本教學由 DrayTek 正式編寫。 您可以在此處 找到原始教學。
重要更新:本教學可能僅適用於搭載以下韌體版本的 DrayTek 路由器:
v2135 - 4.2.1.2
v2765 - 4.2.1.1
v2865 - 4.2.2
v2927 - 4.2.2
舊版本可能無法進行驗證。
本教學將說明如何在 Vigor 路由器建立與 NordVPN 伺服器之間的 IKEv2 EAP VPN 通道。
請務必先行取得稍後要連線的伺服器主機名稱。
為了找到最適合的伺服器,請按照以下步驟操作:
請按照以下步驟找出最適合連線的伺服器:
-
登入Nord 帳戶,然後點選 NordVPN。
- 向下捲動至 進階設定,並點選 手動設定 NordVPN。
- 選擇 推薦伺服器 分頁。 程式會根據您的位置來推薦最適合的伺服器。
- 按下 進階篩選條件 ,就可以進一步選擇 伺服器類型 和 安全協定 來自訂推薦的伺服器。
- 在伺服器 IP 中的可用通訊協定 (Available protocols) 旁,選擇 IKEv2/IPSec。
- 在彈出的視窗中, 複製 伺服器主機名稱,並用於 IKEv2 的手動連線設定中。
-
手動連線至 IKEv2時,在 服務憑證 分頁上,您將需要使用使用者名稱及密碼。
- 現在,請登入路由器管理頁面。
開啟您選擇要使用的瀏覽器,點選網址列,輸入192.168.1.1,然後按下 Enter (如果此操作沒有開啟登入提示視窗,請查看路由器手冊中正確的 IP 位址)。
畫面上應該會出現一則登入提示視窗。 預設的 使用者名稱 (Username) 和 密碼 (Password) 應均為 "admin" 或帳號為 "admin",而密碼為空白。
- 現在,請前往 憑證管理 (Certificate Management) >> 受信任的 CA 憑證 (Trusted CA Certificate)。到達那裡後,點選 匯入 (IMPORT) 。
- 稍後需要匯入NordVPN 根 CA 憑證,請務必先透過以下連結進行下載:https://downloads.nordcdn.com/certificates/root.der。
- 然後,按下 選擇檔案 (Choose File),並選取在上一個步驟下載的根檔案。 接著,點選 匯入 (IMPORT)。
- 等待幾秒鐘,直到路由器回應 匯入成功 (Import Success),並且 憑證狀態 (Certificate Status) 顯示為沒問題 (OK)。
- 然後,前往 VPN 及遠端存取 (VPN and Remote Access)>>IPsec 對等體身分 (IPsec Peer Identity)。
您需要在這裡將設定檔名稱 (Profile Name)設定為NordVPN。- 另外,請選取啟用此帳戶 (Enable this account)
- 並選擇接受任何對等體身分 (Accept Any Peer ID)
- 接下來,前往VPN and Remote Access >> LAN to LAN,點選可用的索引值,並按照以下內容編輯設定檔。
一般設定:
- 賦予一個設定檔名稱 (profile name)
- 選取Enable this profile
- 將Call Direction設定為Dial-Out
- 在Dial-Out Through中,選擇 VPN 連線的 WAN(廣域網路)介面
- Dial-Out 設定:
- 選擇IPsec Tunnel和IKEv2
- 選擇IPsec EAP作為 VPN 伺服器類型
- 在Server IP address/Hostname 中,輸入步驟 1 取得的 VPN 伺服器主機名稱 (hostname)
- 輸入 NordVPN 伺服器使用者名稱
- 輸入 NordVPN 伺服器密碼
您只要前往Nord 帳戶儀表板,就能找到自己的 NordVPN 服務憑證(服務使用者名稱和服務密碼):
請按照以下步驟找到手動連線設定的服務憑證:
-
登入Nord 帳戶,按一下 NordVPN,然後在 手動設定中點選服務憑證。在這裡可以找到手動連線必須用到的使用者名稱和密碼。
- 在IKE Authentication Method中選擇Digital Signature,並於Peer ID選擇在步驟 5 建立好的 IPsec 對等體身分設定檔
- 在IPsec Security Method中選擇AES with Authentication
- 點選Advanced
- 在 IKE 進階設定的彈出式視窗中,設定以下內容:
- 將IKE 第一階段提議 (IKE phase 1 proposal)設為AES256_SHA1_G14
- 將IKE 第二階段提議 (IKE phase 2 proposal)設為AES256_SHA1
- 將IKE 第一階段金鑰生命期限 (IKE phase 1 key lifetime)設為28800
- 將IKE 第二階段金鑰生命期限 (IKE phase 2 key lifetime)設為3600
- 按一下確定 (OK) ,關閉視窗。 在TCP/IP 網路設定中:
- 輸入0.0.0.0作為Remote Network IP的值
- 輸入0.0.0.0/00作為Remote Network Mask的值
- 將此 VPN 連線的路由變更為NAT
- (選用)如欲透過 NordVPN 路由所有流量,請啟用將預設路由設為此 VPN 通道 (Change Default Route to this VPN tunnel)選項。
- 完成以上設定後,可透過VPN 及遠端存取 (VPN and Remote Access)>>連線管理 (Connection Management)頁面來查看 VPN 狀態 (Status)。
選用
前往Routing>>Load-Balance/Route Policy可建立政策路由 (Policy Route),將特定流量傳送至 NordVPN 通道。 若要驗證政策,可以使用指令tracert來查看定義流量是否正確通過 VPN 通道。
