使用 NordVPN 設定 DrayTek Vigor IKEv2

本教學由 DrayTek 正式編寫。 您可以在此處 找到原始教學。

重要更新：本教學可能僅適用於搭載以下韌體版本的 DrayTek 路由器：

v2135 - 4.2.1.2
v2765 - 4.2.1.1
v2865 - 4.2.2
v2927 - 4.2.2

舊版本可能無法進行驗證。

---

本教學將說明如何在 Vigor 路由器建立與 NordVPN 伺服器之間的 IKEv2 EAP VPN 通道。

請務必先行取得稍後要連線的伺服器主機名稱。

為了找到最適合的伺服器，請按照以下步驟操作：

請按照以下步驟找出最適合連線的伺服器：

1. 登入Nord 帳戶，然後點選「NordVPN」。
   
   
   
   
2. 向下捲動至「進階設定」，並點選「手動設定 NordVPN」。
   
   
   
   
3. 選擇「推薦伺服器」分頁。 程式會根據您的位置來推薦最適合的伺服器。
   
   
   
   
4. 按下「進階篩選條件」，就可以進一步選擇「伺服器類型」和「安全協定」來自訂推薦的伺服器。

   
   
   

   
   
   
   

5. 在伺服器 IP 中的可用通訊協定 (Available protocols) 旁，選擇 「IKEv2/IPSec」。
   
   
   
   
6. 在彈出的視窗中，「複製」伺服器主機名稱，並用於 IKEv2 的手動連線設定中。
   
   
   
   
7. 手動連線至 IKEv2時，在「服務憑證」分頁上，您將需要使用使用者名稱及密碼。
   
   
   
   
8. 現在，請登入路由器管理頁面。 開啟您選擇要使用的瀏覽器，點選網址列，輸入192.168.1.1，然後按下「Enter」 （如果此操作沒有開啟登入提示視窗，請查看路由器手冊中正確的 IP 位址）。 畫面上應該會出現一則登入提示視窗。 預設的「使用者名稱 (Username)」和「密碼 (Password)」應均為「admin」或帳號為「admin」，而密碼為空白。
9. 現在，請前往「憑證管理 (Certificate Management)」 >> 「受信任的 CA 憑證 (Trusted CA Certificate)」。到達那裡後，點選「匯入 (IMPORT)」。
   
   
   
   
10. 稍後需要匯入NordVPN 根 CA 憑證，請務必先透過以下連結進行下載：https://downloads.nordcdn.com/certificates/root.der。
11. 然後，按下「選擇檔案 (Choose File)」，並選取在上一個步驟下載的根檔案。 接著，點選「匯入 (IMPORT)」。
    
    
    
    
12. 等待幾秒鐘，直到路由器回應「匯入成功 (Import Success)」，並且「憑證狀態 (Certificate Status)」顯示為「沒問題 (OK)」。
    
    
    
    
13. 然後，前往「VPN 及遠端存取 (VPN and Remote Access)」>>「IPsec 對等體身分 (IPsec Peer Identity)」。
    
    
    
    您需要在這裡將「設定檔名稱 (Profile Name)」設定為NordVPN。
    • 另外，請選取「啟用此帳戶 (Enable this account)」
    • 並選擇「接受任何對等體身分 (Accept Any Peer ID)」
      
      
      
      \
14. 接下來，前往「VPN and Remote Access >> LAN to LAN」，點選可用的索引值，並按照以下內容編輯設定檔。 一般設定：
    • 賦予一個設定檔名稱 (profile name)
    • 選取「Enable this profile」
    • 將「Call Direction」設定為「Dial-Out」
    • 在「Dial-Out Through」中，選擇 VPN 連線的 WAN（廣域網路）介面
15. Dial-Out 設定：
    • 選擇「IPsec Tunnel」和「IKEv2」
    • 選擇IPsec EAP作為 VPN 伺服器類型
    • 在「Server IP address/Hostname」 中，輸入步驟 1 取得的 VPN 伺服器主機名稱 (hostname)
    • 輸入 NordVPN 伺服器使用者名稱
    • 輸入 NordVPN 伺服器密碼 您只要前往Nord 帳戶儀表板，就能找到自己的 NordVPN 服務憑證（服務使用者名稱和服務密碼）：

請按照以下步驟找到手動連線設定的服務憑證：

1. 登入Nord 帳戶，按一下**「NordVPN」，然後在 「手動設定」中點選「服務憑證」。在這裡可以找到手動連線必須用到的使用者名稱和密碼**。
   
   
   
   
2. • 在「IKE Authentication Method」中選擇「Digital Signature」，並於「Peer ID」選擇在步驟 5 建立好的 IPsec 對等體身分設定檔
   • 在「IPsec Security Method」中選擇「AES with Authentication」
   • 點選「Advanced」
3. 在 IKE 進階設定的彈出式視窗中，設定以下內容：
   • 將「IKE 第一階段提議 (IKE phase 1 proposal)」設為AES256_SHA1_G14
   • 將「IKE 第二階段提議 (IKE phase 2 proposal)」設為AES256_SHA1
   • 將「IKE 第一階段金鑰生命期限 (IKE phase 1 key lifetime)」設為28800
   • 將「IKE 第二階段金鑰生命期限 (IKE phase 2 key lifetime)」設為3600
     
     
     
     \
4. 按一下「確定 (OK)」 ，關閉視窗。 在TCP/IP 網路設定中：
   • 輸入0.0.0.0作為「Remote Network IP」的值
   • 輸入0.0.0.0/00作為「Remote Network Mask」的值
   • 將此 VPN 連線的路由變更為NAT
   • （選用）如欲透過 NordVPN 路由所有流量，請啟用「將預設路由設為此 VPN 通道 (Change Default Route to this VPN tunnel)」選項。
     
     
     
     
5. 完成以上設定後，可透過「VPN 及遠端存取 (VPN and Remote Access)」>>「連線管理 (Connection Management)」頁面來查看 VPN 狀態 (Status)。
   
   
   
   

選用

前往「Routing」>>「Load-Balance/Route Policy」可建立政策路由 (Policy Route)，將特定流量傳送至 NordVPN 通道。 若要驗證政策，可以使用指令「tracert」來查看定義流量是否正確通過 VPN 通道。