喬遷啟示:因應實體教室租約到期,富捷培訓於八月起將在長安新址,以線上直播教學為您服務,懇請舊雨新知繼續支持與指教。 地址:台北市長安東路二段201巷19號之1一樓,電話: 02-27116373

geego-open-vpn-yellow
10 六月 2013

OpenVPN 設定 – 免費有效率的建立企業Intranet

OpenVPN 設定 與 運用

前言: VPN解決了什麼問題? 如何運用它? VPN stands for Virtual Private Network,顧名思義就是虛擬的私人網路,簡言之,其目的在於讓不在辦公室的同仁們,藉由VPN的功能,在家裡亦或是出差到旅館,有Internet的連線前提下,宛如置身在辦公室內,可以自由使用公司內部的資源,因而稱為虛擬私有網路,常用的VPN軟體藉由各種不同的網路服務協定可有: OpenVPN (SSL/TLS),IPSec,SSH,IPIP,GRE等方式建立VPN。本文為描述 OpenVPN 設定 方式

本範例情境設定如下圖所示:假設今天外出工作,你在咖啡廳休息一下,順便想處理工作上的資料。可是呢?又必須連回公司的某主機(Server),但是兩邊的網路都是私有網段,該如何透過咖啡廳的網路連回到公司的主機(Server)呢? 這時就可以透過簡單的 OpenVPN 來解決您的問題囉!!在咖啡廳喝咖啡邊辦公就不在是”夢想”囉。

OpenVPN 設定 – 基本環境需求:

軟體下載:

VPN都是主從架構,在公司內部需要VPN伺服器,公司同仁或是分公司則需以client的角度來進行VPN連線

  1. 公司須建置一台Server。( 以下使用環境為Linux,本小秘訣介紹使用Ubuntu建置 )
  2. 個人筆電需安裝Client。( Windows/Linux/MacOS都有相對應之應用軟體 )

openvpn 設定 deployment topology

OpenVPN 設定Server建置

  1. 在Ubuntu系統中,先搜尋套件。 #apt-cache search openvpn
  2. 安裝套件指令: #apt-get install openvpn
  3. 製作Server端的憑證。
  4. 於目錄(資料夾)/use/share/doc/openvpn/examples/easy-rsa/2.0 中,先製作ca憑證。 步驟如下:
    1. ../vars
    2. ./clean-all
    3. ./build-ca
    4. 開始製作ca憑證 ( 這裡會需要您須入相關資訊 )
  5. 製作完會出現keys目錄,目錄裡出現剛製作的公私鑰。
  6. 開始製作server的憑證 #./build-key-server “憑證名稱” ( 指令一開頭有“點” )
  7. 製作完一樣可於keys目錄下,看到server的憑證。
  8. 接下來製作dh的憑證 ( #./build-dh ),輸入完就會自動跑,不用輸入內容,就會在keys目錄下產生dh1024.pem。
  9. 把keys的目錄,複製到/etc/openvpn/裡,憑證部份製作完成。
  10. 接下來設定config部份,須先把/usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz複製到/etc/openvpn/目錄裡。接下來再把gz檔解開 ( #gzip –d server.conf.gz ),解開後檔名就會從server.conf.gz變成server.conf,再來就修改設定檔,如下為設定的部份: local 1.2.3.4 ( 設定公司的Public IP ) port 1194 ( 設定此服務的Port Number ) proto udp ( 設定服務使用的協定 ) dev tun ( 設定此裝置的名稱 ) ca ca.crt cert server.crt key server.key ( 此3個憑證是上述步驟至做出來的名稱 ) dh dh1024.pem ( 此憑證上述最後製作的憑證 ) server 10.8.0.0 255.255.255.0 ( 設定Server的IP網段 ) push “route 172.20.1.0 255.255.255.0” (設定Server的路由 ) cipher BF-CBC cipher AES-128-CBC cipher DES-EDE3-CBC ( 此3個是設定加密方式 )

Client的建置

  1. 下載OpenVPN GUI for Windows軟體
  2. 下載Installation Package並安裝。
  3. 執行該安裝的軟體。
  4. 於桌面右下角會出現geego-open-vpn點選右鍵開啟。
  5. 開啟後,點選Edit Config選項。
  6. 設定檔設定內容如下: dev tun ( 設定跟Server端一樣 ) proto udp ( 使用的協定跟Server端一樣 ) remote 1.2.3.4 1194 ( 設定遠端Server的Public IP和Port Number ) ca ca.crt cert jerry.crt kery jerry.key ( 這裡的憑證,須由Server產生,再給予client ) cipher BF-CBC cipher AES-128-CBC cipher DES-EDE3-CBC ( 此3個是設定OpenVPN加密方式,和Server一樣 ) 補充:如果是使用Vista或是Win7 ( WinXP則不用加下述 ) 請再最後一行加入: route-method exe route-delay 2
  7. 設定好後,請到C:\Program Files\OpenVPN\sample-config目錄下,複製client.ovpn到C:\Program Files\OpenVPN\config\裡面,再把Server提供的3個憑證一併放至此目錄下。
  8. 到此全部完成,再來就是測試啦!在桌面右下角點選geego-open-vpn.jpg-red,滑鼠右鍵會開啟,點選 ,如果沒看到此圖,請改點選開始→ 所有程式→ OpenVPN→ OpenVPN GUI即可開啟。
  9. 11.會發現geego-open-vpn.jpg-red會由紅色轉變為geego-open-vpn-yellow再轉變為geego-open-vpn-green,此顏色及代表OpenVPN 連線成功