實驗測試群暉DSM的PPTP和OpenVPN兩種VPN接入
預先準備的器材如下
| 器材 | 地址 | 說明 |
|---|---|---|
| 光貓 | 橋接 | 將光貓的自動撥號上網,改成網橋方式。ISP提供商提供公網IP地址,是否為固定IP地址無所謂。 |
| 路由器 | wan:撥號上網際網路,閘道器:172.16.0.250 | 一般普通WIFI路由器即可,可以提供PPPoE撥號上網。然後將光貓和路由器連線起來。 |
| 群暉NAS伺服器 | 172.16.0.100 | 安裝VPN Center伺服器套件,啟動DDNS域名服務。設定閘道器,並能上網際網路. |
| 內網電腦 | (172.16.0.1) | 可以不用設定閘道器,因為該內網電腦可以不用上網際網路,只需要和群暉NAS伺服器互聯互通即可。 |
| 外網筆記本 | (能上網際網路) |
網路連線關係如下圖示
這時候的現狀和需求
-外網筆記本模擬的是在外網的一臺機器,通過VPN連線到內網172.16.0.X的內網路中來,能訪問內網電腦(172.16.0.2)。
實驗步驟:
安裝VPN Server,並分配許可權
群暉套件中心下載並安裝VPN Server,全部採用預設安裝。注意為了實驗可以建立一個實驗用的賬號,賬號的名字無所謂,這個賬號是和VPN登入賬號一致的。如下圖所示:
首先實驗PPTP VPN,啟動VPN PPTP服務
首先實驗PPTP VPN,使用預設的配置,然後啟動,點選應用即可。- 配置路由器埠對映
-以PPTP VPN為例子。PPTP訪問埠號1723,但是由於外網是無法訪問192.168.0.X網路段的,因此也沒有辦法直接訪問到群暉NAS伺服器上安裝的VPN服務。因此需要在路由器上開一個埠PPTP的對映。一般路由器上都有做埠對映或者叫做虛擬伺服器的設定,目的就是外網對特定的埠號的訪問對映到內網中來。
例如:D-LINK的埠對映設定如上圖所示,其他路由器一般都有類似設定,非常簡單的。比如PPTP VPN的埠號是TCP 1723,如下所示:
這樣設定以後,外網就可以通過1723埠訪問到群暉的VPN服務了。 - 外網電腦的PPTP客戶端配置
PPTP的配置是非常簡單的,我們測試中使用電腦。比如windows10的操作過程為:
從控制面板->網路與共享中心->設定新的連結與網路->連線到工作區->選擇“使用我的Internet鏈連線(VPN)”,如下圖:
填寫建立VPN的引數,注意
注意,圖片中的地址需要改成路由器WAN地址或者域名地址,其他引數都是預設即可。
建立完畢後,點選所建立的VPN連線,過程中會要求輸入賬號密碼。這個賬號就是之前在群暉NAS上建立的實驗賬號,比如:admin。 - 測試驗證PPTP
外網電腦的VPN虛擬網絡卡VPN1將獲取到PPTP設定的內網地址10.0.0.1。這個地址預設就可以訪問192.168.0.0網段的電腦了。原理上來說就是基於TCP 1723這個埠連線,外網的電腦可以訪問到內網的任何地址和服務了。雖然沒有獲取192.168.0.0網段的地址,但是VPN Server會做轉發服務,可以認為外網膝上型電腦就是在內網一樣。
Open VPN
OpenVPN相對於PPTP的VPN方式存在以下的優點和缺點:
優點:
1、OpenVPN支援UDP或者TCP作為協議承載,適合於不同的網路場景,使用更加靈活;
2、賬號密碼+證書使得安全性更加強大;
3、預設埠號只有一個,並且修改比其他兩種VPN(PPTP和L2TP/IPSec)更加方便,在做埠轉發設定的時候更加方便靈活。
缺點:
1、Open VPN是需要安裝一個客戶端軟體,windows預設沒有這個功能。
2、基於證書的加密機制,使用比較複雜一些
實驗步驟:
1、安全證書管理
之前已經介紹過了,OpenVPN的安全加密基於證書,因此需要在客戶端安裝配置證書。而證書的驗證預設是要和訪問的域名一致的。比如:你的域名是 abc.com,則證書必須是abc.com釋出並生成的。好在群暉NAS支援證書的建立和釋出。
群暉NAS DMS作業系統的證書管理,通過 安全中心 進行管理,如下:
- 如果之前沒有對自己的網站建立過證書,操作步驟為點選 新增 選單:
- 建立根證書:
- 建立證書:注意域名要正確。
以上就把證書建立生成好了。
2、 配置VPN的證書
將VPN Server的證書配置為剛才建立的abc.com的證書。這樣,VPN就可以使用你建立的證書進行安全加密傳送了。
3、群暉NAS上啟動OpenVPN
勾選 啟動OpenVPN,並點選應用即可啟動OpenVPNServer。預設埠號為udp 1194,使用者可以根據自己的情況選擇TCP和其他不同的埠號。
4、網路配置
使用者需要參考PPTP的埠對映的配置過程,在路由器上做埠對映到本地的1194埠號。同時要啟動群暉的DDNS,動態域名服務。這樣外網電腦就可以通過動態域名訪問到OpenVPNServer的服務了。千萬注意的是,動態域名需要和證書上的名稱一致,否則OpenVPNServer預設是要驗證的。如果因為證書的問題無法使用VPN服務,需要檢視證書的有效期,名稱等等是否正確。
5、群暉OpenVPN配置的下載匯出
如上圖所示的步驟,點選到處配置檔案到本地備用。這個壓縮包(openvpn.zip)裡面有三個檔案,請儲存到外網電腦,後面安裝OpenVPN的客戶端時要作為配置檔案來使用。
6、OpenVPN客戶端安裝
http://openvpn.ustc.edu.cn/
OpenVPN的安裝、下載、使用參考如上的連結,這裡不再詳細描述了。
7、客戶端配置
將步驟5匯出的壓縮包(openvpn.zip)解壓縮到OpenVPN客戶端配置目錄下,一般為(C:\Program Files\OpenVPN\config)下。注意,拷貝和修改配置檔案的過程需要管理員許可權。
OpenVPN的配置檔案是以ovpn結尾的檔案,如上圖所示,只要修改
remote YOUR_SERVER_IP 1194
為訪問的OpenVPNServer地址和埠號即可,如果在外網,則修改為DDNS動態域名和外網埠號即可(注意參考步驟4做外網內網的埠對映)。
8、連線OpenVPN
開啟 OpenVPN客戶端軟體以後,會在狀態列增加一個OpenVPN的小圖示(未連線為黃色,連線成功為綠色),這時候點選圖示右鍵,選擇connect即可。
在客戶端連線的過程中,會有一個狀態列資訊提示框,當出現 Initialization Sequence Completed 的提示就表示連線成功,客戶端的狀態列資訊提示框會自動隱藏,圖示會變為綠色。
9、驗證
在命令列下,執行IPCONFIG命令就會顯示如上的資訊,其中紅色框內表示VPN虛擬網路已經獲取了VPN區域網地址。這時,選擇區域網的一臺電腦訪問就可以驗證連線是否成功。
