首页 > 精品软件 > vpn > ROS 5.20 全部4种VPN设置过程
2013
06-04

ROS 5.20 全部4种VPN设置过程

本设置方法根据5.20版本进行设置,共分5个部分分别为:
1、VPN的公共设置部分(2楼)
2、PPTP设置过程(3楼)
3、L2TP设置过程(4楼)
4、OVPN设置过程(5楼)
5、SSTP设置过程(6楼)
为了便于大家查看,本人将按照分楼的方式进行上述5部分的设置介绍。
一、ROS 4种VPN方式公共设置部分
ROS的VPN有一定的规律,其中有一些设置是公共的,我们可以称之为基础配置。这个配置可以单独为某一种VPN方式所使用,也可以为4种VPN方式共同使用。本人的设置过程就是把此基础配置让4种VPN方式共同使用了。这样整个设置过程避免了内容重复。大家如果希望不同VPN方式使用的基础配置不一样,完全可以自己对其单独设置的,ROS完全可以满足各种个性化要求。
直接上图:
第一步:设置分配给vpn用户的地址池 ip–pool
ROS 5.20 全部4种VPN设置过程 - 第1张  | 大博辞
代码:

/ip pool
add name=pool1 ranges=192.168.50.2-192.168.50.100

第二步:根据地址池ip设置NAT上网规则
ROS 5.20 全部4种VPN设置过程 - 第2张  | 大博辞
代码:

/ip firewall nat
add action=masquerade chain=srcnat disabled=no src-address=\
    192.168.50.2-192.168.50.100

第三步:设置基础设置的profiles模板
ROS 5.20 全部4种VPN设置过程 - 第3张  | 大博辞
代码:

/ppp profile
add change-tcp-mss=yes dns-server=192.168.50.1 local-address=192.168.50.1 \
    name=profile1 only-one=default remote-address=pool1 use-compression=\
    default use-encryption=yes use-ipv6=yes use-mpls=default \
    use-vj-compression=default

第四步:添加vpn用户
ROS 5.20 全部4种VPN设置过程 - 第4张  | 大博辞
代码:

/ppp secret
add caller-id="" disabled=no limit-bytes-in=0 limit-bytes-out=0 name=\
    router.com.cn password=123456 profile=profile1 routes="" service=any

至此基础设置部分已经完成。添加了地址池和防火墙规则,设置了vpn拨号模板和用户名密码。

或许会有人问拨号模板里面有一些内容具体是怎么设置的,请大家看代码,代码里面有详细的设置。我没有给截图,要不得截好几个图。另外添加用户的时候服务类型设置了any,那是因为这一个用户要拨这四种vpn,如果大家想让不同的用户拨不同的vpn方式,可以单独进行相应类目的选择。

二、PPTP的设置过程
pptp是最通用支持设备最多的一种vpn方式,相信大家大多都会相应设置,我今天就截个图供大家参考
ROS 5.20 全部4种VPN设置过程 - 第5张  | 大博辞
代码:

/interface pptp-server server
set authentication=pap,chap,mschap1,mschap2 default-profile=profile1 enabled=yes keepalive-timeout=30 max-mru=1460 max-mtu=1460 mrru=disabled

三、l2tp的设置过程
l2tp的设置与pptp的设置基本一致,不过有一个区别就是要给客户端修改一下注册表,今天我给大家准备了这个注册表文件,下载导入即可。
具体设置如图所示:
ROS 5.20 全部4种VPN设置过程 - 第6张  | 大博辞
代码:

/interface l2tp-server server
set authentication=pap,chap,mschap1,mschap2 default-profile=profile1 enabled=yes max-mru=1460 max-mtu=1460 mrru=disabled

注册表文件:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\Parameters]
"ProhibitIPSec"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent]
"AssumeUDPEncapsulationContextOnSendRule"=dword:00000002

四、OVPN的设置过程
openvpn是国外开发的一种新型可以有tcp方式和udp方式两种连接的使用SSL证书的VPN连接方式,但是ROS只支持TCP方式。openvpn可以任意修改端口,并且还是基于TCP协议的,这种vpn方法有人说可以穿透任何防火墙,具体是不是这样有待于验证,但是毫无疑问,它是目前受限制最少,应用最广泛的一种vpn拨入方式。openvpn在ROS里的服务是ovpn-server,今天我们将会对它进行重点设置介绍。
windows默认的网络协议并不支持openvpn,想使用openvpn我们需要安装官方的或者自己重新编译后的openvpn客户端。安装客户端之后会在系统里加载一块虚拟的网卡,openvpn客户端将会在连接的时候启动这个虚拟网卡进行网络连接。
第一步、安装openvpn客户端
官方的客户端下载地址为:http://openvpn.net/index.php/download.html
打不开可以使用备用地址:http://openvpn.ustc.edu.cn/openvpn-2.0_rc16-gui-1.0-rc4-install.exe
安装很简单,一路默认即可,重点在我们要使用windows下的openvpn客户端来生成服务器证书。
第二步、修改默认配置文件
如果默认安装在C盘的,找到C:\Program Files\OpenVPN\easy-rsa\下的 vars.bat.sample文件,用记事本打开按照如下图红色位置修改为自己的信息:
ROS 5.20 全部4种VPN设置过程 - 第7张  | 大博辞

修改完之后保存,进行下一步的证书生成。
第三步、生成根证书与key
我们需要进入到cmd下面用命令行的形式进行操作,具体操作请大家看本人的操作过程,根据顺序查看图片进行操作
ROS 5.20 全部4种VPN设置过程 - 第8张  | 大博辞
进入操作目录
ROS 5.20 全部4种VPN设置过程 - 第9张  | 大博辞
执行vars创建运行环境
ROS 5.20 全部4种VPN设置过程 - 第10张  | 大博辞
清理证书文件夹keys
ROS 5.20 全部4种VPN设置过程 - 第11张  | 大博辞
执行以下两个命令创建证书
build-dh
ROS 5.20 全部4种VPN设置过程 - 第12张  | 大博辞
build-ca,生成证书的时候让修改配置,因为我们已经修改过默认文件了,一路回车即可
ROS 5.20 全部4种VPN设置过程 - 第13张  | 大博辞
查找keys文件夹里的ca.crt与ca.key两个文件
ROS 5.20 全部4种VPN设置过程 - 第14张  | 大博辞
通过ftp或者winbox将这两个文件上传到ros里面
ROS 5.20 全部4种VPN设置过程 - 第15张  | 大博辞
ROS 5.20 全部4种VPN设置过程 - 第16张  | 大博辞
导入进去之后执行下一步的安装证书的操作
第四步、安装openvpn的证书到ros
请根据图示进行导入证书的操作
ROS 5.20 全部4种VPN设置过程 - 第17张  | 大博辞
ROS 5.20 全部4种VPN设置过程 - 第18张  | 大博辞
ROS 5.20 全部4种VPN设置过程 - 第19张  | 大博辞
当证书前面出现了KR的时候,说明了证书导入成功
ROS 5.20 全部4种VPN设置过程 - 第20张  | 大博辞
五步、ovpn的设置
ovpn的设置有几个选项需要注意,最重要的有一个是子网掩码那里,你设置的地址池是多少就用数字表示多少,比如是一个C段那这里就写成24,B段写成是16,相信大家都明白子网的换算。写不对后果很严重,那就是拨不上号,连不上ovpn
ROS 5.20 全部4种VPN设置过程 - 第21张  | 大博辞
至此ovpn设置已经基本完毕,现在贴出来部分代码
ovpn设置部分的代码:

/interface ovpn-server server
set auth=sha1,md5 certificate=cert2 cipher=blowfish128,aes128,aes192,aes256 \
    default-profile=profile1 enabled=yes keepalive-timeout=60 mac-address=\
    FE:69:30:E3:1B:80 max-mtu=1500 mode=ethernet netmask=24 port=1194 \
    require-client-certificate=no

第六步、客户端的配置文件
客户端需要在客户端软件文件夹内建立一个名为config的文件夹,将ca.crt和ca.key复制到里面然后建立一个任意名字的以.ovpn为后缀的文件,文件名称最好是英文,如我建立一个openvpn.ovpn的文件,将这个文件以记事本打开键入以下内容:

client
dev tap
proto tcp
remote "192.168.123.1" 1194
ca ca.crt
keepalive 10 120
cipher AES-256-CBC
auth SHA1
auth-user-pass
verb 5
redirect-gateway def1

然后运行客户端,直接点connect即可。

至此,ros的ovpn设置完成

第五部分:SSTP的设置流程
SSTP是微软的SSL pptp,简称SSTP,windows2008默认支持该服务。客户端要求vista sp1以上版本才可以支持。sstp的端口是TCP的443端口。跟IIS的SSL网站服务端口一致。现在有一些网络设备支持网页认证的SSTP,ROS支持的SSTP还是使用windows自带的vpn连接。
SSTP顾名思义就是基于SSL证书的VPN连接,SSL证书与openvpn的证书还不一样,openvpn的证书是没有经过微软根证书认证的,也就是说SSTP和OVPN公用一个证书是不现实的。那么,SSTP的难点其实也就是SSL证书。经过微软根认证的SSL证书目前基本都是收费的。唯一免费的是国外的startssl提供的一年免费的证书。ssl证书目前不再向单独的ip地址颁发,只向域名颁发证书,所以我们的SSTP连接的时候服务器那一栏需要填写域名而不是ip。
startssl已经增加了很多个顶级域域名的支持,cn域名也在支持行列。目前我国开始支持个人购买域名并且只要10几块钱一年,我们都可以申请一个cn域名。当然其他域名也可以,尤其是com的和net的,startssl对他兼容性更好。也就是说,我们要做ROS的SSTP设置必须先要有一个域名。我们都可以去各个域名注册商那里注册一个,比如中国万网www.net.cn等。
现在的操作就是加入已经有了一个域名,我们开始打开startssl注册账户。
第一步、注册startssl账户
打开https://www.startssl.com/?app=11&action=true点击右侧的“sign-up”按钮,根据自己实际填写真实资料进行注册
ROS 5.20 全部4种VPN设置过程 - 第22张  | 大博辞

填写完毕之后点击continue会给你的注册邮箱发一封邮件,里面有一个验证码,我们将验证码输入到邮件里的链接打开之后的页面里。提交之后会有一个审核时间,一般为6个小时以内。收到验证通过的邮件之后就可以登录到www.startssl.com获取登录资格并创建ssl证书了。
我看百度经验里有一篇怎么样获取startssl证书的教程给大家分享一下,注册账户和添加域名获取证书可以按照这个教程进行操作。http://jingyan.baidu.com/article/ab69b270e934642ca7189fa6.html
第二步、申请得到ssl证书
域名验证通过之后可以申请证书了,我这里把我的操作给大家分享一下,因为我的域名已经验证通过了,这次只是重新创建一个二级域名的新证书,所以我的操作步骤可能跟第一次操作有些不一样,大家第一次操作尽量按照百度经验里的操作进行。
点击个人操作界面的第二个按钮:certificates wizard 开始创建ssl证书
ROS 5.20 全部4种VPN设置过程 - 第23张  | 大博辞
创建的时候让输入一个密码,这个密码是ssl证书key的导入密码,密码必须要牢记,因为这个密码网站不给保存,大家最好写完之后就记录到一个文档里面。这个密码要包含大小写与数字,否则设置不成功,无法进行下一步。
输入密码之后点击“continue”就会出来一个界面包含一些代码,把这些代码保存下来另存为成以“key”为后缀的文件,这个文件是是ssl证书的key。如图所示:
ROS 5.20 全部4种VPN设置过程 - 第24张  | 大博辞

点击下一步,会让选择你认证过的域名,选择域名之后,进入写要申请证书的二级域名。如下图所示:
ROS 5.20 全部4种VPN设置过程 - 第25张  | 大博辞
ROS 5.20 全部4种VPN设置过程 - 第26张  | 大博辞
我在图片上做了一些说明,填写完毕之后再点击“continue”就会出来ssl证书的代码,把哪些代码保存成以“crt”为后缀的文件即可
这里面我以ssl为文件名进行了保存,与openvpn一样也是两个文件,一个是证书一个是证书的key。我把这两个文件分别命名为ssl.crt与ssl.key
第三步、导入ssl证书到ROS里面
我们将SSL.CRT与SSL.KEY这两个文件上传到ROS里面然后安装证书。
SSL证书的安装与OPENVPN的证书导入不一样,因为这个SSL的key有导入密码(刚才说的要牢记的那个密码),在winbox图形界面下导入不会提示要输入密码,所以必须在ROS的命令行控制台里导入才可以导入成功。导入命令与过程如图所示:
ROS 5.20 全部4种VPN设置过程 - 第27张  | 大博辞
安装完成后会在证书管理窗口显示“KR”字样
ROS 5.20 全部4种VPN设置过程 - 第28张  | 大博辞

第四步、设置SSTP
需要说明的是,我们必须要把申请证书的这个域名解析到你的VPN服务器的ip上,如果这个服务器有多个不同线路的ip怎么办?我们可以使用dnspod的职能解析,将域名分别对不同的网络做解析,必须这个域名对联通解析出来联通的ip,对电信解析出电信的ip,对其他线路也一样。解析完之后ping一下看看有没有生效,如果生效了就可以拨SSTP了
ROS 5.20 全部4种VPN设置过程 - 第29张  | 大博辞
ROS的SSTP也可以自定端口,不过默认是443。SSTP设置如图所示:
ROS 5.20 全部4种VPN设置过程 - 第30张  | 大博辞

代码如下:

/interface sstp-server server
set authentication=pap,chap,mschap1,mschap2 certificate=cert1 default-profile=profile1 enabled=yes keepalive-timeout=60 max-mru=1500 max-mtu=1500 mrru=disabled port=443 \
    verify-client-certificate=no

第五步、客户端的设置
本客户端以win7系统为例
客户端需要在服务器栏填写申请SSL成功的域名,而不是ip地址。然后在vpn连接属性里的安全选项卡里将VPN类型设置为:“安全套接字隧道协议(SSTP)”点击确定即可。

至此,ROS的SSTP设置已经完成。

最后编辑:
作者:admin
捐 赠如果您觉得这篇文章有用处,请支持作者!鼓励作者写出更好更多的文章!

留下一个回复