群晖NAS搭建VPN Server ——L2TPIPSEC

一、下载VPN套件并安装

中文版套件中心 VPN Server已经下架，需要在群晖英文官网搜索并下载

下载地址 VPNCenter-x86_64-1.4.9-2971.spk | 多吃一点点

二、配置VPN

1.设置权限

配置可以使用VPN的用户

2.配置L2TP/IPSEC VPN

三、端口映射

L2TP/IPSEC VPN需要 UDP：500、1701、4500三个端口，在路由器上映射这几个端口。协议选择UDP

映射完成后，在其他网络中用NC 测试端口是否放通

四、客户端配置

右下角小电脑 ，右键点击 网络和Internet设置——VPN，点击添加VPN

VPN配置好了可能会无法连接，windows还需要设置一下注册表

使用管理员权限打开CMD，粘贴下方两行代码，之后重启电脑。

REG ADD HKLM\\SYSTEM\\CurrentControlSet\\Services\\PolicyAgent /v AssumeUDPEncapsulationContextOnSendRule /t REG\_DWORD /d 0x2 /f

REG ADD HKLM\\SYSTEM\\CurrentControlSet\\Services\\RasMan\\Parameters /v ProhibitIpSec /t REG\_DWORD /d 0x0 /f

电脑重启完成后，打开VPN开始连接

五、修改默认网关、添加默认路由（可选）

L2TP/IPsec 连接成功后，所有流量（包括访问 Internet）默认通过远程网络出口，会导致本地访问 Internet 速度变慢、受远程网络限制等问题。解决这一问题的核心是仅让特定内网流量走 VPN，其他 Internet 流量仍通过本地网络，具体操作如下：

1.禁用VPN作为默认网关

点击VPN-高级选项

找到更多VPN属性

选择-网络——Internet协议版本4——属性——高级——取消勾选 「在远程网络上使用默认网关」 （此选项默认勾选，会导致所有流量走 VPN）。

2.手动添加内网路由（仅指定网段走VPN）

禁用默认网关后，可能无法访问远程内网资源，需手动添加静态路由，指定需要通过 VPN 访问的内网网段：

打开管理员CMD、添加内网路由

# 格式：route add 目标内网网段 mask 子网掩码 VPN网关IP -p
# 示例：访问 192.168.10.0/24 网段，VPN网关为 10.0.0.1
route add 192.168.10.0 mask 255.255.255.0 10.0.0.1 -p

• -p 表示永久保存路由（重启后不丢失）。
• 若需删除路由：route delete 目标内网网段。