讓 OpenVPN 用戶端連線時取得本地區網相同 IP 子網域

MarchFun

在 pfSense 中當建立 OpenVPN Server 時通常會使用 Tunnel 模式 (Tun)，讓連入的用戶端使用另一個子網域 (與主區域網路不同 IP 網段)。這個方法比較簡單。但如果想讓連線的用戶端與本地區域網路相同 IP 網段，以便可以使用名稱系統來使用區域網路的服務。那麼就需要比較複雜的 Tap 模式設定。

: Z9 P  m$ p4 [4 K# c! z/ T有一點要注意的，Android 以及 iOS 系統由於不支援 Tap 模式，所以本教學不適用 Android 以及 iOS 。
6 W8 V, k4 _! {) b% D2 j; J
1. 「General Information -> Device mode」必須設定為「tap - Layer 2 Tap Mode」。並且在「Description」輸入一個容易辨識的名稱。如「Tap OpenVPN Server」。
: W- O  m0 v2 l5 O& E; K6 B: W% M
, j: @5 }3 A  F8 F# K6 f5 j
; o4 r% ]. i# P, i
7 w+ {5 ~$ L: d& A0 o! V, K2. 「Tunnel Settings」區段中，IPv4 與 IPv6 的「Tunnel Network」內容都必須留空。
- D& d  `$ [" {% h5 i/ f
3. 「Bridge DHCP」選項必須打勾，並且「Bridge Interface」需設定為「LAN」。
! O* S% F3 L  U: o  ^
7 d- r; I0 A8 P
* J. {6 F& g0 f
. z3 H2 u: n( S$ Y3 {1 ]4. 接下來到「System -> Routing -> Gateways」的「Default gateway IPv4」改為不是「Automatic」的其它選項 (視你的連線方式)。就算沒有使用 IPv6，「Default gateway IPv6」也建議改成「None」。
5 j4 H; j4 z! j# J7 H3 R
, T* r: h' J  x& `! F
0 j! n3 k! ]" A. i( Y3 q
& P( y: _4 w" C7 t9 }1 \5. 接著前往「Interfaces -> Assignments」新增一個專屬於 VPN 的介面卡。在「Available network ports」中選擇你的 Tap VPN (Tap OpenVPN Server)。然後按下「Add」。
: O* Y$ S0 a+ O2 I, E, b/ Z% x. A

) |0 Z8 B- S( d
9 z0 i6 {- A8 V4 W# @4 r- ^1 @- S6. 然後編輯新設定的介面卡，此時名稱預設應該是 OPT1。啟用此介面卡，並給予「Description」一個容易辨識的精簡名稱，如「TapVPN」。直接按下「Save」不要作其它任何變更。

+ c4 B2 W. S9 R
7 m5 \& [% w. ]6 |8 T9 Q. I" G% R
9 M( P& B; ?! |% k. {8 N9 l, N7. 前往「Interfaces -> Bridges」按下「Add」新增一個網路橋接。按下 Ctrl 複選 LAN 以及你的 VPN 介面 (TapVPN) 後儲存。
! _6 e* ^- E, L& m% b: [, A- g7 W
( N2 Z0 p0 W( F; t3 ^. ?
! U1 Y3 f# e% G7 u- d8 ?
" |9 s" V  h" Z& M3 ^8 K3 D& _8. 最後到「Status -> OpenVPN」中將該 VPN 重新啟動即大功告成。

# r' L- M) N- k; D  c# }/ j
3 D. J1 R; S, N* E3 R. P! E

& c# C0 b  q1 i3 c8 P2 w如果想要讓 Android 以及 iOS 可以連線 VPN，又想讓 Windows 系統電腦使用 Tap 模式連線。可以建立兩個 OpenVPN Server。一個使用 Tun，另一個使用 Tap。使用的憑證可以是同一個，但埠號需不同。如 1194 與 1195。