- A+
用树莓派做VPN路由网关
对于一般家用的路由器,一直苦于路由OS的功能限制,DD-WRT系的软件陈旧。想用PC直接当路由,但价钱上显然是狮子抓耗子。
这个实验的目标是将树莓派做成VPN路由网关,即本身是一个VPN的Client,同时可以转发网络请求。这样只要连上家里的WIFI就可以无缝访问公司网络和其它网络。
实际情况我用的是PPTP协议,当然你可以用其它各种协议来实现。
组网
拓扑如下,也可以再买USB2RJ11和WIFI天线将树莓派变成一个完整的WIFI路由,我这个拓扑是考虑到TP-Link路由可以做备用的网关。
Raspberry Pi安装基本环境
先装Debian,安装方法可以参考这里。
默认只有vi和nano,可以装个vim或emacs。
装PPTP Client:
sudo apt-get install pptp-linux
为系统配置静态IP,实际情况里我使用192.168.1.69做网关静态IP,详细见 Debian Wiki
配置PPTP连接
配置以太网口可用时自动连接PPTP服务器:sudo vi /etc/network/if-up.d/vpn,键入以下内容(< >里的内容按实际情况填写)
#! /bin/bash
/usr/sbin/pptpsetup --create <名字(随便起)> --server <服务器地址> --username <用户名> --password <密码> --encrypt --start
配置PPTP链接断开后自动重连,执行以下命令
sudo cp /etc/network/if-up.d/vpn /etc/ppp/if-down.d/vpn
修改路由表,将PPTP服务器作为下一跳的网关,即默认使用PPTP连接发送所有流量(如果你有这个需求)。在PPTP连接成功后进行修改:sudo vi /etc/ppp/ip-up.d/vpn,键入以下内容
#! /bin/sh
/sbin/route add default dev $PPP_IFACE
由于家里使用的PPPoE上网,加上PPTP协议封装,链路实际可用的MTU减小。我的PPTP服务器使用的MTU是1300,当内网中其它终端以树莓派 为网关时并不知道网关的下一跳链路的MTU小于1500,终端也不会在DHCP过程中主动配置MTU值,1500大小的包转发到PPTP链路中会被丢弃, 造成无法上网的现象。解决方法是配置TCP MSS值,使系统遇到大于MSS值的包时先拆包再转发:
sudo iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1268
配置网关相关功能
修改/etc/sysctl.conf,使树莓派可以转发ipv4的流量
net.ipv4.ip_forward=1
使sysctl.conf的修改马上生效
sudo sysctl -p
配置iptables,使系统强制转发所有流量
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
其它配置
保存iptables的信息,用于之后快速恢复当前配置
sudo iptables-save > /etc/iptables.rules
当以太网端口可用时,恢复iptables配置,sudo vi /etc/network/if-up.d/iptables,键入以下内容:
#! /bin/sh
iptables-restore < /etc/iptables.rules
如果你使用了PPTP服务器作为网关转发所有流量,你很可能需要配置路由表,使某些ip是例外,不走PPTP链路的。这种脚本网上很多, 一般分ip-pre-up和ip-down两个脚本分别用于添加、删除路由表记录。将ip-pre-up放到/etc/network/if-up.d /下;ip-down放到/etc/network/if-down.d/下
确保上面的所有钩子脚本都有执行权限:
sudo chmod +x /etc/network/if-up.d/* /etc/network/if-down.d/* /etc/ppp/ip-up.d/* /etc/ppp/ip-down.d/*
配置DHCP
配置DHCP服务器信息,网关填上树莓派的静态ip,我是在TP-Link上配置DHCP信息的
结束语
以上就是VPN路由的所有配置,现在你可以iPhone、iPad、 Android、电脑、PSVita、3DS、PS3、XBOX360等等连上你的TP-Link,即可无缝使用VPN链路,树莓派也会像一般的路由器一样稳定工作。
所有终端因为DHCP的配置将流量发向树莓派,树莓派按路由表的配置选择使用PPTP链路。
注意,要配置的地方比较多,中间有一步出了问题都可能使树莓派无法稳定工作,需要你熟悉计算机网络,Linux网络配置。【网关VPN应用】写字楼及小区多级路由下的IP语音部署
据《2013-2017年中国智能建筑行业发展前景与投资战略规划分析报告》数据显示,我国智能建筑行业市场在2012年达到861亿元,并以每年20%以上的增长态势在发展。
三网融合电话业务是智能建筑信息化的重要一环。然而,一些迅友在实施写字楼或小区的IP语音项目时,饱受多级路由器之困扰。
语音终端无法注册?
有语音单通等问题?
本文向大家推荐一种基于OpenVPN的低成本解决方案。
薛哥是迅时客户服务部经理,所住小区由上海电信提供宽带网络。他曾经试图在家中安装一台语音网关,上连到公司OM网络型办公电话系统进行组网,但始终无法注册成功。
“我通过Tracert(跟踪路由)发现,原来小区网络由多级路由器构成,多层NAT使外部SIP服务器返回的消息无法到达网关……”薛哥很头疼。
最近迅时发布了新版MX升级包,支持内嵌OpenVPN客户端功能。
近水楼台先得月,薛哥马上升级了家中的MX8A语音网关,配置OpenVPN参数重启后,设备立刻与公司私网下的OpenVPN服务器建立了“加密隧道”,并与OpenVPN服务器在同一网段的OM系统成功实现双向连接。
(本照片由薛哥友情奉献)
我关注了24小时,语音连接始终很正常。我还意外发现,与在网关前外挂带VPN路由器相比,音质更清晰。
——客户服务部经理薛哥
迅时最新发布的HX4E和MX8A升级包,支持内嵌OpenVPN和L2TP两种VPN客户端。
尤其是OpenVPN,与基于IPSec的VPN相比,具有更强的防火墙和NAT穿越能力,占用带宽更小,能有效解决语音安全问题,解除路由器和防火墙等对IP语音的干扰。
我们正在进行更多相关实证试验,到时将把结果与大家分享。也希望迅友提供各种网络环境对IP语音干扰的实例。爱快路由器vpn重映射实现私有外网地址访问
环境描述:
两个不同的局域网:一个路由器A的外网地址为公网地址,可以通过此地址在外网远程这台路由器;路由器B的外网地址是私有地址,无法通过外网地址的形式做外网访问。
需求
在外网环境下,需要实现远程访问路由B下面的客户机(比如某服务器或者监控机等),但是由于路由B的外网为私网IP地址,无法通过路由映射的方式进行外网访问。
解决方法
1、联系你的上级运营商,给你更换公网IP地址
2、联系你的上级运营商,给你做映射,映射对应的端口
3、通过vpn的方式,拨号到有公网IP地址的路由A上面做映射,实现可以通过路由A的公网IP加对应端口,可以成功通过外网访问到路由B内部的客户机。
(此次要说明的是在爱快路由里面怎么实现第三种解决方式)
操作方法:
路由器A,开启PPTP或者L2TP服务端(认证计费---认证服务管理)
路由器A,创建PPTP或者L2TP的账号(认证计费---认证账号管理)
路由器B,在VPN客户端,添加对应信息,拨号路由器A(服务中心---VPN客户端)
路由器B,设置端口映射,映射内网客户机的地址加对应端口(服务中---端口映射)
路由器A,设置端口映射,映射VPN拨号得到的地址加对应端口(服务中心---端口映射)
路由器A,设置NAT转发,原地址可以不填,代表所有;目的地址填写VPN拨号得到的IP
地址,转发地址就写VPN服务器的地址,线路选择“任意”,动作为“转发”
举例说明
l路由器A:
⑴:开启PPTP服务端
⑵在路由器A上,创建PPTP的账号
创建PPTP账号完成:账号密码都是1
l路由器B:设置VPN客户端,拨号路由器A
此时也可以在路由器A上面的认证计费---认证用户管理---账号在线看到拨号成功的信息
l路由器B:设置端口映射
l路由器A:设置NAT转发
l路由器A:设置端口映射
注意:
如果路由器A开启的是PPTP服务端,路由器B就使用PPTP客户端
如果路由器A开启的是L2TP服务端,路由器B就使用L2TP客户端
测评:适合小企业的最佳VPN路由器
当您在为您企业选择一款VPN路由器时,相信您肯定想要选择一款能够支持您企业所选择的VPN协议的产品。如果您正在寻找一款IPSec VPN产品,我们建议您不妨考虑那些能够提供一种简化配置的产品,如思科、Linksys或Netgear公司的产品。而如果您正在寻找更多样的VPN方案,则不妨考虑D-Link的产品。
如果您正在寻找一个价格较为便宜的选择,建议您可以考虑UTT技术的产品。而如果您正在寻找的是具备了独特功能的产品,则可以考虑DrayTek公司的产品,或该公司的其他整合了无线Wi-Fi、光纤或具备VoIP支持的设备。
如下是对这些产品的详细测评:
思科RV325
这款思科RV325是一款双千兆WAN VPN路由器,售价468美元,但网上售价则不到300美元。这是思科面向小型企业RV VPN路由器系列中的顶级型号。一些较低的模型产品还具有Wi-Fi功能,但该款模型产品则没有。
这款思科设备支持多达50个 IPSec 通道,任一站点到站点或客户端到站点的连接,其宣称的IPSec吞吐量约为100Mbps。其PPTP和SSL VPN服务器均同时支持多达10个客户端到站点的隧道。
在该产品的包装盒中,您还会发现包括了一根以太网电缆,电源适配器,快速入门指南,以及一张具备完整文档的CD光盘。此外,还包括L型支架以便该产品可以安装在标准的19英寸机架上。
该产品测量约有9½英寸长,7英寸宽,2英寸高。外壳大多是灰金属色。产品的背面是电源输入口和开关。在底部是预先应用的防滑垫以安放在具备孔壁装支架的桌子或架子上。
在本设备的前面,您会发现有状态灯、14交换机端口、两个WAN端口和复位按钮。您在前面还会发现一个USB端口,另有一个USB端口在侧面,两者均可用于3G网络故障或用于维修使用。
登录web GUI界面后,您将进入“入门”页面,快捷方式指导您运行安装向导,进行初始设置,并引导您进入其他常见的网页。基本设置向导可帮助您配置广域网端口和访问规则向导,以帮助您添加防火墙规则。GUI的主菜单是在左侧,分为几个可扩展的列表。在任何一个页面,您都可以通过点击右上角的帮助快捷键,其便能够弹出设置特定网页的帮助说明。通过VPN设置,我们发现该设备支持思科简易VPN解决方案,其简化了远程VPN用户的配置。然而,我们发现唯一的站点到站点VPN选项是IPSec。而如果能够看到有其他站点到站点的选择将是极好的,因为IPSec从来都不是最简单的配置。
经过对该产品的测评之后,我们认为该产品的图形用户界面相当简单明了。这是一款具备了最常见的VPN路由器功能的固件产品。
D-Link DSR-250
D-Link的DSR-250是一款具备8个端口的千兆VPN路由器,标价189.99美元,但在网上也可以以大约115美元的价格找到。这款机型是该公司DSR产品线系列之一。像其他产品一样,其还有一个无线版本的产品,增加了802.11n的无线网络Wi-Fi连接功能。
该款D-Link模型产品支持六种VPN类型。最多可支持25个并发站点到站点或客户端到站点的IPSec连接,最大吞吐量约为50Mbps。SSL VPN支持多达5个通道。还包括一个服务器和客户端的PPTP和L2TP VPN连接,支持多达25个通道。一个OpenVPN服务器和客户端支持最多达5个通道。最后,该设备支持多达10个GRE隧道,使远程网络能够接收局域网广播流量。
在产品的包装盒中,随着这款DSR-250设备一起发售的,您还会发现一个电源适配器,以太网电缆和以太网串行控制台电缆。但您不会找到像任何其他大多数供应商产品一样的安装指南。但是,随附的CD光盘上则有安装指南和全手动的PDF文件。
该设备测量约 7½ 英寸长,5英寸宽,1.5英寸高。外壳为全黑金属色,产品的顶部有浮雕的供应商名称。
在设备的前面,您会发现一个用于3G上网的故障切换、文件和打印机共享或维修使用的USB 2.0端口。另外还有八个千兆交换机端口,一个千兆WAN端口,和一个以太网端口的控制台访问。有一个简单的电源灯,然后活动状态指示灯的端口。没有墙壁安装孔,也没有包括安装支架;小的防滑垫您可以将其放置在底部,以便您把它放在桌子或架子上。
登录到网络图形用户界面后,您会发现状态仪表板和一组流量和资源统计图表。
您也可以选择单击图形用户界面的右上角的向导链接以运行向导之一来配置不同的设置。将鼠标悬停在图形用户界面顶部的菜单,将弹出该特定类别中的所有设置页面的列表。在每个设置页面的右上角,可以看到一个问号按钮,您可以点击调出特定页面上的帮助。
图形用户界面是相当有吸引力,且直白简单的,但也可以进行一些改进以便使得其可以变得更加用户友好。例如,您必须手动为您添加的VLAN子网输入所有的IP和DHCP设置。而许多路由器则在您添加VLAN时能够自动或预配置这些设置。
除了典型的VPN路由器的功能,本机支持英特尔AMT使得在在断电时或缺乏一个硬盘驱动器或操作系统时,可以管理计算机。其还支持动态网页内容过滤功能,但需要以大约60美元/年的价格订购。
总体来说,这款D-Link产品是一款功能丰富的路由器。支持多种VPN选项,提供USB文件和打印机共享,并支持动态网页内容过滤。我们对其GUI的抱怨是次要的。
DrayTek Vigor2925
DrayTek Vigor2925的售价为288美元,是一款双WAN千兆VPN路由器,提供五个交换端口。该产品是DrayTek公司的众多系列产品之一,而其每款产品均提供几个不同版本以支持不同的Wi-Fi标准,光纤连接和VoIP支持。我们选择了包括其基础版本在内的产品进行测试,其缺乏某些额外的功能。
本机支持多达50个并发VPN通道,通过站点到站点或客户端到站点的IPSec、PPTP或L2TP。IPSec通道的吞吐量等级为50Mbps。SSL VPN服务器支持多达25个客户端到站点的通道。
在该产品的包装盒中,您会发现一份快速入门指南,有完整的文档的CD光盘,以太网电缆和电源适配器。
黑色塑料机身测量尺寸约为 9 ½ 英寸长,6½英寸宽, 1 ½ 英寸高。在机身前面,您会发现所有的状态指示灯和接口,除了电源输入和开关在机身背面。在机身前面的左边是复位出厂设置的按钮、状态指示灯及2个用于3G上网的故障切换、通过SMB或FTP进行文件共享或打印机共享的USB 2.0端口。然后有第二个广域网端口,5个交换机端口。在本产品的底部有防滑垫及四个孔,可选的壁挂式安装。
在插上该设备后,我们没有立刻连接到互联网。不像大多数路由器,该产品的WAN连接没有默认设置获得一个动态的IP。您必须去到Web GUI来启用。如果您有一个静态IP,这并不重要,但如果您有一个动态IP,这有点不方便。
登录到网络图形用户界面后,登录到基于Web的管理界面后您就会看到仪表板页面,其显示了主要的状态,以及一个表示路由器前端和状态指示灯的图像。没有任何向导提示,但该产品却是提供了一些向导,您可以从在主菜单顶部的左上侧进行访问。
当您点击左边的可折叠的主菜单时,其将分类显示相关网页。有些页面也有多个选项卡,您可以通过点击进入。有些页面有信息或帮助按钮,您可以单击以获得更多信息,但它不是整个图形用户界面保持一致。 GUI还可以更组织和打理一下,使之更具吸引力和用户友好。
我们发现这款DrayTek产品功能丰富,支持除了OpenVPN之外的所有主要的VPN解决方案。除了VPN路由器通常的一些功能外,还包括动态网页过滤,中央的VPN和无线接入点的管理和FTP访问(除了SMB)用于基于USB文件共享的。还具有一些独特的功能,如支持通过USB传感器进行温度监测。
Linksys LRT224
Linksys LRT224是一款千兆四端口的双WAN VPN路由器,标价为249.99美元,但网上可以大约175美元的价格获得,这是该公司所提供的两款企业级VPN路由器产品之一。另一款产品(LRT214)非常相似,但缺少了双WAN口与WAN负载均衡及LRT224提供的故障转移功能。
这款Linksys产品支持多达45个IPSec通道,任一站点到站点或客户端到站点的连接,该公司声称其最大吞吐量为110Mbps——这是所有我们所测评的产品中最高的。基于PPTP的VPN服务器支持最多五个并发用户。 OpenVPN服务器支持多达五个传入的客户端到站点的通道,而OpenVPN客户端让您可以执行一个站点到站点的连接。
该设备还包括了新的易于连接的VPN功能,旨在简化站点到站点的IPSec通道,迄今为止,只有该产品及其他的LRT模型支持支持这一点。服务器支持通过一个单一的用户名和密码同时最多5个的传入连接,客户端支持一个出站连接。
除了设备本身,在产品的包装盒子里,您会找到一个电源适配器,以太网电缆,快速安装指南,和一个包括了全部文件的CD光盘。
该设备测量大约5英寸长,7 ½英寸宽,1 ½英寸高。外壳为金属的黑色和蓝色。该设备可以安置在桌面/架子上,也可以通过两个在底部/背面的内置的安装孔安装在墙上。
在设备前面的顶部是系统、诊断状态、广域网、WAN / DMZ、VPN的LED状态灯和四个交换机端口。设备的背面是千兆以太网端口:四个交换端口、广域网端口和一个WAN/DMZ端口。
,您会在在标签选项卡式GUI界面看到系统状态页面。在那里,您可以检查主数据,并选择启动安装向导,其会提示您设置广域网,局域网,时间和密码。您也可以通过单击快速启动选项卡进入设置向导。
大多数的设置是通过配置选项卡访问,在页面的左边的菜单上包含了子标签分类。维护选项卡中还包含一对子标签选项卡工具。最后一个标签选项卡即所谓的帮助支持,其只是一个简单的页面提供到达Linksys的主营产品和支持页面的捷径。但如果这些链接能够直接到达该特定型号的产品和支持页面,将是更有用的。
在Web GUI的顶部,您会发现帮助链接,其能够方便地为您调出您当前页面的设置文档。其弹出一个浏览器窗口,但内容来自路由器,因此,其是可以离线访问的,打印机也相当的友好。您也可以通过帮助内容搜索浏览。在Web GUI的顶部也有页面宽度的选择,让您能够轻松的切换页面尺寸大小。
这款Linksys产品似乎是那些想要IPSec VPN的用户的一个不错的选择,他们广告宣称的吞吐量是本文所测评的路由器中最高的,并提供了简化的配置和路由器。但是记住,其没有提供基于浏览器的SSL VPN功能,PPTP VPN通道的最大量仅为五个。
Netgear FVS336G
Netgear FVS336G是双WAN VPN服务器,售价425美元,但在网上也可以约230美元获得。较之该公司的其他VPN路由器产品,这款产品属于其中档产品。该产品仅仅提供了一个广域网连接,支持较少的VPN通道,并缺乏SSL VPN,但也提供一款无线模型。上述模型支持多达四个WAN连接,提供更高的吞吐量,并支持更多的VPN通道。
这款Netgear产品最多支持25个IPSec站点到站点或客户端到站点的通道,广告宣称的最大吞吐量达78Mbps。SSL VPN服务器支持多达10个通道,PPTP和L2TP VPN服务器支持多达25个用户。
除了设备本身,在产品的包装盒子里,您会发现一份安装指南、包括了全部文件的CD光盘和VPN客户端软件,以太网电缆,电源适配器,和防滑橡胶垫以安放在桌子或架子上的使用。
这款全金属外壳的设备测量大约有10英寸长,1½英寸高,7英寸宽。在该设备的前面是LED状态指示灯和以太网端口:2个WAN端口和四个交换端口。在后端,您会找到电源输入和一个串行端口,用于控制台访问。设备底部没有墙上安装孔。
登录Web GUI界面后,您会看到状态页面。我们没有发现任何设置向导。在页面的顶部,您会发现主菜单,然后其之下是子菜单。而在其之下很多网页也有多个选项卡选择。所有三个菜单在页面顶部以导航显示。但是,我们的确喜欢所提供的帮助和文档。在Web GUI中每个部分的设置都有一个问号按钮,将把您带到这些设置相关的全面的描述界面。
我们发现,这款Netgear是款普通的VPN路由器,没有任何铃声,虽然Netgear提供了IPSec VPN客户端程序简化了客户端部署。但请记住,该设备缺乏PPTP、L2TP客户端支持,使IPSec成为执行站点到站点的连接的唯一途径。
我们也认为该款产品可以在用户友好的图形用户界面,特别是菜单设计方面进行一些改进。另外,当添加VLAN时,必须手动为新的子网输入IP和DHCP设置,这一点类似于D-Link的产品。然而,大多数路由器都能够为您自动完成或预配置这些设置。
UTT Technologies HiPER 518
这款HiPER 518曾经的标价为69.99美元,但目前的售价为59.99美元。这是UTT Technologies公司的三款面向小企业的路由器产品之一,其中另一款的功能特点与这一款非常类似,还有一款则具备更多的WAN连接、VPN通道支持,以及额外的认证和计费功能。
这款设备最多可支持五个并发IPSec VPN站点到站点或客户端到站点的通道,广告标榜的吞吐量等级极低,仅为15Mbps。唯一其他的VPN支持是PPTP服务器和客户端,支持多达五个并发用户。
除了设备本身,在产品的包装盒子里,您会发现一根以太网电缆,电源适配器和一份产品目录。您不会找到任何安装指南或手册,但您可以从他们的网站下载手册。
该金属外壳的设备测量长7英寸,高1英寸,宽5英寸。在该设备的前面是电源,系统和WAN/LAN端口的状态指示灯。在背面,您会发现一个端口专门用于一个广域网连接,然后四个局域网端口,其中三个可以用作额外的广域网连接。您还可以在产品的背面找到电源输入和复位按钮。在该设备的底部是防滑垫,可用于方便放置在桌子或架子上,以及2个可供选择的墙壁安装孔。
登录到网络图形用户界面后,您会被提示“可选向导”,其只会帮助配置网络连接。之后,您将被带到一个显示一些主要数据的简单的系统信息页面。
虽然网络图形用户界面的外观和设计是非常基本和简单的,但仍然是用户友好的。主菜单是在该页的左边具备可扩展的类别,能够显示所有主要页面的快捷方式。这些页面中有许多有多个选项卡以便查看附加设置。一些页面有一个帮助按钮,能够弹出另一个浏览器选项卡,进行该特定页面设置的简单的描述。
在浏览了GUI,界面后,我们发现了最常见的VPN路由器的功能。然而,一个例外是缺乏VLAN的支持;您不能定义单独的VLAN以隔离流量。也缺乏QoS设置。其只允许控制带宽速率,而不是优先级控制。然而,该设备提供的PPPoE服务器支持多达30个用户,在被授权互联网访问权限之前,Web认证进行本地用户认证。
我们发现,这款设备是相当独特的。其包括了一些其他的路由器不具备的功能,如PPPoE服务器和Web认证。然而,其也缺乏一些共同的功能特征,如SSL VPN和VLAN。但请知晓,UTT 公司的其他产品模型能够支持VLAN以及其他额外的功能。
路由器比较综述
本文所测评的所有的路由器均具备IPSec和PPTP VPN服务器,除两款产品(Linksys和UTT公司的产品)外,均有一个SSL VPN服务器允许通过Web浏览器访问客户端。所有的路由器都支持站点到站点和客户端到站点的IPSec通道,其中多款路由器均只支持客户端到站点的其他或所有其他VPN协议。
每款路由器都提供某种类型的WAN负载均衡和要么通过第二WAN端口要么通过支持3G或4G无线USB适配器进行故障转移。除一款产品外(UTT Technologies公司产品)所有其他产品均提供VLAN标记支持。还有两款路由器(D-Link公司和DrayTek公司的产品)也通过其USB端口提供简单的文件和打印机共享。
格局颠覆者紫光Mywifi首开百元路由内置VPN先河
随着互联网经济的高速发展,网络安全问题也与日俱增。就在“棱镜门”持续发酵的时候,2014年新年伊始,韩国又爆发了骇人听闻的信用卡资料泄密事件,一名黑客泄露了韩国KB国民卡、乐天卡和NH农协卡三家信用卡公司约2000万张信用卡的数据,意味着韩国40%的国民个人资料失密。无独有偶,俄罗斯黑客同样使美国Target 1.1亿客户的个人数据失窃。愈演愈烈的黑客攻击与网络完全漏洞,引发了企业的强烈担忧。为避免因泄密和业务中断造成巨大损失,现代企业开始着眼于办公环境的安全建设,在办公网络中使用内置VPN服务功能的“智能路由器”成为标志性举措之一。不过并不是每个企业都对此持有积极态度,譬如一部分中小微企业的办公环境,迄今就依然处于“不设防”的状态。
捍卫办公安全 VPN路由不可或缺
当代企业的网络安全威胁主要有主动和被动两种。像“无间道”、和离职员工报复泄密这类典型的主动泄密事件,只能通过加强制度管理和诉诸法律来解决。而非主观的被动泄密由于发生于无形,其管理难度则要数倍于主动泄密。涉密的安全机构和科研单位,采取了一种极端的保密方式,自建局域网,与互联网物理隔绝,严禁工作人员将图文和数据资料、记忆卡、手提电脑带离办公区,严禁办公设备接入互联网……除非绑架策反,“网络强盗”惯用的植入木马和黑客攻击的方式此时全然无用。不过,此等极端方式对于民间企业来说并不具备可操作性。以典型的企业独立OA办公系统为例,面对跨区域和超出OA系统覆盖范围的访问请求,出于安全需要会遭到OA系统的禁止。企业员工在公出、休假等状态下,将无法进入企业OA系统。在办公模式灵活多样、跨国和跨区域商务往来日益频繁的时代背景下,这种拒绝往往是灾难性的。VPN技术就是为了解决公共互联网与企业OA衔接安全性课题诞生的。
VPN技术(Virtual Private Network)是虚拟专用网络的英文缩写。它通过特殊的加密通讯协议,在Internet上为两个或多个企业内部网之间建立一条专有的通讯线路,只不过这条线路是完全虚拟化的,通过加密与普通公共线路加以阻隔。一句话概括,就是在公共网络中人为的开辟虚拟的私人领地,极大的提升了企业资料和信息交互过程中的安全性。VPN路由器就是利用路由器实现VPN的基本配置。安装VPN路由的企业,人员可以实现对OA系统的远程登录,实现了办公安全和灵活性的兼顾。因而,受到更多企业的青睐,一些企业依然选择“不设防”,其实事出有因。
企业级VPN路由器 “屌丝梦中的白富美”
“VPN路由器带来的安全办公环境令人期待,但是对小型企业来说,采购和运用的压力很大,继续‘裸奔’也是无奈之举。”
一位某大型企业的网络安全负责人道出了问题的症结。目前主流企业级VPN路由采购价格千元左右为,日常还需要企业安排专门团队实施管护。对于大型企业而言,和安全相比,更新数百台设备和增加人力成本支出都是可以接受的。而对中小微企业来说,为几千元乃至数万的花费、以及新增岗位埋单,并不情愿。因此,即便带有VPN功能的企业级路由器已经证明了自己的价值,一部分企业依然坚持“不设防”状态,很难想像,随着威胁的升级,中小微企业的办公安全何去何从——“除非VPN路由器降低门槛,不再冷艳高贵”。这位负责人如是说。
千元功能百元买 紫光Mywifi破解困局
今天,采购“白菜化”、应用“傻瓜化”的亲民VPN路由器已经成为了一种普遍的期待。如果一款具备VPN服务、能够满足中小微企业需要的路由器处于百元价位,那么还会被企业负责人所拒绝么?一百元买到千元级功能的VPN企业路由器,紫光Mywifi云智能路由器问世之处,就给出了答案“这个可以有,这个真的有。”
紫光Mywifi属于“第三代云智能路由器”产品。作为“紫光股份云服务战略”的延伸,它融合了紫光股份云计算、云存储的优势,在提供智能路由器基功能同时,通过自有VPN客户端,实现媲美千元级VPN服务器的安全保障。它还非常强调了个性化的“私人订制”,便于用户根据自身需求选择相应服务。
在硬件方面,紫光Mywifi采用了Broadcom BCM5357方案,集成企业级的300M MIPS74KCPU和相应DDR内存控制器,内置64M闪存,以及符合802.11BGN规范的2进2出 MIMO 2.4G数据通道。软件方面,得益于媲美千元级专业路由的VPN功能,用户无论身在何地,都可随时访问企业的OA系统。
事实上,VPN功能只是紫光Mywifi特色功能——“私人订制”其中的一个选项,在这个完全不同于传统路由的界面里,用户只需注册登录应用商店,就可以选择清爽视频、绿色信号调节、防蹭网、游戏机加速、无线考勤、临时访客、VPN客户端、多SSID、洋葱路由等多种功能。其中无线考勤、上网行为管理功能,为中小企业办公室实现了WIFI覆盖范围内的考勤记录,免去了指纹机机械识读,打卡机代打卡的尴尬问题,只要用户在无线范围内,便可查询到岗情况。最重要的是可时时查询员工的上网记录。实现了公司网络环境的真正可控。临时访客功能则能够在不公开密码的前提下,满足企业临时访客上网需要。至于洋葱路由功能则堪称神器,能够实现网络身份的隐身,斯诺登逃脱美国政府网络监控,洋葱路由技术可谓功不可没。想这些特色功能,对于特定用户来说,将会提供意想不到的应用便利,而简单易懂的图文对接界面,也省去了企业设置专门岗位管理维护设备的负担。
无论是比拼家用产品市场普遍的低端方案,还是挑战价格数倍于自身的千元级企业路由器,展露强大性价比的紫光Mywifi,似乎可以当之无愧的被人们称为“业界良心”。
花费一百元,告别不设防的办公环境!
这是属于中小微企业的史诗福利,同样也适合做出明智选择的大型企业。除非大家死硬的坚持“不求最好,但求最贵”。
600M双频无线企业VPN路由器
600Mbps 双频无线,提供高速、稳定、安全的无线网络
2.4GHz和5GHz双频同时工作,无线传输速率最高可达600Mbps;
5GHz频段具有纯净低干扰的高速无线环境,可提供更好的无线体验;
外置4根可拆卸单频天线,科学布局,有效降低同频干扰,提供稳定的无线传输性能;
专业级功放和低噪音放大器,有效提高无线发射强度和接收灵敏度,无线覆盖范围广,抗干扰能力强。
支持16个SSID(2.4GHz频段和5GHz频段各8个),可为企业不同部门设置不同的SSID,可实现SSID之间隔离及SSID内部隔离,
灵活管控用户间的无线网络互访权限;
一键设置访客网络,使来访宾客与企业内网完全隔离,确保企业数据安全。
专用网络处理区,告诉数据转发;工业电源,钢壳设计,适应各类环境
内置专用网络处理器,1Gbit DDRII高速内存,数据处理能力强;
全千兆有线端口,可实现 LAN-WAN间高速数据转发;
双WAN口设计,满足双线接入需求,成倍提高网络出口带宽;
内置工业级高品质电源,适应100V-240V宽电压输入范围,有效抵抗电压波动,适应各类环境;
钢壳设计,散热性能好,屏蔽性好,抗干扰能力更强,环境适应能力更强。
VPN,行为管控,保障数据安全传输,规范员工网络使用
支持IPSec VPN(10条隧道),加密企业和分支机构的机密数据,保障数据安全;
支持PPTP VPN(10条隧道)和L2TP VPN(10条隧道),方便出差员工、移动办公人员远程访问的企业内部服务器,轻松实现远程办公
内置8大类60多种上网应用数据库,可一键管控QQ、迅雷、同花顺、游戏等常见应用;
支持QQ 、MSN黑白名单,灵活管控企业中QQ、MSN的使用权限;
支持网址过滤和网页安全功能,内置十几类共几百个网址数据库,只需勾选相应网站类别即可限制员工对相应网站的访问;
行为审计软件,用于企业网络的上网行为监控、记录和分析。可定制化导出报表功能,满足多种报表需求。
更多功能实现
USB打印服务器 提供一个USB 2.0端口,内置打印服务器功能,可外接USB打印机,轻松实现有线/无线打印。
智能带宽控制可根据实际带宽利用率灵活启用带宽控制,能够针对网络中的每一台主机(IP)进行双向带宽控制,保障网络时刻畅通。
负载均衡支持多种负载均衡策略,包括智能均衡、特殊应用程序选路、ISP选路、策略选路等,多管齐下,可充分利用WAN口带宽,保护用户投资。
ARP双重防护能够同时绑定LAN口(内网)、WAN口(外网)主机的IP与MAC地址,有效防止内/外网
ARP欺骗。
攻击防护
支持内/外网攻击防护功能,可有效防范各种常见的DoS攻击、扫描类攻击和可疑包攻击行为。
[企业路由器]PPTPVPN应用与配置指南
[企业路由器] PPTP VPN移动办公应用及配置指南(PC-站点)
企业VPN路由器提供多类VPN功能。其中PPTP VPN的PC到站点模式可以为终端提供接入总部的安全隧道。终端可以通过宽带、专网、3G、WLAN等各类接入方式接入到Internet,使用终端自带的VPN客户端拨号与总部路由器连接,建立安全隧道进行数据传输。
本文介绍搭建PPTP VPN服务器,以及不同类型的客户端连接PPTP的方法。
某公司需要为出差员工提供VPN接入,保证出差员工可以通过VPN隧道安全访问内网服务器资源。分析用户需求,可以通过PPTP VPN功能满足该需求。以下为服务器参考设置表:
注意:上表中的参数仅供参考。
1、增加PPTP地址池
登录路由器管理界面,在VPN >> L2TP/PPTP >> 隧道地址池管理中添加PPTP地址池,点击新增,设置如下:
2、设置PPTP VPN
在VPN >> PPTP >> PPTP服务器设置中设置PPTP服务器参数,点击新增,设置如下:
最大连接数:一个账号允许同时拨号的客户端最大数目。
3、启用VPN-to-Internet通道
在L2TP/PPTP中的全局管理设置,勾选“启用VPN-to-Internet通道”,如下图:
不同PPTP客户端的配置方式有所差异,请选择客户端操作系统,参考对应指导文档:
客户端拨号成功后,可以在PPTP服务器隧道信息显示客户端信息。
终端连接成功后,在VPN >> PPTP >> PPTP服务器隧道信息中会显示对应条目,所示:
至此,PPTP VPN设置连接成功,VPN客户端可以访问上网并访问总部内网。
企业VPN路由器无线穿墙,行为管控,规范员工网络使用
TP-LINK TL-WVR600G 600M双频无线路由器 企业VPN路由器无线穿墙
2.4GHz和5GHz双频同时工作,无线传输速率最高可达600Mbps;5GHz频段具有纯净低干扰的高速无线环境. 外置4根可拆卸单频天线,科学布局,有效降低同频干扰,提供稳定的无线传输性能;专业级功放和低噪音放大器,有效提高无线发射强度和接收灵敏度,无线覆盖范围广,抗干扰能力强。
2.4GHz和5GHz双频同时工作,无线传输速率最高可达600Mbps;
5GHz频段具有纯净低干扰的高速无线环境,可提供更好的无线体验;
外置4根可拆卸单频天线,科学布局,有效降低同频干扰,提供稳定的无线传输性能;
专业级功放和低噪音放大器,有效提高无线发射强度和接收灵敏度,无线覆盖范围广,抗干扰能力强。
支持16个SSID(2.4GHz频段和5GHz频段各8个),可为企业不同部门设置不同的SSID,可实现SSID之间隔离及SSID内部隔离,
灵活管控用户间的无线网络互访权限;
一键设置访客网络,使来访宾客与企业内网完全隔离,确保企业数据安全。
内置专用网络处理器,1Gbit DDRII高速内存,数据处理能力强;
全千兆有线端口,可实现 LAN-WAN间高速数据转发;
双WAN口设计,满足双线接入需求,成倍提高网络出口带宽;
内置工业级高品质电源,适应100V-240V宽电压输入范围,有效抵抗电压波动,适应各类环境;
钢壳设计,散热性能好,屏蔽性好,抗干扰能力更强,环境适应能力更强。
支持IPSec VPN(10条隧道),加密企业和分支机构的机密数据,保障数据安全;
支持PPTP VPN(10条隧道)和L2TP VPN(10条隧道),方便出差员工、移动办公人员远程访问的企业内部服务器,轻松实现远程办公。
内置8大类60多种上网应用数据库,可一键管控QQ、迅雷、同花顺、游戏等常见应用;
支持QQ 、MSN黑白名单,灵活管控企业中QQ、MSN的使用权限;
支持网址过滤和网页安全功能,内置十几类共几百个网址数据库,只需勾选相应网站类别即可限制员工对相应网站的访问;
行为审计软件,用于企业网络的上网行为监控、记录和分析。可定制化导出报表功能,满足多种报表需求。
南京金奇石公司—南京知名网络分销商,无线方案解决商!代理品牌:华为、中兴、美国网件、Broadlink智能家居、H3C、飞鱼星、TOTOLINK、TPLINK、极路由、光点。