ROS 5.20 全部4种VPN设置过程

类别：ROS / 日期：2020-10-21 / 浏览：7816 / 评论：0

本设置方法根据5.20版本进行设置，共分5个部分分别为:
1、VPN的公共设置部分（2楼）
2、PPTP设置过程（3楼）
3、L2TP设置过程（4楼）
4、OVPN设置过程（5楼）
5、SSTP设置过程（6楼）
为了便于大家查看，本人将按照分楼的方式进行上述5部分的设置介绍。

一、ROS 4种VPN方式公共设置部分

ROS的VPN有一定的规律，其中有一些设置是公共的，我们可以称之为基础配置。这个配置可以单独为某一种VPN方式所使用，也可以为4种VPN方式共同使用。本人的设置过程就是把此基础配置让4种VPN方式共同使用了。这样整个设置过程避免了内容重复。大家如果希望不同VPN方式使用的基础配置不一样，完全可以自己对其单独设置的，ROS完全可以满足各种个性化要求。
直接上图：
第一步：设置分配给vpn用户的地址池 ip–pool

代码：

/ip pool
 add name=pool1 ranges=192.168.50.2-192.168.50.100

第二步：根据地址池ip设置NAT上网规则

代码：

/ip firewall nat 
add action=masquerade chain=srcnat disabled=no src-address=\
     192.168.50.2-192.168.50.100

第三步：设置基础设置的profiles模板

代码：

/ppp profile
add change-tcp-mss=yes dns-server=192.168.50.1 local-address=192.168.50.1 \
     name=profile1 only-one=default remote-address=pool1 use-compression=\
     default use-encryption=yes use-ipv6=yes use-mpls=default \
     use-vj-compression=default

第四步：添加vpn用户

代码：

/ppp secret
 add caller-id="" disabled=no limit-bytes-in=0 limit-bytes-out=0 name=\
      router.com.cn password=123456 profile=profile1 routes="" service=any

至此基础设置部分已经完成。添加了地址池和防火墙规则，设置了vpn拨号模板和用户名密码。

或许会有人问拨号模板里面有一些内容具体是怎么设置的，请大家看代码，代码里面有详细的设置。我没有给截图，要不得截好几个图。另外添加用户的时候服务类型设置了any，那是因为这一个用户要拨这四种vpn，如果大家想让不同的用户拨不同的vpn方式，可以单独进行相应类目的选择。

二、PPTP的设置过程

pptp是最通用支持设备最多的一种vpn方式，相信大家大多都会相应设置，我今天就截个图供大家参考

代码：

/interface pptp-server server 
set authentication=pap,chap,mschap1,mschap2 default-profile=profile1 enabled=yes keepalive-timeout=30 max-mru=1460 max-mtu=1460 mrru=disabled

三、l2tp的设置过程

l2tp的设置与pptp的设置基本一致，不过有一个区别就是要给客户端修改一下注册表，今天我给大家准备了这个注册表文件，下载导入即可。
具体设置如图所示：

代码：

/interface l2tp-server server 
set authentication=pap,chap,mschap1,mschap2 default-profile=profile1 enabled=yes max-mru=1460 max-mtu=1460 mrru=disabled

注意：以上方式设置好后，只用在手机等终端上l2tp，不能在windows平台上l2tp。以win7为例，不支付纯l2tp。win7要求的是l2tp+ipsec，如下图

所以想在win7上应用还要选择12tp+ipsec，但这个功能只有ROS6.x版本才有，如下图：

具体ros6.X的l2tp+ipsec设置，会在另一篇文章详细展开《ROS配置l2tp+IPsec》。

然后，将下面注册表文件保存到文本，另存为.reg格式，双击导入系统，重启或注销windows系统：

Windows Registry Editor Version 5.00 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\Parameters] 
"ProhibitIPSec"=dword:00000001 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent] 
"AssumeUDPEncapsulationContextOnSendRule"=dword:00000002

在win7中，按下图配置：

到此，L2TP配置完成。

四、OVPN的设置过程

       openvpn是国外开发的一种新型可以有tcp方式和udp方式两种连接的使用SSL证书的VPN连接方式，但是ROS只支持TCP方式。openvpn可以任意修改端口，并且还是基于TCP协议的，这种vpn方法有人说可以穿透任何防火墙，具体是不是这样有待于验证，但是毫无疑问，它是目前受限制最少，应用最广泛的一种vpn拨入方式。openvpn在ROS里的服务是ovpn-server.

今天我们将会对它进行重点设置介绍。
windows默认的网络协议并不支持openvpn，想使用openvpn我们需要安装官方的或者自己重新编译后的openvpn客户端。安装客户端之后会在系统里加载一块虚拟的网卡，openvpn客户端将会在连接的时候启动这个虚拟网卡进行网络连接。
第一步、安装openvpn客户端
官方的客户端下载地址为：http://openvpn.net/index.php/download.html
打不开可以搜索以下版本：【openvpn-install-2.3.2-I003-i686】。个人认为这个版本最好用，支持win7。另外一个2.0的版本是winXP时代的，在WIN7上装不了：【openvpn-2.0_rc16-gui-1.0-rc4-install.exe】。

安装很简单，一路默认即可，重点在我们要使用windows下的openvpn客户端来生成服务器证书。
第二步、修改默认配置文件
如果默认安装在C盘的，找到C:\Program Files\OpenVPN\easy-rsa\下的 vars.bat.sample文件，用记事本打开按照如下图红色位置修改为自己的信息：

修改完之后保存，进行下一步的证书生成。

第三步、生成根证书与key
我们需要进入到cmd下面用命令行的形式进行操作，具体操作请大家看本人的操作过程，根据顺序查看图片进行操作

进入操作目录

执行init-config，生成vars.bat文件

执行vars，创建运行环境

清理证书文件夹keys，执行clean-all

执行以下两个命令创建证书
build-dh

再执行一次vars，

build-ca，生成证书的时候让修改配置，因为我们已经修改过默认文件了，一路回车即可

查找keys文件夹里的ca.crt与ca.key两个文件

通过ftp或者winbox将这两个文件上传到ros里面


导入进去之后执行下一步的安装证书的操作
第四步、安装openvpn的证书到ros
请根据图示进行导入证书的操作



当证书前面出现了KR的时候，说明了证书导入成功

五步、ovpn的设置
ovpn的设置有几个选项需要注意，最重要的有一个是子网掩码那里，你设置的地址池是多少就用数字表示多少，比如是一个C段那这里就写成24，B段写成是16，相信大家都明白子网的换算。写不对后果很严重，那就是拨不上号，连不上ovpn。另外很有价值的一点是，端口port可以修改，默认是1194，可以改其它的，更安全。

至此ovpn设置已经基本完毕，现在贴出来部分代码
ovpn设置部分的代码：

/interface ovpn-server server 
set auth=sha1,md5 certificate=cert2 cipher=blowfish128,aes128,aes192,aes256 \
     default-profile=profile1 enabled=yes keepalive-timeout=60 mac-address=\     
     FE:69:30:E3:1B:80 max-mtu=1500 mode=ethernet netmask=24 port=1194 \     
     require-client-certificate=no

第六步、客户端的配置文件
客户端需要在客户端软件文件夹内建立一个名为config的文件夹，将ca.crt和ca.key复制到里面。

然后建立一个任意名字的以.ovpn为后缀的文件，文件名称最好是英文，如我建立一个openvpn.ovpn的文件，将这个文件以记事本打开键入以下内容：

client 
dev tap 
proto tcp 
remote "192.168.123.1" 1194 
ca ca.crt 
keepalive 10 120 
cipher AES-256-CBC 
auth SHA1 
auth-user-pass 
verb 5 
redirect-gateway def1

注意：这个remote “192.168.123.1”，如果不是局域网，要改为外网IP地址或DDNS类的域名“xxx.f3322.net"，例如如下：

还有一点，如果在ROS的防火墙做了限制，要在IP-firewall-Filter Rules里开通ovpn对应的端口。默认是没有限制的。如果不修改的话就是1194端口。由于我之前做了限制，所以要放开端口，如下：

然后运行客户端，直接点connect即可。

至此，ros的ovpn设置完成。

链接完成后的样子：（IP已修改过，和上面的不一样）

第五部分：SSTP的设置流程

SSTP是微软的SSL pptp，简称SSTP，windows2008默认支持该服务。客户端要求vista sp1以上版本才可以支持。sstp的端口是TCP的443端口。跟IIS的SSL网站服务端口一致。现在有一些网络设备支持网页认证的SSTP，ROS支持的SSTP还是使用windows自带的vpn连接。
SSTP顾名思义就是基于SSL证书的VPN连接，SSL证书与openvpn的证书还不一样，openvpn的证书是没有经过微软根证书认证的，也就是说SSTP和OVPN公用一个证书是不现实的。那么，SSTP的难点其实也就是SSL证书。经过微软根认证的SSL证书目前基本都是收费的。唯一免费的是国外的startssl提供的一年免费的证书。ssl证书目前不再向单独的ip地址颁发，只向域名颁发证书，所以我们的SSTP连接的时候服务器那一栏需要填写域名而不是ip。
startssl已经增加了很多个顶级域域名的支持，cn域名也在支持行列。目前我国开始支持个人购买域名并且只要10几块钱一年，我们都可以申请一个cn域名。当然其他域名也可以，尤其是com的和net的，startssl对他兼容性更好。也就是说，我们要做ROS的SSTP设置必须先要有一个域名。我们都可以去各个域名注册商那里注册一个，比如中国万网www.net.cn等。
现在的操作就是加入已经有了一个域名，我们开始打开startssl注册账户。
第一步、注册startssl账户
打开https://www.startssl.com/?app=11&action=true点击右侧的“sign-up”按钮，根据自己实际填写真实资料进行注册

填写完毕之后点击continue会给你的注册邮箱发一封邮件，里面有一个验证码，我们将验证码输入到邮件里的链接打开之后的页面里。提交之后会有一个审核时间，一般为6个小时以内。收到验证通过的邮件之后就可以登录到www.startssl.com获取登录资格并创建ssl证书了。
我看百度经验里有一篇怎么样获取startssl证书的教程给大家分享一下，注册账户和添加域名获取证书可以按照这个教程进行操作。http://jingyan.baidu.com/article/ab69b270e934642ca7189fa6.html
第二步、申请得到ssl证书
域名验证通过之后可以申请证书了，我这里把我的操作给大家分享一下，因为我的域名已经验证通过了，这次只是重新创建一个二级域名的新证书，所以我的操作步骤可能跟第一次操作有些不一样，大家第一次操作尽量按照百度经验里的操作进行。
点击个人操作界面的第二个按钮：certificates wizard 开始创建ssl证书

创建的时候让输入一个密码，这个密码是ssl证书key的导入密码，密码必须要牢记，因为这个密码网站不给保存，大家最好写完之后就记录到一个文档里面。这个密码要包含大小写与数字，否则设置不成功，无法进行下一步。
输入密码之后点击“continue”就会出来一个界面包含一些代码，把这些代码保存下来另存为成以“key”为后缀的文件，这个文件是是ssl证书的key。如图所示：

点击下一步，会让选择你认证过的域名，选择域名之后，进入写要申请证书的二级域名。如下图所示：

我在图片上做了一些说明，填写完毕之后再点击“continue”就会出来ssl证书的代码，把哪些代码保存成以“crt”为后缀的文件即可
这里面我以ssl为文件名进行了保存，与openvpn一样也是两个文件，一个是证书一个是证书的key。我把这两个文件分别命名为ssl.crt与ssl.key
第三步、导入ssl证书到ROS里面
我们将SSL.CRT与SSL.KEY这两个文件上传到ROS里面然后安装证书。
SSL证书的安装与OPENVPN的证书导入不一样，因为这个SSL的key有导入密码（刚才说的要牢记的那个密码），在winbox图形界面下导入不会提示要输入密码，所以必须在ROS的命令行控制台里导入才可以导入成功。导入命令与过程如图所示：

安装完成后会在证书管理窗口显示“KR”字样

第四步、设置SSTP
需要说明的是，我们必须要把申请证书的这个域名解析到你的VPN服务器的ip上，如果这个服务器有多个不同线路的ip怎么办？我们可以使用dnspod的职能解析，将域名分别对不同的网络做解析，必须这个域名对联通解析出来联通的ip，对电信解析出电信的ip，对其他线路也一样。解析完之后ping一下看看有没有生效，如果生效了就可以拨SSTP了

ROS的SSTP也可以自定端口，不过默认是443。SSTP设置如图所示：

代码如下：

/interface sstp-server server 
set authentication=pap,chap,mschap1,mschap2 certificate=cert1 default-profile=profile1 enabled=yes keepalive-timeout=60 max-mru=1500 max-mtu=1500 mrru=disabled port=443 \
     verify-client-certificate=no

第五步、客户端的设置
本客户端以win7系统为例
客户端需要在服务器栏填写申请SSL成功的域名，而不是ip地址。然后在vpn连接属性里的安全选项卡里将VPN类型设置为：“安全套接字隧道协议（SSTP）”点击确定即可。

至此，ROS的SSTP设置已经完成。

打赏