為了避免手機使用VPN進入NAS、DaikinAPP時,仍能使用其他APP如銀行,連上WIFI 或行動網路,要修改Router Policy設定?需要把家中屬於VPN的網段設備與其他區隔?要如何設定?
為了達成您的需求:
✅ 手機連上 VPN(例如連回家中 TP-Link ER605 的 WireGuard VPN)時,
✅ 僅能存取特定家中設備(如 NAS、Daikin 空調),
✅ 但其餘 APP(例如銀行、瀏覽器、YouTube 等)仍能使用手機的「行動數據或 Wi-Fi」直接上網,
您需要進行「分流設定」(split tunneling),並不需修改 ER605 的 Router Policy Route,而是要調整:
✅ 分流設定原則:控制那個流量「走 VPN」,那個流量「走原網路」
📱一、手機端 WireGuard VPN 設定關鍵:AllowedIPs
這是最重要的設定關鍵:
| 參數 | 正確設定方式 | 說明 |
|---|---|---|
| AllowedIPs | 10.10.0.1/32, 192.168.0.0/24 |
只將要進入家中網段的流量經由 VPN 傳送,其他流量繞過 VPN |
| ❌錯誤範例 | 0.0.0.0/0 |
表示 所有流量都走 VPN,導致無法上銀行、無法上網 |
🔁 結果:
-
存取
192.168.0.100(家中 NAS) → ⭕會透過 VPN -
存取
daikin.home.local→ ⭕會透過 VPN -
上網(Google、YouTube、銀行 App)→ ⭕走手機自身的 4G/Wi-Fi
📡二、家中 Router 的設定(ER605)
✅ 無需更動 Router Policy Routing
只需確認以下設定:
-
ER605 的 WireGuard Server 對應 Peer,應只授權
10.10.0.2/32(手機端 VPN IP) -
家中防火牆規則允許:
-
Source: 10.10.0.2 -
Destination: NAS (192.168.0.x), Daikin IP (192.168.0.y) -
Service: ALL或僅允許特定 port(更安全)
-
✅ 防火牆不需允許 10.10.0.2 存取全網段(除非有需求)
✅ 範例設定總覽
✅ 手機端 WireGuard 客戶端設定(重點)
[Interface]
PrivateKey = xxxxxxx
Address = 10.10.0.2/32
DNS = 192.168.0.1
[Peer]
PublicKey = (ER605 公鑰)
Endpoint = your.ddns.name:51820
AllowedIPs = 10.10.0.1/32, 192.168.0.0/24
📌 請根據家中 LAN 網段調整上面
AllowedIPs的192.168.0.0/24
📌 這樣,只有進入家庭區域網的流量會透過 VPN,其餘流量會「繞開 VPN」
✅ ER605 防火牆設定建議
| 條件 | 設定 |
|---|---|
| Source IP | 10.10.0.2(VPN 手機) |
| Destination IP | 192.168.0.100(NAS)、192.168.0.101(Daikin) |
| Service | ALL 或限制為 HTTP/HTTPS |
| Action | Allow |
| WAN | 選「Any」或「---」(不要選 WAN) |
✅ 是否需要將家中 VPN 用戶的 IP 分類?
選用 IP Group 區隔可以提升安全與可維護性,建議如下:
| 群組名稱 | 內容 | 用途 |
|---|---|---|
VPN_User |
10.10.0.2(手機 VPN IP) |
防火牆 Source 使用 |
Home_Devices |
192.168.0.100, 192.168.0.101 |
防火牆 Destination 使用 |
這樣未來可在防火牆設定中簡單選擇群組,不必每次輸入一堆 IP。
✅ 總結
| 動作 | 責任端 | 設定建議 |
|---|---|---|
| 控制那些 IP 經由 VPN 傳送 | 📱手機 WireGuard App | AllowedIPs 只填家中網段(如 192.168.0.0/24) |
| 控制 VPN 手機可存取那些設備 | 🛡️ER605 防火牆 | 只允許 10.10.0.2 存取 NAS、Daikin IP |
| 區隔管理群組 | ER605 IP Group | 建立 VPN_User 與 Home_Devices |
如果您提供您家中 NAS、Daikin、VPN 的具體 IP,我可以幫您生成完整設定表,甚至圖解流程,是否需要?
沒有留言:
張貼留言