VPN Dashboard (Oprogramowanie v4.7 i wcześniejsze)

Uwaga: Ten przewodnik dotyczy oprogramowania v4.7 i wcześniejszego. W przypadku nowszych wersji zapoznaj się z dokumentacją tutaj.

---

Zaloguj się do panelu administracyjnego i przejdź do VPN -> VPN Dashboard.

Strona VPN Dashboard przedstawia stan i ustawienia VPN. Zawiera dwie sekcje: Klient VPN i Serwer VPN.

Klient VPN

Na początku nie ma dostępnej konfiguracji dla OpenVPN ani WireGuard. Kliknij Set Up Now, aby przejść odpowiednio do stron Klient OpenVPN i Klient WireGuard.

Po zakończeniu konfiguracji możesz wybrać plik konfiguracyjny w kolumnie Plik konfiguracyjny.

Opcje klienta VPN

Kliknij ikonę koła zębatego przy OpenVPN lub WireGuard.

Opcje klienta OpenVPN.

Opcje klienta WireGuard.

• Zezwalaj na zdalny dostęp do LAN

  Jeśli ta opcja jest włączona, urządzenia podłączone do routera mogą uzyskiwać dostęp do sieci LAN po stronie serwera VPN, co wymaga również odpowiednich ustawień po stronie serwera VPN.

  Na przykład na poniższym rysunku, gdy ta opcja jest włączona, oznacza to, że Twoje urządzenie może uzyskiwać dostęp do NAS, lecz nadal wymaga to, aby serwer VPN zezwolił na dostęp do NAS w swojej podsieci.

  

• Maskowanie IP

  Jeśli ta opcja jest włączona, gdy urządzenia klienckie w sieci LAN wysyłają pakiety IP, router zastępuje źródłowy adres IP swoim własnym adresem, a następnie przekazuje je do tunelu VPN.

• MTU

  Skrót od Maximum Transmission Unit (maksymalna jednostka transmisji). Wartość MTU ustawiona dla instancji nadpisuje parametr MTU zawarty w pliku konfiguracyjnym.

Tryb proxy

Jak na powyższym rysunku, aktualny tryb proxy to tryb globalny. Kliknij Global Proxy, aby przełączyć się na inny tryb. Dostępne są 3 typy: Global Proxy, Policy Mode i Route Mode.

1. Global Proxy

   Cały ruch będzie przesyłany przez VPN. Może być aktywna tylko jedna instancja klienta VPN.

2. Policy Mode

   1. Na podstawie docelowej domeny lub adresu IP.

      W tym trybie przez VPN będzie przesyłany tylko ruch określonych witryn, zdefiniowanych według adresu IP lub nazwy domeny. Może być aktywna tylko jedna instancja klienta VPN.

   2. Na podstawie urządzenia klienckiego.

      W tym trybie przez VPN będzie przesyłany tylko ruch wybranych lokalnych urządzeń klienckich, zidentyfikowanych według adresu MAC. Może być aktywna tylko jedna instancja klienta VPN.

   3. Na podstawie sieci VLAN.

      W tym trybie przez VPN może przechodzić tylko ruch z określonej sieci VLAN. Może być aktywna tylko jedna instancja klienta VPN.

3. Route Mode

   1. Automatyczne wykrywanie

      Stosowane są reguły routingu zdefiniowane w każdym pliku konfiguracyjnym klienta VPN lub wydane przez serwer VPN.

   2. Niestandardowe reguły routingu

      Możesz ręcznie skonfigurować reguły routingu dla każdej instancji klienta VPN.

Opcje globalne klienta VPN

Kliknij Global Options, aby otworzyć okno dialogowe opcji globalnych.

1. Blokuj ruch spoza VPN

   Jeśli ta opcja jest włączona, cały ruch urządzeń klienckich próbujący ominąć tunel VPN zostanie zablokowany. Skutecznie zapobiega to wyciekom VPN spowodowanym konfiguracją DNS klienta, zerwaniem połączenia VPN, żądaniami aplikacji klienckich bezpośrednio po adresie IP itp.

   Funkcja ta jest znana również jako VPN Kill Switch. Jej zadaniem jest ochrona danych przed wyciekiem do sieci. Większość dostawców VPN oferuje funkcję Kill Switch, która automatycznie odłącza komputer, telefon lub tablet od internetu w przypadku zerwania połączenia VPN. Funkcja blokowania ruchu spoza VPN w routerach GL.iNet obsługuje więcej scenariuszy naruszenia bezpieczeństwa, w tym poniższe sześć przypadków:

   1. Wyciek DNS

   2. Wyciek IPv6

   3. Wyciek WebRTC

   4. Zerwanie połączenia VPN

   5. Programy uruchamiane przed nawiązaniem połączenia VPN

   6. Wycieki specyficzne dla aplikacji

2. Zezwól na dostęp do WAN

   Jeśli ta opcja jest włączona, podczas aktywnego połączenia VPN urządzenia klienckie nadal będą mogły uzyskiwać dostęp do WAN, np. do drukarki lub NAS w nadrzędnej podsieci.

   

   Jak pokazano powyżej, po włączeniu tej funkcji urządzenie zyska dostęp do urządzeń w podsieci nadrzędnej, takich jak drukarka czy NAS.

   Głównym zastosowaniem jest umożliwienie klientom dostępu do urządzeń w podsieci nadrzędnej. Router nie jest jednak w stanie rozróżnić podsieci nadrzędnej od Internetu, dlatego jeśli ruch z urządzeń klienckich jest kierowany bezpośrednio przez adres IP, może wystąpić ryzyko wycieku. Z tego powodu ta opcja i blokowanie ruchu spoza VPN wzajemnie się wykluczają.

3. Usługi GL.iNet używają VPN

   Jeśli ta opcja jest włączona, usługi routera, które zazwyczaj wymagają prawdziwego adresu IP, będą korzystać z VPN. Dotyczy to usług GoodCloud, DDNS i rtty. Rtty obejmuje funkcje Remote SSH i Remote Web Access dostępne na stronie GoodCloud.

   Głównym zastosowaniem jest jednoczesne używanie klienta VPN i usług GoodCloud / DDNS. Zaleca się wyłączenie tej opcji, jeśli chcesz korzystać z GoodCloud – w przeciwnym razie stabilność GoodCloud będzie zależeć od stanu połączenia VPN. Jeśli chcesz używać DDNS, musisz wyłączyć tę opcję, gdyż w przeciwnym razie DDNS będzie wskazywał adres IP serwera VPN.

Serwer VPN

Na początku oba serwery VPN nie są jeszcze skonfigurowane. Kliknij Set Up Now, aby przejść odpowiednio do stron Serwer OpenVPN i Serwer WireGuard.

Po uruchomieniu serwera OpenVPN i serwera WireGuard:

Opcje serwera OpenVPN

Kliknij ikonę koła zębatego serwera OpenVPN.

• Zezwalaj na zdalny dostęp do LAN

  Jeśli ta opcja jest włączona, zasoby w podsieci LAN są dostępne przez tunel VPN.

• Maskowanie IP

  Jeśli ta opcja jest włączona, gdy urządzenia klienckie w sieci LAN wysyłają pakiety IP, router zastępuje źródłowy adres IP swoim własnym adresem, a następnie przekazuje je do tunelu VPN.

• MTU

  Wartość MTU ustawiona dla instancji nadpisuje parametr MTU zawarty w pliku konfiguracyjnym.

Reguła routingu serwera OpenVPN

Kliknij ikonę sieci serwera OpenVPN.

W trybie niestandardowych tras klient VPN zignoruje plik konfiguracyjny oraz konfigurację routingu wydaną przez serwer. To, czy do uzyskania dostępu do danego segmentu sieci zostanie użyty szyfrowany tunel VPN, jest określane przez ręcznie zdefiniowane reguły routingu.

Opcje serwera WireGuard

Kliknij ikonę koła zębatego serwera WireGuard.

• Zezwalaj na zdalny dostęp do LAN

  Jeśli ta opcja jest włączona, zasoby w podsieci LAN są dostępne przez tunel VPN.

• Maskowanie IP

  Jeśli ta opcja jest włączona, gdy urządzenia klienckie w sieci LAN wysyłają pakiety IP, router zastępuje źródłowy adres IP swoim własnym adresem, a następnie przekazuje je do tunelu VPN.

• MTU

  Wartość MTU ustawiona dla instancji nadpisuje parametr MTU zawarty w pliku konfiguracyjnym.

• Client to Client

  Klienci WireGuard mogą wymieniać dane między sobą, bez potrzeby stosowania połączeń lokacja–lokacja. Użytkownicy mogą zdalnie uzyskiwać dostęp do urządzeń w sieci domowej lub biurowej. Transfer danych przez serwer WireGuard jest bezpieczniejszy niż przekierowanie portów dzięki procesowi szyfrowania, a po nawiązaniu połączenia jest ono bardziej stabilne i szybsze.

Reguła routingu serwera WireGuard

Kliknij ikonę sieci serwera WireGuard.

W trybie niestandardowych tras klient VPN zignoruje plik konfiguracyjny oraz konfigurację routingu wydaną przez serwer. To, czy do uzyskania dostępu do danego segmentu sieci zostanie użyty szyfrowany tunel VPN, jest określane przez ręcznie zdefiniowane reguły routingu.

Opcje globalne serwera VPN

• Kaskadowanie VPN – jeśli ta opcja jest włączona, a na routerze działają jednocześnie serwer VPN i klient VPN, klienci podłączeni do serwera VPN będą dalej kierowani przez tunel klienta VPN. Dowiedz się więcej o kaskadowaniu VPN.

---

Masz pytania? Odwiedź nasze Forum społeczności lub Skontaktuj się z nami.