连接接下来我们可以照着网页上所示的四个步骤,一步一步来将VPN设置完成。
网络地址储库
使用VPN必须指定子网络。为避免网络冲突,所在本地网络环境中的任何地方,都不应再使用此相同的子网络。该子网络的第一个IP地址,会被作为该服务器VPN接口的IP地址。
范例:分派VPN网络地址储库
如果您想要创建一个拥有172.16.38.0/24地址的VPN,换句话说,所有“虚拟以太网界面”的IP地址会在172.16.38.1到172.16.38.255之间,我们可以到VPN >> 连接 >> 网络地址储库 中作如下的设置:
网络地址: 172.16.38.0
子网掩码: 255.255.255.0
图 7.3
请注意一旦防火墙上的VPN服务器启动,其接口的IP地址就是172.16.38.1。
范例:VPN地址冲突
我们看下面的图。您办公室中拥有VPN服务器的防火墙是FW1,您将行动PC带到了别人的办公室中,如下面所示的防火墙FW2。
图 7.4 
当然,其它人不会知道您的VPN;他们只是用私有的IP地址空间建立起他们的网络而已。在此状况下,若当他们的本地网络(图中用“#”表示)也是“172.16.38.0/24”时--跟您的VPN设置一样,会发生什么事情呢?通常,您行动PC上的应用软件不会知道哪个才是VPN,因为对这些应用软件而言它们看起来都像是一样的网络。
如果“#”是“192.168.1.0/24”呢?这与您办公室的本地网络相同。在此状况下,您可以有机会使用“172.16.38.1”连接到FW1。但因为应用软件不知道哪个“192.168.1.0/24”才是您想要连接的,所以您不能穿过此子网络。如果您向行动PC增加路由出口,要求行动PC发送所有目的地为“192.168.1.0/24”的通讯至该PC上的虚拟以太网界面,情况会变得更糟。这种设置下,原始的“正常”传输会被搞乱。这是您在使用VPN时要注意到的事。
当然,如果VPN使用公共的IP地址空间,您永远也不用担心地址冲突的问题。但想得到很多的公共IP地址并按此方式去使用,可能是比较困难的。
讯息流推向设置
一旦VPN用户端正在连接VPN服务器,某些网络设置可能会被“推向”客户端,如此相关的VPN客户端就可以“获悉”VPN服务器一方的布局了。此处有三种类型的设置将被推向客户端:网络路由规则 和 Windows命名服务器(称为WINS服务器)以及指定给 客户端设置的DNS。
如果目标网络在防火墙内部是192.168.3.0/24,VPN的地址是172.16.9.0/24,在客户端一方,我们需要发送网络192.168.3.0/24的IP地址给VPN网关(此VPN网关的IP应是172.16.9.1)。您可以在VPN >> 连接 >> 讯息流推向设置 中作如下设置:
目的网络: 192.168.3.0
子网掩码: 255.255.255.0
然后按 新增 按钮。在此状况下,,来源于行动PC、目的地为网络192.168.3.0的传输,都会经由该PC上的VPN虚拟以太网界面发送出去。
但您必须确保您的行动PC的网络IP地址,是设为不与此设置冲突的网络中。否则,行动PC的路由表将不能运行顺畅。
您可能也想过以下的情形:将行动PC带到办公室以外的地方,并用VPN连接回办公室的网络。一旦处于您的办公室网络,您考虑将所有的传输都发送给VPN网关,特别是当您想要存取您办公室防火墙外部的主机时。您希望所有源于您的行动PC的传输都会到达办公室,并从您自己的办公室向外存取到防火墙外部的主机。此时,您便可使用 改变目的端的预设网关至VPN 这个核取项目。在核取此项目之后,所有使用VPN连接的用户,其连接VPN时的传输都将完全被系统自动导向至VPN主机,再从此主机存取防火墙外的因特网。
不过,在关闭VPN连接之后,行动PC可能会需要等待一段时间才能够再顺利上网,这是由于计算机自动切换网关时会有处理的反应时间的关系。
倘若您想在每个行动PC上的预设网关,都改成设置指向VPN网关,您会发现那根本不能用。通常,网络设置涉及到许多问题。当您改变了行动PC上的预设网关,也阻止了指引您的“通道传输”至VPN服务器的初始功能。如果您想达到以上描述类似的目的,我们建议您应用 代理服务器 去使特定类型的传输改道至不同的路线。我们会在介绍代理服务器的时候,提供一个案例来说明如何操作。
授权钥生成
在公共网络上,为VPN服务器与客户端之间建立信道,网络上的每个验证,须有不同的授权钥和证书:其中包括 CA 的生成、服务器的 “证书” 和 “授权钥” 、客户端的 “证书” 和 “授权钥”、还有 “客户设置列表”。
国码
州码
位置
组织名称
组织性质
Email
然后再结合其它如在“CA生成”与“服务器的认证与密钥”的通用名称所任意生成的讯息,及必须输入“用户的认证和密钥”的通用名称,即可产生证书和授权钥。
CA是认证授权 (Certificate Authority)的缩写。基本上,服务器和客户端在其CA上都会有记录,如此的连接创建才会被允许。在生成CA时,需要填写若干字段,以便生成唯一且不同于其它的CA。
每一个“CA生成”与“服务器的认证与密钥”以及“用户的认证和密钥”的通用名称,三者合起来都是唯一的。
由于一个授权钥仅代表被指派一个虚拟IP,因此,您必须在屏幕上的“用户的认证和密钥”输入字段上,为每个用户输入不同的通用名称,以使他们有所区分,能拥有各自的虚拟IP。授权钥和证书都会在送出了正确数据之后生成。在用户配置设置清单上,通用名称也会被列入。
使用移除按钮可将该客户端设置档案完全移除,即可封锁它来存取VPN服务器。
在此的全部概念是:我们要为VPN客户端程序,准备一套档案,以备用户不在办公室内,但想要存取办公室网络时使用。一旦他们拥有此套档案和VPN客户端程序,他们就可以连接到位于办公室的VPN服务器。
证书和授权钥的合法性被设置为10年。它意味着10年之后会到期。但如果您改变授权钥和证书,之前的授权钥和证书就会自动失效。
范例:产生多组授权钥
假设在甲公司里,有好几个业务A、B、C、D都得长期在外地出差,却又有须时常要取用到公司内部资源的需求。此时,生成多组授权钥分派给业务们去使用是必要的。
首先,我们先将国码、州码、位置、组织名称、组织性质、Email、CA生成通用名称、服务器的认证和密钥通用名称等都设置建置完毕,此后若无其它安全上的考虑(如授权钥外泄…),基本上就都不必再作任何更动了;接下来分别为业务ABCD依序输入“用户的认证和密钥”的通用名称,以及设置有效天数(如不设限可留白),即可产生多组证书和授权钥。
国码、州码、位置、组织名称、组织性质、Email、CA生成通用名称、服务器的认证和密钥通用名称等字段,是提供整组授权钥最关键的基本内容,只要有其中任何一部分有变动过,便须将整组授权钥彻底清除,再重新生成过。在整组授权钥里,唯一得根据用户需求变动的就只有“用户的认证和密钥”的通用名称,而且此通用名称若是名称设置一致,便会占用相同的虚拟IP,因此“用户的认证和密钥”的通用名称不可重复。
客户端档案下载
一旦完成了CA、服务器和客户端的设置,一套针对每个客户端的文件,即被生成。每个客户端都需要一套此种设置档案,以便连接到VPN服务器。请注意,此设置档案也包含防火墙的公共IP地址(因特网接口eth0的IP地址)。因此,在您设置和生成与VPN有关的文件前,建议您等待整个网络的设置稳定下来,再来进行此项工作。
逐一用户密钥下载 意指下载VPN客户端的设置档案; 客户端程序下载 则指下载所有在Windows 端执行的VPN客户端程序。
范例一:如何在Window计算机上使用VPN客户端软件
一旦VPN服务器准备好了,管理员就可分配一套档案(含配置管理、授权钥、证书、VPN客户端软件)给需要使用VPN的用户。用下面的页面作一个例子:有两套VPN客户端:客户端1(通用名称为“Secretary”)和客户端2(通用名称为“Engineer”)。您可到 客户端文档下载页面准备下载档案。
在客户端文档下载画面的右上方,有一个‘加载’的按钮;当您第一次新建用户认证和密钥,或是于新建用户认证和密钥其内容有所更动时,无论如何请先按下加载按钮,以重新加载用户认证和密钥到主机上。
下载VPN客户端软件,您只需按 客户端程序下载 按钮。系统会给您一个档案下载页面。按“储存”将档案保存到一个您容易记得的档案夹中就可以了。稍后,我们会在该档案夹中开始安装VPN客户端程序。
然后,我们“点两下”该图标以启动安装程序。
安装菜单会弹出,询问您想要将软件安装到什么地方去。在此案例中,我们只需将它安装在C:\OpenVPN。
在安装过程中,如出现上面之警示画面,不要担心,只要选择“继续安装”,来完成安装就可以了。
到此时,我们已将VPN客户端程序安装到Windows系统的C:\OpenVPN中了。现在,我们返回到 客户端文档下载 页面去下载授权钥和证书。此机器是Secretary所用的,所以,我们将通用名称为“Secretary”的“client1”装到这台机器上。
选择“client1”并按 逐一用户密钥下载。
按“储存”将之保存到C:\OpenVPN\bin。“C:\OpenVPN”是用来安装VPN客户端程序的目录。在此目录下,有一个子目录“bin”。将压缩档案保存到此子目录就可以。这可使您持续以下的步骤时,更容易一些。
进入C:\OpenVPN\bin活页夹,在此活页夹下解压“client1.zip”。Windows公用程序或其它程序可以解压“zip”档案。
档案解压缩后,您会在此目录下看到4个多出来的档案。它们是CA证书、授权钥client1文件、client1证书档案和供您连接回VPN服务器的设置档案。
您可以启动Windows 命令提示字符视窗,开始VPN连接。在Windows的开始 >> 执行 中输入“cmd”就可启动该命令视窗。
用“cd \OpenVPN\bin\client1”将您的工作目录转换到“C:\OpenVPN\bin\client1”。在此目录中,我们透过输入openvpn client1.ovpn命令读取设置档案来启动VPN客户端程序。
按“Enter”键将命令“openvpn client1.ovpn”启动之后,系统会启动和VPN服务器的对话程序去创建连接。检查一下画面,以确认一下是否您可以发现如“succeed”或 “Initialization Sequence Completed” 的字样
在Windows 命令提示字符中输入“ipconfig “,您会发现显示多出了一个以太网界面。这就是被VPN客户端软件创建的“虚拟以太网界面“。它的IP地址是属于VPN的。
您可以执行 “ ping 172.16.38.1”(此案例虚拟网络上VPN服务器的IP地址)的动作,得到响应封包。这表明从行动PC到办公室内的VPN服务器的连接已经建立了。
要关闭VPN连接,您只需按下Windows 命令提示字符视窗上的“关闭”图示。安装VPN客户端程序只需一次。但您未来可能要更新关于授权钥、授权证书和设置档案的整组档案;这仅取决于您的VPN服务器管理员更新那些设置的频率。
每次想要启动VPN连接时,只需要到C:\OpenVPN\bin\client?目录下输入命令openvpn clientConfigurationFile即可。
此处,C:\OpenVPN\bin\client? 的“client?”是指存放的数据夹,如解压缩后是放在client1的数据夹,当然就是C:\OpenVPN\bin\client1,视解压缩后的档案存放的位置而定。而“clientConfigurationFile”是指下载下来的授权钥,下载的是授权钥client1就是“client1.ovpn”,授权钥client2就是client2.ovpn。
如果您想要查看更多的设置档案,您会发现它们如下:
client
dev tun
proto udp
remote 1.2.3.4 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3
“remote 1.2.3.4 1194” 的字段,意指:VPN服务器拥有公共IP地址,1.2.3.4 UDP 端口1194。请注意这是用来在公共网络创建信道的。通常情况下,您完全不需要去处理此档案。但如果您没有遵照我们的建议,而在防火墙所处的同一台机器上设置了VPN服务器,您必须要手动去修改成符合您设置的IP地址。只有当VPN服务器被安装到位于您内部私有网络和因特网中间的防火墙上时,正确的设置档案才会生成。但如此的情形会使您的网络非常复杂,因为您必须在很多地方设置固定的路由表。
范例二:如何在Windows Vista计算机上使用VPN客户端软件连接
由于Vista在用户管控上,比以往的版本更为严谨,因此,在Vista的操作系统里,一般用户在使用VPN连接时,会变成无法正常运作执行。主要原因在于,因为安全性的考虑,Vista不像XP一样,可以预设使用「Administrator」这个具有最高权限的帐号,它被系统隐藏起来并且禁用,所以一般用户根本没有足够的权限来执行某些动作。解决方式即是必须要将最高权限的「Administrator」找出来并使用它去执行。
假如您是使用Vista商用版以上的版本,可以使用此方式设置:桌面→右键单击『计算机』→选『管理』→选『本地用户和组』下的『用户』→在右边的列出的帐号中选择『Administrator』→右键选『属性』→弹出的对话框中取消“帐号已禁用(B)”前的钩后,按下确定。
之后在Vista中切换用户时,Administrator帐号就会出现了。
然而,倘若不幸地,您只是拥有Vista家用进阶版以下的版本,由于在系统中并没有提供上述工具协助您解开「Administrator」的限制,是故,您就必须利用我们在用户密钥包里所提供的工具,来解开Vista对「Administrator」的限制了。
解压缩后的用户密钥包里,除了前面范例中所介绍过的CA证书、client1授权钥文件、client1证书档案和供您连接回VPN服务器的设置档案外,还存在着一个名为Vista的数据夹,开启此数据夹,您将会再看到4个档案,分别是用以解开「Administrator」权限的adminEnable批次檔/登录档与关闭权限的adminDisable批次檔/登录档。注意,我们要使用的是有着齿轮图案的批次文件才能有作用,而登录档请勿做任何变更。
首先点选有齿轮图案的adminEnable文件,按右键,选择‘以系统管理员身分执行(A)’。
画面上出现一个安全性警告的讯息对话视窗,选择‘执行’
然后在出现的「用户账户控制」讯息对话视窗中按下确定。之后,见到命令提示字符视窗按两次任意键结束即完成。
再来只要在Vista中切换用户,Administrator帐号也就会出现。在用户以「Administrator」的身分进入系统之后,只要照着以往的一般操作,就可正常使用VPN连接了。
|
已拥有固定IP的情况下设置的方式。如固接式网络或是原网络中有DHCP主机的存在。