OpenVPN¶
在这篇文章中
信息
OpenVPN 是一款用于创建安全虚拟专用网络 (VPN) 的开源软件。该解决方案使用 SSL/TLS 协议来确保安全,提供可靠的数据加密和身份验证。OpenVPN 可通过 TCP 或 UDP 运行,能够穿透防火墙和代理服务器,确保在各种网络环境中具有高度的灵活性。
部署功能¶
| ID | 软件名称 | 兼容操作系统 | 虚拟机 | 物理机 | vGPU | GPU | 最低CPU(核) | 最低内存(GB) | 最低硬盘(GB) | 自定义域名 | 是否启用 |
|---|---|---|---|---|---|---|---|---|---|---|---|
| 298 | OpenVPN | Ubuntu 22.04 | + | + | + | + | 1 | 1 | - | 否 | 订购 |
部署 OpenVPN 后的入门指南¶
在注册时指定的电子邮件地址完成订单付款后,服务器就绪的通知将发送至该电子邮件。通知中将包含 VPS IP 地址以及用于访问的登录凭据。我们的客户通过 控制面板和 API - Invapi 管理设备。
身份验证数据可以在服务器管理面板的 Configuration >> Tags 选项卡中找到,也可以在发送的电子邮件中找到:
- Login 和 Password 用于服务器管理:在服务器部署后通过电子邮件接收。它与服务器上的
root密码匹配。
连接到服务器并访问管理界面¶
信息
OpenVPN 由安装在服务器上的服务器组件和供最终用户使用的客户端组件组成。服务器应用程序提供 VPN 连接设置和管理,而客户端应用程序可用于各种平台,包括 Windows、macOS、Android、iOS 和 Linux。
-
通过 SSH 连接到服务器:
-
OpenVPN 的主要配置文件位于
/etc/openvpn/目录中: -
服务器上还有一个用于设置客户端配置的脚本:
-
您可以使用以下命令检查 OpenVPN 服务器的状态:
配置用户配置文件¶
-
在您的服务器上,
/root/目录中已经有一个现成的用户配置文件 (client_hk.ovpn):
您可以使用现有的 client_hk.ovpn 文件,也可以使用脚本创建一个新文件。
-
使用 SCP 将所需的配置文件复制到您的本地设备:
创建新用户¶
-
通过 SSH 连接到服务器:
-
运行 OpenVPN 配置脚本:
-
在出现的菜单中,您将看到以下选项:
-
选择选项 1 以添加新用户:
-
输入客户端名称,遵循格式要求:
Tell me a name for the client. The name must consist of alphanumeric characters. It may also include an underscore or a dash. Client name: UserName信息
用户名应仅包含字母、数字、下划线或连字符。
-
选择保护配置文件的方法:
Do you want to protect the configuration file with a password? (e.g., encrypt the private key with a password) 1. Add a passwordless client 2. Use a password for the client Select an option [1-2]:- 选项 1:创建无密码的文件(对用户来说更简单的选项);
- 选项 2:需要输入密码以保护密钥(增强安全性)。
-
如果您选择了密码保护(选项 2),系统将提示您输入两次密码:
``` You will be asked for the client password below * Using SSL: openssl OpenSSL 3.0.2 15 Mar 2022 * Using Easy-RSA configuration: /etc/openvpn/easy-rsa/vars
Enter PEM pass phrase: Verifying - Enter PEM pass phrase: ```
-
成功完成所有步骤后,您将看到关于创建新用户的消息:
-
.ovpn配置文件将以用户名创建在/root/目录中:
撤销用户访问权限¶
-
运行 OpenVPN 设置脚本:
-
选择选项 2 以撤销现有用户:
-
从列表中选择一个用户进行撤销:
-
确认撤销:
-
成功撤销后,您将看到一条消息:
将配置文件传输给用户¶
-
将
.ovpn文件从服务器复制到您的本地计算机: -
通过安全通信渠道将配置文件传输给用户。
管理用户证书¶
查看现有证书
要查看所有已颁发用户证书的列表,请运行:
示例输出:
total 20
drwx------ 2 root root 4096 Apr 4 09:33 .
drwx------ 8 root root 4096 Apr 4 09:33 ..
-rw------- 1 root root 2512 Apr 4 09:33 Testuser.crt
-rw------- 1 root root 2518 Apr 3 14:21 client_hk.crt
-rw------- 1 root root 2705 Apr 3 14:21 server_jGWMj7JIGkP69so7.crt
.crt 扩展名的文件代表一个用户的证书,文件名对应于用户名。 撤销用户证书
如果您需要撤销用户的访问权限(例如,当员工离职或密钥泄露时),请按照以下步骤操作:
-
导航到 Easy-RSA 目录:
-
运行证书撤销命令,指定确切的用户名:
重要:用户名必须与不带
.crt扩展名的证书文件名完全匹配,并且区分大小写。例如,要撤销用户
Testuser的证书: -
成功撤销证书后,生成更新的已撤销证书列表 (CRL):
您将看到关于创建更新 CRL 的消息:
在服务器上更新已撤销证书列表
为了强制执行已撤销的证书,请在服务器上更新 CRL:
-
将更新的 CRL 复制到 OpenVPN 目录:
-
重启 OpenVPN 服务以应用更改:
完成这些步骤后,拥有已撤销证书的用户将无法再连接到 VPN 服务器,即使他们拥有有效的 .ovpn 配置文件。
设置用户访问¶
安装 OpenVPN¶
- 前往官方网站 OpenVPN;
- 下载适用于 Windows 的最新版本 OpenVPN Community Edition;
- 运行安装程序并按照设置向导的说明操作;
- 在安装过程中,确保选中所有默认组件,包括 TAP 驱动程序。
在 Windows 上安装的详细信息 可在 官方指南 中找到。
获取配置文件¶
要从服务器直接复制 OpenVPN 配置文件,请使用 SCP 命令:
其中:
SERVER_IP- 您的 VPN 服务器的 IP 地址/root/client_hk.ovpn- 服务器上配置文件的路径C:\OpenVPN- 文件将被复制到的计算机上的本地目录
运行命令后,系统将提示您输入服务器的 root 账户密码。
成功复制后,您将看到关于进程完成和传输文件大小的信息:
导入和使用配置¶
-
将获得的
.ovpn文件复制到C:\Program Files\OpenVPN\config -
启动 OpenVPN GUI — 该程序在 Windows 启动时自动在系统托盘中启动(屏幕右下角的图标)
-
右键单击系统托盘中的 OpenVPN 图标
-
在上下文菜单中,选择 Import 以添加您的配置:
-
如果您的配置文件已导入或复制到 config 目录,您将在菜单中看到它。选择 Connect 和您的配置文件名称
-
如果需要,输入登录名和密码,例如在使用身份验证或配置文件受密码保护时
-
成功连接后,您将看到带有确认的通知:
系统托盘中的 OpenVPN 图标也会变为绿色。
要检查连接,请访问 whoer.net 或 whatismyip.com
如果您需要在其他操作系统上设置 OpenVPN,请使用官方开发人员说明:
- macOS: OpenVPN Connect macOS 安装指南
- iOS: iOS 安装指南
- Linux: 在 Linux 上连接到 OpenVPN Access Server
- Android: 在 Android 上使用 OpenVPN 指南
备注
通过 OpenVPN 连接时,所有设备流量都通过安全隧道传输。要断开连接,请在客户端应用程序中使用 Disconnect 选项。
备注
OpenVPN 基本设置的详细信息可在 开发人员文档 中找到。