DIGI的无线路由器产品是业界可圈可点的一款良心之作,其功能之丰富也是令人称羡不已。虽然这类路由器价格不菲,但可以商用,也可以用作工业用途,甚至用于车载交通上。这款路由器的固件源自运营商广泛使用的Accelerated系列路由器,自从被Digi收购之后,其旗下的Linux路由器产品被整合到DIGI品牌中,相应地开发出多款新的商用或工业用途的无线路由器。虽然这类无线路由器主要特点是支持4G或5G的运营商网络,但是即使不用它内置的无线modem,用作普通路由器,其功能也完全可以藐视市场上主流的竞争产品。
Digi的路由器产品自带多种VPN软件的支持,可以从web界面配置,这里演示这样一种场景:企业总部的DIGI路由器IX20有公网IP,位于远端办公室内,而另一台路由器LR54W用于分公司的办公,需要访问内网时会连到总部的路由器内。访问总部的数据走VPN,访问互联网走本地网络。
VPN的实现有多种方式,这里介绍使用OpenVPN的方法,假定您已经配置好OpenVPN server(参考之前的示例)网段为192.168.14.0/24,那么,您需要在IX20上为分支的LR54新建一个用户,并指定IP地址。
总部IX20配置:
1. 新建用户lr54,指定用户名和密码,并加入到ovpn用户组
2. 在Filesystem的scripts/ccd中,上传lr54文件到该目录,文件内容是分配固定IP的一句“ifconfig-push 192.168.14.10 255.255.255.0”
3. 在Status/Openvpn Server中,下载对应openvpn server的client模反,只需修改模板内的公网IP地址即可,这个模板将要在分支的LR54上传,我们重命名为lr54.ovpn
分支LR54配置
1. 在Filesystem中上传lr54.ovpn
2. 在Openvpn/Clients下新建一个lr54的客户端,用户名和密码为上面IX20中设置的,ovpn文件路径为 /etc/config/scripts/lr54.ovpn
3. 在Status/Openvpn菜单里查看Clients的状态,如果有问题没连上,可点右上角那个配置图标,把该openvpn client服务禁用,检查log和配置文件,然后再启用
我们可以在status/OpenVPN菜单上看到连接成功,但这样就够了么?当然不是,虽然router的192.168.14.10可以走vpn路线,但是连接这台 LR54的其它PC或设备,其网络包是发给LAN口的,我们需要把这些来自LAN口的包也转发到openvpn的线路中,需要在防火墙里开启转发包。事实上,由于192.168.2.x和192.168.14.x并非在同一个内网网段,最好还是把这个client的OpenVPN连接适用的zone定义为external,这样默认会开启Source NAT,才能使用。
假定有一台服务器是192.168.2.30需要走总部线路,可以设置一个policy routing如下:
用traceroute 114.114.114.114检验是否这台服务器的所有包都走VPN线路。