两个 TP-link 路由器之间建立 VPN 通讯,常用且稳定的是IPSec VPN方式(多数 TP-link 企业级路由如 ER 系列、TL-R473G 等均支持),适合分支机构与总部子网互访。以下是详细实操步骤,以两台 TP-link ER 系列路由器( Router A 为总部、Router B 为分支机构)为例:
前期准备
确保两台路由器均已接入公网,Router A 公网 IP 假设为
123.123.123.1,内网子网192.168.1.0/24;Router B 公网 IP 假设为124.124.124.1,内网子网172.16.1.0/24。用网线将电脑连接到路由器 LAN 口,电脑自动获取同网段 IP,通过
192.168.1.1(默认地址,若已修改则用自定义地址)登录路由器 Web 管理界面,默认账号密码多为admin。确保两端路由器固件为最新版本,避免兼容问题。
具体配置步骤(两端配置对称,以 Router A 为例,Router B 镜像配置)
配置 IPSec 虚接口
登录 Router A 管理界面,依次点击【VPN】-【VPN 设置】-【虚接口】。
点击【新增】,绑定用于接入公网的 WAN 口(如 WAN1),创建 IPSec 虚接口(如命名为 ipsec0),完成后保存。
创建 IKE 安全提议
进入【VPN】-【VPN 设置】-【IKE 安全提议】,点击【新增】。
自定义安全提议名称(如 ike_pro),验证算法选 SHA256,加密算法选 AES256,DH 组选 Group14,生存时间默认 86400 秒,参数需和 Router B 完全一致,保存配置。
配置 IKE 对等体
进入【VPN】-【VPN 设置】-【IKE 对等体】,点击【新增】。
对等体名称自定义(如 peer_B),绑定第一步创建的 ipsec0 虚接口。
对端地址填写 Router B 的公网 IP(
124.124.124.1),协商模式选主模式,安全提议选择刚创建的 ike_pro。设置预共享密钥(如
TP123456),该密钥两端必须相同,其余参数默认,保存即可。配置 IPSec 安全提议
进入【VPN】-【VPN 设置】-【IPSec 安全提议】,点击【新增】。
命名为 ipsec_pro,安全协议选 ESP,ESP 验证算法选 SHA256,ESP 加密算法选 AES256,保持和 IKE 安全提议的加密强度匹配,保存配置。
配置 IPSec 安全策略
进入【VPN】-【VPN 设置】-【IPSec 安全策略】,勾选【启用 IPSec 功能】,点击【新增】。
自定义策略名称(如 policy_B),本地子网填写 Router A 的内网网段
192.168.1.0/24,对端子网填写 Router B 的内网网段172.16.1.0/24。关联之前创建的 IKE 对等体(peer_B)和 IPSec 安全提议(ipsec_pro),其余参数默认,保存配置。
添加静态路由
依次点击【高级设置】-【路由设置】-【静态路由】,点击【新增】。
目的地址填写对端内网网段
172.16.1.0,子网掩码255.255.255.0,出接口选择之前创建的 ipsec0 虚接口,下一跳无需填写,保存路由。Router B 镜像配置重复上述 1 - 6 步,仅修改关键参数:IKE 对等体的对端地址填 Router A 的公网 IP(
123.123.123.1),IPSec 安全策略的本地子网为172.16.1.0/24,对端子网为192.168.1.0/24,静态路由的目的地址改为192.168.1.0,其余参数和 Router A 保持一致。
连通性测试与问题排查
测试互访:分别在 Router A 内网的
192.168.1.100主机和 Router B 内网的172.16.1.100主机上,通过 ping 命令测试连通性。若能 ping 通,说明 VPN 隧道建立成功。常见问题排查
若 ping 不通,先检查两端公网 IP 是否可达,可通过路由器的 ping 诊断工具测试对端公网 IP。
核对两端 IKE 和 IPSec 的加密算法、预共享密钥等参数,参数不一致会导致隧道建立失败。
若存在 NAT 设备,确保路由器开启 NAT 穿越功能,且公网端口未被防火墙屏蔽(IPSec 常用 UDP 500、4500 端口)。
若出现震荡或断连,可降低 IKE 生存时间,或调整加密算法为较低强度(如 AES128)测试。
