虚拟专用网VPN(virtualprivatenetwork)是在公共网络中建立的安全网络连接,这个网络连接和普通意义上的网络连接不同之处在于,它采用了专有的隧道协议,实现了数据的加密和完整性的检验、用户的身份认证,从而保证了信息在传输中不被偷看、篡改、复制,从网络连接的安全性角度来看,就类似于在公共网络中建立了一个专线网络一样,只不过这个专线网络是逻辑上的而不是物理的所以称为虚拟专用网。VPN系统包括VPN服务器,VPN客户机和隧道。由于使用Internet进行传输相对于租用专线来说,费用极为低廉,所以VPN的出现使企业通过Internet既安全又经济的传输私有的机密信息成为可能。
我们介绍的是Windows操作系统中利用OpenVPN配置VPN,OpenVPN是一个开源的第三方虚拟专用网配置工具,可以利用固有设备搭建VPN应用网关。
服务器的安装与配置
OpenVPN是一个开源的第三方虚拟专用网配置工具,可以利用固有设备搭建VPN应用网关。以下将分别介绍Ubuntu、Windows操作系统下的服务器的部署与配置。
2.1 Ubuntu下搭建OpenVPN服务器
2.1.1安装OpenVPN服务器
在Ubuntu下输入以下命令:
sudoapt-get-yinstallopenvpnlibssl-devopenssl
sudoapt-get-yinstalleasy-rsa
2.1.2证书制作
按照以下步骤执行命令生成OpenVPN正常运行所需要的证书
初始化配置:
sudomkdir/etc/openvpn/easy-rsa/
sudocp-r/usr/share/easy-rsa/*/etc/openvpn/easy-rsa/
sudosu
sudovi/etc/openvpn/easy-rsa/vars
----->按照需要可以修改证书配置如下:
exportKEY_COUNTRY=”CN”
exportKEY_PROVINCE=”BJ”
exportKEY_CITY=”BeiJing”
exportKEY_ORG=”fanvil”
exportKEY_EMAIL=”fanvil@fanvil.com”
exportKEY_OU=”fanvil”
exportKEY_NAME=”server”
运行vars: sourcevars
第一次运行清空所有: ./clean-all
生成CA证书: ./build-ca
生成服务器证书: ./build-key-serverserver
生成客户端证书: ./build-keyclient
产生动态密码库: ./build-dh
2.2启动服务器
服务器环境配置,将相应的证书配置文件放入指定的目录:
cpkeys/ca.crt/etc/openvpn/
cpkeys/server.crtkeys/server.keykeys/dh2048.pem/etc/openvpn
mv/etc/openvpn/dh2048.pem/etc/openvpn/dh1024.pem
cpkeys/client.keykeys/client.crt/etc/openvpn/
cp/usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz/etc/openvpn/
cd/etc/openvpn
gzip-dserver.conf.gz
cp/usr/share/doc/openvpn/examples/sample-config-files/client.conf/etc/openvpn/
启动服务器:
/etc/init.d/openvpnrestart
2.3Windows下搭建OpenVPN服务器
2.3.1安装OpenVPN服务器
在网上搜索下载Windows版的OpenVpn软件。本篇搭建使用的是openVPNGUI
双击下载软件进行默认安装,注意勾选安装easy-rsa配件。默认路径是C:\ProgramFiles\OpenVPN。
双击下载软件进行默认安装,注意勾选安装easy-rsa配件。默认路径是C:\ProgramFiles\OpenVPN。
2.3.2证书制作
在进行操作之前,首先要进行初始化工作:
请根据自身情况修改C:\ProgramFiles\OPENVPN\easy-rsa\vars.bat.sample的以下部分
setHOME=C:\ProgramFiles\OPENVPN\easy-rsa
setKEY_COUNTRY=CN #(国家)
setKEY_PROVINCE=BEIJING #(省份)
setKEY_CITY=BEIJING #(城市)
setKEY_ORG=WINLINE #(组织)
setKEY_EMAIL=admin@winline.com.cn #(邮件地址)
上面#开始的是注释,请不要写到文件中。
上面#开始的是注释,请不要写到文件中。
以管理员权限打开cmd进入DOS,执行下列命令进入openvpn\easy-rsa目录:
init-config
vars
clean-all
生成根证书: build-ca(一路回车按照缺省配置生成即可)
产生动态密码库: build-dh
生成服务器证书: build-key-serverserver(一路回车按照缺省配置生成即可)
生成客户端证书: build-keyclient(一路回车按照缺省配置生成即可
2.3.3启动服务器
生成的均密钥存放于OpenVPN\easy-rsa\keys目录下
将生成的证书拷贝到OpenVPN\config目录下
将OpenVPN\sample-config下的服务器配置文件拷贝到OpenVPN\config目录下启动OpenVPN应用程序即可
2.4服务器端配置
在OpenVPN的安装目录下,使用notepad++打开server.ovpn或者server.conf文件查看服务器端文件示例如下:
port1194 #这个端口是IANA为OpenVPN分配的指定端口,可以根据需要自行修改
protoudp #可以选用tcp
devtun
caca.crt
certserver.crt
keyserver.key
dhdh1024.pem
server10.8.0.0255.255.255.0 #虚拟局域网网段设置,请根据需要自行修改
ifconfig-pool-persistipp.txt
keepalive10120
client-to-client
comp-lzo
max-clients100
persist-key
persist-tun
statusopenvpn-status.log
verb3
3 客户端使用与配置
3.1客户端配置
这里的客户端针对的是我们支持OpenVPN的设备,为了让我们的话机能够连接到OpenVPN服务器,我们需要证书文件。
首先需要针对客户端的配置文件client.ovpn或者client.conf进行编辑修改,客户端配置文件示例如下:
client
devtun
protoudp
remote192.168.1.1351194 #服务器域名/IP和端口
resolv-retryinfinite
nobind
persist-key
persist-tun
caca.crt
certclient.crt
keyclient.key
comp-lzo
verb3
可以结合服务器端的配置进行相关修改。
其次将我们之前制作好的客户端文件ca.crt、client.crt、client.key导出来在话机升级时使用。
3.2话机使用OpenVPN
登陆话机网页,依次点击网络->VPN,在OpenVPN文件栏逐个升级client.ovpn,client.key,client.crt,ca.crt。升级完成后,OpenVPN文件栏会有升级进入的证书文件大小显
示,如下所示
打开VPN配置页面,在VPN模式选择OpenVPN,同时启用VPN,点击提交按钮。
当成功连接服务器之后,会在VPN页面的VPN联机状态一栏中显示获得的IP地址,如下图所示,获得得IP为10.8.0.10。
注意事项:
1、X3S/X4话机没有OpenVPNmode选择框,默认为tun,不支持tap模式;X5S/X6/X7/X7C/X210/X210i话机的OpenVPNmode默认为tun,可以使用下拉框选择tap模式
2、X7A等安卓话机需要从网页导入VPN证书后在话机端安装apk才能使用openvpn
3.3开启VPNNAT
使用方法:
话机导入vpn证书,开启EnableVPN和EnableNAT,PC(网关需要设置为话机的ip)连接话机lan口,此时PC能够访问话机的VPN。
PCping10.8.0.10可以ping通,pingwww.baidu.com也可以ping通(10.8.0.10是VPNIP地址)
注意事项:
1.目前支持机型J3G/X3U/X3SG/J1P以及X5S/X6/X7/X7C/X210/X210i话机;X3S/X4暂不支持
2.J3G/X3U/X3SG/J1P话机要开启VPNNAT,导入的client.ovpn证书需要指定log文件路径为/mnt/下的任意路径,如下图:
