在您自己的網路中設定 VPN 伺服器可讓您在遠端工作時連接到您的網路並存取 NAS 等本機資源。如果您有 UniFi 雲端網關,那麼您可以輕鬆在網路中建立 VPN 伺服器。
使用 VPN 伺服器的另一個優點是您不僅可以存取本地資源,還允許您透過自己的 ISP 連線路由所有網路流量。例如,當使用公共 WiFi 時,這尤其有用。
在本文中,我將解釋如何在最新的 UniFi 網路版本 (8.x) 上設定 UniFi VPN,並且我們將了解一些常見問題。
UniFi VPN 伺服器
在我們了解如何設定和使用 VPN 伺服器之前,讓我們先看看我們的要求和不同的選項。
VPN 伺服器選項在所有 UniFi 雲端網關和一般網關中均可使用。您需要確保執行 UniFi OS 3.x 和 UniFi Network 7.4 或更高版本。請注意,本文是基於 UniFi OS 4.x 和 UniFi Network 8.x。
建立 VPN 伺服器時,您可以選擇三種不同的 VPN 類型:
- 線衛
- 開放VPN
- L2TP
WireGuard 是 VPN 連線的最新技術。它提供比其他 VPN 類型更高的吞吐量,而且非常容易使用。設定 VPN 伺服器後,您只需建立一個新客戶端,共用設定檔(或 QR)代碼,客戶端就可以連線。唯一的缺點是並非所有裝置都支援 WireGuard,但主流用戶端都支援。
提示
確保您結帳只需單擊即可輕鬆連接到網路。
OpenVPN 得到廣泛支持,但吞吐量低於 WireGuard。這意味著您的連線速度會變慢。 OpenVPN 的另一個缺點是它使用更多的 CPU 和記憶體資源。
L2TP 實際上是一種正在失去支援的傳統 VPN 類型。如果您可以選擇使用 WireGuard 或 OpenVPN,那麼您確實應該使用它們。
當 UniFi 閘道放置在另一個路由器後面(雙 NAT)時,可以使用所有 VPN 類型。然而,如果網關有一個公用 IP 位址,那就更好、更容易了。否則,您需要在 ISP 的路由器上轉送正確的連接埠。
配置 UniFi WireGuard 伺服器
在 UniFi 網路中設定 WireGuard 伺服器非常簡單。如果您的 UniFi 閘道位於另一個路由器後面,您需要將 UDP 連接埠 51820 轉送到 UniFi 閘道的 IP 位址。
- 在 UniFi 網路應用程式中,打開設定並點擊VPN
- 打開選項卡VPN伺服器
- 確保VPN類型 線衛被選中
- 給你的VPN 伺服器名稱(此名稱將顯示在 VPN 用戶端中)
- 這伺服器位址應與您的 WAN 連線上的 IP 位址相符。
- 您可以使用備用位址如果您有動態指派的公用 IP 位址,則適用於用戶端。這樣你就可以使用自動更新 DNS 記錄。

當您將進階設定設定為手動時,您可以定義要用於 VPN 用戶端的 IP 範圍(主機位址)和可用 IP 位址的數量。在大多數情況下,將其保留為“自動”就可以了。
新增 WireGuard 用戶端
在客戶端可以連接到 WireGuard 伺服器之前,我們需要在 VPN 伺服器中建立一個新客戶端。您需要為要連接的每個客戶端建立一個客戶端設定檔。
若要新增客戶端,請開啟我們剛剛建立的 VPN 伺服器:
- 點選新增客戶端
- 輸入姓名為客戶
- 下載這設定檔
- 點選添加

如果您想在行動裝置上使用,也可以掃描二維碼。這裡小提示一下,可以點選二維碼放大,更方便掃描。值得高興的是,您可以在新增客戶端後下載設定檔或掃描二維碼。
連線客戶端
所有 WireGuard 用戶端的共同點是您可以上傳設定檔來新增 VPN 隧道。如果你想測試一下,你可以下載並安裝WireGuard 客戶端。有一個版本適用於幾乎所有作業系統,包括適用於行動裝置的應用程式。

打開 WireGuard 用戶端並點擊“從檔案匯入隧道”。選擇您的設定檔以新增您的 VPN 連線。新增配置後,您可以按一下「啟動」以建立 VPN 連線。
設定 UniFi OpenVPN 伺服器
在 UniFi 中建立 OpenVPN 伺服器與 WireGuard 伺服器非常相似。在新增用戶端方面存在細微差別,OpenVPN 的優點是您可以使用 Radius 伺服器對用戶端進行身份驗證。
如果您的 UniFi 閘道位於另一個路由器後面,請確保轉送伺服器端口,預設為 UDP 1194。
- 在 UniFi 網路應用程式中,打開設定並點擊VPN
- 打開選項卡VPN伺服器
- 確保VPN類型 開放VPN被選中
- 給你的VPN 伺服器名稱(此名稱將顯示在 VPN 用戶端中)
- 這伺服器位址應與您的 WAN 連線上的 IP 位址相符。
- 您可以使用備用位址如果您有動態指派的公用 IP 位址,則適用於用戶端。這樣你就可以使用自動更新 DNS 記錄

在「進階」設定下,您可以指定 VPN 用戶端的 IP 範圍並選擇要用於驗證的 RADIUS 設定檔。後者是可選的,我們也可以直接在OpenVPN伺服器中建立客戶端。
新增 OpenVPN 用戶端
新增 OpenVPN 伺服器後,將產生一個設定檔。除了設定檔之外,我們還需要建立一個新使用者。產生設定檔可能需要幾分鐘的時間。

在 OpenVPN 伺服器設定中,按一下建立一個新用戶。輸入使用者名稱和密碼,然後按一下創建用戶。要連接客戶端,下載OpenVPN客戶端,導入設定文件,並使用使用者名稱和密碼進行身份驗證。
設定L2TP伺服器
正如我在文章開頭已經提到的,L2TP 是一種正在失去支援的傳統 VPN 協定。因此,最好使用 WireGuard 或 OpenVPN。
如果您的 UniFi 閘道之前有數據機或路由器,請確保數據機/路由器設定為橋接模式。這樣,所有流量將直接轉送到您的 UniFi 網路。如果這是不可能的,那麼您將需要UniFi 網路控制台的連接埠號碼:
- UDP埠500
- UDP埠4500
設定 UniFi L2TP VPN 伺服器的第一步與其他類型非常相似:
- 在 UniFi 網路應用程式中,轉至設定>VPN
- 選擇L2TP作為 VPN 類型
- 輸入姓名對於伺服器
- 檢查WAN口IP是否正確地址正確
- 啟用進階設定

在進階設定中,如果需要,我們可以變更連接客戶端的子網路。但更重要的是啟用DNS伺服器並啟用需要強身份驗證。 Windows 10 和 11 所使用的 MS-Chap v2 協定需要強式驗證。
連線L2TP客戶端
要在 Windows 上使用 L2TP VPN 連接,您無需安裝任何用戶端。我們可以使用內建的VPN客戶端。以下步驟在 Windows 10 和 11 上相同。
- 打開開始, 類型VPN,並選擇VPN 設定
- 點選新增VPN
- 選擇Windows(內建)作為 VPN 提供者
- 輸入連接名稱,它可以是任何你喜歡的東西
- 輸入公有IP位址您的 UniFi 控制台

- VPN 類型 > 選擇 L2TP/IPSec使用預共享金鑰
- 輸入預共享金鑰我們之前在 UniFi 控制台中設定的
- 填寫使用者名稱和密碼我們創造的。

- 儲存設定
- 接下來,我們需要更改 VPN 網路適配器,以啟用 MS Chap v2。
按 Windows 鍵 + R並輸入NCPA.cpl<enter> - 您現在將看到您的 VPN 網路適配器。
右鍵單擊在您的適配器上並選擇特性 - 上安全選項卡:
選擇允許這些協議和啟用 Microsoft CHAP 版本 2

- 點選好的儲存設定。
- 你現在可以點選 連接測試 VPN 連線。它應該立即連接到您的 UniFi VPN 伺服器。
正如您在下面的螢幕截圖中看到的,我們已經連接了 Lazy VPN 連接並獲得了 UniFi 雲端網關中配置的範圍內的 IP 位址:

查看連接的 VPN 用戶端
您可以在 UniFi 網路的用戶端裝置頁面上查看有多少用戶端透過 VPN 連線。如果開啟該頁面,預設情況下您將看到所有客戶端。但如果您點擊頂部的 VPN 過濾器,則僅顯示 VPN 用戶端。

如果您沒有看到 VPN 過濾器選項卡,則表示沒有用戶端透過 VPN 連線。您可以檢查的另一個地方是設定>VPN>VPN伺服器。在這裡您將看到每個 VPN 伺服器還有多少個用戶端已連線。
將 VPN 用戶端限製到特定 VLAN
UniFi VPN 伺服器經常被忽視的問題之一是連接的 VPN 用戶端可以存取所有 VLAN。當您的網路中配置了多個 VLAN 時,您應該有一個VLAN 之間。但我們通常建立的封鎖 VLAN 間規則的問題是它不適用於 VPN 流量。
要解決此問題,您需要建立進階防火牆規則和兩個連接埠群組。需要連接埠群組來選擇防火牆規則中的流量。
- 在 UniFi 網路中,開啟設定>型材>IP群組
- 建立兩個IP組:
- VPN 用戶端(Ipv4 位址/子網路 > 192.168.3.0/24)或範圍是什麼
- RFC1918(Ipv4 位址/子網路 > 192.168.0.0/16、172.0.0/12、10.0.0.0/8)
- 前往安全>流量和防火牆規則
- 點選建立條目
- 建立以下規則:
- 規則類型:先進的
- 類型:區域網路輸出
- 描述:阻止 VPN-VLAN
- 行動:降低
- 來源類型:連接埠/IP組
- 地址組:VPN 用戶端
- 目的地類型:連接埠/IP組
- 地址組:RFC1918

點選新增規則完成後。透過 VPN 連線的用戶端無法再存取其他 VLAN 上的任何裝置。您可以根據需要對上述方法進行微調,例如,僅阻止對其他 VLAN 的訪問,但允許預設值,以便用戶端可以存取本地網路資源。
總結
設定 UniFi VPN 伺服器有時可能有點困難。特別是當您的 UniFi 閘道位於另一個數據機或路由器後方時。但一旦連接,您就可以透過 VPN 路由網路流量,安全地存取您的家庭網路或安全地瀏覽網路。
請務必記住,流量規則不適用於 VPN 流量。不僅 VLAN 間不起作用,內容規則也不起作用,例如封鎖特定網站。
我希望這篇文章對您有用,如果您有任何疑問,請在下面發表評論。