VPN 應用 7 : 使用 WireGuard VPN Server 與 Site-to-Site VPN 連線方式的不同之處。
VPN 能使用的場景相當的多,不同使用場景,架設的網路架構也會有所不同,應用的方式與用途也會不同。
首先說明什麼是 VPN ,VPN 全名是「虛擬私人網路」virtual private network。透過網際網路在裝置之間建立私有網路連線,VPN 用於透過公有網路安全、匿名地傳輸資料,VPN 會透過遮蔽使用者 IP 地址和加密資料來運作,VPN 通常只允許使用隧道協定和加密技術的認證遠端存取。
VPN 可以區分為幾種類型,本系列教學使用的 WireGuard VPN Server 及 Site-to-Site VPN 是其中的兩種類型,在使用上與應用上也是有所差異的。
本教學的 VPN Server 設備是以 UniFi OS 主機 Dream Machine Special Edition 夢幻機特別版為例。
VPN Server 主機 : Dream Machine Special Edition 軟體版本 UniFi OS V.3.0.18、UniFi Network V.7.3.83
網路架構圖 :
圖一
圖一是我們的一個網路架構圖,它包含了三地的網路結構,我們可以假設 A 是我們家的網路,B 是總公司的網路,C 是分公司網路。
我們分別設定好這三地間個別的 VPN 服務 (圖二),接下來看看不同的使用情景網路的路徑會是如何?
圖二
有關 WireGuard VPN 與 Server 及 Site-to-Site VPN 的架設與設定可以參閱我們在前幾篇教學。
有關 WireGuard client 端軟體的安裝與使用方式,MultiDesk 遠端連線軟體的使用也可參閱我們前幾篇的教學。
使用情景 :
一。透過 WireGuard VPN 的連線方式。(圖三)
1. A 電腦透過 B WireGuard VPN 連線來遠端操控 B 個人電腦。
2. A 電腦透過 C WireGuard VPN 連線用事務機來傳真文件。
3. A 筆電透過 C WireGuard VPN 連線來瀏覽網際網路上的網站。
4. A 手機透過 B WireGuard VPN 連線來存取網際網路上的雲端資料。
5. C 手機透過 B WireGuard VPN 連線列表機來列印文件。
圖三
由這些網路連線的路徑來看 :
若是透過 WireGuard VPN 連線的設備連上網際網路存取資料時,對外的連線會是透過 WireGuard VPN 的設備來連上網際網路上的設備,也代表它對外顯示的 IP 會是 WireGuard VPN 上的 公網 IP 的。
若是連線至 WireGuard VPN 內的設備,對內所顯示的 IP 會是當時建立 WireGuard 使用者帳號時所給的使用者 IP 。
Site-to-Site VPN 的網路架構圖。(圖四)
圖四
二。透過 Site-to-Site VPN 的連線方式。(圖五)
1. A 電腦透過 Site-to-Site VPN 連線來遠端操控 B 個人電腦。
2. A 電腦透過 Site-to-Site VPN 連線用事務機來傳真文件。
3. A 筆電透過 Site-to-Site VPN 連線來瀏覽網際網路上的網站。
4. A 手機透過 Site-to-Site VPN 連線來存取網際網路上的雲端資料。
5. C 手機透過 Site-to-Site VPN 連線列表機來列印文件。
圖五
由這些網路連線的路徑來看 :
圖三與圖五的網路路徑有些是相同的,有些則是不同,主要差別是在當連線的目的地是網際網路上的設備時,兩者路徑會有所不同,說明如下。
WireGuard VPN :
- WireGuard VPN 的用戶端是必須安裝 WireGuard client 端軟體及匯入使用者設定檔後才可連接上相對的 WireGuard VPN Server 主機。
- 連接上 WireGuard VPN Server 主機後,所有的網路活動皆是透過 WireGuard VPN Server 主機來連接的。
- 當用戶端連上網際網路瀏覽網站時,對外所呈現的公網 IP 則會是 WireGuard VPN Server 主機的 IP 地址,也就是用戶端原有的公網 IP 會被 WireGuard VPN Server 主機 IP 所取代。
- 當用戶端連接 WireGuard VPN Server 主機後端的設備時,對內所顯示的 IP 則會是建立 WireGuard 使用者帳號時所給的使用者 IP。
- 裝置安裝好 WireGuard client 端軟體及匯入使用者設定檔後,無論移動到何處,只要能連上網路便可透過 WireGuard client 端軟體連接上 WireGuard VPN Server 主機來上網或連接主機後端的設備。
- 用戶端是否需要透過 VPN Tunnel 來上網可由用戶端自行決定,當有需要時再連線 WireGuard VPN Server 即可,一旦透過 WireGuard VPN Server 上網,你的網路速度將取決於原有的路由器對外連線速度與 WireGuard VPN Server 主機對外連線速度兩者對外連線最小速度者為依據。
Site-to-Site VPN :
- 建立好各設備間的 Site-to-Site VPN 設定後,Site-to-Site VPN Server 後端設備是不需再安裝任何軟體與設定的,所有的設定均是在 Site-to-Site VPN Server 主機上設定即可。
- 當使用者連結上本地路由器後開始在網路上活動時,,路由器會自行判斷使用者的活動是網際網路亦或是 Site-to-Site VPN 連線。
- 若是屬於一般的網際網路活動,本地路由器則會直接連上 Internet 去您所要前往的路徑,不會再經過任何相對應的 Site-to-Site VPN Server 主機,此時使用者對外所呈現的 IP 則會是本地路由器原有的公網 IP。
- 若是屬於其他 Site-to-Site VPN Server 主機的網路活動,本地路由器則會直接連上所相對應的 Site-to-Site VPN Server 主機,此時使用者對內所呈現的 IP 則會是使用者原有的內網 IP。
- Site-to-Site VPN 沒有用戶端軟體,所有設定資料都在路由器主機內,要使用 Site-to-Site VPN 服務,設備則需要在 Site-to-Site VPN 主機的後端。
- 使用 Site-to-Site VPN 的連線方式上網,僅是兩台 Site-to-Site VPN 主機間的傳遞是走 VPN Tunnel ,用戶端對外連線仍是走原有的路由器來外連線,並未走 VPN Tunnel 的,若對外要走 VPN Tunnel ,還是需要設定一台 WireGuard VPN Server 主機來連線上網。
VPN 應用 6 : 不使用 WireGuard VPN Server ,讓遠端的電腦直接以遠端桌面連線軟體來操控位於不同網路、網段內的電腦。
如果你的主控端電腦連線網路地點會常常變動不固定,如筆電到處帶著走。如果你的主控端連線路由器設備不是使用固定 IP 來連線,這就需在被控端的路由器設備上架設如 WireGuard VPN Server 服務。
如果你的主控端電腦連線網路地點是固定不變的,連線的路由設備是使用固定 IP 來連線的,可以架設 VPN Server 服務,如此可以在主控路由器設備上分別架設 Site-to-Site VPN 到 B 路由器設備及 Site-to-Site VPN 到 C 路由器設備的方式來 ● ● ●
