預先準備的器材如下
| 器材 | 地址 | 說明 |
|---|---|---|
| 光貓 | 橋接 | 將光貓的自動撥號上網,改成網橋方式。ISP提供商提供公網IP地址,是否爲固定IP地址無所謂。 |
| 路由器 | wan:撥號上互聯網,網關:172.16.0.250 | 一般普通WIFI路由器即可,可以提供PPPoE撥號上網。然後將光貓和路由器連接起來。 |
| 羣暉NAS服務器 | 172.16.0.100 | 安裝VPN Center服務器套件,啓動DDNS域名服務。設置網關,並能上互聯網. |
| 內網電腦 | (172.16.0.1) | 可以不用設置網關,因爲該內網電腦可以不用上互聯網,只需要和羣暉NAS服務器互聯互通即可。 |
| 外網筆記本 | (能上互聯網) |
網絡連接關係如下圖示
這時候的現狀和需求
-外網筆記本模擬的是在外網的一臺機器,通過VPN連接到內網172.16.0.X的內網絡中來,能訪問內網電腦(172.16.0.2)。
實驗步驟:
安裝VPN Server,並分配權限
羣暉套件中心下載並安裝VPN Server,全部採用默認安裝。注意爲了實驗可以創建一個實驗用的賬號,賬號的名字無所謂,這個賬號是和VPN登錄賬號一致的。如下圖所示:
首先實驗PPTP VPN,啓動VPN PPTP服務
首先實驗PPTP VPN,使用默認的配置,然後啓動,點擊應用即可。- 配置路由器端口映射
-以PPTP VPN爲例子。PPTP訪問端口號1723,但是由於外網是無法訪問192.168.0.X網絡段的,因此也沒有辦法直接訪問到羣暉NAS服務器上安裝的VPN服務。因此需要在路由器上開一個端口PPTP的映射。一般路由器上都有做端口映射或者叫做虛擬服務器的設置,目的就是外網對特定的端口號的訪問映射到內網中來。
例如:D-LINK的端口映射設置如上圖所示,其他路由器一般都有類似設置,非常簡單的。比如PPTP VPN的端口號是TCP 1723,如下所示:
這樣設置以後,外網就可以通過1723端口訪問到羣暉的VPN服務了。 - 外網電腦的PPTP客戶端配置
PPTP的配置是非常簡單的,我們測試中使用電腦。比如windows10的操作過程爲:
從控制面板->網絡與共享中心->設置新的鏈接與網絡->連接到工作區->選擇“使用我的Internet鏈連接(VPN)”,如下圖:
填寫創建VPN的參數,注意
注意,圖片中的地址需要改成路由器WAN地址或者域名地址,其他參數都是默認即可。
創建完畢後,點擊所創建的VPN連接,過程中會要求輸入賬號密碼。這個賬號就是之前在羣暉NAS上創建的實驗賬號,比如:admin。 - 測試驗證PPTP
外網電腦的VPN虛擬網卡VPN1將獲取到PPTP設置的內網地址10.0.0.1。這個地址默認就可以訪問192.168.0.0網段的電腦了。原理上來說就是基於TCP 1723這個端口連接,外網的電腦可以訪問到內網的任何地址和服務了。雖然沒有獲取192.168.0.0網段的地址,但是VPN Server會做轉發服務,可以認爲外網筆記本電腦就是在內網一樣。
Open VPN
OpenVPN相對於PPTP的VPN方式存在以下的優點和缺點:
優點:
1、OpenVPN支持UDP或者TCP作爲協議承載,適合於不同的網絡場景,使用更加靈活;
2、賬號密碼+證書使得安全性更加強大;
3、默認端口號只有一個,並且修改比其他兩種VPN(PPTP和L2TP/IPSec)更加方便,在做端口轉發設置的時候更加方便靈活。
缺點:
1、Open VPN是需要安裝一個客戶端軟件,windows默認沒有這個功能。
2、基於證書的加密機制,使用比較複雜一些
實驗步驟:
1、安全證書管理
之前已經介紹過了,OpenVPN的安全加密基於證書,因此需要在客戶端安裝配置證書。而證書的驗證默認是要和訪問的域名一致的。比如:你的域名是 abc.com,則證書必須是abc.com發佈並生成的。好在羣暉NAS支持證書的創建和發佈。
羣暉NAS DMS操作系統的證書管理,通過 安全中心 進行管理,如下:
- 如果之前沒有對自己的網站創建過證書,操作步驟爲點擊 新增 菜單:
- 創建根證書:
- 創建證書:注意域名要正確。
以上就把證書創建生成好了。
2、 配置VPN的證書
將VPN Server的證書配置爲剛纔創建的abc.com的證書。這樣,VPN就可以使用你創建的證書進行安全加密傳送了。
3、羣暉NAS上啓動OpenVPN
勾選 啓動OpenVPN,並點擊應用即可啓動OpenVPNServer。默認端口號爲udp 1194,使用者可以根據自己的情況選擇TCP和其他不同的端口號。
4、網絡配置
用戶需要參考PPTP的端口映射的配置過程,在路由器上做端口映射到本地的1194端口號。同時要啓動羣暉的DDNS,動態域名服務。這樣外網電腦就可以通過動態域名訪問到OpenVPNServer的服務了。千萬注意的是,動態域名需要和證書上的名稱一致,否則OpenVPNServer默認是要驗證的。如果因爲證書的問題無法使用VPN服務,需要查看證書的有效期,名稱等等是否正確。
5、羣暉OpenVPN配置的下載導出
如上圖所示的步驟,點擊到處配置文件到本地備用。這個壓縮包(openvpn.zip)裏面有三個文件,請保存到外網電腦,後面安裝OpenVPN的客戶端時要作爲配置文件來使用。
6、OpenVPN客戶端安裝
http://openvpn.ustc.edu.cn/
OpenVPN的安裝、下載、使用參考如上的鏈接,這裏不再詳細描述了。
7、客戶端配置
將步驟5導出的壓縮包(openvpn.zip)解壓縮到OpenVPN客戶端配置目錄下,一般爲(C:\Program Files\OpenVPN\config)下。注意,拷貝和修改配置文件的過程需要管理員權限。
OpenVPN的配置文件是以ovpn結尾的文件,如上圖所示,只要修改
remote YOUR_SERVER_IP 1194
爲訪問的OpenVPNServer地址和端口號即可,如果在外網,則修改爲DDNS動態域名和外網端口號即可(注意參考步驟4做外網內網的端口映射)。
8、連接OpenVPN
打開 OpenVPN客戶端軟件以後,會在狀態欄增加一個OpenVPN的小圖標(未連接爲黃色,連接成功爲綠色),這時候點擊圖標右鍵,選擇connect即可。
在客戶端連接的過程中,會有一個狀態欄信息提示框,當出現 Initialization Sequence Completed 的提示就表示連接成功,客戶端的狀態欄信息提示框會自動隱藏,圖標會變爲綠色。
9、驗證
在命令行下,執行IPCONFIG命令就會顯示如上的信息,其中紅色框內表示VPN虛擬網絡已經獲取了VPN局域網地址。這時,選擇局域網的一臺電腦訪問就可以驗證連接是否成功。
