通信百科

网络电话机Openvpn使用及证书生成说明

        虚拟专用网VPN(virtualprivatenetwork)是在公共网络中建立的安全网络连接,这个网络连接和普通意义上的网络连接不同之处在于,它采用了专有的隧道协议,实现了数据的加密和完整性的检验、用户的身份认证,从而保证了信息在传输中不被偷看、篡改、复制,从网络连接的安全性角度来看,就类似于在公共网络中建立了一个专线网络一样,只不过这个专线网络是逻辑上的而不是物理的所以称为虚拟专用网。VPN系统包括VPN服务器,VPN客户机和隧道。由于使用Internet进行传输相对于租用专线来说,费用极为低廉,所以VPN的出现使企业通过Internet既安全又经济的传输私有的机密信息成为可能。
        我们介绍的是Windows操作系统中利用OpenVPN配置VPN,OpenVPN是一个开源的第三方虚拟专用网配置工具,可以利用固有设备搭建VPN应用网关
服务器的安装与配置
      OpenVPN是一个开源的第三方虚拟专用网配置工具,可以利用固有设备搭建VPN应用网关。以下将分别介绍Ubuntu、Windows操作系统下的服务器的部署与配置。
2.1  Ubuntu下搭建OpenVPN服务器
2.1.1安装OpenVPN服务器
     在Ubuntu下输入以下命令:
     sudoapt-get-yinstallopenvpnlibssl-devopenssl
     sudoapt-get-yinstalleasy-rsa
2.1.2证书制作
按照以下步骤执行命令生成OpenVPN正常运行所需要的证书
初始化配置:
    sudomkdir/etc/openvpn/easy-rsa/
    sudocp-r/usr/share/easy-rsa/*/etc/openvpn/easy-rsa/
    sudosu
    sudovi/etc/openvpn/easy-rsa/vars
----->按照需要可以修改证书配置如下:
   exportKEY_COUNTRY=”CN”
   exportKEY_PROVINCE=”BJ”
   exportKEY_CITY=”BeiJing”
   exportKEY_ORG=”fanvil”
   exportKEY_EMAIL=”fanvil@fanvil.com”
   exportKEY_OU=”fanvil”
   exportKEY_NAME=”server”
      运行vars:                                    sourcevars
     第一次运行清空所有:                  ./clean-all
     生成CA证书:                               ./build-ca
     生成服务器证书:                         ./build-key-serverserver
     生成客户端证书:                         ./build-keyclient
     产生动态密码库:                         ./build-dh
2.2启动服务器
服务器环境配置,将相应的证书配置文件放入指定的目录:
    cpkeys/ca.crt/etc/openvpn/
    cpkeys/server.crtkeys/server.keykeys/dh2048.pem/etc/openvpn
    mv/etc/openvpn/dh2048.pem/etc/openvpn/dh1024.pem
    cpkeys/client.keykeys/client.crt/etc/openvpn/
    cp/usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz/etc/openvpn/
    cd/etc/openvpn
    gzip-dserver.conf.gz
    cp/usr/share/doc/openvpn/examples/sample-config-files/client.conf/etc/openvpn/
    启动服务器:
    /etc/init.d/openvpnrestart
2.3Windows下搭建OpenVPN服务器
2.3.1安装OpenVPN服务器
在网上搜索下载Windows版的OpenVpn软件。本篇搭建使用的是openVPNGUI
双击下载软件进行默认安装,注意勾选安装easy-rsa配件。默认路径是C:\ProgramFiles\OpenVPN。
2.3.2证书制作
在进行操作之前,首先要进行初始化工作:
请根据自身情况修改C:\ProgramFiles\OPENVPN\easy-rsa\vars.bat.sample的以下部分
     setHOME=C:\ProgramFiles\OPENVPN\easy-rsa
     setKEY_COUNTRY=CN                                             #(国家)
     setKEY_PROVINCE=BEIJING                                   #(省份)
     setKEY_CITY=BEIJING                                              #(城市)
     setKEY_ORG=WINLINE                                             #(组织)
     setKEY_EMAIL=admin@winline.com.cn                    #(邮件地址)
     上面#开始的是注释,请不要写到文件中。
      以管理员权限打开cmd进入DOS,执行下列命令进入openvpn\easy-rsa目录:
                              init-config
                              vars
                              clean-all
      生成根证书:                    build-ca(一路回车按照缺省配置生成即可)
      产生动态密码库:             build-dh
      生成服务器证书:             build-key-serverserver(一路回车按照缺省配置生成即可)
      生成客户端证书:             build-keyclient(一路回车按照缺省配置生成即可
2.3.3启动服务器
       生成的均密钥存放于OpenVPN\easy-rsa\keys目录下
       将生成的证书拷贝到OpenVPN\config目录下
       将OpenVPN\sample-config下的服务器配置文件拷贝到OpenVPN\config目录下启动OpenVPN应用程序即可
2.4服务器端配置
在OpenVPN的安装目录下,使用notepad++打开server.ovpn或者server.conf文件查看服务器端文件示例如下:
  port1194                                                         #这个端口是IANA为OpenVPN分配的指定端口,可以根据需要自行修改
  protoudp                                                         #可以选用tcp
  devtun
  caca.crt
  certserver.crt
  keyserver.key
  dhdh1024.pem
  server10.8.0.0255.255.255.0                          #虚拟局域网网段设置,请根据需要自行修改
  ifconfig-pool-persistipp.txt
  keepalive10120
  client-to-client
  comp-lzo
  max-clients100
  persist-key
  persist-tun
  statusopenvpn-status.log
  verb3
3   客户端使用与配置
3.1客户端配置
这里的客户端针对的是我们支持OpenVPN的设备,为了让我们的话机能够连接到OpenVPN服务器,我们需要证书文件。
首先需要针对客户端的配置文件client.ovpn或者client.conf进行编辑修改,客户端配置文件示例如下:
client
devtun
protoudp
remote192.168.1.1351194                           #服务器域名/IP和端口
resolv-retryinfinite
nobind
persist-key
persist-tun
caca.crt
certclient.crt
keyclient.key
comp-lzo
verb3
       可以结合服务器端的配置进行相关修改。
       其次将我们之前制作好的客户端文件ca.crt、client.crt、client.key导出来在话机升级时使用。
3.2话机使用OpenVPN
       登陆话机网页,依次点击网络->VPN,在OpenVPN文件栏逐个升级client.ovpn,client.key,client.crt,ca.crt。升级完成后,OpenVPN文件栏会有升级进入的证书文件大小显
示,如下所示
话机使用OPEN  VPN
打开VPN配置页面,在VPN模式选择OpenVPN,同时启用VPN,点击提交按钮。
当成功连接服务器之后,会在VPN页面的VPN联机状态一栏中显示获得的IP地址,如下图所示,获得得IP为10.8.0.10。
VPN联机
注意事项:
1、X3S/X4话机没有OpenVPNmode选择框,默认为tun,不支持tap模式;X5S/X6/X7/X7C/X210/X210i话机的OpenVPNmode默认为tun,可以使用下拉框选择tap模式
2、X7A等安卓话机需要从网页导入VPN证书后在话机端安装apk才能使用openvpn
3.3开启VPNNAT
开启VPN  NAT
使用方法:
       话机导入vpn证书,开启EnableVPN和EnableNAT,PC(网关需要设置为话机的ip)连接话机lan口,此时PC能够访问话机的VPN。
       PCping10.8.0.10可以ping通,pingwww.baidu.com也可以ping通(10.8.0.10是VPNIP地址)
注意事项:
1.目前支持机型J3G/X3U/X3SG/J1P以及X5S/X6/X7/X7C/X210/X210i话机;X3S/X4暂不支持
2.J3G/X3U/X3SG/J1P话机要开启VPNNAT,导入的client.ovpn证书需要指定log文件路径为/mnt/下的任意路径,如下图:
任意路径