TPLINK路由器设置家庭VPN访问内网NAS

本文旨在帮助NAS用户安全的传输自己的资料.

目前很多人把群晖5000端口通过路由器映射出来放到公网,尤其是直接使用DDNS时不使用SSL证书,安全性不高,建议使用VPN.

1. 本教程基于:

1.VPN服务器: TL-R479GP-AC(1.1.2 Build 20180814 Rel.79836), 内网地址(192.168.1.1)
2.VPN客户端: iPhone(iOS 13.5) - VPN
3.子网掩码 (255.255.255.0)
4.DHCP (192.168.1.100 - 199)
5.内网设备: 群晖(6.2.3,绑定静态IP,192.168.1.10)

2. 登陆路由器后台界面,点击VPN -> L2TP -> L2TP服务器 -> 新增.

服务器接口: WAN
IPSec加密: 加密
预共享密钥: TheKeyOfIPSec (对称密钥,随便写)

3. 点击VPN -> 用户管理 -> IP地址池 -> 新增.

地址池名称: L2TP_Pool (随便起名)
起始IP地址: 192.168.1.50  (地址随意,只要是内网地址就行,最好和群晖在同一个网段)
结束IP地址: 192.168.1.59 

4. 点击VPN -> 用户管理 -> 用户管理 -> 新增

用户名: ZhangSan (客户端登身份识别账号)
密码: 12345678 (客户端登身份识别密码)
服务类型: L2TP
本地地址: 192.168.2.1 (网关地址,不可跟内网网关192.168.1.1重复) 
地址池: L2TP_Pool (选择第3步创建的地址池)
地址范围: 192.168.1.50 - 192.168.1.59 (选择地址池后自动生成)
DNS地址: 202.106.196.115 (根据运营商选择推荐的DNS)
组网模式: PC到站点 (PC代表你登陆VPN的手机设备等,站点代表路由器)
最大会话数: 10 (1 - 10随便写)

5. 点击高级功能 -> NAT设置 -> NAPT -> 检查是否存在

// 默认应该有的
规则名称: NAT_LAN_WAN
出接口: WAN
地址范围: 192.168.1.0 / 24 

6.客户端 -> 新建VPN -> L2TP

类型: L2TP
描述: 随意
服务器: 使用DDNS域名或者路由器公网IP地址.
账户: ZhangSan
密码: 12345678
密钥: TheKeyOfIPSec
发送所有流量: 关闭
ps: 
假如我有一个群晖位于家里路由器后的内网,地址为192.168.1.10.现在请求192.168.1.10:5000.
因为iPhone的VPN软件会默认把跟客户端在同一网段(192.168.1.*)的请求发送给VPN服务器.所以这里不用打开VPN设置: 发送所有流量.
但是,如果第4步,分配的地址池为10.0.0.0 - 10.0.0.9.就不和NAS在同一个网段,访问192.168.1.10:5000的时候,VPN软件就不会把请求转发到内网了,你只会访问到当前路由器下面的那个192.168.1.10主机.

7. 尝试连接VPN.不出意外可以连接成功.路由器地址(192.168.1.1 或者 192.168.2.1)访问.群晖NAS(192.168.1.10:5000).

参考: https://service.tp-link.com.cn/