連接
接下來我們可以照著網頁上所示的四個步驟,一步一步來將VPN設定完成。
網路位址儲庫
使用VPN必須指定子網路。為避免網路衝突,所在本地網路環境中的任何地方,都不應再使用此相同的子網路。該子網路的第一個IP位址,會被作為該伺服器VPN介面的IP位址。
範例一:分派VPN網路位址儲庫
如果您想要創建一個擁有172.16.38.0/24位址的VPN,換句話說,所有“虛擬乙太網路介面”的IP位址會在172.16.38.1到172.16.38.255之間。我們可以到VPN >> 連接 >> 網路位址儲庫 中作如下的設定:
網路位址: 172.16.38.0
子網路遮罩: 255.255.255.0
請注意一旦邊界控制路由上的VPN伺服器啟動,其介面的IP位址就是172.16.38.1。
範例二:VPN位址衝突
我們看下面的圖。您辦公室中擁有VPN伺服器的邊界控制路由是FW1,您將行動PC帶到了別人的辦公室中,如下面所示的邊界控制路由FW2。
當然,其他人不會知道您的VPN;他們只是用私有的IP位址空間建立起他們的網路而已。在此狀況下,若當他們的本地網路(圖中用“#”表示)也是“172.16.38.0/24”時--跟您的VPN設定一樣,會發生什麼事情呢?通常,您行動PC上的應用軟體不會知道哪個才是VPN,因為對這些應用軟體而言它們看起來都像是一樣的網路。
如果“#”是“192.168.1.0/24”呢?這與您辦公室的本地網路相同。在此狀況下,您可以有機會使用“172.16.38.1”連接到FW1。但因為應用軟體不知道哪個“192.168.1.0/24”才是您想要連接的,所以您不能穿過此子網路。如果您向行動PC增加路由出口,要求行動PC發送所有目的地為“192.168.1.0/24”的通訊至該PC上的虛擬乙太網路介面,情況會變得更糟。這種設定下,原始的“正常”傳輸會被搞亂。這是您在使用VPN時要注意到的事。
當然,如果VPN使用公共的IP位址空間,您永遠也不用擔心位址衝突的問題。但想得到很多的公共IP位址並按照此方式去使用,可能是比較困難的。
訊息流推向設定
一旦VPN用戶端正在連接VPN伺服器,某些網路設定可能會被“推向”用戶端,如此相關的VPN用戶端就可以“獲悉”VPN伺服器一方的佈局了。此處有三種類型的設定將被推向用戶端:網路路由規則 和 Windows命名伺服器(稱為WINS伺服器)以及指定給 用戶端設定的DNS。
如果目標網路在邊界控制路由內部是192.168.3.0/24,VPN的位址是172.16.9.0/24,在用戶端一方,我們需要發送網路192.168.3.0/24的IP位址給VPN閘道(此VPN閘道的IP應是172.16.9.1)。您可以在VPN >> 連接 >> 訊息流推向設定 中作如下設定:
目的網路: 192.168.3.0
子網路遮罩: 255.255.255.0
後按 新增 按鈕。在此狀況下,來源於行動PC、目的地為網路192.168.3.0的傳輸,都會經由該PC上的VPN虛擬乙太網路介面發送出去。
但您必須確保您的行動PC的網路IP位址,是設為不與此設定衝突的網路中。否則,行動PC的路由表將不能運行順暢。
您可能也想過以下的情形:將行動PC帶到辦公室以外的地方,並用VPN連接回辦公室的網路。一旦處於您的辦公室網路,您考慮將所有的傳輸都發送給VPN閘道,特別是當您想要存取您辦公室邊界控制路由外部的主機時。您希望所有源於您的行動PC的傳輸都會到達辦公室,並從您自己的辦公室向外存取到邊界控制路由外部的主機。此時,您便可使用 改變目的端的預設閘道至VPN 這個核取項目。在核取此項目之後,所有使用VPN連線的使用者,其連線VPN時的傳輸都將完全被系統自動導向至VPN主機,再從此主機存取邊界控制路由外的網際網路。
不過,在關閉VPN連線之後,行動PC可能會需要等待一段時間才能夠再順利上網,這是由於電腦自動切換閘道時會有處理的反應時間的關係。
倘若您想在每個行動PC上的預設閘道,都改成設定指向VPN閘道,您會發現那根本不能用。通常,網路設定涉及到許多問題。當您改變了行動PC上的預設閘道,也阻止了指引您的“通道傳輸”至VPN伺服器的初始功能。如果您想達到以上描述類似的目的,我們建議您應用 代理伺服器 去使特定類型的傳輸改道至不同的路線。
授權鑰生成
在公共網路上,為VPN伺服器與用戶端之間建立通道,網路上的每個驗證,須有不同的授權鑰和證書:其中包括 CA 的生成、伺服器的 “證書” 和 “授權鑰” 、用戶端的 “證書” 和 “授權鑰”、還有 “客戶設定列表”。
以下六個項目的資訊,將被用作所有 “授權鑰” 和 “證書” 的一個部分:
國碼
州碼
位置
組織名稱
組織性質
Email
然後再結合其他如在“CA生成”與“伺服器的認證與密鑰”的通用名稱所任意生成的訊息,及必須輸入“用戶的認證和密鑰”的通用名稱,即可產生證書和授權鑰。
CA是認證授權 (Certificate Authority)的縮寫。基本上,伺服器和用戶端在其CA上都會有記錄,如此的連線創建才會被允許。在生成CA時,需要填寫若干欄位,以便生成唯一且不同於其他的CA。
每一個“CA生成”與“伺服器的認證與密鑰”以及“用戶的認證和密鑰”的通用名稱,三者組合起來都是唯一的。
由於一個授權鑰僅代表被指派一個虛擬IP,因此,您必須在螢幕上的“用戶的認證和密鑰”輸入欄位上,為每個用戶輸入不同的通用名稱,以使他們有所區分,能擁有各自的虛擬IP。授權鑰和證書都會在送出了正確資料之後生成。在用戶配置設置清單上,通用名稱也會被列入。
使用移除按鈕可將該用戶端設定檔案完全移除,即可封鎖它來存取VPN伺服器。
在此的全部概念是:我們要為VPN用戶端程式,準備一組檔案,以備用戶不在辦公室內,但想要存取辦公室網路時使用。一旦他們擁有此組檔案和VPN用戶端程式,他們就可以連線到位於辦公室的VPN伺服器。
證書和授權鑰在沒有指定時間情況下的合法性被設定為10年。它意味著10年之後會到期。但如果您改變授權鑰和證書,之前的授權鑰和證書就會自動失效。
範例三:產生多組授權鑰
假設在甲公司裡,有好幾個業務A、B、C、D都得長期在外地出差,卻又有須時常要取用到公司內部資源的需求。此時,生成多組授權鑰分派給業務們去使用是必要的。
首先,我們先將國碼、州碼、位置、組織名稱、組織性質、Email、CA生成通用名稱、伺服器的認證和密鑰通用名稱等都設定建置完畢,此後若無其他安全上的考量(如授權鑰外洩…),基本上就都不必再作任何更動了;接下來分別為業務ABCD依序輸入“用戶的認證和密鑰”的通用名稱,以及設定有效天數(如不設限可留白),即可產生多組證書和授權鑰。
國碼、州碼、位置、組織名稱、組織性質、Email、CA生成通用名稱、伺服器的認證和密鑰通用名稱等欄位,是提供整組授權鑰最關鍵的基本內容,只要有其中任何一部分有變動過,便須將整組授權鑰徹底清除,再重新生成過。在整組授權鑰裡,唯一得根據用戶需求變動的就只有“用戶的認證和密鑰”的通用名稱,而且此通用名稱若是名稱設定一致,便會佔用相同的虛擬IP,因此“用戶的認證和密鑰”的通用名稱不可重複。
用戶端檔案下載
一旦完成了CA、伺服器和用戶端的設定,一組針對每個用戶端的檔案,即被生成。每個用戶端都需要一組此種設定檔案,以便連線到VPN伺服器。請注意,此設定檔案也包含邊界控制路由的公共IP位址(網際網路介面eth0的IP位址)。因此,在您設定和生成與VPN有關的文件前,建議您等待整個網路的設定穩定下來,再來進行此項工作。
逐一用戶密鑰下載 意指下載VPN用戶端的設定檔案; 用戶端程式下載 則指下載所有在Windows 端執行的VPN用戶端程式。
範例四:如何在Windows電腦上使用VPN用戶端軟體
一旦VPN伺服器準備好了,管理員就可分配一組授權鑰檔案(含配置管理、授權鑰、證書、VPN用戶端軟體)給需要使用VPN的使用者。用下面的頁面作例子:有兩組VPN授權鑰:client1(通用名稱為“Secretary”)和client2(通用名稱為“Engineer”)。您可到 用戶端文檔下載頁面準備下載檔案。
在用戶端文檔下載畫面的右上方,有一個‘載入’的按鈕;當您第一次新建用戶認證和密鑰,或是於新建用戶認證和密鑰其內容有所更動時,無論如何請先按下載入按鈕,以重新載入用戶認證和密鑰到主機上。
下載VPN用戶端軟體,您只需按 用戶端程式下載 按鈕。系統會給您一個檔案下載頁面。按“儲存”將檔案保存到一個您容易記得的檔案夾中就可以了。稍後,我們會在該檔案夾中開始安裝VPN用戶端程式。
然後,我們以滑鼠左鍵按兩下該圖示以啟動安裝程序。
安裝功能表會彈出,詢問您想要將軟體安裝到什麼地方去。在此案例中,我們只需將它安裝在C:\OpenVPN。
在安裝過程中,如出現上面之警示畫面,不要擔心,只要選擇“繼續安裝”,來完成安裝就可以了。
到此時,我們已將VPN用戶端程式安裝到Windows系統的C:\OpenVPN中了。現在,我們返回到 用戶端文檔下載 頁面去下載授權鑰和證書。此機器是Secretary所用的,所以,我們將通用名稱為“Secretary”的授權鑰“client1”裝到這台機器上。
選擇授權鑰“client1”並按 逐一用戶密鑰下載。
按“儲存”將之保存到C:\OpenVPN\bin。“C:\OpenVPN”是用來安裝VPN用戶端程式的目錄。在此目錄下,有一個子目錄“bin”。將壓縮檔案保存到此子目錄就可以。這可使您持續以下的步驟時,更容易一些。
進入C:\OpenVPN\bin文件夾,在此文件夾下解壓授權鑰“client1.zip”。Windows公用程式或其他程式可以解壓“zip”檔案。
檔案解壓縮後,您會在此目錄下看到4個檔案。它們是CA證書、授權鑰client1文件、client1證書檔案和供您連接回VPN伺服器的設定檔案。
您可以啟動Windows 命令提示字元視窗,開始VPN連接。在Windows的開始 >> 執行 中輸入“cmd”就可啟動該命令視窗。
用“cd \OpenVPN\bin\client1”將您的工作目錄轉換到“C:\OpenVPN\bin\client1”。在此目錄中,我們透過輸入openvpn client1.ovpn命令讀取設定檔案來啟動VPN用戶端程式。
按“Enter”鍵將命令“openvpn client1.ovpn”啟動之後,系統會啟動和VPN伺服器的對話程序去創建連接。檢查一下畫面,以確認一下是否您可以發現如“succeed”或 “Initialization Sequence Completed” 的字樣。
在Windows 命令提示字元中輸入“ipconfig “,您會發現顯示多出了一個乙太網路介面。這就是被VPN用戶端軟體創建的“虛擬乙太網路介面“。它的IP位址是屬於VPN的。
您可以執行 “ ping 172.16.38.1”(此案例虛擬網路上VPN伺服器的IP位址)的動作,得到回應封包。這表明從行動PC到辦公室內的VPN伺服器的連接已經建立了。
要關閉VPN連接,您只需按下Windows 命令提示字元視窗上的“關閉”圖示。安裝VPN用戶端程式只需一次。但您未來可能要更新關於授權鑰、授權證書和設定檔案的整組檔案;這僅取決於您的VPN伺服器管理員更新那些設定的頻率。
每次想要啟動VPN連接時,只需要到C:\OpenVPN\bin\client?目錄下輸入命令openvpn clientConfigurationFile即可。
此處,C:\OpenVPN\bin\client? 的“client?”是指存放的資料夾,如解壓縮後是放在client1的資料夾,當然就是C:\OpenVPN\bin\client1,視解壓縮後的檔案存放的位置而定。而“clientConfigurationFile”是指下載下來的授權鑰,下載的是授權鑰client1就是“client1.ovpn”,授權鑰client2就是client2.ovpn。
如果您想要查看更多的設定檔案,您會發現它們如下:
client
dev tun
proto udp
remote 1.2.3.4 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3
“remote 1.2.3.4 1194” 的欄位,意指:VPN伺服器擁有公共IP位址,1.2.3.4 UDP 埠1194。請注意這是用來在公共網路創建通道的。通常情況下,您完全不需要去處理此檔案。但如果您沒有遵照我們的建議,而在邊界控制路由所處的同一台機器上設定了VPN伺服器,您必須要手動去修改成符合您設定的IP位址。只有當VPN伺服器被安裝到位於您內部私有網路和網際網路中間的邊界控制路由上時,正確的設定檔案才會生成。但如此的情形會使您的網路非常複雜,因為您必須在很多地方設置固定的路由表。
範例五:如何在Windows Vista電腦上使用VPN用戶端軟體連線
由於Vista在使用者管控上,比以往的版本更為嚴謹,因此,在Vista的作業系統裡,一般使用者在使用VPN連線時,會變成無法正常運作執行。主要原因在於,因為安全性的考量,Vista不像XP一樣,可以預設使用「Administrator」這個具有最高權限的帳號,它被系統隱藏起來並且禁用,所以一般使用者根本沒有足夠的權限來執行某些動作。解決方式即是必須要將最高權限的「Administrator」找出來並使用它去執行。
假如您是使用Vista商用版以上的版本,可以使用此方式設定:一開始先按下組合鍵‘視窗鍵’和‘R’,叫出執行對話視窗後,在欄位中輸入「lusrmgr.msc」
然後在出現的「使用者帳戶控制」訊息對話視窗中按確定,會跳出一個「本機使用者和群組(本機)」的視窗,先點選左方窗格的「使用者」,再雙擊中央窗格的「Administrator」帳號後,接下來就會跳出「Administrator內容」對話視窗,取消預設的「帳戶已停用(B)」核取方塊後,按下確定。
之後在Vista中切換使用者時,Administrator帳號就會出現了。
然而,倘若不幸地,您只是擁有Vista家用進階版以下的版本,由於在系統中並沒有提供上述工具協助您解開「Administrator」的限制,是故,您就必須利用我們在使用者密鑰包裡所提供的工具,來解開Vista對「Administrator」的限制了。
解壓縮後的用戶授權密鑰檔案夾裡,除了前面範例中所介紹過的CA證書、client1授權鑰文件、client1授權鑰證書檔案和供您連接回VPN伺服器的設定檔案外,還存在著一個名為Vista的資料夾,開啟此資料夾,您將會再看到4個檔案,分別是用以解開「Administrator」權限的adminEnable批次檔/登錄檔與關閉權限的adminDisable批次檔/登錄檔。注意,我們要使用的是有著齒輪圖案的批次檔才能有作用,而登錄檔請勿做任何變更。
首先點選有齒輪圖案的adminEnable檔,按右鍵,選擇‘以系統管理員身分執行(A)’。
畫面上出現一個安全性警告的訊息對話視窗,選擇‘執行’
然後在出現的「使用者帳戶控制」訊息對話視窗中按下確定。之後,見到命令提示字元視窗按兩次任意鍵結束即完成。
再來只要在Vista中切換使用者,Administrator帳號也就會出現。在用戶以「Administrator」的身分進入系統之後,只要照著以往的一般操作,就可正常使用VPN連線了。
|