无线路由器实现VPN穿透(vpn pass-through)的原理

使用VPN的好处在于可以保证数据在广域网传播的安全性,因此很多远程办公的用户都会采用VPN的方式来登陆企业内网,不知道细心的朋友有没有发现一个问题,如果用户位于无线路由器的后方并且没有开启VPN穿透(vpn pass-through)功能的话,是无法成功的拨入位于远程网络的VPN服务器的,其实原因说来并不复杂,且听我慢慢道来。

VPN的常用类型

在说VPN穿透的时候,先来普及一下VPN的常用类型有哪些:

VPN类型
  • PPTP VPN:点对点隧道协议,工作在数据链路层,必须在IP网络中使用,在WINDOWS系统中建立的VPN客户端默认就是使用PPTP,验证方式可选PAP或者CHARP。
  • L2TP VPN:第二层隧道协议,同样工作在数据链路层,和PPTP不同的是,L2TP还可以在帧中继、X.25等网络中使用,WINDOWS上建立VPN客户端时可以选择使用L2TP。
  • IPSEC VPN:工作在网络层,相对于上边两种,IPSEC VPN可以为数据提供数据认证、数据完整性和加密性三种保护,安全性毋庸置疑,缺点就是开销太大以及配置复杂。

NAT的类型

无线路由器共享INTERNET连接的原理就是利用的NAT,下面再来说说NAT的几种类型,这部分不但是普及常识,还是为后文做铺垫哦:

nat的类型
  • 静态NAT:这种NAT就是内网的每个私有IP转换为对应的公网IP,属于一对一的方式,因此,内网有多少私有IP,就需要多少公网IP。
  • 动态NAT:这种NAT有一个公网IP池,当内网私有IP需要上网时,会在池中挑选一个公网IP进行映射。
  • 端口NAT:这种NAT只有一个公网IP,内网私有IP的数据包发送到外网时,NAT设备会将数据包的源端口修改掉,源IP修改为公网IP,无线路由器就是采用这种方式的NAT共享连接。

VPN穿透(vpn pass-through)

该说正题了,我们以使用AH安全协议的的IPSEC VPN为例进行说明,先来看看数据包结构:

IPSEC  VPN包结构
  • IP包头:IP包头中包括源IP地址和目的IP地址,其中隧道模式中会将原始IP包头进行再次封装。
  • AH头:这里包括载荷长度以及验证数据等信息,其中验证数据就包括采用算法对载荷进行校验得出的数据,目的就是防止数据被篡改。
  • 数据:包括传输层及以上的数据,其中源端口和目的端口信息就在这里。

大家将上边的这些内容综合起来想一下,如果无线路由器更改了VPN数据的源端口,那么当VPN服务器第二次校验数据时,结果势必和原来保存在AH头中的信息不一致,这样的话VPN服务器会认为数据被篡改从而导致连接失败,因此,无线路由器后边的朋友用到VPN的时候切记要开启VPN穿透(vpn pass-through),方法在TP-LINK无线路由器配置SPI、VPN、ALG一文中有说到,大伙有空不妨看看,更多关于无线路由器的设置请速度围观无线路由器设置大全http://www.today-wx.com/special