OpenVPN是一个基于OpenSSL库的应用层VPN实现。和传统VPN相比,它的优点是简单易用。
这里简单介绍一下基于 CA ,采用数字证书认证,可以划分多个网段的 OpenVPN 配置方法。
Note 1: VNN 和 OpenVPN 很像。
Note 2: 这个东西对于突破国内网络封锁,保护通信自由很有意义,值得大力推广。
安装 OpenVPN
Linux 下的安装
首先,Kernel 必须支持 TUN/TAP 设备。在 2.6.x 内核中,对应的 Kernel 选项是 “Universal TUN/TAP device driver support”。
确认 Kernel 支持 TUN/TAP 后,可以下载 OpenVPN 编译并安装。这一步很 easy,不多说了。
Windows 下的安装
从 http://www.openvpn.se (http://www.openvpn.se/) 下载安装包安装,这里的安装包带一个 Client GUI 工具,很好用。
配置 OpenVPN
配置 OpenVPN Server
只说明在 Linux 下的配置。Windows 类似。创建 /etc/vpn/server.conf,内容如下:
|
|
那么 VPN Server 就会自动给 abc 用户分配 10.1.1.5 这个地址。注意第一个IP地址 的最后一个数字(这里是 5)必须是 4*n + 1 的数。
问题是,VPN Server 怎么知道哪个用户是 abc 呢?它是 Client 数字证书中的 Common Name 域来判断的。就是说,在连接协商时如果 Client 端数字证书的 Common Name 是 abc,那么 VPN Server 就找配置目录下 abc 这个文件。
配置 OpenVPN Client
在 Client 机器上 OpenVPN 安装目录的 config 目录下建立如下 client.ovpn 文件:
|
修改 remote 一行填上对应 VPN Server 的 IP 和 端口。ca.crt 和服务端 ca.crt 一样,必须把这个 ca.crt 也放在 config 目录下。
关键是 cryptoapicert "SUBJ: abc" 这行。这一行指定客户端的数字证书从 Windows 证书 Store 里取。在 IE 的“选项 -> 内容 -> 证书”页面能看到你的个人数字证书。
SUBJ:abc 指明选择证书主题中含有 abc 的证书。客户端数字证书也可以用以前贴的 ca 工具生成,如果要给用户 abc 签发数字证书,只用指明 Common Name 是 abc 即可,然后把生成的 abc.p12 传给 abc 用户并告诉导入口令。abc 导入这个数字证书后,VPN Client 就可以工作了。
启动 OpenVPN
服务端启动
在 /etc/vpn 目录下,执行:
|
客户端启动
OpenVPN 带一个 GUI 小工具,会装在系统托盘里。点菜单里的 connect 即可。
常见问题
无法得到 IP 地址
通常是因为 DHCP Client 服务没有启动。在服务管理里启动即可。
来源: Dream4ever.org