在前一章，我們已親手打造了 SoftEther VPN 伺服器，結合 dnsmasq 與 iptables 建立初步的安全結界。如今，修行者的試煉進入更深層：學會管理多個 Hub，設定不同子網、固定 IP 與自訂 DNS，並透過 iptables 精控流量與訪問權限。

這不只是技術挑戰，更是一場數位迷宮的冒險，讓每位隊友在隱形通道中自由穿梭，同時守護內網資料的安全。

多 Hub 的力量

多 Hub 如同建立多條平行的隱形通道：

• 網段隔離：各 Hub 使用不同子網，避免部門或團隊流量互相干擾。
• 精細權限控制：每個 Hub 可設定不同使用者帳號、密碼及訪問權限。
• 跨地區管理：遠端辦公或分公司可建立專屬 Hub，方便集中管理。
• 流量優化：針對 Hub 設定 DHCP 範圍與 iptables 規則，提高網路效率。
• 故障隔離：某個 Hub 發生問題時，不會影響其他 Hub 運作。

簡單來說，多 Hub 讓不同隊伍或部門擁有專屬通道，安全又靈活。

實戰操作示範（兩個 Hub 範例）

1️⃣ 創建 Hub

/usr/local/vpnserver/vpncmd
HubCreate HubA /PASSWORD:YourPasswordA
HubCreate HubB /PASSWORD:YourPasswordB

2️⃣ 設定虛擬網段

• HubA: 192.168.7.0/24
• HubB: 192.168.8.0/24

3️⃣ dnsmasq 高階 DHCP 設定

# HubA
interface=tap_hubA
dhcp-range=tap_hubA,192.168.7.50,192.168.7.160,12h
dhcp-option=tap_hubA,3,192.168.7.1

# HubB
interface=tap_hubB
dhcp-range=tap_hubB,192.168.8.50,192.168.8.160,12h
dhcp-option=tap_hubB,3,192.168.8.1

# DNS解析（修復 L2TP 無法解析特定網域）
server=/media.example.com/8.8.8.8
server=/static.example.com/8.8.8.8
server=/pay.example.com/8.8.8.8

# MAC 白名單控制
dhcp-ignore=tap_hubA,tag:!known

# 固定 IP 分配（核心設備示例）
dhcp-host=<MAC_ADDRESS>,192.168.7.147

重啟 dnsmasq：

sudo systemctl restart dnsmasq

4️⃣ iptables 精控流量

• 完全隔離 HubA 與 HubB

iptables -I FORWARD -i tap_hubA -o tap_hubB -j DROP
iptables -I FORWARD -i tap_hubB -o tap_hubA -j DROP

• 允許 HubA 訪問 HubB 的特定服務

iptables -I FORWARD -s 192.168.7.0/24 -d 192.168.8.100 -p tcp --dport 80 -j ACCEPT
iptables -I FORWARD -s 192.168.7.0/24 -d 192.168.8.0/24 -j DROP

5️⃣ 高階 DHCP 管理概念

• 固定 IP 分配：依 MAC 地址分配固定 IP，方便管理核心設備。
• 不同 DHCP 範圍：每個 Hub 設定專屬 IP 區間，避免衝突。
• 自訂網關與 DNS：為各 Hub 指定不同網關或 DNS，優化內網流量。
• 白名單控制：只允許特定設備連線，防止陌生設備入侵。

實戰情境

1. 跨辦公室協作：HubA 用戶只能訪問內網特定資料庫，HubB 用戶可訪問其他資源。
2. 多地分公司部署：不同 Hub 控制不同分公司用戶訪問權限。
3. 動態訪問控制：依角色或時間控制 VPN 通道流量。

修行者總結

• 兩個 Hub 架設 + dnsmasq 子網 + iptables 精細管控 = 更靈活、安全的隱形通道。
• 透過固定 IP、自訂網關與 DNS、白名單與不同 DHCP 範圍，核心設備可被有效管理。
• 修行者已不只是使用者，而是通道的大師，掌控誰能通行，誰被隔離。