【問題】居易vigor router設vpn問題

[cheerx]

不好意思,linux_xp兄台有一點說的不太對.

在沒有特別設定的情況下,PPTP只是一個通道協定,沒有一定要加密,所以並不是所有的VPN都是一定有加密的.很多的防火牆或是VPN路由器預設的PPTP用戶端都是沒有加密的.

[linux_xp]

個人以為若以 VPN 的原始定義來說
是在 Public Network 使用金鑰加密技術，形成一個不容易被竊聽的安全連線
沒有加密的連線，是不安全的，不能稱之為 VPN

像中華電信有一些 VPN 的服務，那是在 ISP 路由端動手腳
有沒有加密不知道
但那已經不是 Virtual Private Network, 虛擬私人網路

重點在「虛擬」兩字
實際上類似中華電信那類的服務
就意義上來說，根本就是 Private Network
它沒有必要灌上 Virtual 這個字，因為它不是虛擬的，是真正的私人網路
說成 VPN 大概是廣告方便吧，畢竟 VPN 這個詞，一般人比較容易瞭解


低階的硬體式防火牆或是VPN路由器
之所以預設不加密，猜測大概是 CPU 跑不動
要進行 128bit 最低要求的加/解密，需耗用大量 CPU 運算資源

低階機器普遍 CPU 等級都不高
光是應付 NAT、firewall封包檢測、QoS，就忙不過來了
若 VPN 再開啟加密，肯定是會有 CPU 負荷不了， LAG 的情況發生

這種作法是 cost down，增加賣點
反正功能都是程式碼，寫在軔體裡，不用硬體零件成本的，不加白不加
多一個 PPTP 功能，功能愈多愈好賣

但是不加密的 PPTP，是否能稱作 VPN？
這一點恕無法苟同...

VPN 很重要的一個特點為：它必須是安全通道
VPN (Virtual Private Network)
Private Network 的意思為此通道不被探測
Virtual 的意思為建立在 Public 網路，虛擬 (加密技術）而成

而不加密的 PPTP，什麼都不是，就只是 Public Network
任何有心人士，皆可以攔截封包，探取資料
因此它不能稱之為 VPN，這是單就 VPN 的定義來說

[cheerx]

所謂VPN的定義並不是你我認為,我想這是您跟小弟會有爭議的地方,電腦的很多名詞都是有國際標準組織討論過而定義的,如果你跟我覺得是怎樣就可以自己亂喊的話,那只會讓大家一團霧水而已.

關於VPN的定義早就有標準的組織有詳細的規範,請您參考正確的VPN定義

http://www.vpnc.org/vpn-standards.html

裡頭RFCS的部分有提到,VPN只是一種需要確認的連線方式.安全的VPN才是會強制要求加秘的.

VPN的字面意義上就沒有一定要加密,他指的是一個虛擬的私有網路.當然我們會建議一般的使用者在架設VPN的時候不管是LAN TO LAN或是CLIENT TO SERVER都最好採用加秘的方式.不過並不代表所有的VPN都是一定有加秘.

PPTP是廣泛被接受的一種VPN連線方式,早期由微軟所制定,最初他只是在封包前面加上FRAME而已,完全沒有加秘機制.後來因為安全上的顧慮,才有人把MSCHAP一類的加密方式加入.

還有一點您觀念不正確的地方就是,多數的VPN路由器或是小型防火牆的CPU都內建AES或是3DES加解密的電路,就跟以前VCD剛推出的時候有人拿MPEG解壓縮卡看VCD類似,做這部分的VPN加解密是不會消耗CPU資源的,並不是您想的那樣.

之所以會提供PPTP可以選擇不加秘連線主要的原因是因為所有的加秘動作都有些許的延遲,有的人並不認為他的VPN有加秘的必要性,所以這些機器是提供可以加秘或是不加秘的.如果您不是很了解的話建議您不要輕易的發言,畢竟很多初學者看了沒有求證就相信了.但是您的很多想法都是您認為的,卻未必是事實.

小弟自己是生意人以和為貴,當然是不希望跟任何人發生爭執,不過小弟知道看您文章的人也不少,所以希望您也用嚴謹一點的態度來面對您的讀者.

[linux_xp]

不太明白是哪一篇 RFCs 有提到，那網頁裡有太多 RFCs 文件

不過它開宗明義有提到，VPN 分兩種：

For secure VPNs, the technologies that VPNC supports are

* IPsec with encryption
* L2TP inside of IPsec
* SSL with encryption

For trusted VPNs, the technologies that VPNC supports are:

* MPLS with constrained distribution of routing information through BGP ("layer 3 VPNs")
* Transport of layer 2 frames over MPLS ("layer 2 VPNs")

1.安全 VPN：需要 IPsec 或 SSL 加密

2.值得信賴的 VPN：Layer 3 with routing information （大概是中華電信那一種），Layer 2 的 (這應該不是跑在 Internet 的）

--------------------------------------------------------

其實機器多一個 VPN 功能沒什麼不好的
站在消費者立場，同樣價錢，能買到多一個 VPN，當然好
有總比沒有好，多多益善

即使是沒有加密的，仍有它的用處所在
例如此篇樓主的問題，就是一個很好的應用
有些網站的確是會偵測國家 IP，利用 VPN 可突破這種限制
而有時候瀏覽網站，資訊並不重要，並不需要加密

內建加密晶片，我相信是有的，只是要成本
類似 VoIP 的機器，肯定都有內建語音壓縮晶片
也可能是整合式晶片，一顆晶片有多種功能

如果高階機器有內建這種加密晶片，想不通有什麼理由預設不開啟
畢竟它是硬體即時解碼的，不會拖慢 CPU 速度
低階機器預設不開啟加密，比較有可能是成本因素，沒有內建加密晶片吧....

又或者同樣加密晶片，可能也有分等級，能即時處理愈大量資料的，愈貴
考量到低階機器的售價，可能是有內建
但晶片的等級不高，即時處理量有限的關係，所以預設不開啟

畢竟顯示卡若有內建硬解 H.264 的電路
使用的人有什麼理由不開啟硬體加速？
就好像路由器防火牆內建加密晶片，原廠有什麼理由不開啟？
總不可能說多加那顆晶片多花錢，結果裝好看的，邏輯上說不通
貌似是有什麼因素，才會預設不開啟....這樣說不知道有沒有道理


不過 VPN 有些情況，也是非加密不可
例如要突破國家級長城防衛系統之類的
如果說，有人聽信 VPN 很安全，買了機器，以為高枕無憂
結果情報卻被攔截監聽，被和諧
後來才發現原來是沒加密的 or can't trusted
感覺上，廣告、包裝、說明書上有註明比較好
所謂 VPN 功能，是否 secure or trusted
然而這麼大的廠牌，相信它應該是有註明的吧

[cheerx]

那個不叫開宗明義好不好,請你仔細看第一段的英文再說什麼,你提到的部分只是要解釋secure VPNs和trusted VPNs的差別.

另外RFCS的大標題只有一個,小弟不知道您在哪邊看到很多個.

拜託你不要在可能或是應該了,請你確定你懂再發文好嗎?

ISP業者提供的MPLS VPN實際上的運作方式還是在她們的大型路由器或是防火牆上提供一組虛擬的路由讓一些企業租用,他跟其他INTERNET的用戶是走同一個路由器,這也不是你覺得他不是VPN就不是的.你知道初學者有可能因為看了你的猜測和錯誤觀念將來找工作被打槍打到爆嗎?

不管是依賴軟體加解密或是硬體加解密,很少有vpn的路由器目前沒有加密的功能.問題只是在使用者可以開可以不開,因為開了會稍微影響封包的反應速度,就算有硬體加速也一樣,所以機器一定是提供可開可不開,讓使用者依據需求自己決定.不是什麼機器上要不要COST DOWN,有沒有做上去.不要再猜了,拜託.

這跟看H.264的影片要不要開顯卡加速的情況是完全不一樣的.

[huangmax]

linux_xp兄, 請去看一下rfc 2637再來爭論這個問題好嗎?

在這pptp的rfc裡它說了, pptp是A client-server architecture is defined in order to ecouple functions which exist in current Network Access Servers (NAS) and support Virtual Private Networks (VPNs).

在rfc 2764 他說a VPN is simply defined as the 'emulation of a private Wide Area Network (WAN) facility using IP facilities' (including the public Internet, or private IP backbones). As such, there are as many types of VPNs as there are types of WANs, hence the confusion over what exactly constitutes a VPN. 完全沒提到vpn非得加密.

另外加密必須是server跟client都得做! 也許server的硬體做得到, 但client可不一定. client可能是一些像ip phone之類的周邊, 它能做的越便宜越好好, 而且它很在意聲音的品質, 能不增加delay就不要增加. 所以router的vpn內定加密關掉, 是比較保險的.

[linux_xp]

另外RFCS的大標題只有一個,小弟不知道您在哪邊看到很多個.

RFCs

IETF (Internet Engineer Task Force, 網際網路工程任務小組) 將其決定編撰到文件中，稱作 "需求條件的解釋" （註：Requests For Comments，RFC)。這些文件幾乎普遍的以縮寫名詞 RFCs 稱之。RFC 文件是網際網路構成的標準。

RFC 文件的標準化程度，不是僅取決於"如何最好"，而是如何廣泛得落實和檢查。某些 RFCs 文件並不是嚴謹的標準，但是它們對網際網路的技術文件來說仍具有極大價值，因此應被用來作為指導方針貫徹落實所謂 VPN 。

為給 VPN 的用途下定義，任何來自 IETF 的 RFC 文件裡面提到的協定，是可以被看作為標準的。無疑地，任何 IPsec (IP Security 簡寫，一種安全性協定）相關的 RFC 文件，被認為是 IETF 之"標準歷程" （註：向下相容，新的不推翻舊的意思），無疑地，也應被視為一個標準。

這好像是在解釋 RFC 做啥用的吧....

裡頭好像沒提到有關協定或定義之類的東西...

[linux_xp]

linux_xp兄, 請去看一下rfc 2637再來爭論這個問題好嗎?

在這pptp的rfc裡它說了, pptp是A client-server architecture is defined in order to ecouple functions which exist in current Network Access Servers (NAS) and support Virtual Private Networks (VPNs).

VPN Protocols 中
不包含 RFC 2637 - Point-to-Point Tunneling Protocol 這個文件

and support，好像是 "並且支援" 的意思...

PPTP 是構成 M$ VPN 的一部分
但不是全部，尚有 MMPE 和 MMPC...等技術協定

這是完整版和缺省版的差別

有些手機可以上網，但不一定能看 Flash
可能有人聽說手機可以上網，高高興興買了一支
愉快歡欣的連接上網路，一如往常的去看最喜歡的視訊網站
咦～怎麼不能看，不是說能上網！？

又或者也可以稱作認知上的差別

在rfc 2764 他說a VPN is simply defined as the 'emulation of a private Wide Area Network (WAN) facility using IP facilities' (including the public Internet, or private IP backbones). As such, there are as many types of VPNs as there are types of WANs, hence the confusion over what exactly constitutes a VPN. 完全沒提到vpn非得加密.

RFC 2764 - Framework for IP Based Virtual Private Networks
3.1.3 節


A VPN tunneling protocol must support mechanisms to allow for
whatever level of security may be desired by customers, including
authentication and/or encryption of various strengths.

一個 VPN 通道協定「必須支援」客戶想要的不管什麼等級的安全機制，包括「認證」和/或「加密」等各式各樣有力 (strengths) 的方法。

strengths 的意思，應該是指堅固、可信賴的安全性。

而這一段也說明了，是不論方法的，只要是有安全性即可。

就 M$ VPN 來說，它並不是單純的加密，而是金鑰加密，兼具認證和加密。SSH 之類的安全傳輸也都是用類似的金鑰加密技術。

另外加密必須是server跟client都得做! 也許server的硬體做得到, 但client可不一定. client可能是一些像ip phone之類的周邊, 它能做的越便宜越好好, 而且它很在意聲音的品質, 能不增加delay就不要增加. 所以router的vpn內定加密關掉, 是比較保險的.

這樣說好像在暗示手機之類的也能用 VPN，但其實是不能
一個最明顯的地方，請問要如撥接？

PPTP 撥接程式是 windows 內建的，iPHONE 沒這個東西
事實上，其它 unix-like 作業系統也沒有
可能連 M$ mobile OS 都沒有，至少我用很久沒看見有內建

但也並非無法使用，可以額外安裝第三方開發的應用軟體來進行連線
若有加密，軟體會靠 CPU 運算

也許裝軟體後可以使用 （假設有這個軟體）
CPU 跑不跑的動，那又是另一回事了，沒有絕對關聯
應用不同使然，就好像不能要求 EeePC 去跑耗資源的軟體
它是電腦當然都可以跑，問題只在跑不跑的動

如是機器對機器的 VPN
然後手機靠 wifi 或 3G 連上機器在走 VPN，這樣不算

[oznature]

請問各位我依據http://www.draytek.com.tw/support/faq/vpn/04.php
設定vpn,但是每次撥接時都出現"there is no answer",請問是那個部分出問題,謝謝

請看教學!
http://www.draytek.com.tw/support/faq/vpn/04.php

要從台灣的路由器出去~就勾選 use default gateway on remote network

[FYI]

小弟照著做就成功了, 雖然畫面略有不同, 不過掌握重點就對了, 請您一步一步來, 先測試Ping Vigor2100VG

最好先在本地實驗, 以確定流程無誤, 直接從遠端實驗很難找出問題, 小弟利用Hinet 提供8 組IP 的特性, 先在本地進行交叉實驗, 實驗成功之後才將方法交給在大陸的同事, 也是一試就成功, 僅安裝Smart VPN Client, 並未調整MTU, 接著小弟參考Smart VPN Client 所建立的 "To Vigor" 撥號連線, 自行手動建立一個VPN 撥號連線, 也是一試就成功, 請注意核對教學網頁, 是否疏忽了小細節, 請以Sysinternals TCPView 觀察連線過程

曾在VigorClub 看到一個方法, 建議將MTU 調小, 小弟採用1440, 提供您作參考