求助:TP-LINK 的AX3000 4-Stream Wi-Fi 6 Router 如何建立雙向的SITE to Site VPN

建立雙向的site to site vpn vpn

做工仔人! 2025-03-19 20:18:57 ‧ 1175 瀏覽

分享至

去年11月份在PcHome買了二台AX3000要來取用了20年的Netscreen 5GT建立Site To Site VPN。
目前只能建立”單向”的VPN連線，建立雙向的VPN時，就會造成這二台AP對外的連線”完全”死機”(就是內網完全連不上Internet)。
=>而且這還是TP-Link的工程師遠端協助設定的結果。
註:目前TP-Link 的工程師及客服處理”完全”失連的狀態。

請問:
1.是否有邦友有設定雙向VPN的”成功”案例可供參考?
2.這種狀況是否屬於”廣告不實”?
3.因為無法建立雙向Site TO Site的VPN，可不可以申請”消費調解”?
tp-link工程師 mail
設備的VPN伺服器畫面

補充說明一下:
1.設備的MENU上有提供"L2TP/IPSce"及"WireGuard"這二種VPN伺服器功能，卻是功能有"瑕疵"的半成品。=>因為在第二次的設定過程中，有看到將原本可以通的設備刪掉後，新設的另一向的VPN就通了。但是之前他們的客服明確的告訴我:WireGuard伺服器"的功能是:"WireGuard是一個簡單而高效的VPN協議，它允許設備之間建立安全的網路隧道。"
2.在整個Mail溝通過程中，就有感覺:可能要 A site到B site是建一條VPN，B Site到A Site是建另一條VPN =>結果是:不行。
3.退而求其次:A Site到B Site用一種伺服器建VPN，B Site到A Site用另一種伺服器來建VPN。結果:也是不行。

看更多先前的討論...收起先前的討論...

1833 iT邦新手 3 級 ‧ 2025-03-20 07:48:57 檢舉

先比較規先比較規格

TP-LINK
AX3000
https://www.tp-link.com/tw/home-networking/wifi-router/archer-ax53/

ER7212PC
https://www.omadanetworks.com/tw/business-networking/omada-router-integrated-router/er7212pc/#specifications
格

1833 iT邦新手 3 級 ‧ 2025-03-20 07:53:20 檢舉

SITE to Site VPN 可考慮unifi
https://tw.ui.com/

1833 iT邦新手 3 級 ‧ 2025-03-20 07:59:16 檢舉

TP-LINK有提供線上模擬器，可以查閱機型設定項目。
https://www.tp-link.com/tw/support/emulator/

u23css iT邦新手 4 級 ‧ 2025-03-20 08:16:15 檢舉

單論：廣告不實
針對AX3000 那裡有 "廣告 Site To Site VPN" 此功能?

無法建立雙向Site TO Site的VPN
官方台灣網站只要有說明~有此功能 (要舉證) 就可申請調解
如果官方找不到資料~是憑空想應該要有的話......

jimmyhiyawu iT邦新手 2 級 ‧ 2025-03-20 09:59:29 檢舉

建議大大…

購買二手FortiGate設備來做Site to Site VPN
FortiGate 50E…IPsecVPN的吞吐量還有90M

二手良品入手價滿便宜的！
唯一的門檻就是設定的部份！不過網路上文章也滿多的！

設定步驟也可以參考：
https://blog.csdn.net/meigang2012/category_11641372.html

做工仔人! iT邦大師 1 級 ‧ 2025-03-20 11:01:38 檢舉

[u23css](/users/20137776) :在[pchome](https://24h.pchome.com.tw/prod/DRAN09-A900BRAKO)的功能說明中有:提供"VPN Server"功能算不算?

做工仔人! iT邦大師 1 級 ‧ 2025-03-20 11:18:01 檢舉

[1833] (/user/1833):看了TP-Link的模擬器,它只提供access point 及 router 的模擬功能。

by2048 iT邦高手 1 級 ‧ 2025-03-20 18:05:26 檢舉

單向撥通也正常,應該本身就不支援雙向的vpn
https://www.omadanetworks.com/tw/business-networking/omada-router-wifi-router/er706w/
大部份商用產品才會標ipsec功能

froce iT邦大師 1 級 ‧ 2025-03-24 10:57:59 檢舉

我還訝異TP link工程師居然會為了2000塊的路由器真的幫你設定你商用的需求咧...
不自架的話至少用台接近商用等級的好嗎?

窮嘶發發發 iT邦高手 1 級 ‧ 2025-03-24 12:03:47 檢舉

提供"VPN Server"功能，就是只有這各，哪有其他的，並非所有的提供"VPN Server"功能都有SITE to Site VPN
甚至包括通道模式也要有寫到哪一種才有，吃不吃 RADIUS 也是要看他吃哪一種LDAP、AD、11x 都不一樣

登入發表討論

熱門推薦

{{ item.channelVendor }} | {{ item.webinarstarted }} |

直播中

2 個回答

bluegrass

iT邦高手 1 級 ‧ 2025-03-20 16:13:19

設定圖片發了再說.

回應 6
分享
檢舉

看更多先前的回應...收起先前的回應...

做工仔人! iT邦大師 1 級 ‧ 2025-03-25 14:48:26 檢舉

一直在想:應該要貼什麼圖片?
因為WireGuard伺服器的設定內容很簡單，看一下以下的圖片。
client設定畫面
伺服器定設1
伺服器設定2
伺服器設定3

bluegrass iT邦高手 1 級 ‧ 2025-03-26 09:36:07 檢舉

應該L2TP/IPSEC是可能的, 你只要兩邊某個SUBNET互通就可以了?

做工仔人! iT邦大師 1 級 ‧ 2025-03-26 18:32:59 檢舉

有問過tp-link的客服:可不可以提供ipsce的設定方式?
註:這台的ipsce設定方式也跟"以往"設定ipsce的方式"完全"不同。
以netscreen 的ipsce設定為例:
設定對方GW IP ,
選擇加密方式，
設定PER SHARE KEY
就完成了。
但是他們的回答是:要用WireGuard伺服器.

bluegrass iT邦高手 1 級 ‧ 2025-03-26 21:00:55 檢舉

有點興趣, 你有方法看到WIRE GUARD用的加密法嗎? PALOALTO / FORTIGATE DEBUG都可看到,

NETSCREEN算是我老爸時代的產物了, 不太熟悉

做工仔人! iT邦大師 1 級 ‧ 2025-03-28 12:36:49 檢舉

報告:看不到 !只看的到 CONF檔。

bluegrass iT邦高手 1 級 ‧ 2025-03-28 13:14:31 檢舉

私訊一下

登入發表回應

台碁資訊行

iT邦好手 1 級 ‧ 2025-03-29 22:53:16

你貼的截圖根本沒有提到site to site VPN！所以不存在所謂的廣告不實...
1、2x年前，曾使用兩台IP分享器，建立site(建築公司) to site(展售樣品屋) VPN，公司要求所有對外連線要經過公司出去(監控)

你的問題，如果網路概念清晰

兩地的內部IP address要不同網段，最好第一位址就不同(10、172、192)，比較不會誤判
兩個site都要有固定IP
建立靜態路由、防火牆規則(對方的內部網段就往對方丟)，並限制只有兩個IP可以互通(因為不是真正的VPN)，其他外網就往自己的線路丟

由於歷史久遠，大概只有記得這些，有一些技術細節，可能要自行融會貫通
我這個建置案，是使用一般的IP分享器，而且1、2x年前的老設備別奢望有site to site VPN功能
+++++++++++
剛剛看到一個懷念的名詞「openvpn」！？
記得支援site to site VPN
詳見下列連結
https://openvpn.net/as-docs/site-to-site-routing.html#site-to-site-vpn-routing--setup-and-configuration-with-access-server