背景图来自 Bing
2217 字
预计 11 分钟
... 次阅读
自建虚拟网,在校园网内各处都可使用自己的宽带
1 需求分析
在高校中我们一般使用校园网,同时目前大多数高校也都实现了校园网全覆盖。不过也有不少朋友因为校园网限速、限量等原因,会在宿舍等位置办理自己的宽带。但是宽带只能覆盖到安装的位置,在此位置之外还得用校园网。
假如现在有一些在非宽带安装位置的用网需求,例如需要在办公室下载一个大文件,但是校园网限速限量,这时候我们就很希望能临时用一下自己的宽带完成下载。其实这个是可以办到的。下面就来提供一种利用自建内部虚拟专用网服务的解决方案。
WARNING
本文所述内容并不会修改和破坏校园网的基础结构,仅供临时使用,切莫擅自破坏公共计算机网络系统设施!
本文所述设备均未涉密,切莫擅自破坏机密数据的安全!
本文仅供学习交流,请勿用作不良用途!
2 基础条件
首先先来介绍本文场景下使用到的设备和基础条件:
- 一个支持双WAN的网关(本文采用的是锐捷EG105GV2,海鲜市场二手不算很贵,这玩意也没必要追求很好的成色)。
- 已经装好宽带,光猫拨号就可以了。本文场景预设宽带位置在宿舍,光猫分配IP网段为
192.168.30.*,通过IP和Mac绑定即网关内的静态IP设置,将宽带连接网关的IP固定为192.168.30.2。 - 校园网,后续可通过网关设置静态IP以把IP固定下来,不过这方面设置还要视学校具体情况为准。本文场景下,校园网内部通信不会扣流量且默认千兆,校园网IP被固定为
10.13.137.251。 - 办公室的Windows电脑,已经接入校园网,IP无所谓,后续接入宿舍宽带。
- 办公室的群晖NAS,已经接入校园网,IP无所谓,但具有固定IP
10.4.73.48。因其IPv4接入校园网但没有访问Internet的权限(不是因为保存有机密内容,而是无法登录校园网、缺少维护导致的),因此后续也需要接入宿舍宽带以通网。
3 操作步骤
3.1 硬件连接
- 在宿舍安装网关。将光猫引出的网线接到网关WAN0口,将校园网的网线接到网关WAN1口,其余宿舍内有线用网设备接到网关其它的LAN口,这里锐捷网关默认分配的局域网IP段为
192.168.110.*。 - 如果同时需要在宿舍使用宽带作为无线网络,可以将无线路由器设置为有线中继模式,并将其接到网关LAN口上,路由器这边具体插WAN还是LAN口,视具体型号和路由器设置页提示决定。
- 如果路由器没有有线中继模式,则需要先在路由器设置页关闭DHCP,并将LAN口IP设到网关的同一网段,如设为
192.168.110.2(最后一位随便写,视具体连接设备决定),然后将路由器的任意LAN口连接网关LAN口连接。 - 目标主机在办公室可以任意使用有线或无线接入校园网,或者还有一种情况,就是办公室路由器WAN接入校园网并构建了一个小局域网,这种情况下接入这个小局域网也是可以的。
3.2 网关配置
- 因为我们在网关上同时接入了校园网和宽带,因此需要做一些预先配置。例如两网络的静态IP、主备模式、负载均衡、限速策略等。以便网关合理分配压力。在本文场景下,我们就将网络调成了主备模式,主用宽带,且智能负载均衡。这些设置既会影响宿舍的使用,也会影响之后虚拟网的用网。
- 配置路由表,为一些必须要走校园网或必须要走宽带的服务设置路由。例如在本文场景下,我们将校园网登录服务器
10.100.90.249、群晖NAS10.4.73.48、校内NTP服务器10.15.25.23等设置静态路由走WAN1,其它局域网地址10.0.0.0设置策略路由走WAN1。 - 创建VPN服务器。虽然锐捷网关支持多种VPN服务器类型,但综合考虑限速、稳定性、兼容性、连接复杂程度、实际适用性等多方面因素,最终还是考虑使用PPTP协议VPN服务器。虽然这个协议安全性差,但我们是内网私人使用,也不涉及机密信息,安全性要求就没必要特别高,但对速度要求会比较高。其实速度和加密可以视为两个极端,实际应用时只要在两个端点之间找到最适合的点即可。之前尝试加密强的协议如IPSec,峰值速度只有40Mbps,这跟直接用校园网没什么区别了。
| 协议 | 速度 | 安全性 | 稳定性/抗干扰 | 最佳应用场景 |
|---|---|---|---|---|
| WireGuard | 极快 | 极高 (现代加密) | 优 (网络切换不掉线) | 追求高速度、流媒体和游戏 |
| IKEv2/IPSec | 快 | 高 (强加密) | 优 (极适合手机) | 移动设备、需快速重连的场景 |
| OpenVPN | 中等至快 | 极高 (灵活) | 很高 (适应性强) | 需要高安全性、高可配置性 |
| SSTP | 中等 | 高 | 高 | Windows 用户突破防火墙 |
| L2TP/IPSec | 中等 | 中等 | 中等 | 老旧设备兼容性要求 |
| PPTP | 最快 | 低 | 较低 | 低安全需求的系统 |
- 锐捷的VPN服务器需要配置账号密码,建议为每个将要使用的设备都分配一个独立的账号密码,并尽量不要将一个账号用于多个设备,便于后续对在线设备进行区分,也便于设置限速策略避免“拉爆”主宽带。因为通过VPN接入网关的设备不会上报MAC地址,IP是动态分配的,我们分辨设备基本只能靠账号。锐捷支持用户组的设置,我们可以将所有账户统一放在同个用户组以进行设定。
- 实际创建PPTP VPN服务器时,我们的配置如下:
| 配置项 | 值 |
|---|---|
| 名称 | 自行输入即可 |
| VPN类型 | PPTP |
| 接入方式 | 用户接入企业VPN(作为服务端) |
| 出口IP | 填写宽带分配给网关的WAN0 IP,这里就是192.168.30.2 |
| 本地隧道IP | 填写VPN接入的网段,这里设置为192.168.111.0,以区分主网段 |
| IP地址池 | 192.168.111.1--192.168.111.32(设备接入VPN动态分配的虚拟IP) |
| MPPE | 加密,可选,这里就关了 |
| 流量控制 | 建议根据实际情况设置,以防VPN拉爆主宽带 |
最后,保证服务器配置状态为启用,这样网关就配置成功了。
4 用户端配置
用户端配置就很简单了,下面简要说明,只要保证用户端接入了校园网,配置好即可使用。
4.1 Windows 电脑的配置
- 以Win11为例,在Windows搜索框中搜索添加VPN连接,进入设置界面。
- 点击添加VPN,弹出添加窗口。
- 窗口内按照下方配置填写:
| 配置项 | 值 |
|---|---|
| VPN提供商 | Windows(内置) |
| 连接名称 | 自定义即可 |
| 服务器名称或地址 | 填写校园网分配给网关的WAN1 IP,这里就是10.13.137.251 |
| VPN类型 | 点对点隧道协议(PPTP) |
| 登录信息的类型 | 用户名和密码 |
| 用户名 | 填写你分配给这台电脑的账户名 |
| 密码 | 同上 |
| 记住我的登录信息 | 如果是自己的常用设备,可以勾选 |
- 保存配置后,点击“连接”,看到系统托盘的网络图标上出现一个蓝色的盾牌,就连接成功了。Win11还可以将VPN添加到右下角快捷开关,一点即连。
4.2 群晖NAS的配置
- 以DSM 7.3.1为例。打开控制面板—网络—网络界面,点击新增—创建VPN配置文件。
- VPN连接方法选择PPTP,下一步。
- 按照4.1所述的配置表格填写方式,填写配置文件名称、服务器地址、用户名称、密码,下一步。
- 认证选择MS CHAP、加密按照服务端的配置选择,这里就选No MPPE,勾选VPN连接丢失时重新连接。确定,即添加完成。
- 然后选中新创建的VPN配置,点击连接,等待连接成功。
- 点击管理—服务顺序,将**VPN(网关192.168.110.0)**拖到顶部,确定即可。这样,NAS就也成功通网了!
自建虚拟网,在校园网内各处都可使用自己的宽带
评论
正在加载评论...
文章最后更新于: 2 天前
部分信息可能已过时,请留意时效性
公告
欢迎来到月半菌的博客!现在博客还处于内部预览阶段,将于2026年春节正式上线!感谢您的浏览测试,欢迎提出宝贵意见!