和重新连接,很可能是因为设备和 VPN 服务器之间的数据包丢失或被阻止。这...

如何检查你的VPN是否正常运行
检查VPN

你可以通过改变你的IP地址、加密你的网络流量以及确保没有DNS泄漏来确认你的VPN是否正常工作。你可...

为什么你的VPN无法连接及其解决方法
VPN无法连接

如果你的VPN无法连接,最简单的解决方法是重启你的设备和路由器。如果这样不行,试试更新设备的软件,将...

如何屏蔽Twitch广告?
屏蔽Twitch广告

使用uBlock Origin来屏蔽Twitch广告,只需在其设置中添加一个自定义脚本。不过,uBl...

VPN能屏蔽广告吗?
VPN屏蔽广告

VPN 服务默认并不能屏蔽,但一些 VPN 包含旨在阻止烦人广告和跟踪器的广告拦截器。不过,即使是最...

如何屏蔽YouTube广告?
屏蔽YouTube广告

使用虚拟私人网络(VPN)连接到阿尔巴尼亚服务器是观看YouTube时不看广告的最简单方法。通过获取...

如何在PS4和PS5上使用NordVPN
PS NordVPN

NordVPN在PS4和PS5上表现非常出色,是提升游戏、流媒体和网页浏览体验的最佳VPN服务之一。...

如何在Google Chromecast上使用VPN?
在Chromecast上使用VPN

在Google Chromecast上使用VPN,可以在电视上观看在你所在地区无法访问的视频内容。 ...

如何在Xbox上使用ExpressVPN?
如何在Xbox上使用ExpressVPN

ExpressVPN 是一款适用于所有Xbox游戏机的优秀VPN,包括Xbox One和Series...

LG 电视最佳 VPN 及使用方法
LG电视VPN

在 LG 电视上使用 VPN 的最佳方法是通过 AirPlay。步骤如下: 订阅一个专为流媒体优化的...

如何在 Xbox 上设置 VPN?
Xbox 上设置 VPN

最简单的方法是通过 Windows 10 或 11 的移动热点共享 VPN 连接。我们推荐使用 Ex...

如何在PS5上设置和使用VPN?
PS5上设置VPN

在PlayStation上使用VPN的最简单方法是通过以太网线从笔记本电脑共享VPN连接。这可以加密...

如何隐藏你的IP地址?
隐藏IP

你可以使用VPN、代理服务器、Tor浏览器或移动数据热点来隐藏你的公共IP地址。其中,最有效的方法是...

最佳私密和安全的网页浏览器
安全浏览器

一旦配置妥当,Mozilla Firefox 浏览器是性能、易用性和隐私性方面最好的私密浏览器。它是...

如何判断是否有人在监视你的手机?
监视手机

担心有人在监视你的手机活动、读取你的信息并监控你上网的行为吗?本指南将向你解释如何发现手机中的间谍软...

有人拿到你的IP地址能做什么?
IP地址能做什么

你的IP地址能直接揭示你的ISP、城市和大致位置。这些信息可以被用来监控你的浏览活动,限制你访问某些...

You cannot copy content of this page