如何配置DrayOS的OpenVPN客户端连接

OpenVPN是可穿过NAT以及防火墙的一种开源VPN技术,使用的是一种利用SSL/TLS来交换密钥的自定义安全协议。证书是用来建立OpenVPN的一种认证方式。用证书授权(CA)来签发证书,服务器端可以签发多张证书给每个拨入的客户端。
 
部分DrayOS路由器型号支持OpenVPN,如Vigor 2925,Vigor 2926,Vigor 2952,Vigor 3220等。
 
OpenVPN的配置稍微有些麻烦,因为涉及到证书的签发和配置,由于数字证书一般和域名和IP相关,而路由器出厂时并不知道您会用什么IP和域名,所以没办法事先签好出厂。所以需要自行签证书。
 
我们将步骤放出,用户可以根据截图和说明自行操作。
 
在这篇文章中,我们将会使用XCA(一种免费的证书授权软件)来生成和管理OpenVPN连接所需要的客户端和服务器端的证书。
 
1. 在路由器中生成一张服务器端证书
1.1 由于证书有使用期限,所以需要确保路由器处于一个正确的系统时间
系统维护 >> 时间和日期 页面
 
1.2 到 证书管理 >> 本地证书页面生成一张新的证书。输入信息,然后点击生成。
在本例中,我们假设了用户ip为118.166.111.111
如果您没有固定IP,不妨使用域名来签发。
 
 
1.3 查看生成的证书,并且复制PEM 格式内容
 
 
 
 
 
2. 在XCA中生成一张新的证书 
2.1 打开XCA软件,到证书栏位,点击创建证书,选择创建自签名证书,选择Default,点击应用模板所有信息
 
 
2.2 再到主体页面
 输入信息,并且点击生成新密钥
 密钥类型选择RSA,密钥长度选择2048bit,点击创建
 点击OK,生成一张新的证书。
 
现在我们就有了一张受信任的CA证书来签出服务器端以及客户端所需要的证书
 
 
3. 在路由器上导入已签名的服务器证书和受信任的CA证书
3.1 在证书签名请求栏位,选择粘贴PEM数据 (就是步骤1.3中复制的内容)
 
 
 
3.2 右击选择签发(用步骤2中生成的证书签发)
   
 
3.3 到证书分页中,已.crt格式导出已签发的本地证书。到路由器页面证书管理 >> 本地证书页面导入到路由器中
 
 
 
3.4 导入后,确保证书状态为OK
 
 
3.5 XCA中再导出CA证书,并且在路由器证书管理 >> 可信CA证书页面导入路由器中
 
 
3.6 同样要确保证书状态为OK
 
4.  给VPN客户端制作私人证书以及私人密钥
 
4.1 到XCA软件,证书分页中,点击创建证书,选择使用此CA证书进行签名
 
 
4.2 主体分页设定
输入信息,并且点击生成新密钥
密钥类型选择RSA,密钥长度选择2048bit,点击创建
点击OK,生成一张新的证书。
 
 
4.3 到证书分页,选择上一步4.2创建的证书,以crt格式导出
 
 
4.4 到私钥分页中导出4.2创建的证书的密钥,并且把文件后缀改成.key
 
 
5.  设置路由器为OpenVPN服务器端
 
5.1  到VPN 與遠端存取 >> OpenVPN页面,设定如下图
 
5.2 用戶端設定分页中,设定填写CA证书/客户端证书/客户端密钥名称,并点击输出
 
5.3  在VPN 與遠端存取 >> 遠端撥入使用者页面中,创建一个OpenVPN账号
 
5.4  SSL VPN >>基本設定页面,证书选择步骤2中创建的证书
 
 
6.  Windows OpenVPN客户端设定
 
6.1 将从路由器中下载的OpenVPN(test.ovpn)设定档导入OpenVPN GUI,并且将另外3个文件放入OpenVPN设定档文件夹中,一般在安装目录的config\里
-受信任的CA证书(CAtest.crt)
-私人证书(Client.crt)
-私人密钥(Client.key)
\OpenVPN\config\test
 
 
6.2 OpenVPN GUI,点击连接,输入步骤5.3中设定的账户和密码即可建立连接
 
 
SmartVPN Client中设定OpenVPN客户端
 
在SmartVPN Client 5.2.0 版本之后,我们支持了OpenVPN 方式的拨打,这是除了OpenVPN GUI以外的另一种拨打替代方式
1. 在设定档分页中,点击新增,类型选择OpenVPN,汇入OpenVPN设定档(test.ovpn)
 
2. 输入步骤5.3 中设定的账户和密码
 
 
 
3. 设定3个文件的地址
-受信任的CA证书(CAtest.crt)
-私人证书(Client.crt)
-私人密钥(Client.key)
 
 
 
4. 设定档设定完成后,到连线分页中,选择设定档,点击连接即可

已读次数:117