类别:ROS / 日期:2020-10-21 / 浏览:7198 / 评论:0

本设置方法根据5.20版本进行设置,共分5个部分分别为:
1、VPN的公共设置部分(2楼)
2、PPTP设置过程(3楼)
3、L2TP设置过程(4楼)
4、OVPN设置过程(5楼)
5、SSTP设置过程(6楼)
为了便于大家查看,本人将按照分楼的方式进行上述5部分的设置介绍。


一、ROS 4种VPN方式公共设置部分


ROS的VPN有一定的规律,其中有一些设置是公共的,我们可以称之为基础配置。这个配置可以单独为某一种VPN方式所使用,也可以为4种VPN方式共同使用。本人的设置过程就是把此基础配置让4种VPN方式共同使用了。这样整个设置过程避免了内容重复。大家如果希望不同VPN方式使用的基础配置不一样,完全可以自己对其单独设置的,ROS完全可以满足各种个性化要求。
直接上图:
第一步:设置分配给vpn用户的地址池 ip–pool
1.jpg

代码:

/ip pool
add name=pool1 ranges=192.168.50.2-192.168.50.100

第二步:根据地址池ip设置NAT上网规则
2.jpg

代码:

/ip firewall nat 
add action=masquerade chain=srcnat disabled=no src-address=\
    192.168.50.2-192.168.50.100

第三步:设置基础设置的profiles模板
3.jpg
代码:

/ppp profile
add change-tcp-mss=yes dns-server=192.168.50.1 local-address=192.168.50.1 \
    name=profile1 only-one=default remote-address=pool1 use-compression=\
    default use-encryption=yes use-ipv6=yes use-mpls=default \
    use-vj-compression=default

第四步:添加vpn用户
4.jpg

代码:

/ppp secret
 add caller-id="" disabled=no limit-bytes-in=0 limit-bytes-out=0 name=\
      router.com.cn password=123456 profile=profile1 routes="" service=any

至此基础设置部分已经完成。添加了地址池和防火墙规则,设置了vpn拨号模板和用户名密码。

或许会有人问拨号模板里面有一些内容具体是怎么设置的,请大家看代码,代码里面有详细的设置。我没有给截图,要不得截好几个图。另外添加用户的时候服务类型设置了any,那是因为这一个用户要拨这四种vpn,如果大家想让不同的用户拨不同的vpn方式,可以单独进行相应类目的选择。

二、PPTP的设置过程


pptp是最通用支持设备最多的一种vpn方式,相信大家大多都会相应设置,我今天就截个图供大家参考

5.jpg

代码:

/interface pptp-server server 
set authentication=pap,chap,mschap1,mschap2 default-profile=profile1 enabled=yes keepalive-timeout=30 max-mru=1460 max-mtu=1460 mrru=disabled

三、l2tp的设置过程


l2tp的设置与pptp的设置基本一致,不过有一个区别就是要给客户端修改一下注册表,今天我给大家准备了这个注册表文件,下载导入即可。
具体设置如图所示:
6.jpg
代码:

/interface l2tp-server server 
set authentication=pap,chap,mschap1,mschap2 default-profile=profile1 enabled=yes max-mru=1460 max-mtu=1460 mrru=disabled

注意:以上方式设置好后,只用在手机等终端上l2tp,不能在windows平台上l2tp。以win7为例,不支付纯l2tp。win7要求的是l2tp+ipsec,如下图

image.png

所以想在win7上应用还要选择12tp+ipsec,但这个功能只有ROS6.x版本才有,如下图:

image.png

具体ros6.X的l2tp+ipsec设置,会在另一篇文章详细展开《ROS配置l2tp+IPsec》。

然后,将下面注册表文件保存到文本,另存为.reg格式,双击导入系统,重启或注销windows系统

Windows Registry Editor Version 5.00 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\Parameters] 
"ProhibitIPSec"=dword:00000001 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent] 
"AssumeUDPEncapsulationContextOnSendRule"=dword:00000002

在win7中,按下图配置:

image.png

image.png

到此,L2TP配置完成。


四、OVPN的设置过程


       openvpn是国外开发的一种新型可以有tcp方式和udp方式两种连接的使用SSL证书的VPN连接方式,但是ROS只支持TCP方式。openvpn可以任意修改端口,并且还是基于TCP协议的,这种vpn方法有人说可以穿透任何防火墙,具体是不是这样有待于验证,但是毫无疑问,它是目前受限制最少,应用最广泛的一种vpn拨入方式。openvpn在ROS里的服务是ovpn-server.

今天我们将会对它进行重点设置介绍。
windows默认的网络协议并不支持openvpn,想使用openvpn我们需要安装官方的或者自己重新编译后的openvpn客户端。安装客户端之后会在系统里加载一块虚拟的网卡,openvpn客户端将会在连接的时候启动这个虚拟网卡进行网络连接。
第一步、安装openvpn客户端
官方的客户端下载地址为:http://openvpn.net/index.php/download.html
打不开可以搜索以下版本:【openvpn-install-2.3.2-I003-i686】。个人认为这个版本最好用,支持win7。另外一个2.0的版本是winXP时代的,在WIN7上装不了:【openvpn-2.0_rc16-gui-1.0-rc4-install.exe】。

安装很简单,一路默认即可,重点在我们要使用windows下的openvpn客户端来生成服务器证书。
第二步、修改默认配置文件
如果默认安装在C盘的,找到C:\Program Files\OpenVPN\easy-rsa\下的 vars.bat.sample文件,用记事本打开按照如下图红色位置修改为自己的信息:
7.jpg

修改完之后保存,进行下一步的证书生成。

第三步、生成根证书与key
我们需要进入到cmd下面用命令行的形式进行操作,具体操作请大家看本人的操作过程,根据顺序查看图片进行操作
8.jpg
进入操作目录
9.jpg

执行init-config,生成vars.bat文件

image.png




执行vars,创建运行环境
image.png

清理证书文件夹keys,执行clean-all
image.png

执行以下两个命令创建证书
build-dh
12.jpg
再执行一次vars,

image.png

build-ca,生成证书的时候让修改配置,因为我们已经修改过默认文件了,一路回车即可
13.jpg
查找keys文件夹里的ca.crt与ca.key两个文件
14.jpg
通过ftp或者winbox将这两个文件上传到ros里面
15.jpg
16.jpg
导入进去之后执行下一步的安装证书的操作
第四步、安装openvpn的证书到ros
请根据图示进行导入证书的操作
17.jpg
18.jpg
19.jpg
当证书前面出现了KR的时候,说明了证书导入成功
20.jpg
五步、ovpn的设置
ovpn的设置有几个选项需要注意,最重要的有一个是子网掩码那里,你设置的地址池是多少就用数字表示多少,比如是一个C段那这里就写成24,B段写成是16,相信大家都明白子网的换算。写不对后果很严重,那就是拨不上号,连不上ovpn。另外很有价值的一点是,端口port可以修改,默认是1194,可以改其它的,更安全。
21.jpg
至此ovpn设置已经基本完毕,现在贴出来部分代码
ovpn设置部分的代码:

/interface ovpn-server server 
set auth=sha1,md5 certificate=cert2 cipher=blowfish128,aes128,aes192,aes256 \
     default-profile=profile1 enabled=yes keepalive-timeout=60 mac-address=\     
     FE:69:30:E3:1B:80 max-mtu=1500 mode=ethernet netmask=24 port=1194 \     
     require-client-certificate=no

第六步、客户端的配置文件
客户端需要在客户端软件文件夹内建立一个名为config的文件夹,将ca.crt和ca.key复制到里面。

image.png

然后建立一个任意名字的以.ovpn为后缀的文件,文件名称最好是英文,如我建立一个openvpn.ovpn的文件,将这个文件以记事本打开键入以下内容:

client 
dev tap 
proto tcp 
remote "192.168.123.1" 1194 
ca ca.crt 
keepalive 10 120 
cipher AES-256-CBC 
auth SHA1 
auth-user-pass 
verb 5 
redirect-gateway def1

注意:这个remote “192.168.123.1”,如果不是局域网,要改为外网IP地址或DDNS类的域名“xxx.f3322.net",例如如下:

image.png

还有一点,如果在ROS的防火墙做了限制,要在IP-firewall-Filter Rules里开通ovpn对应的端口。默认是没有限制的。如果不修改的话就是1194端口。由于我之前做了限制,所以要放开端口,如下:

image.png

image.png

image.png

然后运行客户端,直接点connect即可。

image.png

image.png

至此,ros的ovpn设置完成。

链接完成后的样子:(IP已修改过,和上面的不一样)

image.png

第五部分:SSTP的设置流程


SSTP是微软的SSL pptp,简称SSTP,windows2008默认支持该服务。客户端要求vista sp1以上版本才可以支持。sstp的端口是TCP的443端口。跟IIS的SSL网站服务端口一致。现在有一些网络设备支持网页认证的SSTP,ROS支持的SSTP还是使用windows自带的vpn连接。
SSTP顾名思义就是基于SSL证书的VPN连接,SSL证书与openvpn的证书还不一样,openvpn的证书是没有经过微软根证书认证的,也就是说SSTP和OVPN公用一个证书是不现实的。那么,SSTP的难点其实也就是SSL证书。经过微软根认证的SSL证书目前基本都是收费的。唯一免费的是国外的startssl提供的一年免费的证书。ssl证书目前不再向单独的ip地址颁发,只向域名颁发证书,所以我们的SSTP连接的时候服务器那一栏需要填写域名而不是ip。
startssl已经增加了很多个顶级域域名的支持,cn域名也在支持行列。目前我国开始支持个人购买域名并且只要10几块钱一年,我们都可以申请一个cn域名。当然其他域名也可以,尤其是com的和net的,startssl对他兼容性更好。也就是说,我们要做ROS的SSTP设置必须先要有一个域名。我们都可以去各个域名注册商那里注册一个,比如中国万网www.net.cn等。
现在的操作就是加入已经有了一个域名,我们开始打开startssl注册账户。
第一步、注册startssl账户
打开https://www.startssl.com/?app=11&action=true点击右侧的“sign-up”按钮,根据自己实际填写真实资料进行注册

22.jpg

填写完毕之后点击continue会给你的注册邮箱发一封邮件,里面有一个验证码,我们将验证码输入到邮件里的链接打开之后的页面里。提交之后会有一个审核时间,一般为6个小时以内。收到验证通过的邮件之后就可以登录到www.startssl.com获取登录资格并创建ssl证书了。
我看百度经验里有一篇怎么样获取startssl证书的教程给大家分享一下,注册账户和添加域名获取证书可以按照这个教程进行操作。http://jingyan.baidu.com/article/ab69b270e934642ca7189fa6.html
第二步、申请得到ssl证书
域名验证通过之后可以申请证书了,我这里把我的操作给大家分享一下,因为我的域名已经验证通过了,这次只是重新创建一个二级域名的新证书,所以我的操作步骤可能跟第一次操作有些不一样,大家第一次操作尽量按照百度经验里的操作进行。
点击个人操作界面的第二个按钮:certificates wizard 开始创建ssl证书

23.jpg

创建的时候让输入一个密码,这个密码是ssl证书key的导入密码,密码必须要牢记,因为这个密码网站不给保存,大家最好写完之后就记录到一个文档里面。这个密码要包含大小写与数字,否则设置不成功,无法进行下一步。
输入密码之后点击“continue”就会出来一个界面包含一些代码,把这些代码保存下来另存为成以“key”为后缀的文件,这个文件是是ssl证书的key。如图所示:
24.jpg

点击下一步,会让选择你认证过的域名,选择域名之后,进入写要申请证书的二级域名。如下图所示:

25.jpg

26.jpg

我在图片上做了一些说明,填写完毕之后再点击“continue”就会出来ssl证书的代码,把哪些代码保存成以“crt”为后缀的文件即可
这里面我以ssl为文件名进行了保存,与openvpn一样也是两个文件,一个是证书一个是证书的key。我把这两个文件分别命名为ssl.crt与ssl.key
第三步、导入ssl证书到ROS里面
我们将SSL.CRT与SSL.KEY这两个文件上传到ROS里面然后安装证书。
SSL证书的安装与OPENVPN的证书导入不一样,因为这个SSL的key有导入密码(刚才说的要牢记的那个密码),在winbox图形界面下导入不会提示要输入密码,所以必须在ROS的命令行控制台里导入才可以导入成功。导入命令与过程如图所示:
27.jpg
安装完成后会在证书管理窗口显示“KR”字样
28.jpg

第四步、设置SSTP
需要说明的是,我们必须要把申请证书的这个域名解析到你的VPN服务器的ip上,如果这个服务器有多个不同线路的ip怎么办?我们可以使用dnspod的职能解析,将域名分别对不同的网络做解析,必须这个域名对联通解析出来联通的ip,对电信解析出电信的ip,对其他线路也一样。解析完之后ping一下看看有没有生效,如果生效了就可以拨SSTP了
29.jpg
ROS的SSTP也可以自定端口,不过默认是443。SSTP设置如图所示:
30.jpg

代码如下:

/interface sstp-server server 
set authentication=pap,chap,mschap1,mschap2 certificate=cert1 default-profile=profile1 enabled=yes keepalive-timeout=60 max-mru=1500 max-mtu=1500 mrru=disabled port=443 \
     verify-client-certificate=no

第五步、客户端的设置
本客户端以win7系统为例
客户端需要在服务器栏填写申请SSL成功的域名,而不是ip地址。然后在vpn连接属性里的安全选项卡里将VPN类型设置为:“安全套接字隧道协议(SSTP)”点击确定即可。

至此,ROS的SSTP设置已经完成。

打赏

感谢您的赞助~

打开支付宝扫一扫,即可进行扫码打赏哦~

版权声明 : 本文未使用任何知识共享协议授权,您可以任何形式自由转载或使用。

 可能感兴趣的文章