來源網址：UniFi Network – 配置遠端存取 VPN（VPN 伺服器） (ui.com)

設置

VPN 伺服器配置需要 UniFi 閘道器和公共 IP 位址。我們建議從 ISP 處獲取 固定 公共 IP 位址，以避免每次 IP 更改時須重新配置所有客戶端。UniFi 閘道器會自動更新伺服器端設置。

注意：動態 DNS 可用於避免在 IP 更改發生時，重新配置客戶端的 VPN，此處不再贅述。

要設置 VPN 伺服器，您必須創建一個 預先共用金鑰（UniFi 自動產生安全密鑰）和在客戶端上輸入的用戶憑證（使用者名稱 和 密碼），以驗證其遠端網路存取權限。

注意：用戶鏈接到 UniFi 閘道器的內部 RADIUS 伺服器。雖然 UniFi 支援第三方 RADIUS 伺服器整合，但如果要進行故障排除，我們建議您聯絡第三方伺服器供應商。

---

配置客戶端

您可以連接任何 L2TP VPN 客戶端，包括 Microsoft Windows 或 macOS 提供的客戶端。我們建議使用您作業系統的本機 VPN 客戶端。

雖然接下來我們概述了特定於作業系統的客戶端配置過程，但仍然建議諮詢您的設備製造商，瞭解如何使用他們平臺的 VPN 客戶端。

Microsoft Windows 11

1. 轉到設置（Settings）> 網路和網際網路（Network & internet）> VPN > VPN 連線（VPN connections）> 新增 VPN（Add VPN），並選擇使用預先共用金鑰的 L2TP/IPsec 作為您的 VPN 類型。
   • 注意：您的使用者名稱、密碼和預先共用金鑰與 UniFi Network 中的設置相同。
2. 轉到 設置（Settings）> 網路和網際網路（Network & internet）> 進階網路設定（Advanced network settings）> 更多網路介面卡選項（More network adapter options）> L2TP 介面卡內容（L2TP Adapter properties）。
3. 點選 安全性（Security） 標籤，將您的身份驗證方法設定為 MS-CHAP v2。

macOS

1. 轉到 系統偏好設定（System Preferences）> 網路（Network）> +。
2. 在 介面（Interface） 中選擇 VPN。
3. 在 VPN 類型（VPN Type） 中選擇 L2TP over IPsec。
4. 輸入 l2tp 作為 服務名稱（Service Name）。
   • 注意：您的使用者名稱、密碼和預先共用金鑰與 UniFi Network 中的設置相同。
5. 轉到 選項（Options）> 會話選項（Session Options），選擇 通過 VPN 連線發送所有流量（Send all traffic over VPN connection），來通過 VPN 轉發所有流量。

---

故障排除

如果您的客戶端無法連接到 VPN 伺服器，或無法通過 VPN 轉發流量，就會收到錯誤訊息指示，比如伺服器無回應、客戶端斷開連接或發生處理錯誤。 VPN 連線可能失敗。 以下情況會引起這些問題：

UniFi 閘道器沒有公共 IP 位址(多層 NAT)

如果 UniFi 閘道器位於另一個使用網路位址轉譯 (NAT) 的路由器/數據機後面，通常會發生這種情況。 如果 UniFi 閘道器的 WAN IP 位址位於以下範圍之一，可能會受到影響：

• 10.0.0.0/8 (10.0.0.0 – 10.255.255.255)
• 172.16.0.0/12 (172.16.0.0 – 172.31.255.255)
• 192.168.0.0/16 (192.168.0.0 – 192.168.255.255)
• 100.64.0.0/10 (100.64.0.0 – 100.127.255.255)

要解決此問題，請將您的上游路由器設置為橋接模式。如果問題沒有解決，請嘗試將 UDP 通訊埠 500 和 4500 從上游路由器/數據機轉發到您的 UniFi 閘道器。請注意，如果您的上游路由器沒有公共 IP 位址，上述操作不起作用。

注意：預設情況下，Windows 電腦無法與 NAT 後面的伺服器建立 L2TP VPN 連線。 要避免此限制，您需要手動將 AssumeUDPEncapsulationContextOnSendRule 註冊表值從 0 更改為 2。詳情請參閱 Microsoft 的支援頁面。

如需將設備配置為橋接模式或通訊埠轉發，我們建議您聯絡 ISP 以獲得進一步幫助。請注意，100.64.0.0/10 子網域範圍內的 IP 位址始終需要 ISP 協助才能建立 VPN 連線。

所需通訊埠被上行設備阻止或被您的 UniFi 閘道器轉發到本地網路上的另一台設備

請確保沒有第三方路由器、防火牆或 ISP 數據機阻止 UDP 通訊埠 500 或 4500 到達 UniFi 閘道器。您可能需要聯絡 ISP，驗證網路流量是否被正確轉發。

如果您確認流量沒有被阻止，也確定 UniFi 閘道器沒有將這些通訊埠轉發到本地網路上的另一台設備。您可以轉到 UniFi Network 應用程式的 防火牆&安全部分，刪除現有的通訊埠轉發規則。

錯誤的配置導致身份驗證失敗

當 VPN 伺服器和客戶端的預先共用金鑰、身份驗證方法或登錄憑據不匹配時，就會發生這種情況。請確保這些都與您的 UniFi Network 應用程式中的配置相匹配。此外，確保客戶端設備使用 MS-CHAP v2 身份驗證方法，並且 VPN 類型設置為 L2TP。最後，驗證您使用的是預先共用金鑰而不是證書進行身份驗證。

重新輸入預先共用金鑰、使用者名稱和密碼，並檢查拼寫錯誤。

客戶端無法建立 L2TP 連接

請嘗試不同的客戶端或者作業系統，驗證是否是特定客戶端的問題。如果出現該問題，請檢查每個設備的更新，或者是聯絡製造商獲得進一步的幫助。

注意：大多數 Android 客戶端要求您在 UniFi Network 的 VPN 伺服器配置中啟用 弱密碼。

您的客戶端正在通過 VPN 進行路由，但其流量被禁止

在這種情況下，客戶端可以連接到 VPN，但無法與本地網路上的任何其他設備通信。

要解決此問題，請確保沒有阻止 VPN 客戶端與本地網路通信的流量或防火牆規則。

或者，本地網路上的客戶端可能會在其本地防火牆處丟棄傳入流量。 例如，Windows 防火牆預設丟棄所有 ICMPv4 (ping) 流量。

如果您使用 ping 進行測試，則需要允許流量通過 Windows 防火牆。 詳情請參閱 Microsoft 的支援頁面。

客戶端和 VPN 伺服器使用了相同的本地 IP 範圍

在這種情況下，客戶端可以連接到 VPN，但無法與本地網路上的任何設備通信。這可能是因為客戶端的 IP 位址與其嘗試連接網路的子網域重疊。

例如，如果您的客戶端在其本地網路上有一個 192.168.3.21 位址，並且它正在嘗試連接到配置了 192.168.3.0/24 子網域的 UniFi VPN 伺服器，則客戶端將始終使用其本地網路連接而不是 VPN。 要解決此問題，請更改客戶端的本地 IP，或是調整您的 UniFi 網路子網域範圍。

客戶端進行了隧道分離

儘管它已連接到網路，客戶端依然無法與某些連接 VPN 的設備進行通信。要解決此問題，我們建議通過您的 VPN 轉發所有流量：

• 如果是 Windows 客戶端，在 進階 TCP/IP 設定中啟用在遠端網路上使用預設閘道器。
• 如果是 Mac 客戶端，在您的 VPN 網路首選項中啟用 通過 VPN 連線發送所有流量。

如需更多特定於作業系統的指導，請聯絡您的設備製造商。