Windows 安全 VPN 連線設定教學|完整步驟與最佳實踐

Windows 安全 VPN 連線設定教學|完整步驟與最佳實踐

在現代網路環境中,使用虛擬私人網路保護連線隱私與資料安全已成為基本需求。Windows 作業系統內建了完善的 VPN 用戶端功能,讓使用者無需安裝第三方軟體即可建立安全通道。本文將詳細說明如何在 Windows 10 與 Windows 11 上設定安全 VPN 連線,並提供最佳實踐建議,確保連線過程穩定且不易遭受資料外洩風險。

使用 Windows 內建 VPN 功能進行設定

Windows 的 VPN 設定主要透過「設定」應用程式完成。請依序點選「開始」功能表,選擇「設定」,然後進入「網路與網際網路」,在左側選單中點選「VPN」。在此頁面中,按下「新增 VPN 連線」按鈕即可開始設定。

設定時需注意以下幾項關鍵參數:

  • VPN 提供者:務必選擇「Windows (內建)」,此選項代表使用系統原生的 VPN 協定堆疊,相容性與安全性最佳。
  • 連線名稱:自行輸入可辨識的名稱,例如「公司 VPN」或「安全通道」。連線名稱僅供顯示使用,不影響連線行為。
  • 伺服器名稱或位址:填入 VPN 伺服器的完整網域名稱或固定 IP 位址。建議使用網域名稱,方便未來伺服器 IP 變更時無須重新設定。
  • VPN 類型:此處為安全設定的核心,後續將詳細說明協定選擇。
  • 登入資訊的類型:依照伺服器要求選擇「使用者名稱與密碼」、「智慧卡」或「一次性密碼」等。若使用憑證認證,則需事先安裝用戶端憑證。

完成基本設定後,點選「儲存」即可。但此時連線尚未具備最高安全性,需要進一步調整進階選項。

Windows 安全 VPN 連線設定教學|完整步驟與最佳實踐 - 1

推薦的安全協定:L2TP/IPsec 與 IKEv2

Windows 支援多種 VPN 協定,包括 PPTP、L2TP/IPsec、IKEv2、SSTP 與 OpenVPN(需第三方用戶端)。其中 PPTP 因加密強度不足已不建議使用;SSTP 僅在 Windows 上原生支援,但也有其限制。對於多數安全需求,優先選擇 L2TP/IPsec 或 IKEv2。

L2TP/IPsec 使用 IPsec 進行加密與認證,安全性較高,常見於企業環境。設定時需要在 VPN 類型中選擇「L2TP/IPsec 與預先共用金鑰」。若伺服器要求使用憑證進行 IPsec 認證,則選擇「L2TP/IPsec (使用憑證)」。

IKEv2 是微軟目前推薦的協定,具有快速重新連線的特性,適合行動裝置或經常切換網路的用戶。選擇「IKEv2」後,通常搭配憑證認證或 EAP 認證。微軟官方技術文件詳細說明了 IKEv2 的設定方式,可參考 Microsoft Learn 的 VPN 安全指南 以獲得完整技術規範。

下表比較了兩種主要安全協定的特性:

Windows 安全 VPN 連線設定教學|完整步驟與最佳實踐 - 2
協定加密強度連線穩定性認證方式適用場景
L2TP/IPsec高(AES-256 常見)中等(可能被防火牆阻擋)預先共用金鑰或憑證企業固定位置連線
IKEv2/IPsec高(AES-256 常見)高(支援 MOBIKE)憑證或 EAP行動裝置、筆電頻繁切換網路

進階設定:PSK 與憑證認證

當選擇 L2TP/IPsec 且使用預先共用金鑰(PSK)時,需在 VPN 連線的內容中設定金鑰。儲存基本設定後,請至「網路與網際網路」>「VPN」,點選已建立的 VPN 連線右側的「進階選項」,或直接從「網路連線」傳統面板編輯。在「安全性」索引標籤中,找到「IPsec 設定」並勾選「使用預先共用金鑰進行驗證」,然後輸入伺服器提供的金鑰字串。注意金鑰應妥善保管,長度至少 16 個字元以上,且包含大小寫字母與數字。

對於更高安全需求的環境,強烈建議使用 IKEv2 搭配憑證認證。此方式需要向企業內部憑證授權單位或第三方 CA 申請用戶端憑證,並安裝於 Windows 憑證存放區。設定 VPN 類型為 IKEv2,登入資訊類型選擇「憑證」。連線時系統會自動選取符合伺服器要求的憑證,無須手動輸入密碼,大幅降低被暴力破解的風險。

若遇到憑證信任問題,請確認伺服器憑證是否已安裝至「受信任的根憑證授權單位」存放區。許多商業 VPN 服務會提供根憑證下載,請依照指示匯入。微軟支援頁面提供了詳細的憑證安裝步驟,可參考 Connect to a VPN in Windows 官方指南。

網路連線最佳化:停用 IPv6 與遠端閘道

即使 VPN 連線已建立,仍可能因系統設定不當而發生資料外洩。最常見的兩種情況是 IPv6 流量未經加密隧道,以及遠端閘道設定導致本地網路中斷。

Windows 安全 VPN 連線設定教學|完整步驟與最佳實踐 - 3

IPv6 在部分 VPN 伺服器上未完整支援,可能造成部分流量繞過 VPN 直接流出。為避免此風險,建議停用 VPN 連線的 IPv6 元件。請在 VPN 連線的「內容」中,選取「網路」索引標籤,在「此連線使用下列項目」清單中找到「網際網路通訊協定第 6 版 (TCP/IPv6)」,取消勾選即可。此操作僅影響該 VPN 介面,不影響其他網路連線。

另一個重要設定是「使用遠端網路的預設閘道」。預設情況下,Windows 會將所有流量導向 VPN 伺服器,導致本機區域網路資源(如網路印表機、內部檔案伺服器)無法存取。若要同時保持本地網路連線,請在 IPv4 內容的「進階」設定中,取消勾選「使用遠端網路的預設閘道」。如此一來,只有前往遠端私有網段的流量會經由 VPN 路由,其餘流量仍走本地網路。若 VPN 要求所有流量都經過加密(例如公司安全政策),則應維持勾選。

以上兩項調整可透過以下列表快速執行:

  • 取消 IPv6 勾選:VPN 內容 > 網路 > 取消 TCP/IPv6
  • 取消遠端閘道:IPv4 內容 > 進階 > 取消「使用遠端網路的預設閘道」
  • 若需完全強制 VPN 路由,則保留遠端閘道勾選,並在路由表中手動新增規則

常見問題與疑難排解

連線失敗時,首先檢查伺服器位址是否正確、網際網路連線是否正常。若使用 L2TP/IPsec 且出現錯誤 789 或 809,通常是因為防火牆或路由器阻擋 UDP 連接埠 500 與 4500。請確認 Windows 防火牆允許 IPsec 流量,或聯絡網路管理員開放相關連接埠。

Windows 安全 VPN 連線設定教學|完整步驟與最佳實踐 - 4

使用 IKEv2 時可能遇到憑證錯誤,請檢查用戶端與伺服器憑證是否有效,並確認伺服器名稱與憑證中的主體名稱相符。若使用公司 VPN 卻無法存取內部資源,請檢查路由表是否正確,或確認遠端閘道設定是否適合您的使用情境。

如果 VPN 連線成功但仍然無法上網,可能是 DNS 設定問題。在 VPN 內容的 IPv4 內容中,可手動指定 DNS 伺服器位址,或勾選「自動取得 DNS 伺服器位址」由 VPN 伺服器提供。有時需要清除 DNS 快取,可於命令提示字元執行 ipconfig /flushdns。

參考文獻

本文參考多個權威來源所彙整的技術資訊,以確保內容準確且符合最新安全實務。主要參考資料包括:

Microsoft Corporation. Connect to a VPN in Windows. Microsoft Support. https://support.microsoft.com/en-us/windows/connect-to-a-vpn-in-windows-3d29aeb1-f497-f6b7-7633-115722c1009c

Windows 安全 VPN 連線設定教學|完整步驟與最佳實踐 - 5

Microsoft Corporation. VPN guide for Windows. Microsoft Learn. https://learn.microsoft.com/pt-br/windows/security/operating-system-security/network-security/vpn/vpn-guide

Avast. How to set up a VPN on Windows. Avast Blog. https://www.avast.com/pt-br/c-how-to-set-up-a-vpn

X-VPN. How to set up a VPN on Windows 10/11. X-VPN Blog. https://xvpn.io/pt/blog/how-to-set-up-a-vpn-on-windows

Adentro Cloud. L2TP/IPsec configuration with preshared key. Adentro Knowledge Base. https://kb.adentrocloud.com

VPN Windows 安全設定 遠端工作 網路安全 加密 教學 最佳實踐
注意 本文僅供資訊參考,實際設定請依裝置與網路環境調整。
作者

Stefano Barcellos

Visite Barbados 的貢獻者。

« 上一篇
如何驗證網路憑證:完整檢查方法與步驟

相關文章