VPN設置

與上一步一樣，大多數參數可以默認. 當。。。的時候 通用名稱 被查詢，輸入“服務器”. 另外兩個查詢需要積極的答复，”簽署證書? [y/n]和“ 1個證書請求中的1個已通過認證，提交? [y/n]”.

2倍如何

OpenVPN是一種功能齊全的SSL VPN，使用行業標準SSL/TLS協議實現OSI第2或3層安全網絡擴展，該協議支持基於證書，智能卡和/或用戶的靈活客戶端認證方法，並允許用戶或使用應用於VPN虛擬接口的防火牆規則的特定於組的訪問控制策略. OpenVPN不是Web應用程序代理，也不通過Web瀏覽器運行.

OpenVPN 2.0擴展OpenVPN的功能1.X通過提供可擴展的客戶端/服務器模式，允許多個客戶端通過單個TCP或UDP端口連接到單個OpenVPN服務器進程. OpenVPN 2.3包括大量改進，包括完整的IPv6支持和PolarSSL支持.

本文檔提供了用於配置OpenVPN 2的分步說明2.X客戶端/服務器VPN，包括：

• OpenVPN Quickstart.
• 安裝OpenVPN.
• 確定是使用路由還是橋接VPN.
• 編號私人子網.
• 設置自己的證書授權（CA），並為OpenVPN服務器和多個客戶端生成證書和鍵.
• 為服務器和客戶端創建配置文件.
• 啟動VPN並測試初始連接.
• 配置OpenVPN以在系統啟動上自動運行.
• 控制運行的OpenVPN過程.
• 擴展VPN的範圍，以在客戶端或服務器子網上包含其他機器.
• 將DHCP選項推向客戶.
• 配置特定於客戶端的規則和訪問策略.
• 使用替代身份驗證方法.
• 如何使用客戶端智能卡添加雙因素身份驗證到OpenVPN配置.
• 通過VPN路由所有客戶端流量（包括網絡交通）.
• 在動態IP地址上運行OpenVPN服務器.
• 通過HTTP代理連接到OpenVPN服務器.
• 通過OpenVPN連接到Samba共享.
• 實施負載平衡/故障轉移配置.
• 硬化OpenVPN安全性.
• 撤銷證書.
• 其他安全說明.

不耐煩的人可能希望直接跳到示例配置文件：

目標受眾

這種方法假設讀者先前對基本網絡概念（例如IP地址，DNS名稱，NetMasks，子網，IP路由，路由器，網絡接口，網絡接口，LAN，LANS，網關和防火牆規則）具有先前的理解.

附加文檔

OpenVPN書籍

請看一下OpenVPN書頁.

OpenVPN 1.x howto

原始OpenVPN 1.X Howto仍然可用，並且與點對點或靜態鍵配置保持相關.

OpenVPN文章

有關其他文檔，請參見文章頁面和OpenVPN Wiki.

OpenVPN Quickstart

雖然此方法將指導您使用X509 PKI（使用證書和私鑰的公共密鑰基礎架構和私鑰設置可伸縮客戶端/服務器VPN），但如果您僅在尋找使用可以處理可以處理的服務器的簡單VPN設置的服務器，則可能會過高一個客戶.

如果您想以最小的配置快速運行VPN，則可以查看靜態鑰匙迷你 – howto.

靜態關鍵優勢

• 簡單設置
• 無X509 PKI（公共密鑰基礎架構）維護

靜態關鍵缺點

• 有限的可伸縮性 – 一個客戶端，一台服務器
• 缺乏 完美的前鋒保密 — 關鍵妥協結果總披露以前的會議
• 秘密密鑰必須以明文形式存在於每個VPN同行
• 必須使用預先存在的安全渠道交換秘密密鑰

安裝OpenVPN

可以在此處下載OpenVPN源代碼和Windows安裝程序. 最近的發行版（2.2及以後的）也可以作為Debian和RPM軟件包；有關詳細信息，請參見OpenVPN Wiki.

為了安全性，下載後檢查文件發布簽名是一個好主意.

OpenVPN可執行文件應在服務器和客戶端機器上安裝，因為單個可執行文件都提供了客戶端和服務器功能.

Linux Notes（使用RPM軟件包）

如果您使用的是支持RPM軟件包（SUSE，Fedora，Redhat等）的Linux發行版.），最好使用此機制安裝. 最簡單的方法是為您的分發找到現有的二進制RPM文件. 您還可以構建自己的二進制RPM文件：

rpmbuild -tb OpenVPN- [版本].柏油.GZ

一旦有了 .rpm文件，您可以使用通常的

RPM -IVH OpenVPN- [詳細信息].RPM

或升級現有安裝

rpm -uvh OpenVPN- [詳細信息].RPM

從二進制RPM軟件包中安裝OpenVPN具有以下依賴關係：

此外，如果您要構建自己的二進制RPM軟件包，則還有其他幾個依賴項：

• Openssl-Devel
• lzo-devel
• pam-devel

請參閱OpenVPN.規格文件，以供構建紅色帽子Linux 9的RPM軟件包或具有降低依賴關係的建築物的其他註釋.

Linux註釋（無RPM）

如果您使用的是Debian，Gentoo或基於非RPM的Linux發行版，請使用特定於發行的包裝機制，例如 apt-get 在Debian或 出現 在Gentoo上.

也可以使用Universal在Linux上安裝OpenVPN ./配置 方法. 首先擴展 .柏油.GZ文件：

tar xfz OpenVPN- [版本].柏油.GZ

然後CD到頂級目錄並輸入：

./配置製作Make Install

Windows筆記

可以從OpenVPN下載頁面上的自動安裝EXE文件中安裝Windows的OpenVPN. 請記住，OpenVPN僅在Windows XP或更高版本上運行. 另請注意，必須由具有管理特權的用戶安裝和運行OpenVPN（此限制是由Windows施加的，而不是OpenVPN）. 限制可以通過在後台運行OpenVPN作為服務來避免使用，在這種情況下，即使是非Admin用戶也可以訪問VPN，一旦安裝了VPN. 有關OpenVPN + Windows特權問題的更多討論.

官方的OpenVPN Windows安裝程序包括OpenVPN-GUI，允許從系統托盤applet管理OpenVPN連接. 其他GUI應用程序也可用.

運行Windows安裝程序後，OpenVPN可以使用，並將其與具有的文件相關聯 .OVPN 擴大. 要運行OpenVPN，您可以：

• 右鍵單擊OpenVPN配置文件（.OVPN）並選擇 在此配置文件上啟動OpenVPN. 運行後，您可以使用 F4退出的關鍵.
• 從命令提示符窗口中運行openVPN，並帶有命令，例如：

OpenVPN myConfig.OVPN

Mac OS X注意

Angelo Laub和Dirk Theisen為OS X開發了一個OpenVPN GUI.

其他OS

安裝文件中有一些筆記可用於特定OS. 通常，

./配置製作Make Install

可以使用方法，也可以搜索特定於OS/Distribution的OpenVPN端口或軟件包.

確定是使用路由還是橋接VPN

有關路由vs的概述，請參見常見問題. 以太網橋接. 另請參見OpenVPN以太網橋接頁面，以獲取有關橋接的更多註釋和詳細信息.

總體而言，對於大多數人來說，路由可能是一個更好的選擇，因為它比橋接更有效，更易於設置（就OpenVPN配置而言）. 路由還提供了更大的能力，可以選擇性地控制訪問權限。.

我建議使用路由，除非您需要需要橋接的特定功能，例如：

• VPN需要能夠處理非IP協議，例如IPX,
• 您正在通過依賴網絡廣播（例如LAN遊戲）或
• 您想允許在不設置samba或Wins服務器的情況下瀏覽Windows文件共享.

編號私人子網

設置VPN通常需要將不同位置的私人子網鏈接在一起.

Internet分配的數字管理局（IANA）保留了專用互聯網IP地址空間的以下三個塊（RFC 1918中編碼）：

10.0.0.0	10.255.255.255	（10/8前綴）
172.16.0.0	172.31.255.255	（172.16/12前綴）
192.168.0.0	192.168.255.255	（192.168/16前綴）

雖然通常應在VPN配置中使用這些NetBlocks的地址. 需要避免的衝突類型是：

• 使用相同的LAN子網編號從VPN上的不同站點發生衝突，或
• 遠程訪問連接來自使用與VPN子網衝突的私人子網的網站.

例如，假設您使用流行的192.168.0.0/24子網作為您的私人LAN子網. 現在，您正在嘗試從使用同一子網進行WiFi LAN的Internet Cafe連接到VPN. 您將遇到路由衝突，因為您的機器不知道是否192.168.0.1指本地WiFi網關或VPN上的同一地址.

作為另一個例子，假設您想通過VPN鏈接多個站點，但是每個站點都使用192.168.0.0/24作為其LAN子網. 如果不添加複雜的NAT翻譯層，這將無法工作，因為VPN不會知道如何在多個站點之間路由數據包，如果這些站點不使用唯一標識它們的子網.

最好的解決方案是避免使用10.0.0.0/24或192.168.0.0/24作為私人LAN網絡地址. 取而代之的是，使用在WiFi Cafe，Airport或酒店中使用的可能性較低的東西，您可能希望從遠程連接. 最好的候選人是大量10的子網.0.0.0/8 NetBlock（例如10.66.77.0/24）.

並避免跨站點IP編號衝突，請始終為您的LAN子網使用唯一的編號.

設置自己的證書授權（CA），並為OpenVPN服務器和多個客戶端生成證書和鍵

概述

構建OpenVPN 2的第一步.X配置是建立PKI（公鑰基礎架構）. PKI由：

• 服務器和每個客戶端的單獨證書（也稱為公共密鑰）和私鑰，以及
• 主證書頒發機構（CA）證書和鍵，用於簽署服務器和客戶端證書.

OpenVPN支持基於證書的雙向身份驗證，這意味著客戶端必須對服務器證書進行身份驗證，並且服務器必須在建立共同信任之前對客戶端證書進行身份驗證.

服務器和客戶端都將通過首先驗證介紹的證書是由主證書管理局（CA）簽署的，然後通過在現實認證的證書標頭中測試信息（例如證書通用名稱或證書類型）（客戶端）來驗證對方的身份驗證。或服務器）.

從VPN角度來看，此安全模型具有許多理想的功能：

• 服務器只需要自己的證書/鍵 – 它不需要知道可能連接到它的每個客戶的單個證書.
• 服務器將僅接受由主CA證書籤署的證書的客戶（我們將在下面生成）. 而且，由於服務器可以執行此簽名驗證而無需訪問CA私鑰本身，因此CA鍵（整個PKI中最敏感的密鑰）可能駐留在完全不同的機器上，甚至沒有網絡連接的機器.
• 如果私鑰被妥協，則可以通過將其證書添加到CRL（證書撤銷列表）來禁用。. CRL允許妥協的證書被選擇性地拒絕，而無需重建整個PKI.
• 該服務器可以基於嵌入式證書字段執行客戶特定的訪問權限，例如通用名稱.

請注意，服務器和客戶端時鐘需要大致同步或證書可能無法正常工作.

生成主證書頒發機構（CA）證書和密鑰

在本節中，我們將生成一個主CA證書/密鑰，服務器證書/密鑰以及3個獨立客戶端的證書/鍵.

對於PKI管理，我們將使用 easy-rsa 2, 一組與OpenVPN捆綁在一起的腳本2.2.X和更早. 如果您使用的是OpenVPN 2.3.X，您需要從這里分別下載Easy-rsa 2.

對於PKI管理，我們將使用Easy-RSA 2，這是一組與OpenVPN捆綁在一起的腳本2.2.X和更早. 如果您使用的是OpenVPN 2.3.X，您可能需要從Easy-RSA老項目頁面分開下載Easy-RSA 2. 在 *NIX平台上，您應該考慮使用Easy-rsa 3；有關詳細信息，請參閱其自己的文檔.

如果您使用的是Linux，BSD或類似Unix的操作系統，請將外殼和CD打開 easy-rsa 子目錄. 如果您從rpm或deb文件安裝了OpenVPN，則通常可以在 /usr/share/doc/packages/openVPN 或者 /usr/share/doc/openVPN（最好將此目錄複製到另一個位置 /etc/OpenVPN, 在任何編輯之前. 如果您從一個安裝 .柏油.GZ文件，Easy-RSA目錄將位於擴展的源樹的頂級目錄中.

如果您使用的是Windows，請打開命令提示符窗口和CD到 \ Program Files \ OpenVPN \ Easy-rsa. 運行以下批處理文件以將配置文件複製到位（這將覆蓋任何先前存在的vars.蝙蝠和openssl.CNF文件）：

init-config

現在編輯 var 文件（調用 var.蝙蝠 在Windows上）並設置key_country，key_province，key_city，key_org和key_email參數. 不要將這些參數中的任何一個空白.

接下來，初始化PKI. 在Linux/BSD/UNIX上：

. ./var ./清潔全部 ./build-ca 

vars清潔所有構建-Ca 

最終命令（build-ca）將通過調用交互式來構建證書頒發機構（CA）證書和鑰匙 Openssl命令：

AI：easy-rsa＃ ./build-ca生成1024位RSA私鑰 . ++++++ . ++++++ 編寫新的私鑰.鍵'-----您將被要求輸入將包含在您的證書請求中的信息. 您將要輸入的是所謂的傑出名稱或DN. 有很多字段，但是您可以為某些字段留下一些空白，如果輸入，則會有一個默認值.''，該領域將被空白. ----- 國家名稱（2個字母代碼）[kg]：州或省名稱（全名）[NA]：局部名稱（例如，城市）[Bishkek]：組織名稱（例如，公司）[OpenVPN檢驗]：組織單位名稱（例如，部分）[]：通用名稱（例如，您的名稱或服務器的主機名）[]：OpenVPN-CA電子郵件地址[[email protected]]：

請注意，在上述序列中，大多數查詢參數默認為在 var或者 var.蝙蝠 文件. 必須明確輸入的唯一參數是 通用名稱. 在上面的示例中，我使用了“ OpenVPN-CA”.

生成服務器的證書和密鑰

接下來，我們將為服務器生成證書和私鑰. 在Linux/BSD/UNIX上：

./build-key-server服務器

build-key-server服務器

與上一步一樣，大多數參數可以默認. 當。。。的時候 通用名稱 被查詢，輸入“服務器”. 另外兩個查詢需要積極的答复，”簽署證書? [y/n]和“ 1個證書請求中的1個已通過認證，提交? [y/n]”.

為3個客戶生成證書和鑰匙

生成客戶端證書與上一步非常相似. 在Linux/BSD/UNIX上：

./build-key客戶端1 ./build-key客戶端2 ./build-key客戶端3

build-keion Client1 build-keion Client2 build-keion Client3

如果您想密碼保護客戶端鍵，請替換 建立鍵 腳本.

請記住，對於每個客戶，請確保鍵入適當的 通用名稱 提示時，我.e. “ client1”，“ client2”或“ client3”. 始終為每個客戶使用唯一的通用名稱.

生成Diffie Hellman參數

必須為OpenVPN服務器生成Diffie Hellman參數. 在Linux/BSD/UNIX上：

./build-dh

build-dh

AI：easy-rsa＃ ./build-dh生成DH參數，1024位長安全碼，發電機2這將需要很長時間 . +. . +. +. +. .

關鍵文件

現在，我們將在 鑰匙 子目錄. 這是相關文件的解釋：

文件名	需要	目的	秘密
CA.CRT	服務器 +所有客戶端	根CA證書	不
CA.鑰匙	僅密鑰簽名機	根CA鍵	是的
DH.佩姆	僅服務器	Diffie Hellman參數	不
伺服器.CRT	僅服務器	服務器證書	不
伺服器.鑰匙	僅服務器	服務器密鑰	是的
客戶端1.CRT	僅客戶1	客戶端證書	不
客戶端1.鑰匙	僅客戶1	客戶端1密鑰	是的
客戶端2.CRT	僅客戶端2	客戶端2證書	不
客戶端2.鑰匙	僅客戶端2	客戶端2密鑰	是的
客戶端3.CRT	僅客戶3	客戶端證書	不
客戶端3.鑰匙	僅客戶3	客戶端3密鑰	是的

關鍵生成過程的最後一步是將所有文件複製到需要它們的機器，小心地通過安全頻道複製秘密文件.

現在等等，您可能會說. 如果沒有預先存在的安全頻道，是否可以設置PKI?

答案表面上是的. 在上面的示例中，為了簡潔起見，我們在同一位置生成了所有私鑰. 付出更多的努力，我們本可以做不同的事情. 例如，我們本可以在當地生成自己的專用密鑰，然後將客戶證書和鍵生成服務器上的鍵，然後將證書籤名請求（CSR）提交到密鑰簽名計算機上. 反過來，密鑰簽名機可以處理CSR並將簽名證書返回給客戶. 這本來可以做到的，而無需秘密 .鑰匙 文件離開生成的機器的硬盤驅動器.

為服務器和客戶端創建配置文件

獲取示例配置文件

最好將OpenVPN示例配置文件用作您自己的配置的起點. 這些文件也可以在

• 這 樣品config-files OpenVPN源分佈的目錄
• 這 樣品config-files 目錄IN /usr/share/doc/packages/openVPN 或者 /usr/share/doc/openVPN 如果您是從RPM或DEB軟件包安裝的
• 開始菜單 – >所有程序 – > OpenVPN-> OpenVPN示例配置文件 在窗戶上

請注意，在Linux，BSD或類似Unix的OS上，示例配置文件被命名 伺服器.conf 和 客戶.conf. 在窗戶上，它們被命名 伺服器.OVPN 和 客戶.OVPN.

編輯服務器配置文件

示例服務器配置文件是OpenVPN服務器配置的理想起點. 它將使用虛擬創建VPN tun 網絡接口（用於路由），將在 UDP端口1194 （OpenVPN的官方端口號），並將虛擬地址分發給連接客戶 10.8.0.0/24 子網.

在使用示例配置文件之前，應首先編輯 CA, 證書, 鑰匙, 和 DH 參數指向您在上面的PKI部分中生成的文件.

此時，服務器配置文件可用，但是您仍然可能需要進一步自定義：

• 如果您正在使用以太網橋接，則必須使用 服務器橋 和 開發點擊 代替 伺服器 和 開發.
• 如果您希望OpenVPN服務器在TCP端口而不是UDP端口上收聽，請使用 原始TCP代替 原始UDP （如果您希望OpenVPN在UDP和TCP端口上都收聽，則必須運行兩個單獨的OpenVPN實例）.
• 如果您想使用虛擬IP地址範圍 10.8.0.0/24, 您應該修改 伺服器指示. 請記住，此虛擬IP地址範圍應該是一個私人范圍，目前在您的網絡上未使用.
• 刪除 客戶到客戶 指令，如果您希望將客戶連接到VPN上可以互相聯繫. 默認情況下，客戶只能到達服務器.
• 如果您使用的是Linux，BSD或類似Unix 用戶沒有人 和 小組沒人 指令.

如果要在同一台計算機上運行多個OpenVPN實例，則每個使用其他配置文件，如果您可以：

• 使用不同的 港口 每個實例的號碼（UDP和TCP協議都使用不同的端口空間，因此您可以在UDP-1194上運行一個守護程序，而在TCP-1194上可以運行一個守護程序）.
• 如果您使用的是Windows，則每個OpenVPN配置Taneeds都有自己的Tap-Windows適配器. 您可以通過去添加其他適配器 啟動菜單 – >所有程序 – > Tap -Windows->添加新的Tap -Windows虛擬以太網適配器.
• 如果您從同一目錄中運行多個OpenVPN實例，請確保編輯指令創建輸出文件，以使多個實例不會覆蓋彼此的輸出文件. 這些指令包括 紀錄, 日誌應用, 地位, 和 ifconfig-pool-persist.

編輯客戶端配置文件

示例客戶端配置文件（客戶.conf 在Linux/BSD/UNIX或 客戶.OVPN 在Windows上）鏡像示例服務器配置文件中設置的默認指令.

• 像服務器配置文件一樣，首先編輯 CA, 證書, 和 鑰匙 參數指向您在上面的PKI部分中生成的文件. 請注意，每個客戶都應該有自己的 證書/鑰匙 一對. 只有 CA文件在OpenVPN服務器和所有客戶端之間是通用的.
• 接下來，編輯 偏僻的指示指向OpenVPN服務器的主機名/IP地址和端口號（如果您的OpenVPN服務器將在防火牆/NAT-GATEWAY後面的單NIC機器上運行，請使用網關的公共IP地址，並且端口您已經配置了網關以轉發到OpenVPN服務器的號碼）.
• 最後，確保客戶端配置文件與服務器配置中使用的指令一致. 要檢查的主要事情是 開發 （TUN或TAP）和 原始 （UDP或TCP）指令是一致的. 還要確保 comp-lzo 和 分段, 如果使用，則在客戶端和服務器配置文件中存在.

啟動VPN並測試初始連接

啟動服務器

首先，確保可以從Internet訪問OpenVPN服務器. 這意味著：

• 在防火牆（或您配置的任何TCP/UDP端口）上打開UDP端口1194，或
• 將端口向前規則設置為將UDP端口1194從防火牆/網關轉發到運行OpenVPN服務器的機器.

為了簡化故障排除，最好是從命令行啟動OpenVPN服務器（或右鍵單擊 .OVPN 在Windows上的文件），而不是以守護程序或服務啟動：

OpenVPN [服務器配置文件] 

普通的服務器啟動應該看起來像這樣（在平台上輸出會有所不同）：

太陽2月6日20:46:38 2005 OpenVPN 2.0_RC12 I686-SUSE-LINUX [SSL] [LZO] [EPOLL]於2005年2月5日SUN 2月6日20:46:38 2005年Diffie-Hellman Diffie-Hellman以1024 BIT KEY SUN 2 FEB 6 20: 46:38 2005 2005 TLS-ATS-AUTH MTU MTU PARMS [L：1542 D：138 EF：38 EB：0 EB：0 ET：0 EL：0] SUN FEB 6 20:46:38 2005 TUN/TAIM DEVICE TUN1 TUN1 TUN1 OPEN SUN 1 FEB 6 20:46:38 2005/SBIN/SBIN/IFCONFIG TUN1 10.8.0.1點將10.8.0.2 MTU 1500太陽2月6日20:46:38 2005 /sbin /route add -net 10.8.0.0 NetMask 255.255.255.0 GW 10.8.0.2太陽2月6日20:46:38 2005年數據頻道mTU PARMS [L：1542 D：1450 EF：42 EB：42 EB：23 ET：0 EL：0 EL：0 AF：3/1] SUN FEB 6 20:46:38 2005 UDPV4 unlink link本地（綁定）：[undef]：1194太陽2月6日20:46:38 2005 2005 UDPV4鏈接遙控器：[undef]太陽2月6日20:46: 38 2005 2005 Multi：multi_init call，r = 256 v = 256 v = 256 v = 256 SUN 2月6日20 20 20 ：46：38 2005 ifconfig池：base = 10.8.0.4尺寸= 62 Sun 2月6日20:46:38 2005 IFConfig泳池列表太陽2月6日20:46:38 2005初始化序列完成了

啟動客戶

與服務器配置一樣，最好是從命令行啟動OpenVPN服務器（或在Windows上，右鍵單擊 客戶.OVPN 文件），而不是以守護程序或服務啟動：

OpenVPN [客戶端配置文件] 

Windows上的普通客戶端啟動看起來與上面的服務器輸出相似，應以 初始化序列完成 訊息.

現在，嘗試從客戶端跨VPN ping. 如果您正在使用路由（i.e. 開發 在服務器配置文件中），嘗試：

ping 10.8.0.1

如果您正在使用橋接（我.e. 開發點擊 在服務器配置文件中），嘗試在服務器的以太網子網上ping計算機的IP地址.

如果Ping成功，恭喜! 您現在有一個功能正常的VPN.

故障排除

如果ping失敗或OpenVPN客戶初始化無法完成，則是常見症狀及其解決方案的清單：

• 您會收到錯誤消息： TLS錯誤：TLS密鑰協商未能在60秒內發生（檢查您的網絡連接）. 此錯誤表明客戶端無法與服務器建立網絡連接.解決方案：
  • 確保客戶端使用正確的主機名/IP地址和端口號，這將允許其到達OpenVPN服務器.
  • 如果OpenVPN服務器計算機是受保護LAN內部的單NIC盒，請確保您在服務器網關防火牆上使用正確的端口向前規則. 例如，假設您的OpenVPN框在192.168.4.4在防火牆內部，在UDP端口1194上聆聽客戶連接. Nat Gateway為192.168.4.X子網應該具有端口向前規則，說 從我的公共IP地址到192的UDP端口1194.168.4.4.
  • 打開服務器的防火牆，以允許進入UDP端口1194（或您在服務器配置文件中配置的任何TCP/UDP端口）的連接）.

  TLS：X的初始數據包.X.X.x：x，sid = xxxxxxx xxxxxxxx

  有關其他故障排除信息，請參見FAQ.

  配置OpenVPN以在系統啟動上自動運行

  該領域缺乏標準意味著大多數OS在啟動上為AutoStart配置守護程序/服務的方式不同. 默認配置此功能的最佳方法是將OpenVPN安裝為軟件包，例如Linux上的RPM或使用Windows installer.

  Linux

  如果您通過Linux上的RPM或DEB軟件包安裝OpenVPN，則安裝程序將設置一個 Initscript. 執行後，Initscript將掃描 .conf 配置文件中 /etc/OpenVPN, 如果找到，將為每個文件啟動一個單獨的OpenVPN守護程序.

  視窗

  Windows安裝程序將設置一個服務包裝器，但默認情況下將其關閉. 要激活它，請轉到控制面板 /管理工具 /服務，選擇OpenVPN服務，右鍵單擊屬性，然後將啟動類型設置為自動. 這將在下一個重新啟動時為自動啟動配置服務.

  啟動時，OpenVPN服務包裝器將掃描 \ Program Files \ OpenVPN \ Config 文件夾 .OVPN 配置文件，在每個文件上啟動單獨的OpenVPN進程.

  控制運行的OpenVPN過程

  在Linux/BSD/UNIX上運行

  OpenVPN接受多個信號：

  • Sigusr1 — 有條件重新啟動，設計用於無根特權的重新啟動
  • 嘆氣 — 硬重新啟動
  • Sigusr2 — 輸出連接統計信息到日誌文件或系統。
  • sigterm, SIGINT — 出口

  使用 寫入 將OpenVPN守護程序的PID寫入文件的指令，以便您知道該發送信號的位置（如果您是用一個啟動OpenVPN的 Initscript, 腳本可能已經通過 –寫入 指令 OpenVPN 命令行）.

  在Windows上以GUI的身份運行

  在Windows命令提示符窗口中運行

  在Windows上，您可以通過右鍵單擊OpenVPN配置文件來啟動OpenVPN（.OVPN 文件）和選擇“在此配置文件上啟動OpenVPN”.

  一旦以這種方式運行，就有幾個鍵盤命令：

  • F1 — 有條件重新啟動（不關閉/重新打開龍頭適配器）
  • F2 — 顯示連接統計
  • F3 — 硬重新啟動
  • F4 — 出口

  作為Windows服務運行

  當OpenVPN作為Windows上的服務啟動時，控制它的唯一方法是：

  • 通過服務控制管理器（控制面板 /管理工具 /服務），該管理器提供開始 /停止控制.
  • 通過管理接口（見下文）.

  修改實時服務器配置

  雖然大多數配置更改都要求您重新啟動服務器，但有兩個指令尤其是指可以動態更新的文件，這些文件將立即對服務器產生效果，而無需重新啟動服務器進程。.

  客戶config-dir — 該指令設置客戶端配置目錄，OpenVPN服務器將在每個傳入連接上掃描該目錄，搜索特定於客戶端的配置文件（有關更多信息，請參見“手冊”頁面）. 可以在此目錄中更新此目錄中的文件，而無需重新啟動服務器. 請注意，此目錄中的更改僅針對新連接生效，而不是現有連接. 如果您希望特定於客戶端的配置文件更改以立即對當前連接的客戶端（或已斷開連接的客戶端）產生影響界面（如下所述）. 這將導致客戶重新連接並使用新的 客戶config-dir 文件.

  CRL-Verify — 這個指令命名 證書撤銷列表 文件，以下在“撤銷證書”部分中描述. CRL文件可以隨時修改，更改將對新連接或重新協商其SSL/TLS頻道的現有連接生效（默認情況下每小時發生一次）. 如果您想殺死剛剛將證書添加到CRL的當前連接的客戶端，請使用管理接口（如下所述）.

  狀態文件

  默認服務器.conf文件有一個行

  狀態OpenVPN狀態.紀錄

  它將輸出當前客戶端連接到文件的列表 OpenVPN狀態.紀錄 每分鐘一次.

  使用管理接口

  OpenVPN管理接口允許對運行的OpenVPN流程進行大量控制. 您可以直接使用管理接口，通過遠程觸覺到管理接口端口，也可以通過使用OpenVPN GUI間接使用，該openVPN GUI本身可以連接到管理接口.

  要在OpenVPN服務器或客戶端上啟用管理接口，請將其添加到配置文件中：

  管理Localhost 7505

  這告訴OpenVPN在TCP端口7505上偵聽管理接口客戶端（端口7505是任意選擇 – 您可以使用任何免費端口）.

  OpenVPN運行後，您可以使用一個 telnet 客戶. 例如：

  AI：〜＃telnet localhost 7505嘗試127.0.0.1. 連接到Localhost. 逃生角色是'^]'. >信息：OpenVPN管理接口版本1-鍵入'help'以獲取更多信息幫助管理接口2.0_RC14 I686-SUSE-LINUX [SSL] [LZO] [EPOLL]構建於2005年2月15日構建的命令：Echo [on | Off] [n | all]：就像log一樣，但僅在Echo Buffer中顯示消息. 退出|退出：關閉管理會話. 幫助：打印此消息. 保持[打開| OFF |發行]：將/顯示標誌設置為ON/OFF狀態，或釋放Current Hold並開始隧道. 殺死CN：殺死具有通用名稱CN的客戶端實例. 殺死IP：端口：殺死從IP連接的客戶端實例：端口. log [on | off] [n | all]：打開/關閉實時日誌顯示 +在整個歷史記錄中顯示最後的n行或“全部”。. 靜音[n]：將log Mute級別設置為n，或顯示n如果不存在. 網絡：（僅Windows）顯示網絡信息和路由表. 密碼類型P：輸入密碼P，以查詢OpenVPN密碼. 信號s：將信號s發送到守護程序，s = s = sighup | sigterm | sigusr1 | sigusr2. 狀態[| OFF] [n | all]：喜歡日誌，但顯示狀態歷史記錄. 狀態[n]：使用格式#N顯示當前的守護程序狀態信息. 測試N：生產N輸出線進行測試/調試. 用戶名u：輸入username u以獲取查詢的OpenVPN用戶名. 動詞[n]：將log verlosity級別設置為n，或顯示n是否不存在. 版本：顯示當前版本號碼. 外國主機關閉的結束出口連接. AI：〜＃

  擴展VPN的範圍，以在客戶端或服務器子網上包含其他機器.

  使用路由VPN（DEV TUN）時，包括服務器端上的多台計算機

  一旦VPN以客戶端和服務器之間的點對點容量運行，可能希望擴展VPN的範圍，以便客戶端可以在服務器網絡上訪問多個計算機，而不僅僅是服務器計算機本身.

  出於此示例的目的，我們將假設服務器端LAN使用 10.66.0.0/24和VPN IP地址池使用 10.8.0.0/24 如在 伺服器 OpenVPN服務器配置文件中的指令.

  首先，你必須 廣告 這 10.66.0.0/24 可以通過VPN訪問VPN客戶的子網. 可以通過以下服務器端配置文件指令輕鬆完成：

  推道10.66.0.0 255.255.255.0”

  接下來，您必須在服務器端LAN網關上設置路由以路由VPN客戶端子網（10.8.0.0/24）到OpenVPN服務器（這僅在OpenVPN服務器和LAN網關是不同的機器時才需要.

  確保您已經啟用了IP並在OpenVPN服務器機器上啟用了TUN/點擊轉發.

  使用橋接VPN時，包括服務器端上的多台機器（DEV TAP）

  使用以太網橋接的好處之一是，您無需任何其他配置即可免費獲得此功能.

  使用路由VPN時，包括客戶端上的多台機器（Dev Tun）

  在典型的道路戰士或遠程訪問方案中，客戶端機器以單台計算機連接到VPN. 但是，假設客戶端計算機是本地LAN的網關（例如家庭辦公室），您希望客戶LAN上的每台機器能夠通過VPN路線.

  對於此示例，我們將假設客戶端LAN正在使用 192.168.4.0/24 子網，並且VPN客戶端正在使用具有通用名稱的證書 客戶端2. 我們的目標是設置VPN，以便客戶LAN上的任何機器都可以通過VPN與服務器LAN上的任何機器通信.

  在設置之前，必須遵循一些基本先決條件：

  • 客戶LAN子網（192.168.4.0/24在我們的示例中）不得將服務器或使用同一子網的任何其他客戶網站導出到VPN. 通過路由連接到VPN的每個子網都必須是唯一的.
  • 客戶必須在其證書中具有唯一的通用名稱（在我們的示例中“客戶端2”），然後 重複CN 不得在OpenVPN服務器配置文件中使用標誌.

  首先，確保在客戶端計算機上啟用IP和TUN/TAP轉發.

  接下來，我們將處理服務器端上必要的配置更改. 如果服務器配置文件當前未引用客戶端配置目錄，請立即添加一個：

  客戶config-dir CCD

  在上述指令中, CCD 應該是已在OpenVPN服務器運行的默認目錄中預先創建的目錄的名稱. 在Linux上，這往往是 /etc/OpenVPN 在窗戶上通常是 \ Program Files \ OpenVPN \ Config. 當新客戶端連接到OpenVPN服務器時，守護程序將檢查此目錄是否與連接客戶端的通用名稱匹配的文件. 如果找到了匹配文件，則將其讀取並處理以獲取用於應用於命名客戶端的其他配置文件指令.

  下一步是創建一個稱為的文件 客戶端2 在裡面 CCD 目錄. 該文件應包含該行：

  Iroute 192.168.4.0 255.255.255.0

  這將告訴OpenVPN服務器192.168.4.0/24子網應路由到 客戶端2.

  接下來，將以下行添加到主服務器配置文件（不是 CCD/Client2 文件）：

  路線192.168.4.0 255.255.255.0

  為什麼要多餘 路線 和 iroute 陳述，您可能會問? 原因是 路線 控制從內核到OpenVPN服務器的路由（通過TUN接口） iroute 控制從OpenVPN服務器到遠程客戶端的路由. 兩者都是必要的.

  接下來，問問自己是否要允許Client2的子網之間的網絡流量（192.168.4.0/24）和OpenVPN服務器的其他客戶端. 如果是這樣，請將以下內容添加到服務器配置文件.

  客戶到客戶推送“路線192.168.4.0 255.255.255.0”

  這將導致OpenVPN服務器 廣告 客戶端2的子網到其他連接客戶端.

  最後一步，以及經常被遺忘的一步，是在指導192的服務器的LAN網關上添加路線.168.4.0/24到OpenVPN服務器框（如果OpenVPN服務器框，則不需要此 是 服務器LAN的網關）. 假設您缺少此步驟，並且您嘗試在192年的服務器LAN上ping ping ping ping ping機器（而不是openvpn服務器本身）.168.4.8? 即將發出的ping可能會到達機器，但隨後它不知道如何路由ping回复，因為它不知道如何達到192.168.4.0/24. 要使用的經驗法則是，當通過VPN路由整個LAN（VPN服務器與LAN網關不同時）時，請確保LAN的網關路由所有VPN子網路由到VPN服務器機器.

  同樣，如果運行OpenVPN的客戶端計算機也不是客戶端LAN的網關，則客戶端LAN的網關必須具有指導所有子網的路線，該子網應通過VPN到達OpenVPN客戶端機器.

  使用橋接VPN時，包括客戶端上的多台機器（Dev Tap）

  這需要一個更複雜的設置（在實踐中可能並不復雜，但要詳細解釋更為複雜）：

  • 您必須在客戶端上使用LAN連接的NIC橋接客戶端接口.
  • 您必須在客戶端上手動設置TAP接口的IP/NetMask.
  • 您必須配置客戶端機器以使用橋接子網內部的IP/NetMask，可能是通過在VPN的OpenVPN服務器端查詢DHCP服務器.

  將DHCP選項推向客戶

  OpenVPN服務器可以將DHCP選項（例如DNS和WINS WINS地址）推向客戶端（一些需要注意的警告）. Windows客戶端可以在本地接受推送的DHCP選項，而非Windows客戶端可以使用客戶端接受它們 向上 解析的腳本 fourdous_option_n環境變量列表. 請參閱“人”頁面以獲取非窗口 fourdous_option_n 文檔和腳本示例.

  例如，假設您希望連接客戶端在10時使用內部DNS服務器.66.0.4或10.66.0.5和10贏的服務器10.66.0.8. 將其添加到OpenVPN服務器配置中：

  推動“ DHCP-Option DNS 10.66.0.4“ push” DHCP-Option DNS 10.66.0.5“ push” DHCP-Option獲勝10.66.0.8”

  要在Windows上測試此功能，請在計算機連接到OpenVPN服務器後從命令提示符窗口運行以下內容：

  ipconfig /all

  Tap-Windows適配器的條目應顯示服務器推動的DHCP選項.

  配置特定於客戶端的規則和訪問策略

  假設我們正在設置公司VPN，我們想為3種不同類別的用戶建立單獨的訪問策略：

  • 系統管理員 — 完全訪問網絡上的所有機器
  • 僱員 — 僅訪問桑巴/電子郵件服務器
  • 承包商 — 僅訪問特殊服務器

  我們將採用的基本方法是（a）將每個用戶類隔離為自己的虛擬IP地址範圍，以及（b）通過設置防火牆規則來控制對機器的訪問.

  在我們的示例中，假設我們的員工人數可變，但是只有一個系統管理員和兩個承包商. 我們的IP分配方法是將所有員工放入IP地址池中，然後為系統管理員和承包商分配固定的IP地址.

  請注意，此示例的先決條件之一是您在OpenVPN服務器計算機上運行的軟件防火牆，它使您能夠定義特定的防火牆規則. 在我們的示例中，我們將假設防火牆是Linux iptables.

  首先，讓我們根據用戶類創建虛擬IP地址映射：

  班級	虛擬IP範圍	允許LAN訪問	通用名稱
  僱員	10.8.0.0/24	桑巴/電子郵件服務器10.66.4.4	[多變的]
  系統管理員	10.8.1.0/24	整個10.66.4.0/24子網	sysadmin1
  承包商	10.8.2.0/24	承包商服務器10.66.4.12	Contractor1，違規2

  接下來，讓我們將此地圖轉換為OpenVPN服務器配置. 首先，請確保您遵循上述步驟進行10.66.4.所有客戶端可用的0/24子網（雖然我們將配置路由以允許客戶端訪問整個10.66.4.0/24子網，然後我們將使用防火牆規則施加訪問限制以實現上述策略表）.

  首先，為我們的定義一個靜態單位編號 tun 接口，以便我們能夠在防火牆規則中稍後參考：

  開發室

  在服務器配置文件中，定義員工IP地址池：

  服務器10.8.0.0 255.255.255.0

  為系統管理員和承包商IP範圍添加路線：

  10號公路.8.1.0 255.255.255.0路線10.8.2.0 255.255.255.0

  因為我們將為特定係統管理員和承包商分配固定的IP地址，所以我們將使用客戶端配置目錄：

  客戶config-dir CCD

  現在將特殊配置文件放在 CCD 子目錄以定義每個非僱員VPN客戶端的固定IP地址.

  CCD/sysadmin1

  ifconfig-push 10.8.1.1 10.8.1.2

  CCD/Contractor1

  ifconfig-push 10.8.2.1 10.8.2.2

  CCD/Contractor2

  ifconfig-push 10.8.2.5 10.8.2.6

  每對 ifconfig-push 地址表示虛擬客戶端和服務器IP端點. 它們必須從連續的 /30個子網中獲取才能與Windows客戶端和Tap-Windows驅動程序兼容. 具體而言，必須從此組中獲取每個端點對的IP地址中的最後一個八位位：

  [1，2] [5，6] [9，10] [13，14] [17，18] [21，22] [25，26] [29，30] [33，34] [37，38] [41，42] [45，46] [49，50] [53，54] [57，58] [61，62] [65，66] [69，70] [73，74] [77，78] [81，82] [85，86] [89，90] [93，94] [97，98] [101,102] [105,106] [105,106] [109,110] [109,110] [113,114] [117,118] [117,118] [ 121,122] 133,134] [137,138] [141,142] [145,146] [149,150] [153,154] [157,158] [157,158] [161,162] [165,166] [165,166] [169,170] [169,170] 94] [197,198] [201,202] [205,206 ] [209,210] [213,214] [217,218] [221,222] [225,226] [225,226] [229,230] [233,234] [233,234] [237,238]

  這完成了OpenVPN配置. 最後一步是添加防火牆規則以最終確定訪問策略. 對於此示例，我們將在Linux中使用防火牆規則 iptables 句法：

  ＃員工規則iptables -a前進-i tun0 -s 10.8.0.0/24 -D 10.66.4.4 -J接受＃sysadmin規則iptables -a前進-i tun0 -s 10.8.1.0/24 -D 10.66.4.0/24 -J接受＃承包商規則iptables -a forward -i tun0 -s 10.8.2.0/24 -D 10.66.4.12 -J接受

  使用替代身份驗證方法

  OpenVPN 2.0及以後包含一項功能，該功能允許OpenVPN服務器從連接客戶端安全地獲取用戶名和密碼，並使用該信息作為對客戶端進行身份驗證的基礎.

  要使用此身份驗證方法，請首先添加 auth-user-pass 客戶配置指令. 它將指示OpenVPN客戶端向用戶查詢用戶名/密碼，並通過安全的TLS頻道傳遞到服務器.

  接下來，將服務器配置為使用身份驗證插件，該插件可能是腳本，共享對像或DLL. 每次VPN客戶端嘗試連接時，OpenVPN服務器都會調用插件. 身份驗證插件可以控制OpenVPN服務器是否允許客戶端通過返回失敗（1）或成功（0）值連接.

  使用腳本插件

  可以通過添加腳本插件來使用 auth-user-pass-verify 服務器端配置文件的指令. 例如：

  auth-user-pass-verify auth-pam.pl via-file

  將使用 auth-pam.pl perl腳本以身份驗證連接客戶端的用戶名/密碼. 看到描述 auth-user-pass-verify 在“手冊”頁面中以獲取更多信息.

  這 auth-pam.pl 腳本包含在OpenVPN源文件分佈中 樣本訂閱子目錄. 它將使用PAM身份驗證模塊在Linux服務器上驗證用戶，該模塊可以實現陰影密碼，半徑或LDAP身份驗證. auth-pam.pl 主要用於演示目的. 對於現實世界的PAM身份驗證，請使用 OpenVPN-auth-pam下面描述的共享對象插件.

  使用共享對像或DLL插件

  共享對像或DLL插件通常是在運行時由OpenVPN服務器加載的C模塊. 例如，如果您在Linux上使用了基於RPM的OpenVPN軟件包，則 OpenVPN-auth-pam 插件應該已經構建. 要使用它，請將其添加到服務器端配置文件：

  插件/usr/share/openvpn/plugin/lib/openvpn-auth-auth-auth-pam.所以登錄

  這將告訴OpenVPN服務器使用該客戶端使用的用戶名/密碼 登入PAM模塊.

  對於現實世界的生產使用，最好使用 OpenVPN-auth-pam 插件，因為它比 auth-pam.pl 腳本：

  • 共享對象 OpenVPN-auth-pam 插件使用拆分特性執行模型來獲得更好的安全性. 這意味著OpenVPN服務器可以使用指令使用降低的特權運行 用戶沒有人, 小組沒人, 和 chroot, 並且仍然可以針對僅根可讀的陰影密碼文件進行身份驗證.
  • OpenVPN可以通過虛擬內存將用戶名/密碼傳遞到插件，而不是通過文件或環境，這更適合服務器計算機上的本地安全性.
  • C編譯的插件模塊通常比腳本更快.

  如果您想了解有關開發自己的插件以供與OpenVPN一起使用的信息，請參見 讀書我 文件中的文件 插入 OpenVPN源分佈的子目錄.

  建造 OpenVPN-auth-pam Linux上的插件，CD到 插件/auth-pam OpenVPN源分佈中的目錄並運行 製作.

  使用用戶名/密碼身份驗證作為客戶端身份驗證的唯一形式

  默認情況下，使用 auth-user-pass-verify 或用戶名/密碼檢查 插入 在服務器上將啟用雙重身份驗證，要求客戶端認證和用戶名/密碼身份驗證成功以便對客戶端進行身份驗證.

  雖然從安全角度勸阻它，但也可以禁用客戶證書的使用，並強制用戶名/密碼身份驗證. 在服務器上：

  客戶端不需要

  此類配置通常還應設置：

  用戶名稱為common-name

  它將告訴服務器將用戶名用於索引目的，因為它將使用客戶證書進行身份驗證的客戶端的通用名稱.

  注意 客戶端不需要 不會消除對服務器證書的需求，因此連接到使用服務器的客戶端 客戶端不需要 可以刪除 證書 和 鑰匙 客戶端配置文件的指令，但不是 CA 指令，因為客戶必須驗證服務器證書.

  如何使用客戶端智能卡添加雙因素身份驗證到OpenVPN配置

  • 關於雙因子身份驗證
  • 什麼是PKCS＃11?
  • 查找PKCS＃11提供商庫.
  • 如何配置加密令牌
  • 如何修改OpenVPN配置以使用加密令牌
    • 確定正確的對象.
    • 將OpenVPN與PKCS＃11一起使用.
    • PKCS＃11實施注意事項.
    • OpenSC PKCS＃11提供商.

    關於雙因子身份驗證

    雙因子身份驗證是一種結合兩個元素的身份驗證方法：您擁有的東西和您知道的東西.

    您擁有的東西應該是無法複製的設備；這樣的設備可以是包含私人秘密鑰匙的加密令牌. 此私鑰是在設備內部生成的，永遠不會離開. 如果具有該代幣試圖在遠程網絡上訪問受保護的服務的用戶，則授予或拒絕網絡訪問的授權過程可以高度確定，以確保尋求訪問的用戶具有物理擁有的已知，認證的令牌.

    您知道的東西可能是向加密設備顯示的密碼. 如果沒有提供正確的密碼，您將無法訪問私密密鑰. 加密設備的另一個功能是，如果顯示錯誤的密碼超過允許的次數，則禁止使用私鑰. 這種行為可確保如果用戶丟失了他的設備，那麼另一個人使用它是不可行的.

    加密設備通常稱為“智能卡”或“令牌”，並與PKI（公共密鑰基礎架構）一起使用. VPN服務器可以檢查X.509證書並驗證用戶是否持有相應的私人秘密密鑰. 由於無法重複該設備並需要有效的密碼，因此服務器能夠高度信心對用戶進行身份驗證.

    雙因子身份驗證比基於密碼的身份驗證要強得多，因為在最壞的情況下，一次只有一個人可以使用加密令牌. 密碼可以猜測並可以暴露於其他用戶，因此在最壞的情況下，當使用僅密碼身份驗證保護資源時，無限的人可能會嘗試獲得未經授權的訪問.

    如果將秘密私鑰存儲在文件中，則該密鑰通常由密碼加密. 這種方法的問題在於，加密的密鑰暴露於客戶端機上運行的竊取攻擊或間諜軟件/惡意軟件. 與使用加密設備時不同，該文件在幾次失敗的解密嘗試後無法自動擦除自身.

    什麼是PKCS＃11?

    該標準將稱為Cryptoki的API指定為具有加密信息並執行加密功能的設備. Cryptoki，發音為“加密鍵”，是加密令牌界面的縮寫，遵循一種簡單的基於對象的方法，解決了技術獨立性（任何類型的設備）和資源共享（多個應用程序訪問多個設備）的目標，並呈現給應用程序。通用的，稱為加密令牌的設備的邏輯視圖.

    總而言之，PKCS＃11是一個標準，應用程序軟件可以使用智能卡和其他設備等加密令牌. 大多數設備供應商提供了實現PKCS＃11提供商接口的庫 – 應用程序可以使用該庫來訪問這些設備. PKCS＃11是一個跨平台，獨立於供應商的免費標準.

    查找PKCS＃11提供商庫

    您需要做的第一件事是找到提供商庫，應該與設備驅動程序一起安裝. 每個供應商都有自己的庫. 例如，OPENSC PKCS＃11提供商位於/usr/lib/pkcs11/opensc-pkcs11.因此，在UNIX或OPENSC-PKCS111111111111.Windows上的DLL.

    如何配置加密令牌

    您應該遵循註冊程序：

    • 初始化PKCS＃11令牌.
    • 在PKCS＃11令牌上生成RSA密鑰對.
    • 根據密鑰對創建證書請求，您可以使用OpenSC和OpenSSL來做到這一點.
    • 將證書請求提交證書授權，並獲得證書.
    • 將證書加載到令牌上，同時指出證書的ID和標籤屬性必須與私鑰的屬性匹配.

    配置的令牌是具有私鑰對象和證書對象的令牌，其中兩者都共享相同的ID和標籤屬性.

    簡單的註冊實用程序是Easy-rsa 2.0是OpenVPN 2的一部分.1系. 請按照讀書文件中指定的說明進行操作，然後使用pkitool進行註冊.

    使用以下命令初始化令牌：

    $ ./pkitool -pkcs11-Slots/usr/lib/pkcs11/$ ./pkitool -pkcs11-init/usr/lib/pkcs11/

    使用以下命令註冊證書：

    $ ./pkitool -pkcs11/usr/lib/pkcs11/ 客戶端1 

    如何修改OpenVPN配置以使用加密令牌

    您應該有OpenVPN 2.1或以上是為了使用PKCS＃11功能.

    確定正確的對象

    每個PKCS＃11提供商都可以支持多個設備. 為了查看可用對象列表，您可以使用以下命令：

    $ openVPN -show-pkcs11-ids/usr/lib/pkcs11/可用於使用以下對象. 下面顯示的每個對象可以用作-PKCS11-ID選項的參數，請記住使用單引號標記. 證書dn：/cn =用戶1序列：490B82C40000000000775序列化ID：AAAA/BBB/41545F5349474E41555555555555555581D2A1A1B2A1B23C4AA4AA4AA4A4A4CB17FAFFAF7A4600

    每個證書/私鑰對具有唯一的“序列化ID”字符串. 請求證書的序列化ID字符串應指定為 PKCS11-ID 選項使用單引號標記.

    PKCS11-ID'aaaa/bbb/41545F5349474E4154555555555555555555555555555555552A1A1B23C4AAA4AA4CB17FAF7A4600' 

    將OpenVPN與PKCS＃11一起使用

    PKCS＃11的一組典型的OpenVPN選項

    PKCS11-PROVIDERS/USR/LIB/PKCS11/PKCS11-ID'AAAA/BBB/41545F5349474E4155555555555555555555581B2A1B23C4AAAAAAAAAAAAAA4AAA4AA4CB17FAFFAF7A4600'' 

    這將選擇與PKCS11-ID字符串匹配的對象.

    PKCS＃11的高級OpenVPN選項

    pkcs11-providers/usr/lib/pkcs11/provider1.so/usr/lib/pkcs11/provider2.因此PKCS11-ID'AAAA/BBB/41545F5349474E41545555555555555555555555555555555555555555555555555555555555555555555555太平洋棒球大小.0.0.1 8888 Management-Query-Passwords 

    這將將兩個提供商加載到OpenVPN中，使用在 PKCS11-ID 選項，並使用管理接口來查詢密碼. 守護程序將在無法訪問令牌的情況下恢復到持有狀態. 令牌將使用300秒，之後將重新查找密碼，如果管理會話斷開連接，會話將斷開連接.

    PKCS＃11實施注意事項

    許多PKCS＃11提供商都使用線程，以避免通過LinuxThreads（SetUID，Chroot）實施引起的問題，強烈建議您升級到本機Posix線程庫（NPTL）啟用GLIBC，如果您打算使用PKCS＃11.

    OpenSC PKCS＃11提供商

    OPENSC PKCS＃11提供商位於/usr/lib/pkcs11/opensc-pkcs11.因此，在UNIX或OPENSC-PKCS111111111111.Windows上的DLL.

    PKCS＃11和Microsoft加密API（加密）之間的區別

    PKCS＃11是一個免費的跨平台供應商獨立標準. Cryptoapi是Microsoft特定的API. 大多數智能卡供應商都為兩個接口提供支持. 在Windows環境中，用戶應選擇要使用的接口.

    使用MS cryptoapi的OpenVPN的當前實現（隱腳 選項）效果很好，只要您不運行OpenVPN作為服務. 如果您希望使用服務在管理環境中運行OpenVPN，則該實現將無法與大多數智能卡一起使用：

    • 大多數智能卡提供商不會將證書加載到本地機器商店，因此實施將無法訪問用戶證書.
    • 如果OpenVPN客戶端正在作為服務運行，而無需與最終用戶直接互動，則該服務無法查詢用戶為智能卡提供密碼，從而導致智能卡上的密碼驗證過程失敗.

    使用PKCS＃11接口，您可以在任何實現中使用openVPN的智能卡，因為PKCS＃11不訪問Microsoft商店，並且不一定需要與最終用戶直接互動.

    通過VPN路由所有客戶端流量（包括網絡交通）

    概述

    默認情況下，當OpenVPN客戶端處於活動狀態時，僅來自OpenVPN服務器網站的網絡流量將通過VPN. 例如，一般的Web瀏覽將通過繞過VPN的直接連接來完成.

    在某些情況下，這種行為可能是不可取的 – 您可能希望VPN客戶端通過VPN隧道隧道，包括一般的Internet Web瀏覽. 雖然這種類型的VPN配置將對客戶端的性能進行嚴格的懲罰，但當客戶同時將客戶端同時連接到公共Internet和VPN時，它為VPN管理員提供了對安全策略的更多控制權。.

    執行

    將以下指令添加到服務器配置文件：

    按下“重定向門口def1”

    如果您的VPN設置位於無線網絡上，所有客戶端和服務器都在同一無線子網上，請添加 當地的 旗幟：

    按下“重定向閘門本地def1”

    推 重定向門 客戶端的選項將導致所有IP網絡流量源自客戶端機上的OpenVPN服務器. 將需要配置該服務器以某種方式處理此流量，例如通過將其與Internet進行融合，或通過服務器網站的HTTP代理進行路由.

    在Linux上，您可以使用此類命令將VPN客戶端流量納入Internet：

    iptables -t nat -a poStrouting -s 10.8.0.0/24 -O ETH0 -J化裝舞會

    該命令假設VPN子網為 10.8.0.0/24 （取自 伺服器 OpenVPN服務器配置中的指令），本地以太網接口為 eth0.

    什麼時候 重定向門 被使用，OpenVPN客戶端將通過VPN路由DNS查詢，並且VPN服務器需要處理它們. 這可以通過將DNS服務器地址推向連接客戶端來完成. 例如：

    推動“ DHCP-Option DNS 10.8.0.1“

    將配置Windows客戶端（或使用一些額外的服務器端腳本訂閱的非Windows客戶端）以使用10.8.0.1作為DNS服務器. 從客戶端訪問的任何地址都可以用作DNS服務器地址.

    警告

    通過VPN將所有網絡流量重定向並不完全是無問題的命題. 以下是一些典型的陷阱：

    • 連接到Internet的許多OpenVPN客戶端機將定期與DHCP服務器進行交互，以續簽其IP地址租賃. 這 重定向門 選項可能會阻止客戶端到達本地DHCP服務器（因為DHCP消息將在VPN上進行路由），從而導致其丟失其IP地址租賃.
    • 在將DNS地址推向Windows客戶端方面存在問題.
    • 客戶端上的Web瀏覽性能明顯較慢.

    有關有關機制的更多信息 重定向門 指令，請參閱手冊頁面.

    在動態IP地址上運行OpenVPN服務器

    雖然OpenVPN客戶端可以輕鬆地通過動態IP地址輕鬆訪問服務器，而無需任何特殊配置. 雖然OpenVPN毫不費力地處理動態服務器的情況，但需要一些額外的配置.

    第一步是獲取動態DNS地址，每當服務器的IP地址更改時，可以配置為“關注”服務器. 有幾個動態DNS服務提供商，例如Dyndns.org.

    下一步是設置一種機制，以便每次服務器的IP地址更改時，動態DNS名稱都會通過新的IP地址快速更新，從而使客戶端可以在其新的IP地址找到服務器. 有兩種基本方法可以實現這一目標：

    • 使用具有動態DNS支持的NAT路由器設備（例如 Linksys BEFSR41）. 每當從ISP獲得新的DHCP租賃時，大多數廉價的NAT路由器設備都可以更新動態DNS名稱. 當OpenVPN服務器框是防火牆內部的單NIC機器時，此設置是理想的選擇.
    • 每當服務器IP地址更改時. 當運行OpenVPN具有多個NIC並充當網站範圍的防火牆/網關時，此設置是理想的選擇. 要實現此設置，您需要設置一個腳本，以每次發生IP地址更改時由DHCP客戶端軟件運行. 此腳本應（a）運行 ddclient要通知您的新IP地址的動態DNS提供商，並且（b）重新啟動OpenVPN服務器守護程序.

    默認情況下，OpenVPN客戶端將感覺到服務器的IP地址發生更改，如果客戶端配置正在使用 偏僻的 引用動態DNS名稱的指令. 通常的事件鍊是（a）OpenVPN客戶端未能從服務器的舊IP地址接收及時的keepalive消息，觸發重新啟動，以及（b）重新啟動會導致DNS名稱 偏僻的 重新解決的指令，允許客戶在其新的IP地址重新連接到服務器.

    更多信息可以在常見問題中找到.

    通過HTTP代理連接到OpenVPN服務器.

    OpenVPN通過HTTP代理支持連接，並具有以下身份驗證模式：

    • 沒有代理身份驗證
    • 基本代理身份驗證
    • NTLM代理身份驗證

    首先，HTTP代理使用情況要求您將TCP用作隧道載體協議. 因此，將以下內容添加到客戶端和服務器配置：

    原始TCP

    確保任何 原始UDP 配置文件中的行已刪除.

    接下來，添加 http-proxy 客戶端配置文件的指令（有關此指令的完整說明，請參見“手冊”頁面）.

    例如，假設您在客戶端LAN上有一個HTTP代理服務器 192.168.4.1, 正在聆聽端口上的連接 1080. 將其添加到客戶端配置：

    HTTP-Proxy 192.168.4.1 1080

    假設HTTP代理需要基本的身份驗證：

    HTTP-Proxy 192.168.4.1 1080 Stdin Basic

    假設HTTP代理需要NTLM身份驗證：

    HTTP-Proxy 192.168.4.1 1080 stdin ntlm

    上面的兩個身份驗證示例將導致OpenVPN提示從標準輸入中獲取用戶名/密碼. 如果您想將這些憑據放在文件中，請替換 斯丁 使用文件名，然後將用戶名放在該文件的第1行，並將密碼放在第2行.

    通過OpenVPN連接到Samba共享

    此示例的目的是顯示OpenVPN客戶如何通過路由連接到Samba共享 開發 隧道. 如果您是以太網橋接（開發點擊），您可能不需要遵循以下說明，因為OpenVPN客戶端應在其網絡社區中查看服務器端機器.

    對於此示例，我們將假設：

    • 服務器端LAN使用的子網 10.66.0.0/24,
    • VPN IP地址池使用 10.8.0.0/24 （如在 伺服器 OpenVPN服務器配置文件中的指令）,
    • Samba服務器的IP地址 10.66.0.4, 和
    • Samba服務器已經配置，可從本地LAN到達.

    如果Samba和OpenVPN服務器在不同的機器上運行，請確保您遵循了擴展VPN範圍的部分，以包括其他機器.

    接下來，編輯您的桑巴配置文件（SMB.conf）. 確保 主機允許 指令將允許OpenVPN客戶來自 10.8.0.0/24 子網連接. 例如：

    主機允許= 10.66.0.0/24 10.8.0.0/24 127.0.0.1

    如果您在同一台計算機上運行Samba和OpenVPN服務器，則可能需要編輯 接口 指令 SMB.conf 文件還可以在TUN接口子網的 10.8.0.0/24：

    接口= 10.66.0.0/24 10.8.0.0/24

    如果您在同一台計算機上運行Samba和OpenVPN服務器，請使用文件夾名稱將OpenVPN客戶端連接到Samba共享：

    \\ 10.8.0.1 \\ Sharename

    如果Samba和OpenVPN服務器在不同的機器上，請使用文件夾名稱：

    \\ 10.66.0.4 \ sharename

    例如，從命令提示符窗口：

    淨使用z：\\ 10.66.0.4 \ sharename /用戶：myusername

    實施負載平衡/故障轉移配置

    客戶

    OpenVPN客戶端配置可以參考多個服務器進行負載平衡和故障轉移. 例如：

    遠程服務器1.mydomain遠程服務器2.mydomain遠程服務器3.mydomain

    將指示OpenVPN客戶端嘗試以該順序與Server1，Server2和Server3進行連接. 如果現有連接被打破，則OpenVPN客戶端將重試最近連接的服務器，如果失敗，將繼續轉移到列表中的下一個服務器. 您還可以指示OpenVPN客戶端在啟動上隨機化其服務器列表，以便概率地分佈在服務器池中.

    遠程隨機

    如果您還希望DNS分辨率未能導致OpenVPN客戶端移至列表中的下一個服務器，請添加以下內容：

    resolv-retry 60

    這 60 參數告訴OpenVPN客戶端嘗試解決每個 偏僻的 在轉到列表中的下一個服務器之前，DNS名稱為60秒.

    服務器列表還可以參考在同一台計算機上運行的多個OpenVPN服務器守護程序，每個端口都在其他端口上收聽連接，例如：

    遠程SMP-Server1.MyDomain 8000遠程SMP-Server1.MyDomain 8001遠程SMP-Server2.MyDomain 8000遠程SMP-Server2.Mydomain 8001

    如果您的服務器是多處理器機器，則從性能角度來看，每個服務器上運行多個OpenVPN守護程序可能是有利的.

    OpenVPN也支持 偏僻的 指令指的是具有多個的DNS名稱 A 域的區域配置中的記錄. 在這種情況下，OpenVPN客戶端將隨機選擇其中之一 A 每次解決域的記錄.

    伺服器

    服務器上負載均衡/故障轉移配置的最簡單方法是在群集中的每個服務器上使用等效配置文件，除非為每個服務器使用不同的虛擬IP地址池. 例如：

    Server1

    服務器10.8.0.0 255.255.255.0

    Server2

    服務器10.8.1.0 255.255.255.0

    Server3

    服務器10.8.2.0 255.255.255.0

    硬化OpenVPN安全性

    網絡安全的經常重複的最大值之一是，人們永遠不要對單個安全組件提出如此多的信任，以至於其故障會導致災難性的安全性違反. OpenVPN提供了幾種添加其他安全層以對沖這種結果的機制.

    tls-auth

    這 tls-auth 指令在所有SSL/TLS握手數據包中添加了額外的HMAC簽名，以進行完整性驗證. 任何不帶有正確HMAC簽名的UDP數據包都可以刪除而無需進一步處理. 這 tls-auth HMAC簽名提供了超出SSL/TLS提供的額外的安全性。. 它可以預防：

    • OpenVPN UDP端口上的DOS攻擊或端口氾濫.
    • 端口掃描以確定哪些服務器UDP端口處於偵聽狀態.
    • SSL/TLS實現中的緩衝區溢出漏洞.
    • 未經授權的機器的SSL/TLS握手啟動, tls-auth 可以在更早的時候切斷它們）.

    使用 tls-auth 要求您生成一個除標準RSA證書/密鑰外使用的共享秘密密鑰：

    OpenVPN- genkey-秘密ta.鑰匙

    此命令將生成OpenVPN靜態鍵並將其寫入文件 ta.鑰匙. 該鍵應通過到服務器和所有客戶端機器的預先存在的安全渠道複製. 它可以將其放置在與RSA相同的目錄中 .鑰匙 和 .CRT 文件.

    在服務器配置中，添加：

    tls-auth ta.鑰匙0

    在客戶端配置中，添加：

    tls-auth ta.鑰匙1

    原始UDP

    雖然OpenVPN允許將TCP或UDP協議用作VPN載波連接，但與TCP相比，UDP協議將為DOS攻擊和端口掃描提供更好的保護：

    原始UDP

    用戶/組（僅非窗口）

    OpenVPN經過非常仔細的設計，以允許在初始化後刪除根特權，並且該功能應始終在Linux/BSD/Solaris上使用. 沒有根特權，運行的OpenVPN服務器守護程序為攻擊者提供了較少誘人的目標.

    用戶沒人分組沒有人

    非特權模式（僅限Linux）

    在Linux上，OpenVPN可以完全無私密. 這種配置更為複雜，但提供了最佳的安全性.

    為了使用此配置，必須將OpenVPN配置為使用IPROUTE接口，這是通過指定-enable-ipRoute2來配置腳本來完成的. Sudo軟件包也應在您的系統上可用.

    該配置使用Linux能力來更改TUN設備的許可，以便無特權用戶可以訪問它. 它還使用sudo來執行Iproute，以便可以修改接口屬性和路由表.

    • • 編寫以下腳本並將其放置在：/usr/local/sbin/unpriv-ip：

      ＃!/bin/sh sudo/sbin/ip $* 

      • • 執行Visudo，並添加以下內容，以允許用戶“ User1”執行 /sbin /ip：

        user1 all =（all）nopasswd： /sbin /ip

        您還可以啟用具有以下命令的一組用戶：

        ％用戶all =（全）nopasswd： /sbin /ip

        • • 將以下內容添加到您的OpenVPN配置：

          開發tunx/tapx iproute/usr/local/sbin/unpriv-ip

          • 請注意，您必須選擇常數x並指定tun或點擊不同時點擊.
            • 當root添加持久接口，並允許用戶和/或組管理它，以下創建Tunx（用您自己的替換），允許用戶1和組用戶訪問它.

            OpenVPN -mktun -dev Tunx -type tun -user user1-group用戶

            • 在非特權用戶的上下文中運行OpenVPN.

            可以通過在/usr/local/sbin/unpriv-ip腳本上檢查參數來添加更多的安全約束。.

            chroot（僅非窗口）

            這 chroot 指令允許您將OpenVPN守護程序鎖定到所謂的 Chroot監獄, 守護程序將無法訪問主機系統文件系統的任何部分，除了給出的特定目錄作為指令的參數. 例如,

            Chroot監獄

            會導致OpenVPN守護程序CD進入 監獄 初始化的子目錄，然後將其根文件系統重新定向到該目錄，因此守護程序之後不可能訪問以外的任何文件 監獄 及其子目錄樹. 從安全角度來看，這一點很重要，因為即使攻擊者能夠通過代碼插入利用折衷服務器，該利用也將被鎖定在服務器的大多數文件文件系統中.

            警告：因為 chroot 重新標記文件系統（僅從守護程序的角度來看），必須將OpenVPN初始化後可能需要的任何文件放在 監獄 目錄，例如：

            • 這 CRL-Verify 文件，或
            • 這 客戶config-dir 目錄.

            較大的RSA鍵

            RSA密鑰大小由 key_size 變量 easy-rsa/var 文件，必須在生成任何密鑰之前設置. 目前默認設置為1024，該值可以合理地增加到2048年，而對VPN隧道性能沒有負面影響，除了稍慢的SSL/TLS重新談判握手，每小時每小時一次一次發生一次，而且一次性較慢的一次性差異很差Hellman參數生成過程 easy-rsa/build-dh 腳本.

            較大的對稱鍵

            默認情況下，OpenVPN使用 池塘, 128位對稱密碼.

            OpenVPN自動支持OpenSSL庫支持的任何密碼，因此可以支持使用大型密鑰尺寸的密碼. 例如，可以通過將以下內容添加到服務器和客戶端配置文件：256位版本的AE（高級加密標準）：

            密碼AES-256-CBC

            保持根鍵（CA.鑰匙）在沒有網絡連接的獨立機器上

            使用X509 PKI的安全好處之一（如OpenVPN所做的）是root ca鍵（CA.鑰匙）不必在OpenVPN服務器上存在. 在較高的安全環境中，您可能需要特別指定用於鍵盤目的的機器，保持機器良好的物理保護，並將其與所有網絡斷開連接. 軟盤可用於來回移動密鑰文件. 這樣的措施使攻擊者很難竊取根鍵，而沒有鑰匙簽名機的物理盜竊.

            撤銷證書

            撤銷證書 意思是使先前簽名的證書無效，以便不再將其用於身份驗證目的.

            想要撤銷證書的典型原因包括：

            • 與證書相關的私鑰被妥協或被盜.
            • 加密的私鑰的用戶忘記了密鑰上的密碼.
            • 您想終止VPN用戶的訪問.

            例子

            例如，我們將撤銷 客戶端2 證書，我們在Howto的“密鑰生成”部分上方生成的證書.

            首先打開外殼或命令提示窗口和CD到 easy-rsa 目錄就像您在上面的“密鑰一代”部分中所做的那樣. 在Linux/BSD/UNIX上：

            . ./var ./revoke-full客戶端2 

            vars撤銷client2 

            您應該看到與此類似的輸出：

            使用/root/OpenVPN/20/OpenVPN/TMP/easy-rsa/openssl的配置.CNF調試[LOAD_INDEX]：unique_subject =“是”撤銷證書04. 使用/root/openVPN/20/OpenVPN/tmp/easy-rsa/openssl的配置更新的數據庫.cnf debug [load_index]：unique_subject =“ yes” client2.crt：/c = kg/st = na/o = openvpn-test/cn = client2/emailAddress = [email protected]錯誤23在0深度查找：撤銷證書

            注意最後一行的“錯誤23”. 這就是您想要看到的，因為這表明撤銷證書的證書驗證失敗.

            這 撤銷 腳本將生成一個稱為的CRL（證書撤銷列表）文件 Crl.佩姆 在裡面 鑰匙子目錄. 該文件應複製到OpenVPN服務器可以訪問的目錄，然後在服務器配置中啟用CRL驗證：

            CRL-Verify CRL.佩姆

            現在，所有連接客戶端都將對CRL進行驗證的客戶端證書，任何積極的匹配都將導致連接刪除.

            CRL注意

            • 當。。。的時候 CRL-Verify 選項在OpenVPN中使用，CRL文件將在新客戶端連接或現有客戶端重新協商SSL/TLS連接時重新閱讀（默認為每小時一次）. 這意味著您可以在運行OpenVPN服務器守護程序時更新CRL文件，並使新連接的客戶端立即生效新的CRL. 如果您已撤銷證書的客戶端已經連接，則可以通過信號（Sigusr1或嘆氣）重新啟動服務器並沖洗所有客戶端，也可以telnet telnet到管理Interfaceand明確殺死服務器上的特定客戶端實例對象而不會令人不安其他客戶.
            • 而 CRL-Verify 指令可以在OpenVPN服務器和客戶端上使用，除非已撤銷服務器證書，否則通常不需要將CRL文件分配給客戶. 客戶不需要了解已被撤銷的其他客戶證書，因為客戶不應該接受其他客戶的直接連接.
            • CRL文件不是秘密的，應該使世界可讀，以便OpenVPN守護程序可以在刪除根特權後閱讀它.
            • 如果您正在使用 chroot指令，請確保將CRL文件的副本放在Chroot目錄中，因為與OpenVPN讀取的大多數其他文件不同，CRL文件將在執行CHROOT調用後讀取，而不是之前。.
            • 需要撤銷證書的一個常見原因是用戶使用密碼加密其私鑰，然後忘記密碼. 通過撤銷原始證書，可以與用戶的原始通用名稱生成新的證書/密鑰對.

            如果客戶不驗證他們要連接到的服務器的證書.

            為避免可能的中間攻擊，授權客戶端試圖通過模仿服務器來連接到另一個客戶. 目前有五種不同的方法可以按照優先順序列出：

            [OpenVPN 2.1及以上]使用特定的密鑰用法和擴展密鑰用法構建服務器證書. RFC3280確定應為TLS連接提供以下屬性：

            模式	關鍵用法	擴展關鍵用法
            客戶	電子簽名	TLS Web客戶端身份驗證
            	關鍵
            	DigitalSignature，KeyApremement
            伺服器	DigitalSignature，KeyEncerment	TLS Web服務器身份驗證
            	DigitalSignature，KeyApremement

            您可以使用 建築鑰匙服務器 腳本（有關更多信息，請參見Easy-rsadocutionation）. 這將通過設置正確的屬性將證書指定為僅服務器證書. 現在，將以下行添加到您的客戶端配置：

            遙控器-TLS服務器

            NS-CERT類型服務器

            設定

            繞開您的政府，學校或公司阻止的任何網站，只需單擊即可. SetupVPN帶有無限的帶寬，對每個人都是完全免費的!

            在使用公共WiFi熱點，公司網絡或學校網絡的同時，使用軍事級加密保護您的瀏覽器活動. SetupVPN提供高級Wi-Fi安全性和在線隱私.

            全球範圍內有100多個服務器擴散，setupvpn可讓您訪問您所在的國家，公司或學校中所有的內容. 只需更改您的位置，加密連接並更改IP地址.

            無需技術知識. 只需下載擴展，創建帳戶並完成! 在線跟踪器更改您的位置. 防止網站收集您的個人信息.

            設置設置VPN服務器的最簡單方法!

            SetupVPN隨附：
            – 無限和100％免費VPN服務器
            – 沒有帶寬或速度限制
            – 4096 BIT軍事級加密

            更新
            2023年7月18日

            數據安全

            arrow_forward

            安全首先了解開發人員如何收集和共享您的數據. 數據隱私和安全慣例可能會根據您的使用，區域和年齡而有所不同. 開發人員提供了此信息，並可能隨著時間的推移進行更新.

            如何在2023年在iPhone上設置VPN

            

            

            虛擬專用網絡（VPN）是一種隱藏您的地理位置並在線保護您的隱私的工具. 它通過創建從家庭網絡到VPN提供商服務器的加密隧道來做到這一點.

            當您購買互聯網計劃時，您的互聯網服務提供商（ISP）為您的設備（例如路由器和調製解調器）提供了互聯網協議（IP）地址. 您的IP地址通過讓您知道的網站知道數據的來源以及將其發送到何處，可以幫助您與更廣泛的互聯網通信.

            換句話說，您的IP地址讓在線公司知道您的位置. 大多數在線企業將IP地址存儲用於數據分析，但是網絡犯罪分子可以使用您的IP在線跟踪活動，竊取您的個人信息並將您定位為騙局.

            VPN通過IP與您自己的IP不同的服務器地址重新佈線. 這樣，沒有人在線可以追溯您的互聯網活動. VPN還加密您的互聯網數據以保護您的個人信息.

            不過，VPN不僅用於台式計算機. 從iPad到智能電視，各種設備可以從VPN連接中受益 . 如果您是那種處理您的財務狀況或使用移動設備在線業務的人，那麼明智的做法是獲得VPN來保護自己.

            本文將向您展示如何在iPhone上選擇和安裝VPN .

            為什麼使用VPN?

            以下是獲得McAfee Safe Connect VPN這樣的VPN的一些主要方法可以使您受益：

            • VPN可以幫助您遠程訪問您的工作Intranet. Intranet是Internet的一小部分，該小節與較大的Internet無法連接. 企業使用Intranet（公司可能存儲重要的內部文件），以使員工快速訪問公司工作工具並改善溝通.
            • VPN使用銀行級加密來隱藏網絡犯罪分子的個人信息和行動廣告商. 這使您可以在網上購物，銀行和做其他所有事情，而不必擔心有人竊取您的信息，即使您使用的是公共Wi-Fi網絡 .
            • VPN可以保持您的瀏覽. 它通過隱藏您的IP地址來做到這一點，因此您的實際位置，銀行信息和信用卡信息在您在線衝浪時受到保護.

            如何選擇一個 VPN提供商

            最好的VPN取決於您的情況以及您打算在線做什麼.

            您需要一個與所有設備兼容的VPN. 許多VPN與Windows，Android，MacOS，Linux和iOS一起使用 . 但是，並非所有VPN都與每個操作系統兼容. 例如，如果您有iPhone，但是您家中的其他人都有Android，那麼在Apple App Store和Google Play商店中選擇具有應用的提供商很重要.

            考慮您需要哪些功能：

            • 你會旅行嗎? 如果是這樣，請獲取帶有服務器位置的VPN.
            • 你有一個大家庭帶有很多設備嗎? 然後，基於路由器的VPN可以是一個不錯的選擇.
            • 您會使用VPN進行諸如流媒體電影之類的事情嗎Netflix和遊戲? 您需要一個速度和帶寬的VPN.

            但是，在選擇VPN服務時要小心. 一些免費的VPN服務仍然會將您的信息傳遞給廣告代理商. 如果在線隱私是您的主要目標，您將需要找到一個不會存儲Internet活動日誌或傳遞數據的VPN.

            VPN協議也很重要，它們的速度和安全性各不相同. 例如，點對點隧道協議（PPTP）是一個快速協議，但不如其他協議（例如OpenVPN或Wineguard）那麼安全. 一些VPN提供商將讓您使用多個協議.

            最後，尋找易於使用的VPN. 一些VPN具有簡便的功能，例如虛擬設置和直觀接口，使使用它們更容易. 一些提供商甚至會為您提供免費試用，以測試VPN. 確保您的VPN網絡還擁有一個可靠的支持團隊，以幫助您是否遇到問題.

            如何在一個上設置VPN iPhone

            我們將向您展示如何在接下來的幾節中完成iPhone上的VPN設置.

            安裝 ios A的應用 VPN提供商

            轉到iPhone上的Apple App Store，並找到您選擇的VPN提供商的應用程序. 點擊“獲取”和“安裝”或雙檢查以在手機上安裝應用程序.

            在 VPN應用程序

            打開VPN應用程序 . 使用VPN提供商創建一個帳戶 . 註冊服務.

            打開 iPhone 設置並連接到VPN

            創建帳戶後，您必須輸入密碼，以更改手機的VPN設置並啟用VPN.

            如果您需要訪問企業或學校的專用網絡，則可能必須手動配置VPN. 這是手動使VPN在iPhone上工作的方法：

            1. 點擊iPhone主屏幕上的“設置”應用 .
            2. 選擇“一般”.透明
            3. 按“ VPN.透明
            4. 點擊“添加VPN配置 .透明
            5. 按“類型”，然後選擇您正在使用的VPN協議的類型. 可能是IKeV2，IPSEC或L2TP .
            6. 輸入描述，遠程ID和VPN的服務器.
            7. 輸入您的用戶名和密碼.
            8. 單擊“手動”或“自動”以啟用您的代理服務器（如果使用）.
            9. 按“完成.透明

            使用您的VPN iPhone

            啟用iPhone設置上的VPN後，您必須在使用它時將其激活. 這是您可以使VPN活躍的方法：

            1. 轉到手機上的“設置”應用程序.
            2. 去“一般.透明
            3. 選擇“ VPN.透明
            4. 點擊VPN上的狀態開關以打開它.

            每當您不使用它時，請務必關閉VPN，以免用盡電池. 如果您制定有限的計劃，請關閉VPN尤其重要.

            使用McAfee安全設備安全

            VPN是保持互聯網連接私有的絕佳工具. 當您在iPhone上安裝VPN時，您可以從任何地方享受互聯網，知道您的個人信息對廣告商和黑客有額外的保護 .

            不過，無論您是使用Android還是iOS設備，McAfee都可以幫助您在網上保持安全. 借助Mcafee安全性，您可以訪問VPN和安全瀏覽的優質安全工具.

            我們屢獲殊榮的應用程序使您可以安全，無縫地連接到數字世界，同時阻止不必要的訪問者進入數字空間. 在網上過著最好的生活，享受我們最全面的安全技術之一.