學習

問題一：

我的TPL-Link 是ER605 V2.2目前已升級到最新版本，在設定VPN的過程，產生許多問題：我想建立一些設定VPN的一些基本概念與架構，做為指導方針。首先，請問建立我家VPN，是不是建立一個專用通道，只要利用這個通道進入後，就可以直接就像在區網一樣安全遊走各設備？這個通道可以使用電腦、手機直接進入？家人有多人，每人都有手機與電腦，要如何建立這個通道？像WIFI一樣嗎？只有一個SSID，只有一個共同密碼，就可以進入？還是不一樣？每個人都要用不同的通道？電腦、手機？不同的人？還是可以用同一個通道不論是手機或電腦？手機與電腦的軟體也都不一樣？我要如何整合最簡單、最安全、最容易操作？

謝謝您詳細的說明，您現在使用的是 TP-Link ER605 V2.2，這是一台 專業等級的 VPN Router（多 WAN 安全路由器），非常適合您要設定家用 VPN 的需求。

✅ 一、建立 VPN 是什麼意思？

➤ VPN（虛擬私人網路）基本概念：

就像一條加密的虛擬「隧道」：讓您在外面（如手機連 4G、筆電連公共 Wi-Fi）時，能安全地連回家裡的網路。
連上後，就像人在家裡一樣，可以：
- 存取 NAS、印表機、區網資料夾
- 管理家中路由器或 IoT 裝置
- 做到區網內所有行為

✅ 二、VPN 的使用方式是什麼？

➤ 建立一條 VPN「通道」後：

不論手機、平板、筆電，甚至電視盒都能使用
一條通道，不分人，不分裝置
就像家中 Wi-Fi 一樣，你知道 SSID 和密碼就可以連
不需要每人都建立一個 VPN「帳號」，但也可以分開管理（安全更好）

✅ 三、架構示意圖

[外出設備：手機 / 筆電]
         │
       (4G / 公共Wi-Fi)
         │
     [VPN通道：加密連線]
         │
    [家裡的 ER605 路由器]
         │
     ├── NAS
     ├── 印表機
     └── 其他電腦、IoT設備

✅ 四、常見 VPN 協定（ER605 支援）

協定	優點	客戶端支援	建議使用
OpenVPN	穩定、安全、跨平台	需安裝客戶端	✅ 推薦
L2TP/IPSec	相容性好	iOS/Android/Windows 內建支援	✅ 初學者友善
PPTP	最簡單，但安全性較弱	幾乎所有設備支援	❌ 不建議
WireGuard	超快、現代化，但 ER605 目前不支援（截至目前）	N/A	❌

✅ 五、誰可以連？怎麼連？

類別	要件	備註
您自己（手機、電腦）	安裝 VPN 客戶端（或系統內建）+ VPN 帳密	可以同時登入多裝置
家人（多個人）	可共用同一帳號（簡便），或為每人設立一個帳號（更安全）	TP-Link ER605 可建多帳號
支援裝置	Windows、macOS、iOS、Android、Linux	幾乎通用

✅ 六、使用方式像 Wi-Fi 嗎？

功能	Wi-Fi	VPN
傳輸方式	無線電波	加密的網路通道
進入條件	SSID + 密碼	伺服器地址 + 帳號 + 密碼 + VPN協定設定
同一組密碼多人使用	✅（可行）	✅（可行，但建議每人一帳號）
使用後在區網嗎？	✅	✅（連上 VPN 就等於人在區網）

✅ 七、最佳實務：簡單 + 安全 + 易用

🔧【設定步驟總覽】：

在 ER605 上設定 VPN Server（OpenVPN 或 L2TP）
建立 VPN 使用者帳號（每人一個帳號最安全）
開啟 DDNS 或使用固定 IP（讓裝置在外能找到你家）
在手機、電腦上設定 VPN 客戶端
連上 VPN，就能像在家一樣操作

✅ 八、具體建議策略（給您與家人）

對象	裝置	VPN 協定建議	備註
您本身	筆電 + 手機	OpenVPN（穩定、安全）	安裝 OpenVPN 客戶端，設定一次即可
家人	手機	L2TP（內建）	比較容易設定，也夠用
高階使用者	多設備、跨平台	OpenVPN + 個別帳號	提高安全性，便於控管

✅ 九、下一步，我可以幫您完成：

TP-Link ER605 設定 OpenVPN / L2TP 詳細圖解
客戶端安裝與設定（Windows/macOS/iOS/Android）
如何設定 DDNS（如 TP-Link DDNS），讓您在外可找到家中網路
安全性建議（例如強密碼、限制連線人數、開關時間）

📌 您可以先告訴我：

您偏好哪一種協定（OpenVPN / L2TP）？
您有申請固定 IP 嗎？或需我協助設定 TP-Link 的免費 DDNS？
您使用哪一品牌 NAS？我可以一起整合遠端連線與 VPN。

我可以針對您的需求製作一份 完整的圖文步驟說明，幫您建立屬於家人的安全 VPN 通道。是否要我從「設定 ER605 VPN Server」的步驟開始幫您建立？

問題二：

目前依照你的說法：可以像WIFI 同一個SSID 同一個密碼就可以進入，但是你又說，每個人自己建立一個通道？優缺點？我目前使用WireGurd，因為你的比較與建議！

非常感謝您的回饋與進一步說明 🙏
您目前已經選擇使用 WireGuard，這是一個非常好的決定，因為它具有：

✅ 現代化加密技術
✅ 傳輸速度快、效能高
✅ 設定簡單，容易管理

✅ 回答您的核心問題：

「像 Wi-Fi 一樣一組帳密進入 vs 每人建立一個通道，有什麼不同？優缺點？」

🎯 類比來說：

Wi-Fi（同一個 SSID+密碼）
　➡️ 所有人都用同一組帳號與密碼連線
　➡️ 管理簡單，但無法區分誰是誰，也無法個別控管
VPN（每人一個通道）
　➡️ 每個人擁有自己的一組 VPN 設定（WireGuard 的金鑰對）
　➡️ 能知道是誰連進來，甚至可以限制某些人只能存取 NAS，不能進入其他設備

✅ WireGuard 的實作方式 — 本質是「每個人一條隧道」

WireGuard 是「每個用戶＝一組金鑰對（public + private key）＋一個固定 IP」。

📌 所以即使是同一台路由器上的 VPN server，每個使用者其實連的是「不同的加密通道」，因為：

用戶	對應的金鑰	分配的內部 IP
您（主人）	Key A	10.6.0.2
太太	Key B	10.6.0.3
小孩	Key C	10.6.0.4

🔐 每條通道都用自己的金鑰加密，安全性極高，而且可分別設定權限（例如父母可全通、子女只能存取某台NAS）。

✅ 優缺點比較表（共享 vs 個人通道）

比較項目	所有人共用同一組金鑰	每人一組 WireGuard 金鑰
管理方便	✅ 最簡單	⛔ 需要建立多組設定
安全性	⛔ 一人外洩＝大家都暴露	✅ 每人加密隔離，外洩也可個別撤銷
追蹤誰在連線	⛔ 無法分辨	✅ 每個人都有自己 IP
限制權限	⛔ 難以做到	✅ 可精準控管存取範圍
新增/移除用戶	⛔ 難控管	✅ 可一人一組設定，好管理
應用場景	小家庭、臨時用途	長期使用、多人共用、注重隱私

✅ 整體建議

🔧 如果您是：

家庭內的技術負責人
有 NAS、相機、IoT 設備等需要遠端存取
希望掌握誰在連線，能精確控權限與追蹤

✅ 建議使用「每人一組金鑰（WireGuard Config）」的方式

您可以幫每位家人建立一份 .conf 檔或用 QR Code 發送設定，手機掃描即可完成連線（超簡單！）。

✅ 我可以接下來幫您：

幫您規劃家中 WireGuard VPN 的使用者列表
每人一組設定（金鑰生成、自動分配 IP）
教您如何在 TP-Link ER605 上建立多用戶設定（若韌體支援）
教您如何在手機、電腦上安裝並連線（含 QR Code）
提供「撤銷某人連線」與「限速、限存取」設定教學（進階安全控管）

📌 若您方便，請提供：

您希望有幾位家人能連進 VPN（人數與裝置數）
是否需要我幫您製作範例 WireGuard .conf 設定檔或 QR Code 示範？
是否已在 ER605 中成功建立 WireGuard Server？（還是需要我從頭協助？）

我可以根據您的實際狀況，製作一套「最簡單、最安全、最易管理」的家用 WireGuard VPN 解決方案。是否要我開始為您整理這個教學計畫？

問題三：

若如你的分析，我要在RE605如何操作建立每個人的獨立VPN，每個人的自己電腦與手機是否可以使用同一個自己的通道？因為我的設定過程碰到兩個問題：一個是我是使用中華電信Pppoe 隨人提供一個假的固定IP，若是遇到停電等問題，又要重新設定新的固定IP，因此必須是用DDNS，另一個是設定ER605過程造成ER605 後面的RJ45Wan

感謝您詳細的說明，您的情境非常實際且具代表性，我會分段幫您釐清並提供具體可行的解決方案。

🔧 一、您目前的目標是什麼？

您希望在 TP-Link ER605 V2.2 上設定：

✅ 使用 WireGuard VPN
✅ 每位家人都能有 自己獨立的 VPN 通道
✅ 每個人可以從 電腦與手機連入自己的通道
✅ 使用 中華電信 PPPoE + 動態 IP（但非真正固定IP） 的情況下依然可遠端連線
✅ 使用 DDNS（動態網域名稱） 解決 IP 變動問題

🔄 二、您目前碰到的兩個問題：

1️⃣ 中華電信 PPPoE + 動態 IP 問題

PPPoE 會分配一個「看似固定但其實會變動」的 IP（例如重開機、斷電、網段更新）
解決方式：使用 TP-Link 提供的 DDNS 功能
　→ 即使 IP 變了，只要網路恢復，路由器會自動更新 DDNS 網址
　→ 您就可以固定用 xxxxx.tplinkdns.com 來連線

✅ 建議做法：請先到 ER605 管理頁面 → Network → Dynamic DNS
選擇 TP-Link 提供的免費 DDNS，如 yourname.tplinkdns.com，並設為預設（Default）

2️⃣ ER605 後面 LAN 或 WAN Port 無法正常工作？

請您進一步說明：

是哪個 port 出現問題？是 ER605 的 WAN（上網） 還是 LAN（連接家中設備）？
是設定 WireGuard Server 之後無法上網？還是斷電後無法恢復連線？
您是單 WAN（PPPoE）還是有用到雙 WAN / 負載平衡功能？

🔧 如果您願意，我可以協助您確認該如何排除這個 WAN/LAN 錯誤（或需要您提供更詳細的連線拓樸圖）

📘 三、重點回答您的提問：「每人是否能用自己的通道（手機與電腦共用）？」

✅ 是的！可以的！
WireGuard 的設計是「一個金鑰對 → 一個 VPN 通道 → 可用在多裝置」

但需要留意這兩種方式：

➤ ✅方式一（簡便，但限制多）：

一組金鑰同時給手機與電腦使用 → 不推薦，會產生 IP 衝突與不穩定

例如：A君的電腦與手機同時使用相同設定連上 VPN，WireGuard 會搞不清楚誰才是 10.6.0.3 → 導致掉線、不通。

➤ ✅方式二（正規方式，建議使用）：

每人一組設定，但每台裝置都各用一組金鑰 → 雖然都是 A 君的裝置，但電腦與手機各自一條通道。

例如：

裝置	金鑰	VPN IP
A 君電腦	Key A1	10.6.0.3
A 君手機	Key A2	10.6.0.4
B 君手機	Key B1	10.6.0.5

🟢 優點：

每個裝置都穩定、安全
可追蹤每人每裝置連線狀態

🧭 四、您下一步可以這樣做：

✅ [步驟1] 開啟 DDNS（解決 PPPoE 動態 IP 問題）

在 ER605 後台操作：

前往 Network > Dynamic DNS
選擇 TP-Link DDNS
註冊一個免費帳號
建立一個如 myvpn.tplinkdns.com 的主機名
設定為「預設（default）」
確認「DDNS 狀態是 Active」

📌 測試方式：用手機 4G 上網，Ping 您的 DDNS 主機名稱，看看是否能通

✅ [步驟2] 建立 WireGuard Server 與多使用者設定

前往 VPN > VPN Server > WireGuard
開啟 WireGuard Server（若尚未）
設定：
- Interface IP：如 10.6.0.1/24
- Listen Port：51820
- DNS：建議填 8.8.8.8 或您家中內網 DNS
點選「新增用戶」：
- 每新增一位用戶，就是一組金鑰與固定 IP（10.6.0.X）
- 給電腦與手機各一組（A 君兩組，B 君兩組）

🟢 產生設定後可下載 .conf 檔或用 QR code 給手機掃描。

✅ [步驟3] 手機與電腦連線方式

📱 手機端：

安裝 WireGuard App
掃描 QR Code 匯入設定
點一下「啟用」即可連上家中 VPN

💻 電腦端：

安裝 WireGuard 桌面程式（Windows/macOS/Linux）
匯入 .conf 檔
點選「Activate」即可連線

✅ 最後整合建議

項目	建議做法
每人帳號管理	每個人（每裝置）一組金鑰，分配固定內部 IP
IP 變動	使用 TP-Link 提供的 DDNS
Server 啟動與控管	建立多用戶 WireGuard 設定
外網連線測試	測試手機4G下能否 ping DDNS
問題處理	WAN/LAN port 問題請補充更多細節

📌 如果您願意，我可以幫您製作一套範本設定，包含：

ER605 的 WireGuard 設定說明
範例多用戶設定（含 QR Code 與 config 檔說明）
家中拓樸圖示意圖（含VPN連線路徑）

請問您需要這份規劃嗎？我可以立即開始為您製作。

問題四：

Interface IP請詳細解釋？

當您在 TP-Link ER605 上設定 WireGuard VPN Server 時，會看到一個非常重要的欄位：「Interface IP」，這個欄位決定了 VPN 通道內部網路的架構與設備之間如何互通，以下是詳細說明：

🔍 一、什麼是「Interface IP」？

Interface IP 是指：

ER605 路由器在「VPN 專屬網段」中的 IP 位址。

簡單說，它就像是 VPN 內部世界的「大門口地址」，當外部設備透過 WireGuard VPN 連進來後，所有的流量都會先經過這個 Interface IP，也透過它和家中其他設備互通。

📘 二、舉例說明

假設您設定的 Interface IP 為：

10.6.0.1/24

這表示：

ER605 的 VPN Gateway IP 是 10.6.0.1
所有連進來的使用者，其 IP 將被分配在這個網段中，例如：
- 使用者A（電腦）：10.6.0.2
- 使用者A（手機）：10.6.0.3
- 使用者B：10.6.0.4
/24 表示子網路遮罩是 255.255.255.0，也就是最多支援 254 台 VPN 客戶端設備（從 10.6.0.2 到 10.6.0.254）

🏠 三、這個 VPN 網段與您家裡原本區網有何關係？

舉例：

名稱	網段設定	作用
家中區網	192.168.0.1/24	給家中電腦、NAS、印表機
VPN 專屬網段	10.6.0.1/24	給遠端連進來的手機、筆電等裝置

🔁 VPN 裝置連進來後可以透過 10.6.0.X 網段訪問內部 192.168.0.X 的資源，例如：

連回家中 NAS（如：192.168.0.10）
連回家中印表機
使用電腦遠端桌面、SSH 等等

❗ 前提是您在 ER605 裡有勾選 Allow Remote Access to LAN 的選項（預設應該會打開）。

🧭 四、設定建議

欄位名稱	建議值	說明
Interface IP	`10.6.0.1/24`	建立 VPN 網段從 10.6.0.1 開始
VPN 客戶端 IP	由系統依序自動分配	例如 10.6.0.2、10.6.0.3、10.6.0.4…
DNS Server	建議填 `8.8.8.8` 或您家中內部 DNS	讓 VPN 使用者可以解析網址

🧪 五、實際應用流程圖（簡化）

[手機 VPN Client]
    ↓ (建立 VPN 加密通道)
[10.6.0.3] → [ER605 VPN Interface: 10.6.0.1]
    ↓ (透過 NAT/路由表)
[家庭區網 192.168.0.X]
    ↓
[NAS: 192.168.0.10]

✅ 結論（簡要）

Interface IP 是 VPN 網段中的「路由器自己」的地址
所有 VPN 使用者的通訊都會透過這個 IP 傳入家中區網
請避免設定成與家中區網（192.168.X.X）相同的網段，以免衝突

如果您願意，我可以幫您列出一份完整的 ER605 WireGuard 設定步驟與圖解。是否需要呢？

問題五：

Allow Remote Access to LAN請詳細解釋？

當您在 TP-Link ER605 上設定 WireGuard VPN（或其他 VPN）時，選項中的：

✅ `Allow Remote Access(遠端存取) to LAN`

是非常關鍵的一個設定開關，它的作用是：

✅ 允許從 VPN 通道連進來的裝置，存取您家中內部區域網路（LAN）設備。

🔍 詳細說明

🧭 一、VPN 有兩個世界

當一台裝置透過 VPN 連上您家裡的 ER605 時，它實際會連接到兩個不同的「網段世界」：

區域	範圍（舉例）	功能說明
VPN 專屬網段	10.6.0.0/24	所有 VPN 連進來的手機/電腦都在這個網段
家中區網（LAN）	192.168.0.0/24	您家裡的 NAS、電腦、印表機都在這裡

VPN 接入成功 ≠ 自動可以存取家中區網！
只有勾選「Allow Remote Access to LAN」才會讓這兩個網段互通！

🧱 二、為何需要這個選項？

這個選項就像是在 VPN 網段與 LAN 網段之間開了一道通道，否則 VPN 用戶雖然連上了 ER605，但無法看到家裡的 NAS 或內網裝置。

✅ 三、勾選 `Allow Remote Access to LAN` 之後，會有什麼效果？

例如：

裝置	VPN IP（例）	LAN 資源可否存取（如 NAS 192.168.0.10）
您的筆電	10.6.0.2	✅ 可以（只要有這個選項打開）
您家人手機	10.6.0.3	✅ 可以

您可以：

用手機播放 NAS 裡的影片
用電腦用遠端桌面連回家中 PC
用筆電同步內部的檔案備份
印文件到家中的網路印表機

⚠️ 四、如果不打開會怎樣？

假如您沒有勾選 Allow Remote Access to LAN：

VPN 使用者只能看到 ER605 的 VPN Gateway（如 10.6.0.1）
無法看到家中其他裝置（例如：NAS、印表機、攝影機）
看起來「VPN 成功連線」但卻什麼都做不了

📘 五、對應畫面位置（簡要導引）

若您是使用 ER605 設定 WireGuard VPN，請進入：

→ VPN → WireGuard → Peer 設定頁面
→ 找到「Allow Remote Access to LAN」或「Allow access to internal network」(內部網路)
→ ✅ 打勾（一定要）

每一位 VPN 使用者（Peer）都要分別打勾！

✅ 結語（總結）

問題	說明
為什麼需要打開？	讓 VPN 用戶可以看到與使用家中區網設備
如果沒打開？	VPN 雖連上，但無法做任何區網互通動作
誰要打開？	每一位 VPN 使用者（Peer）都要打開此設定

如果您有 ER605 WireGuard 畫面截圖，我可以幫您標出這個設定的確切位置。也可以協助您設計多位家人 VPN 使用者的完整設定方案，包含：

每人一個 WireGuard 金鑰對
手機與電腦共用一組設定檔
整合 DDNS 與 NAT 穿透建議

請告訴我您需要哪一部分繼續協助？

問題六：

為何設定ER605VPN

您提到的問題「為何要設定 ER605 VPN？」這是一個非常重要且值得釐清的核心問題。下面我用清楚的邏輯，說明您設定 VPN 的 原因、目標、效益與需求條件，幫助您建立清晰的概念架構。

🎯 一、為什麼要設定 ER605 VPN？

目的：建立一條從外部安全連入家中網路的「專屬通道」，就像人在家裡一樣可以存取所有設備與資源。

🧩 二、可能的應用情境（您可能會有這些需求）

使用情境	說明
🔐 安全連回家中 NAS	例如您在外地，用手機或筆電連回家中 NAS 看影片、讀文件、備份
🖥️ 遠端控制家中電腦	用遠端桌面或 VNC 控制家中 PC
📷 查看家中監視器或攝機	用 VPN 連入家中，打開攝影機 IP 網址
🖨️ 使用家中的印表機或掃描器	在外地用筆電印資料到家中印表機
👪 家人也要安全遠端使用	家人出差或旅行，也能安全使用家中資源

🛡️ 三、為何要用「VPN」而不是「開放連接埠」？

方法	安全性	使用便利性	建議程度
❌ 直接開 NAT 連 NAS（開放 5000/5001 port）	極不安全，容易被攻擊	簡單但高風險	不建議 ❌
✅ 用 VPN 建立安全通道後再存取	高度加密、安全	稍複雜，但可一次設定、多人使用	強烈建議 ✅

VPN 就像把 NAS/家用網路「藏起來」，只有知道密碼的人可以進入。

🏠 四、TP-Link ER605 提供什麼 VPN 類型？

TP-Link ER605 V2.2（新版韌體）支援以下 VPN 類型：

VPN 類型	適合誰	特點
WireGuard ✅	推薦給您	安全、高速、設定簡單、支援手機/電腦
OpenVPN	進階用戶	穩定、支援廣泛但設定稍繁瑣
IPSec / L2TP	舊設備兼容	較舊技術、支援性佳但速度慢

您已選用 WireGuard 是很聰明的決定，因為它：

設定簡單（只要掃 QR Code）
支援 iPhone、Android、Windows、macOS
效能佳（穿透力強、速度快）

🧱 五、建立 VPN 架構示意圖（概念）

[您在外地的手機或筆電]
     ↓ 使用 WireGuard App 連線
[透過 DDNS (例如 myhome.dyndns.org)]
     ↓
[TP-Link ER605 VPN Gateway]
     ↓
[您家裡的內部網路（192.168.0.X）]
     → NAS、PC、印表機、攝影機...

🔧 六、您應具備的條件（設定 VPN 前）

項目	說明
✅ 公網可見 IP（或 DDNS）	中華電信 PPPoE 若非固定 IP，需使用 TP-Link 的 DDNS 服務
✅ 設定 port forwarding / NAT	須將 WireGuard 對外 port（如 UDP 51820）轉發到 ER605
✅ 建立每位家人的 WireGuard 金鑰與帳號	一人一組金鑰（可重用於手機與電腦）
✅ 手機與電腦安裝對應 VPN app	iOS/Android/Windows/macOS 的 WireGuard App

✅ 七、總結

問題	答案
為何要設 VPN？	安全地從外部連入家中設備，不用暴露 NAS 等裝置於公網
VPN 是什麼？	是一條加密的虛擬通道，把您裝置「拉回家」進入內網
怎麼建立？	ER605 設定 WireGuard VPN + DDNS + 設定 port forwarding
誰能用？	可為每位家人建立一條通道，每人手機/電腦共用一組設定檔

若您願意，我可以一步一步教您從頭建立 WireGuard VPN（含設定 DDNS、金鑰產生、匯出 QR Code 給家人等），也可提供設定範本。

請問您希望我從哪個步驟開始協助？或是否需要檢查目前的設定？

問題七：

設定 port forwarding / NAT請詳細解釋？

當您在 TP-Link ER605 上設定 VPN（例如 WireGuard）時，設定 Port Forwarding / NAT 是一個關鍵步驟。它的作用是：
👉 讓外部的裝置（如手機、電腦）透過互聯網成功連線回家中的 ER605 VPN 伺服器。

🧭 一、什麼是 Port Forwarding（埠轉發）？

Port Forwarding = 當家中的路由器收到某個特定 Port 的資料時，把它轉送到內部特定設備（如 ER605）去處理。

就像郵局收到您家的郵件（外部連線），然後把它轉交到您家中某一間房（內部設備）。

📡 二、為何要設定 Port Forwarding？

當您人在外地，VPN App 會嘗試透過網際網路連線您的 ER605。但家用網路後面通常有一個 NAT 防火牆（中華電信的 PPPoE 連線 + ER605），會阻擋來自外部的要求。
👉 您必須告訴路由器：「當外面有人來敲門（連接特定埠），我允許進來並轉送給內部 VPN 伺服器。」

🔢 三、WireGuard 使用那個 Port？

WireGuard 預設使用：

協定（Protocol）：UDP
埠號（Port）：51820（可自訂，但建議使用預設）

🛠️ 四、如何在 TP-Link ER605 設定 Port Forwarding（埠轉發）

✅ 步驟 1：登入 TP-Link ER605 的網頁管理界面

在瀏覽器輸入您的 ER605 管理 IP（如 192.168.0.1）
輸入管理帳號密碼登入

✅ 步驟 2：新增埠轉發規則

請依照以下步驟設定：

前往左側選單：「Transmission → NAT → Virtual Servers（虛擬伺服器）」
點選「Add」新增一筆埠轉發規則

✅ 步驟 3：填入如下設定

欄位名稱	設定值
Name（名稱）	WireGuardVPN（任意）
Interface（介面）	WAN（通常為 PPPoE 或 WAN 口）
External Port（外部埠）	51820
Internal IP（內部 IP）	ER605 的 LAN IP（如 192.168.0.1）
Internal Port（內部埠）	51820
Protocol（通訊協定）	UDP
Status	Enable

🔁 五、檢查您的 DDNS 配置

如果您是透過中華電信 PPPoE 拿到的是 變動 IP（非固定 IP），建議：

前往 ER605 左側選單：「Transmission → Dynamic DNS（動態 DNS）」
啟用 TP-Link 的免費 DDNS 服務（或使用 No-IP 等）

設定好後，例如您的 DDNS 會是：
yourname.tplinkdns.com → 將自動指向目前的 ER605 公網 IP

🧪 六、測試 VPN 連線是否成功（從外部）

手機（4G 或在別的 Wi-Fi）打開 WireGuard App
匯入設定檔（或掃 QR Code）
嘗試連線到您設定的 DDNS 網址（如 yourname.tplinkdns.com:51820）
成功的話，您的手機就會獲得一個內網 IP（如 192.168.0.10），並能 ping 到家中 NAS 或路由器

✅ 七、小提醒

常見問題	原因與解法
VPN 無法連線	檢查 port forwarding 是否設對？埠號有打開？
DDNS 無法解析	確認您有申請並啟用 DDNS，或 DNS 已更新
設定後還是連不到	中華電信 PPPoE 有時會 NAT 兩層（CGNAT），這時需申請「對外 IP」或升級為商用線路

📘 小結

您做的事	用意
設定 Port Forwarding	讓 VPN 封包能穿越路由器防火牆
使用 DDNS	解決家中 IP 經常改變的問題
使用 WireGuard + App	建立加密安全的 VPN 通道

如果您願意，我可以根據您的實際環境幫您「手把手模擬設定」一次。
您也可以提供目前 ER605 的設定截圖（不包含個資），我來協助檢查。
是否繼續進行下一步：「如何為家人建立多組 WireGuard 使用者」？

問題八：

「Transmission → NAT → Virtual Servers（虛擬伺服器）」何謂Virtual Servers？我並沒有購買任何Virtual Servers？它是指甚麼？

這是一個非常常見的誤解，您問得非常好！

✅「Virtual Servers（虛擬伺服器）」在這裡不是指您購買的實體設備或雲端服務，而是一個路由器上的功能名稱。

🔍 Virtual Server 是什麼意思？

在 TP-Link ER605 路由器中：

Virtual Servers = 一種「埠轉發」（Port Forwarding）的設定方式

🏠 打個比方來說明：

想像您家是一個社區（區域網路），而大門是您的中華電信 PPPoE 公網 IP。

外面的人想拜訪您家裡的某個人（例如 VPN 伺服器、NAS、IP Cam 等），
但不知道內部的具體門牌號碼（192.168.x.x），也不能直接進來。
所以，您必須告訴保全（TP-Link ER605）：「當有人敲門說找 51820 埠號，請帶他去 VPN 伺服器（192.168.0.1）」

這種功能，就是路由器裡所說的 Virtual Server。

📌 名稱為「虛擬伺服器」的原因是：

它不是實體的伺服器，但它讓外部的人感覺好像您在這個 IP 位址上有一台伺服器在運作，因此稱為「虛擬」。

這是許多品牌（TP-Link、D-Link、ASUS）早期的術語，但其實等同於：

Port Forwarding（埠轉發）設定

✅ 您在 TP-Link ER605 裡的操作步驟：

進入「Transmission → NAT → Virtual Servers」
按「Add」新增一條規則
這條規則的功能就是：「當外部有人連線到我家 PPPoE IP 的 UDP 51820，就請轉送給 192.168.0.1（ER605 自己）來處理」

🧠 簡單理解就是：

名稱	真正含意
Virtual Server	指定埠號 → 轉送給內部設備（VPN伺服器）
不需要購買	是 ER605 內建的功能
用在那些情境？	VPN、NAS、遠端桌面、IP Cam等

📘 小結

您不需要購買什麼虛擬伺服器
「Virtual Servers」就是 Port Forwarding
它的目的：允許外部裝置（例如手機）透過網路連回您家中的 VPN 伺服器

如果您想，我可以一步一步畫圖或列清單教您怎麼設定 Port Forwarding（Virtual Server）來對應 WireGuard。是否要繼續？

請繼續！

太好了！我們現在就以您目前使用的 TP-Link ER605 V2.2 + WireGuard VPN 為範例，一步步設定「Virtual Server」來完成 Port Forwarding（埠轉發），讓外部裝置可以安全連回家裡的 VPN 伺服器。

🧭【前置條件檢查】

在設定 Port Forwarding 前，請先確保下列資訊您都掌握：

項目	說明
✅ VPN 使用的通訊協定	`UDP`（WireGuard 使用）
✅ VPN 使用的埠號	預設為 `51820`，若有修改請記住
✅ VPN Server 的內部 IP	一般是 ER605 自己（例如 192.168.0.1），或某台 NAS
✅ 您已設定好 DDNS	例如 `xxx.tplinkdns.com`（因 PPPoE IP 不固定）

✅【設定 Virtual Server（埠轉發）步驟】

➤ Step 1：登入 TP-Link ER605 管理介面

使用瀏覽器進入：http://192.168.0.1（或您自己的管理 IP）
輸入帳密登入

➤ Step 2：進入設定頁面

點選左邊選單：

Transmission（傳輸） → NAT → Virtual Servers（虛擬伺服器）

➤ Step 3：新增一筆轉發規則（Add）

請按下「Add」，並依以下欄位設定：

欄位名稱	設定值
Name	`WireGuadVPN`（可自訂名稱）
Interface	選擇您 PPPoE 出口的 WAN（通常是 `WAN` 或 `WAN1`）
External Port	`51820` （或您實際設定的 WireGuard 埠號）
Internal IP	例如 `192.168.0.1`（VPN Server 的內網 IP，可能是 ER605 自己或 NAS）
Internal Port	`51820` （通常與 External 一致）
Protocol	`UDP` （WireGuard 專用）
Status	✅（勾選啟用）

📌 若您的 WireGuard 是架在 NAS 上，請改填該 NAS 的 IP（例如 192.168.0.50）

➤ Step 4：儲存設定，並確認啟用

按「Save」，然後回到清單確認該項已啟用。

✅【測試：外部裝置能否連線回家中 VPN】

完成上述設定後：

外部手機或電腦（非連區網）開啟 WireGuard App
使用 DDNS 位址（例如：xxxx.tplinkdns.com:51820）
若成功連上，就能像在家中一樣連接 NAS、網頁介面、共享資料夾等

🔐 補充：安全建議

建議項目	原因
✅ 埠號請不要用預設（51820）	防止暴力破解
✅ 不要用太簡單的 Private Key 或 PSK	提升安全性
✅ 固定每人一個 VPN 帳號（config）	萬一一人遺失手機，方便移除

📌小結

設定「Virtual Server」就是為了讓家外的 WireGuard 裝置可以連到家裡 VPN 的門口。

Virtual Server 並不是您要買的實體伺服器
它只是「路由器的埠轉發設定」，將外部 UDP 埠對應轉進您內部的 WireGuard 伺服器
配合 DDNS，可以穩定連回家，即使 PPPoE 公網 IP 更換

是否需要我再幫您：

繪製架構圖？
示範手機與電腦各使用一個 WireGuard Config？
教您設定多組用戶（家人每人一組）？

請告訴我您的需求，我會一步步協助您完成。

問題九：

埠號請不要用預設（51820）與External Port 51820與Internal Port 51820是否矛盾？

這個問題非常關鍵，您觀察得很仔細！讓我清楚解釋：

✅【埠號可以相同，也可以不同】—— 並不矛盾，而是可以「自訂分流」

對象	說明
External Port（外部埠）	是「從外面 Internet 進來」要打開的門號，可以自訂任何未被占用的埠號
Internal Port（內部埠）	是您家中 VPN Server 實際在使用的埠號（例如：WireGuard 預設是 `51820`）

🔸情境1：External = Internal（標準設定）

這是最直覺、常見的設定：

項目	埠號
External Port	51820
Internal Port	51820

📌 意思是：「從外部打 51820，就直接轉送到內部 VPN Server 的 51820」，這沒問題，但安全性略低，因為駭客也知道這是預設的 WireGuard 埠號。

🔸情境2：External ≠ Internal（進階安全設定）

若您想提升安全性，可這樣設定：

項目	埠號
External Port	58201（您自訂的一個亂數埠號）
Internal Port	51820（VPN Server 仍使用預設值）

📌 這表示：「從外部打 58201，內部幫你轉給 VPN Server 的 51820」。駭客不知道您轉的是哪個服務，提高了安全性。

🛡️ 建議您這樣設定（例）：

External Port：58201（或任意五碼亂數，但不要和其他服務衝突）
Internal Port：51820
Protocol：UDP

然後在手機或電腦的 WireGuard 設定檔中，把連線地址寫成：

Endpoint = yourname.tplinkdns.com:58201

🔍 結論

問題	回答
用不同埠號是否矛盾？	❌ 不矛盾，是常見的做法
是否能增強安全？	✅ 是，這稱為「混淆端口」技術
有什麼限制？	沒有，只要您有設定正確的 NAT/Virtual Server 對應表就能順利使用

是否需要我幫您：

建一個具體的表格給您記錄？
協助修改 WireGuard 的 .conf 設定檔？
示範如何測試？

請讓我知道，我可以一步步引導您。

問題十：

Endpoint請詳細解釋？

非常好的問題！要順利使用 VPN，尤其是像 WireGuard 這種點對點的 VPN，「Endpoint」是關鍵設定之一。以下是詳細解釋：

🔹什麼是 `Endpoint`？

Endpoint 是指 VPN 客戶端（例如您的手機或筆電）要連線的伺服器位置與埠號。它告訴您的裝置要去哪裡找 VPN Server（例如家裡的 ER605 路由器）。

📌 `Endpoint` 格式如下：

Endpoint = [伺服器位址]:[外部埠號]

部分	說明	範例
`[伺服器位址]`	可以是固定IP、DDNS網域名稱	123.45.67.89 或 abc.tplinkdns.com
`[外部埠號]`	是您在 ER605 上設定的 External Port	58201（假設您自訂）

✅ 範例：

如果您用 TP-Link 的免費 DDNS，假設設定如下：

DDNS 名稱：myhome.tplinkdns.com
您在「虛擬伺服器」裡設定：
- External Port：58201
- Internal Port：51820
- Protocol：UDP

那麼您的 Endpoint 應如下設定：

Endpoint = myhome.tplinkdns.com:58201

🔸WireGuard 為何需要 `Endpoint`？

因為 WireGuard 是「點對點」（peer-to-peer）VPN，它不像 OpenVPN 那樣有中心伺服器，而是雙方彼此都要知道對方在哪。

Client（用戶端）：需要知道「Server 的外部位置」 → 用 Endpoint 來設定
Server（家裡的 ER605）：會等著這個位址的用戶來連

🔒 DDNS + Endpoint 是家庭 VPN 關鍵

中華電信給的 PPPoE 是「假固定 IP」，會變動，因此您必須：

設定 ER605 上的 DDNS 功能（例如 TP-Link 提供的免費 tplinkdns.com）
在手機或筆電上設定 WireGuard 的 Endpoint = xxx.tplinkdns.com:埠號

如此即使 IP 改變，只要 DDNS 有更新，您仍可從外部正確連回家中 VPN。

📘 小結

名稱	功能	例子
Endpoint	客戶端要連線的 VPN 伺服器位置與埠號	`myhome.tplinkdns.com:58201`
外部埠號（External Port）	NAT 對應的門號	在 ER605 中自訂，例如 58201
內部埠號（Internal Port）	VPN Server 實際監聽的埠（通常是 51820）	WireGuard 預設是 51820
DDNS	把浮動 IP 對應為一個固定網址	TP-Link 提供的 DDNS，如 `xxx.tplinkdns.com`

若您願意，我可以幫您整理出「您的家庭 VPN WireGuard 設定表」，包含：

每位家庭成員的連線資訊
Endpoint 對應表
.conf 範本

也可以幫您畫一個結構圖。請告訴我！

問題十一：

請問WireGuard設定中還會碰到那些必須由我設定的內容？請整理一份清單，並詳列設定的內容與目的？形成一個範例！目前ER605使用設定頁面是192.168.0.1，ORBI(目前是AP模式)是使用1.0.0.1，對於NAS要放在ER605設定？還是ORBI？目前ORBI是AP模式，在10.0.0.1網頁面無法操作？為什麼？要如何找到DaikinAPxxxx並指定NAT(是甚麼)？

這是一個極好的問題，我將針對您的家庭網路架構與使用 TP-Link ER605 V2.2 + WireGuard VPN + AP 模式的 Orbi + NAS + Daikin冷氣控制器（APxxxx），幫您整理出完整的設定重點與操作指南，讓您不但能建構穩定的 VPN，還能整合內部設備與遠端存取。

✅【WireGuard VPN 設定的完整清單 + 目的 + 範例】

設定項目	位置	內容說明	範例
1️⃣ VPN Server 啟用	ER605 VPN > WireGuard	建立 VPN 通道	開啟 WireGuard Server 模式
2️⃣ Private Key / Public Key	自動產生	建立加密通道的金鑰對	自動產生（記得備份）
3️⃣ Allowed IPs	每位用戶設定	指定用戶能存取的 IP 網段	192.168.0.0/24（整個家中 LAN）
4️⃣ Listen Port（內部埠）	WireGuard 設定頁面	VPN 服務實際監聽的埠號	建議使用非預設，例如 58201
5️⃣ NAT 虛擬伺服器設定	ER605 > Transmission > NAT > Virtual Servers	將外部請求導向 VPN Server	外部埠 58201 → 內部 IP（ER605 自己）→ 51820（WireGuard 預設）
6️⃣ DDNS 設定	ER605 > Network > DDNS	將浮動 IP 對應到固定網址	`myhome.tplinkdns.com`
7️⃣ 每位成員產生 WireGuard 配置檔	手動或用 ER605	每人一個 config，用於手機或電腦連線	`me.conf` 檔
8️⃣ Allow Remote Access to LAN	WireGuard 頁面	啟用用戶存取 LAN	勾選 ✅
9️⃣ 內網設備分配固定 IP	ER605 > DHCP > Address Reservation	確保 NAS 或冷氣控制器 IP 不變	192.168.0.100（NAS）、192.168.0.200（冷氣）
🔟 手機／電腦安裝 WireGuard App	用戶端操作	匯入 .conf 就能啟用 VPN	Android/iOS/Windows/macOS

📘 ER605 與 ORBI 架構說明

裝置	功能	管理頁面	說明
ER605	主路由器、防火牆、VPN Server	`192.168.0.1`	所有主要設定都在這
Orbi (AP模式)	純粹 Wi-Fi 發射器	`10.0.0.1`（失效）	被 ER605 管理，不再有路由權限
NAS / Daikin APXXXX	內部設備	掛載於 ER605 管理下的 LAN	須從 ER605 分配固定 IP 並設定 NAT 轉發（若需遠端）

❗️由於 Orbi 設為 AP 模式，它只是「無線基地台」，設定界面 10.0.0.1 已失效或無法操作（因為它不是主路由器）。所有設定改由 ER605 控制。

📍您的 NAS / Daikin APXXXX 該放在哪裡設定？

👉 都應在 ER605 上設定（因為它才是網路主控中心）

您應：

找出這些設備的 MAC 位址（可以透過 ER605 > Clients 找到）
在 ER605 設定 DHCP 保留位址 → 固定 IP，如：
- NAS：192.168.0.100
- 冷氣控制器：192.168.0.200

若需從外部連回 NAS，則：

建立 NAT（虛擬伺服器）規則：

外部埠：8022 → 內部 IP：192.168.0.100 → 內部埠：22（例如 SSH）

或對應 Web 介面如：

外部埠：8080 → 192.168.0.100 → 內部埠：80

📌 若已設定 VPN，從外部登入 VPN 後直接走內部 IP 存取 NAS 或冷氣控制器就不需要再額外開 Port Forwarding，更安全。

❓什麼是 NAT 與虛擬伺服器（Virtual Server）？

NAT（Network Address Translation）：將「外部網路請求」轉向到您內部的某一台設備。
Virtual Server（虛擬伺服器）：就是您手動告訴 ER605：如果有人從外部打 58201 埠，請幫我送進 192.168.0.1:51820

✅ 結論建議架構

VPN Server 設在 ER605
所有內網設備（NAS、冷氣）都由 ER605 發放 IP
Orbi 僅負責 Wi-Fi，不需要管理
每位用戶一個 WireGuard 通道，手機與電腦可共用一個 .conf 設定檔
使用 TP-Link DDNS + NAT 搭配 VPN，遠端連入如同在家

若您願意，我可以：

幫您畫出您家完整網路架構圖（ER605 → Orbi → 設備）
根據您現有 IP 分配，幫您寫出 NAT 規則與 WireGuard 設定範本

您只需提供：

NAS 與冷氣的 MAC 與目前 IP（或我教您如何查）
想分配給每人的裝置（名稱）

我們可以逐步完成整套最簡單、最安全的 WireGuard VPN 環境。是否繼續？

問題十一：

NAT 虛擬伺服器設定請詳細解釋？

好的，我將完整說明 TP-Link ER605 中的「NAT 虛擬伺服器（Virtual Server）」設定，並包含操作目的、設定流程、實際範例，幫助您理解它在 VPN（如 WireGuard）、NAS、遠端設備存取上的角色與設定方式。

🔷 一、什麼是「NAT 虛擬伺服器」？

NAT（Network Address Translation）虛擬伺服器是：

👇 將來自「外部網路（Internet）」特定的連線請求，導向您家中「內部網路（LAN）」的某個設備與特定埠口。

也就是說，這功能能讓您：

從遠端（例如手機、公司電腦）連到家中某個特定設備，如：
- 🧭 WireGuard VPN Server（設定 VPN）
- 🗄️ NAS（檔案存取、影音串流）
- 💡 智慧家庭控制器（如冷氣、燈光）

🔷 二、使用情境範例

需求	說明	NAT 虛擬伺服器設定方式
建立 WireGuard VPN 通道	遠端設備透過外網連到 ER605 上的 VPN Server	將外部埠 `58201` 對應到 ER605 的 `51820`
遠端存取 NAS 的網頁介面	從外地登入家中 NAS 瀏覽檔案	將外部埠 `8800` 對應到 NAS IP 的 `80`
控制智慧冷氣 Daikin（需 Web API）	從外部控制冷氣	外部埠 `8900` → 內部冷氣 IP 的 `80`

🔧 三、設定步驟（以 ER605 為例）

📍位置：

ER605 後台 192.168.0.1 > Transmission > NAT > Virtual Servers（虛擬伺服器）

📋 設定欄位說明：

欄位名稱	說明	範例
Service Type	服務名稱，可自訂	WireGuard_VPN
External Port	外部埠號（遠端連線時輸入）	`58201`
Internal IP	內部裝置的 IP（如 NAS、ER605 自己）	`192.168.0.1`（ER605 VPN）、或 `192.168.0.100`（NAS）
Internal Port	該裝置的服務埠（預設）	`51820`（VPN）、`80`（HTTP）、`22`（SSH）
Protocol	通訊協定	`UDP`（VPN）、`TCP`（NAS、SSH）
Status	是否啟用	✅（勾選）

🔰 四、實際範例：設定 WireGuard VPN 對外通道

您想讓 VPN 透過外網連入家中：

項目	設定值
Service Name	`WG_VPN`
External Port	`58201`（自訂，避免預設51820）
Internal IP	`192.168.0.1`（ER605 自己）
Internal Port	`51820`（WireGuard 的預設埠）
Protocol	`UDP`
Status	✅

📌 這樣您在手機或筆電上 WireGuard 設定中 Endpoint 就填：

myhome.tplinkdns.com:58201

👉 ER605 就會把這個外部請求轉送到它自己開啟的 VPN 服務（51820埠）上。

❗️注意事項：

請勿使用預設埠（如 51820）當外部埠：
- 原因：駭客掃描工具常掃這些預設埠，建議外部埠改為冷門數字，如 58201。
Internal IP 必須正確：
- 如果是 VPN，請設為 ER605 的 LAN 位址（如 192.168.0.1）。
- 如果是 NAS、冷氣，請先設定該設備的固定 IP。
UDP 或 TCP 協定要選對：
- WireGuard → UDP
- NAS (Web 介面) → TCP
每個設備建議不要共用同一外部埠號，否則會衝突。

🧩 五、搭配 DDNS 使用

若您家用的是 PPPoE（非固定 IP），建議搭配 TP-Link DDNS：

功能	說明
DDNS 名稱	例如：`myvpn.tplinkdns.com`
Endpoint 填法	`myvpn.tplinkdns.com:58201`

這樣即使家中 IP 改變，您外部連線仍不受影響。

✅ 總結：NAT 虛擬伺服器是什麼？

問題	答案
它是什麼？	將來自外部網路的連線導向家中某設備
有什麼用途？	遠端存取 VPN、NAS、冷氣、監視器等
需要條件？	設定好 DDNS + 固定內部 IP + 正確通訊埠
是否會有風險？	有，但若透過 VPN 通道使用，比直接開埠安全許多

是否需要我幫您依照家中設備（NAS、VPN、冷氣）一一列出對應的 NAT 表格？也可以畫圖說明整體資料流路徑。請告訴我您希望哪一種方式輔助？

問題十二：

請問ER605(Router)後面接ORBI(AP模式)負責WIFI，家中其他設備如：NAS、DaikinAPxxxx、電腦、等要如何放在那個設備？ER605或ORBI？ORBI要如何開啟設定頁面10.0.0.1無法開啟設定設備固定IP？

您目前的網路拓撲為：

中華電信 (PPPoE)
    ↓
ER605 (Router、防火牆、VPN 伺服器，IP: 192.168.0.1)
    ↓
ORBI (Mesh WiFi, 設定為 AP 模式)
    ↓
WiFi/有線設備：NAS、DaikinAPxxxx、電腦...

✅ 一、ER605 與 ORBI 各自角色說明

裝置	角色	說明
ER605	路由器 + DHCP 管理中心	負責：發 IP、NAT、防火牆、VPN 等
ORBI	Wi-Fi 無線接入點（AP 模式）	僅提供 Wi-Fi，不管理網段，不提供 IP

🔧 二、各設備應如何接入與管理？

您的所有網路設備（不論有線或 Wi-Fi）：

➤ 全部應視為連到「ER605」底下

設備	實體接法	IP 管理位置	建議設定
NAS	接 ORBI LAN 或 ER605 LAN	ER605 後台 192.168.0.1	設為固定 IP，例如 192.168.0.10
DaikinAPxxxx	Wi-Fi 連接 ORBI	同上	建議手動指定固定 IP
筆電、手機	Wi-Fi（連 ORBI）	同上	可使用 DHCP 自動取 IP

🔁 即使設備是接到 ORBI，IP 仍由 ER605 分配與管理，因此一律在 ER605 後台（192.168.0.1）設定固定 IP 或綁定 MAC。

🧱 三、為什麼 ORBI 10.0.0.1 進不去？

因為：

您將 ORBI 設定為「AP 模式」，它不再管理網段，也不再擁有 10.0.0.1 這個 IP。
它會自動向 ER605 要一個 LAN IP（例如：192.168.0.100）。

✅ 解決辦法：如何找到 ORBI 的 IP？

方法一：在 ER605 找 ORBI 的 IP

登入 ER605：192.168.0.1
前往「Network → LAN → DHCP Client List」或「Clients」
查找名稱類似 ORBI, NETGEAR, RBR50, 或 RBS50 的設備
查看其目前取得的 IP，例如 192.168.0.100
在瀏覽器輸入該 IP 進入 ORBI 後台

方法二：手機 App 查 ORBI IP

若您有用 ORBI App（iOS/Android）登入過，可以直接從 App 中查看 ORBI 的 IP 位址。

🧷 四、為什麼建議設備放在 ER605 下統一管理？

優點	說明
一致管理 IP	固定 IP 設定、DHCP 分配統一在 ER605 管理
VPN/NAT 設定簡單	全部資料流由 ER605 管理與 NAT 對應
安全性更高	防火牆與路由控管集中在一處
減少衝突	避免兩台路由器造成雙重 NAT 或衝突問題

📄 五、NAS、冷氣等要設定在 ER605 還是 ORBI？

雖然實體上連接 ORBI，邏輯上它們「都屬於 ER605 LAN」

因此這些設定 都應在 ER605（192.168.0.1）上操作：

設備	設定位置	建議固定 IP 範例
NAS	ER605 → DHCP 設定	`192.168.0.10`
DaikinAPxxxx	ER605 → DHCP 設定	`192.168.0.20`
筆電	自動（DHCP）或固定	`192.168.0.x`

🧭 六、總結與建議

問題	解法
ORBI 無法進入 10.0.0.1？	ORBI AP 模式下已被分配新的 IP，請至 ER605 查詢
設備要接哪裡？	接在哪裡都可以（ER605或ORBI），但設定上統一由 ER605 管理
設備 IP 怎麼固定？	到 ER605 → DHCP Client List 綁定 IP 或手動指定
ORBI 還能設定什麼？	AP 模式下功能有限，僅提供 WiFi，管理角色交給 ER605

若您希望我幫您畫出家庭網路結構圖（ER605＋ORBI＋各設備＋IP分配），或幫您列一個「家庭網路固定 IP 設定規劃表」，請告訴我，我可以為您製作。

問題十三：

目前遇到問題是：在ER605設定VPN過程，曾經全部斷網，可能設定出錯造成！ER605後面的Lan實體接上ORBI後面會閃綠燈表示已經連結上，但是ORBI無線網路功能卻處於關閉？一直衝擊開機或Reset都沒有效，暫時把Vigo2720n接上暫時由網路環境？但是問題仍為解決？

您目前遇到的狀況可能是由於 VPN/NAT 設定錯誤或 IP 衝突，導致整個網路環境出現失效與 ORBI 無法提供 Wi-Fi 功能。以下我幫您系統性分析並提供具體解決方式。

✅ 一、目前問題概況整理

現象	可能原因
設定 VPN 後整個網路斷線	VPN 設定衝突、防火牆封鎖或錯誤路由規則
ORBI 網路燈有亮，但 Wi-Fi 無法運作	ORBI 沒有取得有效 IP 或被防火牆阻擋
重開/重設 ORBI 無效	ORBI 未被正確分配 LAN IP、或無法與 ER605 溝通
換回 Vigo2720n 可暫時上網	表示 ER605 或其設定確有問題

🧭 二、建議的檢查與修復步驟

🔧 步驟 1：確認 ORBI 是否獲得 IP

用 筆電有線連到 ER605 LAN 口
打開瀏覽器，輸入：192.168.0.1
登入 ER605 管理介面
查看「Network → LAN → Clients / DHCP Clients List」
找是否有類似 ORBI, NETGEAR, RBR50 的設備？有的話，記下其 IP

如果沒有，表示 ORBI 沒有從 ER605 拿到 IP → 表示連線失敗。

🔧 步驟 2：檢查 VPN 設定是否阻斷本地流量

在 ER605：

前往「VPN → WireGuard 或 L2TP/IPSec」
檢查是否勾選了「All Traffic」或「Redirect All Traffic」
是否有新增異常的路由條目 (Static Route)？
若您不確定，建議 先停用 VPN 功能並刪除全部 VPN 設定

🔧 步驟 3：檢查 ORBI 實體接法是否正確

請確認：

檢查項目	正確方式
ORBI 從哪個孔接出？	ORBI 要從「LAN 孔」接到 ER605 的 LAN 孔（不要用 ORBI 的 WAN 孔）
ORBI 工作模式？	一定要設定為「AP 模式（Access Point）」
ORBI 是否 Reset？	若 ORBI 無法提供 WiFi，建議您執行完整 Reset（長按 Reset 10 秒）

🔧 步驟 4：重建乾淨網路環境

為避免 VPN 或 NAT 錯誤殘留導致問題，請依下列順序重新建構網路：

1️⃣ 移除所有設備，只保留以下連線：

中華電信（PPPoE）
   ↓
ER605（僅保留 LAN 接電腦）

進入 ER605 設定頁面 192.168.0.1，執行以下操作：

恢復所有路由器設定為預設（如無法判斷錯誤）
檢查 WAN 設定是否正常連上中華電信
確認 DHCP 正常啟用（LAN → DHCP Server）
確認無任何 VPN/Port Forwarding/NAT 規則存在

2️⃣ 將 ORBI 接回（從 LAN to LAN）：

ORBI 完全 Reset
設定為 AP 模式
從 ORBI LAN 接到 ER605 LAN
等 1-2 分鐘，看 ER605 是否分配 ORBI IP
用 ER605 後台確認 ORBI IP，試著進入 ORBI 管理畫面

📋 三、NAS、冷氣、電腦重新部署建議

設備	接法建議	固定 IP 設定位置
NAS	接 ER605 LAN 或 ORBI LAN	在 ER605 設定 DHCP 靜態 IP 綁定
冷氣	透過 ORBI WiFi 連接	在 ER605 設定 DHCP 綁定
筆電	透過 ORBI WiFi 或 ER605 LAN	DHCP 或靜態都可
手機	透過 ORBI WiFi	DHCP 自動即可

📘 四、避免未來 VPN 設定造成問題

設定項目	說明
VPN Interface IP	不可與 LAN IP 衝突，例如 LAN 是 `192.168.0.1`，VPN 就設 `10.10.10.1`
NAT/Port Forwarding	避免設定錯誤影響 LAN，建議先在測試環境實作
不勾選 Redirect All Traffic	否則會導致 VPN 用戶與本地網路中斷
儲存前備份	每次設定 VPN 之前，先備份 ER605 設定檔

📞 若問題仍無法解決

請提供以下資訊，我可以幫您一步步協助：

ER605 現在能否登入？（192.168.0.1）
ORBI 是否已 Reset？燈號如何？
您有筆電能接 ER605 的 LAN 孔測試嗎？
是否方便提供 VPN 設定頁截圖？（可遮蔽敏感資料）

是否需要我幫您畫出一張「正確網路拓撲圖」與「正確設定順序表」？我可以立即為您製作。

問題十四：

這個問題很好，涉及路由器（Router）與AP（Access Point）模式的差異，以及網路拓撲設計原理。以下詳細說明原因與原理：

一、路由器 vs AP 模式的差異

1. 路由器模式（Router mode）

WAN 口接外網（上游網路）
LAN 口是區域網路（內部網路）設備連接點
路由器會做 NAT（網路位址轉換），並分配內網 IP
WAN 口連向外部網路，WAN 口通常會取得上游網路的 IP

2. AP 模式（Access Point）

沒有獨立的 WAN 埠概念，只是一個橋接裝置
透過 LAN 埠把無線訊號橋接到上游網路
不做 NAT，不分配 IP，IP 分配權由上游路由器負責
網路設備都在同一個子網（Same subnet）裡

二、為何 ORBI 需要用 LAN 埠連接 ER605 的 LAN？

您的 ER605 是主要路由器，負責分配 IP、管理 NAT、防火牆。

您把 ORBI 設為 AP 模式後，ORBI 不再當路由器，它的 WAN 埠會失效或無法用作外網口，因為 AP 模式不處理路由。

如果您用 ORBI WAN 埠接 ER605 LAN 埠，等於在「AP 模式下嘗試路由器接法」，造成網路層級混亂：

ER605 LAN 埠是 192.168.0.x 網段
ORBI WAN 埠在 AP 模式下沒有正確的 WAN IP，無法做路由
無線網路無法正確橋接到 ER605 網路，導致 WiFi 功能失效

三、為何 Vigo2720n 可以用 WAN 口接 ORBI？

Vigo2720n 可能設定為 路由器模式，WAN 埠用來連上上游網路（例如中華電信網路）。

這是正常的路由器用法：

中華電信光纖 → Vigo2720n WAN口 → LAN口接電腦或 ORBI WAN口（ORBI也設成路由器）

這樣是兩個路由器串聯（Double NAT），ORBI 也當一台路由器管理自己的 LAN 和 WiFi。

四、結論

狀況	接法建議	理由
ORBI 設定為 AP 模式	用 LAN 埠連到 ER605 LAN 埠	AP 僅是橋接器，需和主路由同網段，不做 NAT
ORBI 設定為路由器模式	用 WAN 埠連到上游路由器（ER605 LAN）	路由器透過 WAN 埠連接上游網路，自己分配內網 IP

五、建議作法

若您想讓 ORBI 作為 AP（延伸 WiFi）
- Reset ORBI，設成 AP 模式
- 用 LAN 埠接 ER605 的 LAN 埠（同一網段）
- 這樣所有設備在同一子網，可互相存取 NAS 等設備
若您想讓 ORBI 作為獨立路由器
- WAN 埠接 ER605 LAN
- ORBI 做 NAT，分配自己內網 IP
- 但這會有 Double NAT 問題，可能造成服務不便（例如 VPN、遠端存取）

如果您想，我可以幫您設計一張網路拓撲圖，讓您更清楚各種連接的差異與影響。需要嗎？

我如何進入ORBI10.0.0.1網頁更改為AP模式？有如何再將Vigo2720n再不斷網的情況下轉移到ER605192.168.0.1？

要進行您描述的操作（進入 ORBI 的設定頁面、更改為 AP 模式，並將網路從 Vigo2720n 平順轉移到 ER605），請依照以下步驟操作。我會先分成兩大部分說明：

✅ 一、如何進入 ORBI 的設定頁面（例如 10.0.0.1）並更改為 AP 模式：

【前提條件】

ORBI 必須與電腦處於同一個網段（不能接錯孔）。
ORBI 預設管理網頁 IP 有可能不是 10.0.0.1，要確認（說明如下）。
建議改接線方式：請用網路線將電腦直接接到 ORBI 的 LAN 孔（不要接 ER605，先讓 ORBI 與外界隔離以便設定）。

🧭 【步驟說明】

步驟 1️⃣：尋找 ORBI 的實際 IP

如果你無法透過 10.0.0.1 進入 ORBI，那它的實際 IP 可能被自動分配不同，你可以透過以下方式查詢：

在電腦按下 Win + R → 輸入 cmd → 輸入 ipconfig
找到這一段：
```
Default Gateway ................... 192.168.X.X 或 10.0.X.X
```
那個「Default Gateway」就是 ORBI 的實際 IP。

步驟 2️⃣：打開瀏覽器 → 輸入剛剛查到的 IP → 進入 ORBI 的設定頁面

步驟 3️⃣：登入 ORBI → 找到「Operation Mode」或「運作模式」

改為 Access Point (AP 模式)
設定是否要固定 IP（建議給 AP 一個固定 IP，避免未來找不到）

步驟 4️⃣：儲存並重新啟動 ORBI

✅ 二、將網路主控由 Vigo2720n 轉移到 ER605（不中斷網路）

🧭 【架構與動作說明】

Vigo2720n 是 PPPoE 撥號用的數據機／路由器二合一設備
- 若您要讓 ER605 完全接手 VPN、DHCP、路由、防火牆等功能：
- 請將 Vigo 改為「橋接模式（Bridge Mode）」
  - 這樣 ER605 才能直接取得中華電信 PPPoE 公網位址

🛠️【轉移步驟（不中斷網路）】

步驟 1️⃣：備份所有設備設定（尤其是 ER605、Vigo）

步驟 2️⃣：設定 ER605 為 PPPoE 撥號模式

登入 ER605 → WAN 口 → 設定「PPPoE 撥號」
輸入中華電信給的帳號與密碼（帳號通常為 hinet 前綴）

步驟 3️⃣：將 Vigo 設為橋接模式（Bridge Mode）

登入 Vigo（通常是 192.168.1.1）→ 將其設為 Bridge Mode
儲存設定後，Vigo 會失去路由功能，只是「純數據機」

步驟 4️⃣：將 Vigo 的 LAN（或 Bridge Port）接到 ER605 的 WAN 口

接上後 ER605 會向中華電信撥號，並取得公網 IP

步驟 5️⃣：ORBI 用 LAN 接到 ER605 LAN（不接 WAN 孔）

🔧【補充建議】

設備	功能	IP 範圍建議	是否開啟 DHCP
Vigo	僅作為數據機（Bridge）	無需設定	關閉
ER605	主路由器、VPN、防火牆	192.168.0.1	✅（由它負責分配 IP）
ORBI (AP)	無線基地台	192.168.0.2（固定）	❌（需關閉 DHCP）

📌 重要提醒：

ORBI 的 WAN 孔在 AP 模式下請不要用，會造成路由重複，影響無線功能。
所有設備（NAS、電腦、Daikin）統一接在 ER605 LAN 或 ORBI LAN 上皆可（因為 ORBI 是橋接進 ER605 LAN）

如需我幫您「逐步設定 ER605 與 ORBI」，我可以製作一份操作清單與圖片指引給您。是否需要？

問題十五：

請詳細解釋：前往 VPN > Wireguard，然後點擊右側的 Add 設定 Wireguard Interface。指定 Name，若沒有特別需求，可以將 MTU 和 Listen Port 保持為預設值，Private Key 和 Public Key 也可以保持預設。在 Local IP Address 欄位填入 Wireguard Interface 的虛擬 IP，該 IP 應為未被佔用的 IP 或是位於 LAN 區段外的 IP。然後點擊 OK 並複製 Public Key。

當您在 TP-Link ER605 路由器的設定介面中，前往 VPN > WireGuard → 點選右側的 Add 新增 WireGuard Interface 時，您就是在建立一個新的 VPN 通道介面（虛擬介面），這個介面將負責 WireGuard VPN 的連線設定。以下是各欄位詳細解釋與建議：

🛠️ 設定 WireGuard Interface 各欄位說明

欄位名稱	說明	設定建議與範例
Name	為這個 WireGuard 接口命名，用來辨識用途	例如：`wg_home`、`wg_office`、`vpn_user1`
MTU	最大傳輸單位（Maximum Transmission Unit），控制資料包大小	保持預設值（例如：1420 或 1500），除非有特殊需求
Listen Port	本地端監聽的埠號，預設為 `51820`（WireGuard 標準埠號）	若您設定了 Port Forwarding，則這個 port 要與外部 NAT port 一致
Private Key	此 VPN Server 自己的私密金鑰	自動產生，保持不變
Public Key	由私密金鑰計算而來的公開金鑰，會給對方 Peer 使用來加密通訊	自動產生，之後要複製給 VPN 用戶端使用
Local IP Address	此 WireGuard 虛擬網路介面的本地 IP（類似內部 VPN 網路 IP）	例如：`10.10.10.1/24`，這是 VPN 內部使用的虛擬網段 IP

📌 Local IP Address 的重要說明

這個 IP 並不是您家中 LAN 的實體 IP，而是 VPN 虛擬網段的內部通訊地址。
建議使用與現有 LAN 不同的網段，例如：

實體 LAN	VPN WireGuard 建議虛擬網段
192.168.0.1/24（ER605）	10.10.10.1/24、10.8.0.1/24、172.16.0.1/24

這樣才不會在路由時造成 IP 衝突。

✅ 設定流程範例（逐步）

登入 ER605 管理介面（通常是 192.168.0.1）
選擇 VPN > WireGuard
點選右上角 「Add」
填入以下內容：

項目	範例設定
Name	wg_home
MTU	保持預設
Listen Port	51820（或自訂 51888 等）
Private Key	系統自動產生
Public Key	系統自動產生（請複製下來）
Local IP Address	`10.10.10.1/24`（自行定義）

點選 OK 儲存

🔁 下一步要做什麼？

複製這個 Interface 的 Public Key
建立對應的「Peer」（VPN 客戶端的資訊）
設定 Port Forwarding（將外部埠號轉送到此 Interface 上）
在對端設備（如手機、筆電）安裝 WireGuard 並輸入 ER605 的 Public IP、Public Key、端口與虛擬 IP

如您希望，我可以進一步提供：

✅ 一個完整的 WireGuard VPN 設定流程圖＋範例配置（含 ER605、電腦、手機）

是否需要我幫您製作？

問題十六：

若您設定了 Port Forwarding，則這個 port 要與外部 NAT port 一致：請再詳細解釋？

這是一個非常關鍵的概念，讓我們一步一步說明：

🔁 什麼是 Port Forwarding？

「Port Forwarding（埠轉送）」的作用是：

把外部來訪的連線請求（透過某個埠）轉送到內部網路的特定設備與埠號。

這樣外部設備（例如你的手機、筆電在外地）才能穿過中華電信的防火牆與 NAT，到達你家中的 ER605 的 WireGuard VPN 服務。

🌐 假設環境說明

項目	設定範例
公網 IP（DDNS）	yourhome.ddns.net（動態 IP 綁定）
VPN 使用的 Port	例如：`51888`（對外埠號）
ER605 VPN 本地 Port	`51820`（預設 Listen Port）
VPN Server	ER605 中的 WireGuard 接口

✅ 重點：「外部 NAT port 要對應內部 port」

當外面設備嘗試透過 DDNS + Port 連入時：

你手機輸入：
   yourhome.ddns.net:51888
↓
中華電信數據機 → 將 port 51888
↓
Port Forward 到 ER605（內部） → port 51820（WireGuard 監聽）
↓
成功連線到 VPN

✅ 範例設定圖（在數據機或 ER605 的 NAT/虛擬伺服器）

項目	設定內容
外部埠號	`51888`
內部 IP	`192.168.0.1`（ER605）
內部埠號	`51820`
協定類型	UDP

這樣才能把「來自網際網路上 51888 的封包」正確轉送到內部 ER605 上的 WireGuard 51820。

❗ 為何不能用預設的 51820？

安全性： 網路掃描工具會主動探測常用 VPN port（如 51820），容易被攻擊。
防止衝突： 有些 ISP（或其他服務）可能封鎖預設的 VPN port。
彈性管理： 若有多個 VPN 使用者（家人一人一組 VPN 通道），可對應多組外部 port，轉送到不同 Interface。

📌 總結

若您設定了 Port Forwarding，則這個 Port 要與外部 NAT port 一致：

✅ 正確的解釋是：

外部設備 連線時要使用 你設定的外部埠號（如 51888）
這個埠號透過數據機或 ER605 的「埠轉送」功能轉送到內部 WireGuard 介面所用的埠號（如 51820）
這兩個 Port 可以不同，但需要轉送正確。

若您願意，我可以：

幫您畫出一張完整的 NAT Port Forward 圖
給您一張設定表格讓您自己對照

是否需要我繼續幫您整理？

問題十七：

請詳細解釋Step 3：新增一筆轉發規則（Add）每個欄位名稱/設定指？

非常好，以下是針對 ER605（或其他 TP-Link Omada 路由器）在設定 NAT → 虛擬伺服器（Virtual Server） 時，Step 3：新增一筆轉發規則（Add） 的詳細說明：

🔧 Step 3：新增一筆轉發規則（Add Virtual Server Rule）

您會看到類似以下欄位，依照 TP-Link ER605 管理頁面（192.168.0.1）的順序來解釋：

項目名稱	中文說明	您應該如何設定	範例設定值（VPN 用途）
Name	規則名稱	幫這條規則命名，便於管理識別	`WireGuard-VPN`
Interface	WAN 介面	選擇哪個對外的 WAN 網口（如 WAN、WAN1、WAN2）	`WAN1`（若您僅有一個網路）
External Port	外部埠號	外部連入要用的埠號，可自訂	`51888`（建議不要用預設 51820）
Internal IP	內部 IP 位址	內部要接收這個連線的設備 IP（通常是 ER605 自己）	`192.168.0.1`（ER605 LAN IP）
Internal Port	內部埠號	實際在內部設備上提供服務的埠號	`51820`（WireGuard 預設）
Protocol	協定	選擇此連線所使用的協定	`UDP`（WireGuard 使用 UDP）
Status / Enabled	啟用狀態	是否啟用這條規則	打勾（Enable） ✅

✅ 設定範例：WireGuard VPN

您想從外部手機或筆電，連回家裡的 WireGuard VPN 服務，使用非預設埠號避免掃描與衝突：

項目	設定值
Name	`WireGuard-VPN`
Interface	`WAN1`
External Port	`51888`
Internal IP	`192.168.0.1`
Internal Port	`51820`
Protocol	`UDP`
Status	✅ 啟用

📌 小提醒

External Port 可以與 Internal Port 不同！
- 這樣做的好處是你可以用更「隨機」的埠號來避免掃描攻擊。
若您打算設多個 VPN 用戶或服務，也可以做多組 Port Forwarding。
- 例如 51888 → 51820 是給爸爸，51889 → 51821 是給兒子等（前提是多個 VPN Interface）

🧭 完成後，如何測試？

使用手機或筆電（在外部網路下，例如 4G）
在 WireGuard 的 Endpoint 填寫：
```
yourhome.ddns.net:51888
```
看能否成功連線進 VPN。

是否要我幫您製作一張「轉發設定的表格樣板」讓您直接填？或要我幫您檢查目前設定是否正確？也可以幫您畫出整體架構圖。請告訴我。

問題十八：

請問Internal IP與Internal Port的相同與不同？

這是一個非常重要的問題，讓我們清楚地區分：

🔹Internal IP 與 Internal Port 是什麼？

在設定「NAT 虛擬伺服器（Virtual Server）」時，我們的目的是：

讓外部（Internet）來的請求，透過路由器轉發到內部（LAN）某一台設備上的特定服務。

因此會牽涉到兩個核心參數：

名稱	中文名稱	意義	範例
Internal IP	內部 IP 位址	您家中內部網路中，要接收這個請求的設備 IP（通常是提供服務的電腦或路由器本身）	例如：`192.168.0.1`（ER605 本身）或 `192.168.0.100`（NAS）
Internal Port	內部埠號	這台內部設備實際提供服務所開的埠號	例如：`51820`（WireGuard VPN 預設）或 `5000`（NAS 管理頁面）

🔸為什麼 Internal IP 與 Internal Port 是「一對」？

這兩者要「對準」一個正在提供服務的設備與它的服務埠號。

舉例：

您家裡的 ER605 路由器開啟了 WireGuard VPN 服務，埠號是 51820，它的 IP 是 192.168.0.1。

那麼您的設定應該是：

Internal IP：192.168.0.1
Internal Port：51820

這表示：

「從外部來的連線，會被轉發到 ER605 的 51820 埠號上。」

🔸Internal IP 與 Internal Port 相同 vs 不同？

比較項目	說明
Internal IP 相同	通常表示所有流量都轉發到同一台設備（如 ER605 自己或一台 NAS）
Internal Port 相同	表示不同的「外部埠號」都可以轉發到內部相同的服務，例如：不同的 VPN 使用者可用不同的外部埠，指向相同的服務埠。
Internal Port 不同	可讓您同時提供多個不同服務，例如：一個轉發到 NAS（5000），一個轉發到 VPN（51820）

🔸範例對照

External Port	Internal IP	Internal Port	用途
51888	192.168.0.1	51820	VPN（WireGuard）
8080	192.168.0.100	5000	NAS 管理介面
8443	192.168.0.101	443	HTTPS Server

🧠 小結論

Internal IP：指定哪一台內部設備接收流量。
Internal Port：指定該設備的哪個服務接收流量。

👉 它們不是用來「比較相不相同」的，而是要搭配起來正確對應到一個特定服務。

如果您願意，我可以幫您根據家中設備（NAS、ER605、ORBI、冷氣等）整理一張建議的 Port Forwarding 對照表。是否要？

太好了！以下是根據您家中的網路架構（ER605 為主路由器，ORBI 為 AP，家中有 NAS、冷氣 DaikinAPxxxx、電腦、VPN 等）設計的一份完整 Port Forwarding（虛擬伺服器）對照與建議表格。

✅ 家用網路 Port Forwarding 設定對照表（ER605 主機為例）

功能/設備	裝置名稱	內部 IP（Internal IP）	內部埠號（Internal Port）	外部埠號（External Port）	協定（Protocol）	備註與用途說明
VPN 服務	ER605（主路由）	`192.168.0.1`	`51820`	`51888`	UDP	WireGuard VPN；外部連入用
NAS 網頁管理介面	Synology（範例）	`192.168.0.100`	`5000`	`8500`	TCP	存取 NAS 控制台
NAS HTTPS 管理	Synology（範例）	`192.168.0.100`	`5001`	`8501`	TCP	HTTPS 管理用
NAS 檔案服務	Synology（範例）	`192.168.0.100`	`22`	`8822`	TCP	SSH / SCP 傳檔
冷氣遠端控制	DaikinAPxxxx	`192.168.0.101`	`80`	`8081`	TCP	冷氣 Web 控制界面（如果支援）
遠端桌面	家用電腦	`192.168.0.110`	`3389`	`9339`	TCP	若您使用 Windows 遠端桌面
內部 Web 伺服器	標準電腦	`192.168.0.120`	`80`	`8880`	TCP	供測試內網網站

🔧 建議設定方式（以 ER605 為主）

在 ER605 的設定界面（192.168.0.1）中：

前往：Transmission > NAT > Virtual Servers
點選「新增（Add）」
分別依上述表格的每一筆建立規則
每筆設定內容說明如下：

欄位	填寫說明
Service Type	任意自定義，如「VPN-WG」或「NAS-管理」
External Port	外部連接要使用的埠號（請勿與內部埠相同，避免被掃描）
Internal IP	對應的內部設備 IP（需固定）
Internal Port	該設備上該服務實際的埠號
Protocol	根據服務選擇 TCP / UDP / Both
Enable	勾選 ✔ 啟用

🧩 建議配套設定：

請務必先將每台設備設定為「固定 IP」或使用 DHCP Reservation 保留 IP
- ER605 > Network > LAN > Address Reservation
DDNS 建議開啟，避免 IP 漂移造成 VPN 或遠端失效
- ER605 > Network > Dynamic DNS
NAT Loopback 可啟用，讓內部網路也能用外部網址存取內網服務

💡 ORBI 的設備要怎麼配置？

ORBI 已設為 AP 模式（無路由功能），請：
- 把所有設備連到 ORBI Wi-Fi（例如 NAS、冷氣等），但其 網段與主路由器相同（192.168.0.x），設定還是透過 ER605 處理 IP 與 Port Forwarding。
- ORBI 管理網頁不會是 10.0.0.1，而是請您在 ER605 的 DHCP 列表中找出 ORBI 的 IP（例如 192.168.0.2），再登入。

SSH（Secure Shell）與 SCP（Secure Copy）是兩種在網路上安全地「遠端連線與傳輸檔案」的方式。它們廣泛用於伺服器管理、NAS 設備存取（如 QNAP）、Linux 系統等。以下是詳細說明：

✅ 什麼是 SSH？

SSH（Secure Shell）是一種安全加密的遠端登入協定，可以讓您從一台電腦連線到另一台設備（如 NAS、Linux 主機）來執行指令。

🔹 用途：

登入遠端系統並進行操作（像 DOS 介面）

執行備份、安裝軟體、檢查狀況

管理 QNAP 等設備時開啟 root 權限控制

🔒 安全性：

傳輸過程會加密（不像 Telnet）

可使用「密碼」或「金鑰」驗證

✅ 什麼是 SCP？

SCP（Secure Copy Protocol）是透過 SSH 通道傳送檔案的工具。就像是「安全版的 FTP」。

🔹 用途：

將本地端檔案傳送到遠端設備（例如 QNAP NAS）

或從 NAS 把資料拉回電腦

🔧 指令範例（在電腦終端機）：

scp test.txt admin@192.168.0.10:/share/Public/

意思是：把 test.txt 傳到 QNAP NAS 的 Public 資料夾

🧠 SSH 與 SCP 的關係？

協定/工具功能是否加密

SSH 遠端登入與操作系統 ✅ 是

SCP 使用 SSH 傳送檔案 ✅ 是

SCP 是基於 SSH 的檔案傳輸工具，所以您開啟 SSH，SCP 就可以使用。

🔧 在 QNAP NAS 上如何啟用 SSH？

登入 QNAP 管理頁面（如：`https://192.168.0.10`）

前往：控制台 → 服務 → Telnet / SSH

勾選「啟用 SSH 連線」

確認使用預設埠（22）或更改為其他埠（提高安全性）

🧳 使用 SCP 有圖形化工具嗎？

是的！不想用指令，也可以使用以下圖形工具來操作 SCP：

工具名稱系統功能

WinSCP Windows 支援 SCP/SFTP，圖形介面操作方便

FileZilla (SFTP) 跨平台支援 SFTP（基於 SSH）

Cyberduck Mac/Win 支援 SCP、SFTP、WebDAV 等多種協定

🛡️ 安全注意事項：

若開啟 SSH，請改用非預設埠（22）例如改成 2222

建議設定防火牆或僅限內網登入

可改用「SSH 金鑰」登入（更安全）

如果您希望在 NAS 上使用 SSH + SCP 進行資料備份、跨裝置同步、遠端維運，我可以提供範例操作方式（含 Windows 或 macOS 端工具教學），歡迎提出進一步需求！

📘 如果您需要，我可以幫您產出 ER605 NAT 規則的逐步圖解範例，甚至為您撰寫備忘錄格式 Word 或 PDF 文件，您是否需要？

問題十九：

我想請你確定，NAS、Dai kinAPxxxx需要使用到「DHCP Reservation」+「IP-MAC 綁定」嗎？若只設定「DHCP Reservation」而並沒有「IP-MAC 綁定」效果回如何？有甚麼不同與差異？

這是一個非常實用且重要的問題，尤其您家中設備（NAS、Daikin 智慧冷氣）若需長期穩定連網與遠端控制，IP 管理的穩定性與安全性就成為關鍵。以下為您詳細解析「只使用 DHCP Reservation」與「同時搭配 IP-MAC Binding」之功能差異、優缺點與建議實務應用：

🔹一、基本概念差異

功能	DHCP Reservation（保留 IP）	IP-MAC Binding（IP-MAC 綁定）
功能說明	為指定 MAC 裝置保留固定 IP（每次 DHCP 分配皆相同）	將某 IP 限定只能由某 MAC 裝置使用（保安鎖定）
IP 是否可被其他設備搶用？	❌ 可能會被 MAC 冒充者佔用	✅ 絕對不可（MAC 不符無法用該 IP）
安全性	中等（防止 IP 漂移）	高（防止 IP 偽冒、ARP 攻擊）
易用性	高（設定簡單）	中（需設定所有受限裝置）
是否會與非法設備混用	有可能（如 MAC Spoofing）	不可能（直接封鎖）

🔹二、實際應用差異（以您家中設備為例）

裝置	建議方式	原因
NAS（QNAP）	✅ 建議同時使用 DHCP Reservation + IP-MAC Binding	固定 IP 才能正確 Port Forwarding / VPN 進入；加上 MAC 綁定可防止 NAS IP 被他人奪走造成中斷。
Daikin 冷氣（DaikinAPxxx）	✅ 建議兩者都使用，或至少保留 IP	若使用 App 控制冷氣，冷氣 IP 不能更動，否則手機 App 會連不到冷氣。防止冷氣 IP 被 DHCP 亂分配。

🔸三、若只設定 DHCP Reservation 而無 IP-MAC Binding，會如何？

項目	效果說明
✅ 正常連線	冷氣與 NAS 都會一直拿到同一個 IP（因 DHCP 記得它們的 MAC）
⚠️ 若有其他裝置偽冒該 MAC	DHCP 仍會發給同樣 IP，可能發生 IP 衝突，導致原設備連不上
⚠️ IP 無保護性	被內部惡意設備冒用，或設定錯誤時有風險
⚠️ 安全性不足	無法防止靜態設定錯誤的裝置手動設成該 IP，進而導致 NAS 或冷氣斷線（很難排錯）

🔸四、結論建議

裝置類型	建議設定
NAS（QNAP/其他）	✅ 建議啟用 DHCP Reservation + IP-MAC Binding
智慧家電（冷氣、電視）	✅ 建議啟用 DHCP Reservation；若要提高網路安全，再加上 IP-MAC Binding
筆電/手機	❌ 一般不建議 IP-MAC Binding（會阻礙設備更換、行動使用）

🔹五、ER605 實作小提示（操作步驟簡述）

確認設備已連線，記下其 MAC 與目前 IP。
在 LAN 設定 → Address Reservation（位址保留） 中設定 IP。
在 Security → IP & MAC Binding → Binding List 中新增規則：
- 綁定 MAC 與 IP
- 啟用狀態 ✔️
- Interface 選 LAN
點選「啟用綁定功能（Enable IP & MAC Binding）」
儲存後，建議重啟設備一次。

如果您願意，我可以幫您依現有設備（QNAP、DaikinAPxxxx...）列出適用的設定建議表，包括：

建議 IP 位址規劃（例如冷氣為 192.168.0.21~25）
各裝置是否建議啟用 IP-MAC 綁定
簡化管理策略

是否要我幫您列出這份設備規劃建議表？會更好管理與日後擴充。

問題二十：

請問若要Reset RE605，第一步我需要先將ORBI改為AP模式？還是先Reset RE605？目前仍是使用Vigo2720n作為Router，怕斷網？接著對於Nas、冷氣....要在ER650設定並綁定DaikinAPxxxxx？還是在ORBI操作綁定？

您提到目前仍使用 Vigo2720n 為 Router，擔心操作會導致全家斷網，這是非常正確且實際的考量。以下我為您提供一份完整、安全、避免斷網的操作順序與建議設定流程，並特別針對 ER605、ORBI、NAS、冷氣等設備作妥善規劃：

✅ 建議的安全操作順序（避免斷網）

🧩 1️⃣ 先不要變更 ORBI（暫時不要改成 AP 模式）

原因：目前網路由 Vigo2720n 管理，ORBI 是第二層 Router。若此時 ORBI 改為 AP 模式，家中裝置將失去 DHCP，反而造成斷網。

🔄 2️⃣ 先 Reset ER605 回出廠模式（Standalone）

拔掉 ER605 上所有線材，只保留電源線。
長按 RESET 鍵 10–12 秒（系統燈變快閃），等待重新啟動完成。
此時 ER605 仍未連上網路，不會影響現有家庭網路！

💻 3️⃣ 用筆電或手機接上 ER605 的 LAN 孔（例如 LAN1）

手動設定電腦 IP 為：

IP: 192.168.0.10
子網：255.255.255.0
閘道：192.168.0.1

或開啟自動 DHCP（ER605 出廠預設會給 192.168.0.x IP）
用瀏覽器進入：
```
http://192.168.0.1
```
完成初次設定 → 請選擇 Standalone 模式

🛜 4️⃣ 設定 ER605 的 WAN 為 DHCP 或 PPPoE（取代 Vigo 用）

尚未更換時先不用插 WAN 線，僅設定好即可。
若您未來會從 Vigo ADSL 轉換為 PPPoE，記得填入帳號密碼。

🔁 5️⃣ 暫時不插 ORBI / NAS / 冷氣，避免干擾現網路

🚨 接下來的切換操作：慎重、快速進行，避免斷網時間過長

🧰 6️⃣ 【切換路由器】：將 Vigo2720n 拔除，ER605 正式上線

將 Vigo 上的網路線（電話/光纖）拔下，插入 ER605 的 WAN 埠
將原本接 ORBI 的網線改插在 ER605 的 LAN 埠
家中所有設備將自動轉為由 ER605 管理網路

✅ 若 ER605 WAN 為 DHCP 模式，一接上網就會自動分配 IP 上線
✅ 若為 PPPoE 請先備妥帳號密碼

📶 7️⃣ ORBI 進入設定頁（http://10.0.0.1） → 轉為 AP 模式

ORBI 轉為 AP 模式後：
- 不再發 DHCP
- 由 ER605 分配 IP、管理全網路
ORBI 需用其 LAN 孔 連接至 ER605 的 LAN 孔
- 絕對 不要再使用 ORBI 的 WAN 孔

📦 NAS、冷氣（DaikinAPxxxxx）接法與綁定

設備	建議接法	IP 綁定位置	原因與說明
NAS	接 ER605 的 LAN	在 ER605 的 DHCP 設定內綁定 MAC	讓 Port Forwarding、VPN 對應 IP 不變
冷氣（IoT）	可接 ER605 或 ORBI（AP）	一樣在 ER605 綁定 MAC 對應 IP	所有設備 IP 控制權應集中由 ER605

🛡 若要遠端控制冷氣或 NAS，推薦用 VPN

請在 ER605 上設定 WireGuard VPN
家人使用手機 App（支援 WireGuard）登入即可
若您需要，我可幫您製作：設定檔、QRCode、自動匯入教學

📌 總結關鍵原則

步驟	操作
1	先 Reset ER605，不影響現網路
2	完成初始設定、選擇 Standalone
3	準備好後再斷開 Vigo → 插上 ER605
4	ORBI 最後才改為 AP 模式
5	NAS/冷氣設定 MAC 綁定於 ER605

您若有空可提供目前各設備的 MAC 或名稱，我可以幫您規劃 ER605 上的 DHCP 靜態 IP 與簡易配置圖。是否需要我幫您畫一張完整的網路切換流程圖與設備接線圖？

問題二十一：

為何ResetER605在輸入192.168.0.1卻無法登入？

若您已將 ER605 成功 Reset 並仍然 無法透過 192.168.0.1 登入管理頁面，可能有幾個常見原因，以下依照可能性與解法依序列出，請逐步檢查：

✅【一】基本檢查與操作順序

① ER605 是否正確接線與上電

只接一條 電源線
只接一條 RJ45 網路線：
- 將筆電（或桌機）插入 ER605 的 LAN 埠（如 LAN1）
絕對不要插到 WAN 或 WAN/LAN 埠

✅【二】檢查網路卡 IP 設定（最常見原因）

請確認筆電是否取得正確 IP

方法一：手動設定靜態 IP（最保險）

開啟筆電的網路設定（Windows）

設定靜態 IP 為：

IP: 192.168.0.10
子網：255.255.255.0
閘道：192.168.0.1

儲存後，用瀏覽器輸入：
```
http://192.168.0.1
```

方法二：設定為自動取得（若 ER605 有啟動 DHCP）

若自動取得 IP 為 192.168.0.x，那麼 ER605 有正常運作
若取得不到 IP，表示 ER605 可能未成功 Reset 或 DHCP 未啟動

✅【三】檢查 ER605 是否真的成功 Reset

🔁 正確 Reset 步驟回顧：

插上電源
找到機器背後的 Reset 小孔（使用迴紋針）
長按至少 12 秒（直到前面 LED 快速閃爍）
放開後，設備會自動重新開機（約 1–2 分鐘）

🔧 Reset 成功後，ER605 預設：

管理 IP：192.168.0.1

用戶名/密碼：admin / admin

DHCP：自動開啟

✅【四】其他可能原因與排查方式

問題	解法
ER605 曾被雲端綁定（Omada Cloud）	必須 Reset 並確認燈號變化，否則仍會被 Controller 接管
筆電同時連 Wi-Fi & 有線	請關閉 Wi-Fi，僅保留 ER605 的 LAN 線接入
瀏覽器快取或錯誤頁面	嘗試使用 Chrome 無痕模式、或 Firefox、Edge
網路線或筆電網卡故障	更換網線、改用另一部電腦嘗試

🧪 測試連線狀態（Windows CMD）

開啟命令提示字元（CMD），輸入：

ipconfig

請確認您是否看到這樣的內容：

IPv4 Address. . . . . . . : 192.168.0.10
Subnet Mask . . . . . . . : 255.255.255.0
Default Gateway . . . . . : 192.168.0.1

然後再輸入：

ping 192.168.0.1

若出現回應（如 Reply from 192.168.0.1...），表示網路暢通。

📌 若以上仍無法登入怎麼辦？

確認是否買到的是 Omada 專屬版本（無法脫離 Controller）
- 若買到的是受控版本，您只能用 Omada Controller 管理它（也可安裝本地版 Controller）
或者提供您的 ER605 型號全名與購買來源，我可幫您查出是否是「雲控版本」

是否需要我幫您畫一張接線圖與步驟圖，方便您操作每個接線與 IP 設定？這樣可更快速排除錯誤並成功登入。

問題二十二：

192.168.0.1無法登入tplink頁面輸入Username Password？

若您在重置 ER605 後無法透過 192.168.0.1 登入 TP-Link 的管理頁面（無法看到登入畫面或無法通過帳號密碼），可能原因如下，並提供逐步排解方式：

✅【應該可登入的預設條件】

條件	預設值
IP	`192.168.0.1`（請從 LAN Port 連線）
Username	`admin`
Password	`admin`（全小寫）
網路設定	電腦應設為「自動取得 IP」或固定設為 `192.168.0.10`、子網 `255.255.255.0`

🔍【無法登入的常見原因與解法】

🚫 1. 不是從 LAN Port 連線

ER605 背面 LAN1~LAN3 為 LAN Port，請勿接 WAN/WAN/LAN Port。
若接錯 WAN Port，將無法進入內部管理頁面。

✅ 解法：請確認您是從 ER605 的 LAN1、LAN2、LAN3 任一孔接到電腦。

🛠️ 2. 電腦 IP 沒取得正確（無法與 ER605 同網段）

若電腦未能取得 ER605 發的 IP，將無法開啟網頁。

✅ 解法 A（推薦）：

將電腦設定為 自動取得 IP
確認網路介面狀態為「已連線」
在命令提示字元輸入 ipconfig
- 應出現：IPv4 Address: 192.168.0.xxx
- 預設閘道（Default Gateway）應為：192.168.0.1

✅ 解法 B（手動設 IP）：

IP：192.168.0.10
子網：255.255.255.0
閘道：192.168.0.1

🔒 3. 曾被綁定到雲端 Omada Controller（或其他控制器）

若您看到：「This Gateway is being managed by Controller 52.221.92.52」這種訊息
表示設備仍在「受控狀態」，無法登入頁面修改

✅ 解法：

必須「強制 Reset」並確保沒有連上舊 Controller：
1. 長按 RESET 超過 12 秒
2. 確保沒有網線接上「WAN」與舊 Controller
3. 重開機並僅接一條 LAN 線到電腦
4. 再登入 http://192.168.0.1

🔄 4. Reset 後未等夠時間，或仍保留舊設定

有些 ER605 Reset 需要 >1 分鐘才完全完成初始化

✅ 解法：

重開機後再等約 2～3 分鐘
再嘗試進入 192.168.0.1

🔁 5. 瀏覽器快取或 HTTPS 路由設定問題

有些 TP-Link 不支援 https://192.168.0.1，請改用 http://

✅ 解法：

使用 Edge 或 Chrome，輸入：
```
http://192.168.0.1
```

🆘 如果仍無法登入，可嘗試：

改用另一台電腦或筆電嘗試登入
下載 TP-Link 官方工具：
- 搜尋：TP-Link ER605 Easy Setup Utility（可用 USB 下載到另一電腦使用）
用 Omada App 嘗試自動配對後導入控制器（僅當無法獨立操作時使用）

是否需要我幫您畫出整個 Reset → 電腦連線 → 設定步驟的流程圖？

這樣可以更保證您一步步操作正確。

問題二三：

電腦需要離線嗎？

這是個非常關鍵的問題，謝謝您提問！

✅ 如果您要 Reset ER605 並進入 192.168.0.1 設定頁面：

💡 建議電腦暫時「離線」（斷開網路、移除 Wi-Fi），只接 ER605 的 LAN 線，原因如下：

🔒 為什麼要「離線」操作？

避免電腦誤連外部網路（例如 ORBI、其他 Router）
- 電腦可能會自動使用 Wi-Fi 或原來的 Router 分配的網路，導致無法連上 ER605 的內建管理頁面（192.168.0.1）。
確保您的電腦 IP 是從 ER605 分配或手動設定成正確區段（192.168.0.X）
- 若電腦有其他網路在作用，例如原 Router，將干擾設定流程。

✅ 正確的設定環境應如下：

裝置	狀態
電腦	✅ 關閉 Wi-Fi、移除其他網線
ER605	✅ 僅接上電源與一條 LAN 線（例如 LAN1）到電腦
其他設備（ORBI、Vigo Router）	❌ 暫時不要接上 ER605

🛠️ 建議設定步驟如下：

先將 ER605 長按 RESET 鍵 12 秒 → 讓它恢復出廠設定
將電腦「Wi-Fi 關閉」並「僅接一條 LAN 線」到 ER605 的 LAN1 或 LAN2
電腦設定為自動取得 IP（或手動設為 192.168.0.10 / 子網 255.255.255.0）
確認電腦 ipconfig 顯示的閘道為 192.168.0.1
打開瀏覽器，輸入：
```
http://192.168.0.1
```
使用預設帳密登入：
```
帳號：admin
密碼：admin
```

✅ 完成 ER605 設定後，再重新接上 ORBI 或其他設備！

需要我幫您畫一張【ER605 Reset + 設定流程圖】，讓您一步步照著走嗎？會幫助避免中途出錯、家中斷網。

問題二四：

請問若要透過ER605分派IP，使用動態還是使用固定位址？有何優缺點？速度？管理？VPN撥接？若使用固定，10.0.0.1開頭的位址與192.168.0.1開頭有何不同？使用不同可以歸類，方便管理？

您這個問題非常好，牽涉到網路架構的核心概念，以下我用簡潔 + 對照表方式說明：

✅ 一、ER605 分派 IP 的方式：動態（DHCP）vs 固定（Static）

項目	動態 IP（DHCP）	固定 IP（Static）
說明	由 ER605 自動分配給設備	管理者手動設定，指定給設備
適用對象	一般手機、電腦、訪客設備等	NAS、印表機、攝影機、VPN裝置等
速度差異	幾乎無差（差異可忽略）	幾乎無差
優點	簡單、不需手動設定	不會因重開機換 IP，更穩定
缺點	IP 會變動，不利遠端連線與設備識別	要人工設定，管理量大時易混淆
VPN 撥接	建議搭配固定 IP（例如指定 VPN Client 給固定內部 IP）

✅ 二、建議最佳實作方式（混合）

ER605 啟用 DHCP 功能
再透過 DHCP 保留功能 (DHCP Reservation) 指定：
- NAS
- 印表機
- 攝影機
- VPN Client / Server
- 冷氣等智慧家電

➡️ 這樣每台設備 還是用 DHCP 拿 IP，但會被分配固定的位址，方便又穩定。

✅ 三、使用不同網段：`192.168.x.x` vs `10.x.x.x` 有何不同？

比較項目	192.168.0.x	10.0.0.x
網段類型	私有網段（Class C）	私有網段（Class A）
可分配數量	最多 254 台（/24）	多達千萬台（視子網設定而定）
管理分類	小規模家庭/公司最常見	較多用於中大型企業、有子網管理
分群好處	比如：192.168.0.x 為主機、192.168.1.x 為智慧家電	10.0.1.x 是來賓、10.0.2.x 是VPN、10.0.3.x 是IoT

🎯簡單說：

若您只是家庭用途、設備數量 < 50 台，用 192.168.0.x 很夠用。
但若您希望有區隔/分類管理（如冷氣、NAS、VPN 不同段），10.0.x.x 會更彈性。

✅ 實務建議（以您狀況）：

需求	建議做法
家用或小型工作室	使用 `192.168.0.x`，設定 DHCP + DHCP 保留
需分段管理	改為 `10.0.x.x` 或 `192.168.x.x` 做子網區分
VPN 用途	為 VPN 用戶保留固定 IP（或用 VPN 使用者分組）
冷氣/NAS 管理	在 ER605 DHCP 保留中設定名稱與 IP 保留

如您有更多設備分類需求，我也可以幫您設計一套清楚的 IP 規劃表（如 Excel 模板）讓您未來方便管理與擴充。是否需要呢？

問題二五：

目前我家規畫網段希望能一看就知道是屬於ER605 ROUTER或ORBI的WIFI ，如何把設備歸類在這兩個之下？請提出建議？並使用不同網段方便區別是屬於那個設備下面？我只有希望ER650系統上IP網頁是192.168.0.1；ORBI原本是ROUTER目前改為AP模式，只做WIFI 功能！所以我可以指定ORBI設定網頁為10.0.0.1嗎？我是先要取得ER650DHCP下找到ORBI IP在去做更改？其他的設備要在ER605更改，無法在ORBI下更改？有甚麼快速方便德設定方法嗎？

您的架構與需求很明確，也非常具有網管規劃的精神👍。
以下是根據您「ER605 為主Router，ORBI為AP只提供WiFi」的實際狀況，給您最清楚的分類建議、IP 規劃邏輯與設定流程。

✅ 一、您家目前的網路結構整理如下：

[中華電信Modem/橋接] → [ER605 Router, IP: 192.168.0.1, DHCP中心]
                                    ↓
                        ┌────────────┴─────────────┐
                        ↓                          ↓
                  [有線設備/NAS等]         [ORBI AP（只做 Wi-Fi）]
                                                     ↓
                                            [手機、筆電等WiFi設備]

✅ 二、建議的 IP 規劃與歸類原則

類別	功能描述	建議 IP 段	DHCP保留建議
ER605 本身	主路由器	`192.168.0.1`（固定）	是
ORBI AP	無線接入點（WiFi）	`192.168.0.2`（建議手動設定）	是（保留）
有線設備（NAS）	走有線網路	`192.168.0.10~50`	建議保留
WiFi設備	手機、筆電等	`192.168.0.100~199`	不強制
特殊設備（IoT）	如冷氣、監視器	`192.168.0.200~250`	建議保留

🔹 所有設備都由 ER605 分配 IP，ORBI 不再當 DHCP，避免衝突。

✅ 三、是否可以讓 ORBI 頁面設為 `10.0.0.1`？

可以技術上強制改為 10.0.0.1，但不建議，原因如下：

項目	說明
✅ 可行與否	是。你可以進入 ORBI 的管理頁面手動設為 10.0.0.1
⚠️ 問題	若 ORBI 與 ER605 不在同一網段（10.x vs 192.x），ER605 裡的設備會找不到 ORBI 的管理頁面，除非電腦也暫時手動設為 10.0.0.x
✔️ 建議作法	將 ORBI 固定為 `192.168.0.2`，這樣從同網段任何設備都能直接開 `192.168.0.2` 管理 WiFi 設定，簡單穩定！

✅ 四、設定流程步驟（簡單實作）

🟩 步驟 1：重開 ORBI 並進入設定

將 ORBI 用網線接在 ER605 的 LAN 埠（非 WAN）
手機或筆電連上 ORBI 的 WiFi
開啟瀏覽器 → 輸入 192.168.0.1（進入 ER605）
進入 DHCP Client List → 找到 ORBI 的 MAC 與目前自動獲得的 IP（假設是 192.168.0.108）

🟩 步驟 2：將 ORBI 的 IP 固定為 `192.168.0.2`

打開 192.168.0.108（ORBI 當前 IP）
登入 ORBI 後台，進入「LAN 設定」
將 LAN IP 改為：192.168.0.2，子網為 255.255.255.0
儲存並重開 ORBI
回到 ER605 的 DHCP → 設定保留 MAC 位址 → 永遠保留 192.168.0.2 給 ORBI

🟩 步驟 3：依照裝置歸類指定名稱與 IP 保留

進入 ER605 設定介面 → DHCP → Address Reservation

裝置	IP	名稱
ORBI	`192.168.0.2`	ORBI-AP
NAS	`192.168.0.10`	MyNAS
Daikin 冷氣	`192.168.0.200`	Daikin-LR
筆電	`192.168.0.101`	Laptop-John

📍這樣您登入介面時，一看就知道每個設備是誰、是走哪個來源、IP幾號，未來要做 Port Forwarding、VPN 對應都非常方便。

✅ 五、總結

項目	建議
ORBI IP	建議固定為 `192.168.0.2`，非必要不建議用 `10.0.0.1`
IP分類	使用一個統一網段（192.168.0.x）+區間命名管理最簡單
管理便利性	可做 DHCP 保留 + 命名，無需每次查找
VPN 規劃	VPN裝置或 Client 可指定 IP，如 `192.168.0.210`
快速登入	ER605 = 192.168.0.1，ORBI = 192.168.0.2，皆可直接登入管理

若您希望，我也可以幫您設計一份 設備 IP 分配與命名的 Excel 管理表格（含空格填寫設備/MAC/IP），您是否需要呢？這樣日後管理或調整非常輕鬆！

問題二六：

DHCP保留建議，意思是DHCP分配IP位址依據分配保留的意思嗎？所以手機、筆電不強制，由DHCP自動分配，每次都會不同嗎？

是的，您完全理解得正確，這裡我來為您詳細說明「DHCP 保留」與一般「DHCP 分配」的差異與建議使用方式：

✅ 一、什麼是 DHCP？

DHCP（Dynamic Host Configuration Protocol）是網路中用來自動分配 IP 位址的協定。

當設備（手機、筆電、NAS、冷氣等）連上路由器時，它會跟路由器請求 IP 位址。DHCP 就會根據「可用範圍」自動分配一個給它，例如：

192.168.0.100 ～ 192.168.0.199

✅ 二、什麼是「DHCP 保留」？

DHCP 保留（DHCP Reservation）是指：

雖然設備還是透過 DHCP 要求 IP，但路由器會根據該設備的 MAC 位址，永遠分配同一個固定 IP 給它。

就像是：

手機 A 的 MAC：AA:BB:CC:11:22:33
您設定：只要看到這個 MAC，就永遠給它 192.168.0.101

這叫做「保留」。

✅ 三、與「固定 IP（手動設）Static IP）」的比較

項目	DHCP 自動	DHCP 保留	固定 IP（手動）
設備端需設定？	❌ 不需要	❌ 不需要	✅ 需要
是否容易管理？	❌ 容易變動	✅ 管理方便	⚠️ 容易衝突
IP 是否會變？	✅ 可能每次不同	❌ 永遠固定	❌ 永遠固定
是否適合用於 NAS、VPN、冷氣等？	❌ 不適合	✅ 適合	✅ 適合但較複雜
會不會 IP 衝突？	❌ 不會	❌ 不會	⚠️ 容易若不小心重複

✅ 四、建議的使用策略（依設備分類）

類別	建議做法	原因
路由器（ER605）	固定：192.168.0.1	核心控制點，應固定
ORBI 主機	DHCP 保留：192.168.0.2	可辨識，便於管理
ORBI 衛星	DHCP 保留：192.168.0.4	維持穩定連線
NAS、監視器、冷氣等	DHCP 保留	容易找到設備管理頁
手機、平板、筆電	一般 DHCP	不需固定、靈活使用
VPN Server / 打印機	DHCP 保留	需要穩定 IP

✅ 五、為什麼不建議手動在設備端設定 IP？

因為：

容易與 DHCP 分配的 IP 發生衝突（如果設錯）
如果設備換地方或換網段，要重新改 IP，麻煩
管理不集中（分散在各設備內）

✅ 使用「DHCP 保留」可達成同樣效果，而且統一集中在 ER605 管理頁上，最好管理又最安全。

✅ 六、結語與建議

問題	回答
「DHCP 保留」是否還是 DHCP？	是的，仍透過 DHCP 分配，但分配「固定對象」與「固定 IP」
手機、筆電是否需保留？	不一定，看需求，若是常用電腦可保留，其他就讓 DHCP 自由分配
DHCP 自動分配是否每次都變？	有可能會變（但不一定），尤其重新開機後，或設備多時更容易變
使用 DHCP 保留有無風險？	幾乎沒有風險，反而能避免 IP 衝突與不確定性

✅ 若您需要我幫您製作一份「DHCP 分配與保留計畫表」（包含 MAC 與建議 IP），我可以立即提供 Excel 或圖片版本。

是否需要？若有，請提供您現有設備清單（名稱 + MAC），我來幫您規劃。

協定/工具	功能	是否加密
SSH	遠端登入與操作系統	✅ 是
SCP	使用 SSH 傳送檔案	✅ 是

工具名稱	系統	功能
WinSCP	Windows	支援 SCP/SFTP，圖形介面操作方便
FileZilla (SFTP)	跨平台	支援 SFTP（基於 SSH）
Cyberduck	Mac/Win	支援 SCP、SFTP、WebDAV 等多種協定

2025年6月9日 星期一

問題一：

✅ 一、建立 VPN 是什麼意思？

➤ VPN（虛擬私人網路）基本概念：

✅ 二、VPN 的使用方式是什麼？

➤ 建立一條 VPN「通道」後：

✅ 三、架構示意圖

✅ 四、常見 VPN 協定（ER605 支援）

✅ 五、誰可以連？怎麼連？

✅ 六、使用方式像 Wi-Fi 嗎？

✅ 七、最佳實務：簡單 + 安全 + 易用

🔧【設定步驟總覽】：

✅ 八、具體建議策略（給您與家人）

✅ 九、下一步，我可以幫您完成：

📌 您可以先告訴我：

問題二：

✅ 回答您的核心問題：

🎯 類比來說：

✅ WireGuard 的實作方式 — 本質是「每個人一條隧道」

📌 所以即使是同一台路由器上的 VPN server，每個使用者其實連的是「不同的加密通道」，因為：

✅ 優缺點比較表（共享 vs 個人通道）

✅ 整體建議

🔧 如果您是：

✅ 我可以接下來幫您：

🔧 一、您目前的目標是什麼？

🔄 二、您目前碰到的兩個問題：

1️⃣ 中華電信 PPPoE + 動態 IP 問題

2️⃣ ER605 後面 LAN 或 WAN Port 無法正常工作？

📘 三、重點回答您的提問：「每人是否能用自己的通道（手機與電腦共用）？」

➤ ✅方式一（簡便，但限制多）：

➤ ✅方式二（正規方式，建議使用）：

🧭 四、您下一步可以這樣做：

✅ [步驟1] 開啟 DDNS（解決 PPPoE 動態 IP 問題）

✅ [步驟2] 建立 WireGuard Server 與多使用者設定

✅ [步驟3] 手機與電腦連線方式

📱 手機端：

💻 電腦端：

✅ 最後整合建議

🔍 一、什麼是「Interface IP」？

📘 二、舉例說明

🏠 三、這個 VPN 網段與您家裡原本區網有何關係？

🧭 四、設定建議

🧪 五、實際應用流程圖（簡化）

✅ 結論（簡要）

✅ Allow Remote Access(遠端存取) to LAN

🔍 詳細說明

🧭 一、VPN 有兩個世界

🧱 二、為何需要這個選項？

✅ 三、勾選 Allow Remote Access to LAN 之後，會有什麼效果？

⚠️ 四、如果不打開會怎樣？

📘 五、對應畫面位置（簡要導引）

✅ 結語（總結）

🎯 一、為什麼要設定 ER605 VPN？

🧩 二、可能的應用情境（您可能會有這些需求）

🛡️ 三、為何要用「VPN」而不是「開放連接埠」？

🏠 四、TP-Link ER605 提供什麼 VPN 類型？

🧱 五、建立 VPN 架構示意圖（概念）

🔧 六、您應具備的條件（設定 VPN 前）

✅ 七、總結

🧭 一、什麼是 Port Forwarding（埠轉發）？

📡 二、為何要設定 Port Forwarding？

🔢 三、WireGuard 使用那個 Port？

🛠️ 四、如何在 TP-Link ER605 設定 Port Forwarding（埠轉發）

✅ 步驟 1：登入 TP-Link ER605 的網頁管理界面

✅ 步驟 2：新增埠轉發規則

✅ 步驟 3：填入如下設定

🔁 五、檢查您的 DDNS 配置

🧪 六、測試 VPN 連線是否成功（從外部）

✅ 七、小提醒

📘 小結

✅「Virtual Servers（虛擬伺服器）」在這裡不是指您購買的實體設備或雲端服務，而是一個路由器上的功能名稱。

🔍 Virtual Server 是什麼意思？

🏠 打個比方來說明：

📌 名稱為「虛擬伺服器」的原因是：

✅ 您在 TP-Link ER605 裡的操作步驟：

🧠 簡單理解就是：

📘 小結

🧭【前置條件檢查】

✅【設定 Virtual Server（埠轉發）步驟】

➤ Step 1：登入 TP-Link ER605 管理介面

2025年6月9日星期一

✅ `Allow Remote Access(遠端存取) to LAN`

✅ 三、勾選 `Allow Remote Access to LAN` 之後，會有什麼效果？

🔹什麼是 `Endpoint`？

📌 `Endpoint` 格式如下：

🔸WireGuard 為何需要 `Endpoint`？