Remote Access VPN

• 有時人在外面，需要連回公司的電腦，這時就可以使用 Remote Access VPN

只要我的電腦能連上 Internet,就能連到公司 VPN 的 Public IP,

我要連到 200.100.6.6，我們在 VPN 上就可以設一個帳號密碼，除非你帳號密碼對，我才讓你撥通，所謂撥通，就是連通的意思

假如你帳號密碼不對，我就不讓你連通; 假如連通後，我們還要規劃一個 DHCP 的角色，也可以這台 VPN 來扮演

我們會在這台 DHCP 規劃一個內部 Private IP 的範圍，假如你的帳號密碼對，我就會從這個 Private IP 的範圍內配一個 IP 給你

這時你的筆電就會多一個 IP, 192.168.3.X 的 IP

假如我要去連這台 File Server 3.220，這時候，我的封包就會封裝兩個表頭，裡面是 3.X 要去連 3.220 這台 File Server,

前面的封包還要封裝 Public IP, 封包才能連上 Internet,來源 5.5 是我筆電的 Public IP, 目的 6.6 是 VPN 對外的 Public IP，

因為前面是 Public IP, 所以 ISP 就可以幫你連上 Internet，幫你傳到 VPN,

VPN 到封包後，就會幫你把前面的 Public IP 剖掉，這時候，這個封包就剩下內部的 Private IP,

VPN 看到你目的 IP 是 3.220 ，就幫你把這個封包傳到 3.220 的 File Server

所以透過 VPN 的撥接，我們人在外面，家裡，就可以連入公司內部的 Private IP, 這也是常聽到的翻牆，可以翻到司內部

• 另外一種情況，假設這台是我台灣的筆電，這台是美國的 VPN, 當我撥通連入內部，我的 IP 已經是美國內網的 Private IP,

這時候，我的封包再透過美國內網的 NAT 連上 Internet, 美國 NAT 就會用它的 Public IP,把這個來源換掉，

這時候，對方就會誤以為我的封包是來自美國的 Public IP, 事實上，這個封包是我台灣的電腦送出去的，這也是翻牆的另一種應用

• 觀念整理

VPN 是一種封裝的技術，所以它會有兩個表頭，我在 Private IP 的前面，再封裝一個 Public IP, 我這個封包就可以連上 Internet,

透過 Internet 的好處，除了速度快，方便，又便宜

在 Internet 傳輸時，你可以決定橘色這一塊是不是要加密，粉紅色的這一塊，是不能做加密的，不然封包就無法辯識封包的來源 IP

• 範例

筆電 ping 公司 File Server,無法連通

VPN 內容-目的主機 IP

VPN 安全性-資料加密

VPN 輸入帳密，進行連線

VPN 連線後，觀察 ipconf, 會多一個內部 IP, 這個就是 VPN 透過 DHCP 給我們公司內網的一個 Prvate IP

筆電 ping 公司 file server, 可以 Ping 通

檔案總管，連到公司 220 File Server 的 C 槽，可以進行檢視和檔案的新增/刪除/修改，剪下，貼上的操作

連續 ping 公司 Filer Server

Wireshark 抓 VPN 封包，只能查看 VPN 的 Public IP, 打開封包，看不到內部 IP，因為是在設 PPP的撥接時，我們有設需要加密

就會把封包橘色這塊加密起來，當 VPN 拿到封包時，會把粉紅色這塊剖掉，解密橘色這塊

VPN 再把解密後的 Private IP，封包內容，透過內網的介面，傳給 3.220

WireShark 有內部和外部網路的介面

WireShark 抓內部網路封包

可以看明明白白，沒有加密

這就說明加密只有從 VPN Clinet 到 VPN Server 這段，封包在內部網路傳輸這一段是沒有加密的