实验测试群晖DSM的PPTP和OpenVPN两种VPN接入

原贴地址:http://m.blog.csdn.net/robber/article/details/56842759

预先准备的器材如下

器材 地址 说明
光猫 桥接 将光猫的自动拨号上网,改成网桥方式。ISP提供商提供公网IP地址,是否为固定IP地址无所谓。
路由器 wan:拨号上互联网,网关:172.16.0.250 一般普通WIFI路由器即可,可以提供PPPoE拨号上网。然后将光猫和路由器连接起来。
群晖NAS服务器 172.16.0.100 安装VPN Center服务器套件,启动DDNS域名服务。设置网关,并能上互联网.
内网电脑 (172.16.0.1) 可以不用设置网关,因为该内网电脑可以不用上互联网,只需要和群晖NAS服务器互联互通即可。
外网笔记本 (能上互联网)

网络连接关系如下图示

外网笔记本外网笔记本光猫&路由器光猫&路由器通过域名访问到分配的公网地址wan地址是通过PPPoE拨号获得公网地址网关:172.16.0.250)内网电脑(172.16.0.2)群晖NAS DSM(172.16.0.100)

这时候的现状和需求

-外网笔记本模拟的是在外网的一台机器,通过VPN连接到内网172.16.0.X的内网络中来,能访问内网电脑(172.16.0.2)。

实验步骤:

  1. 安装VPN Server,并分配权限
    实验测试群晖DSM的PPTP和OpenVPN两种VPN接入 NAS 第1张
    群晖套件中心下载并安装VPN Server,全部采用默认安装。注意为了实验可以创建一个实验用的账号,账号的名字无所谓,这个账号是和VPN登录账号一致的。如下图所示:
    实验测试群晖DSM的PPTP和OpenVPN两种VPN接入 NAS 第2张
  2. 首先实验PPTP VPN,启动VPN PPTP服务
    实验测试群晖DSM的PPTP和OpenVPN两种VPN接入 NAS 第3张
    首先实验PPTP VPN,使用默认的配置,然后启动,点击应用即可。
  3. 配置路由器端口映射
    -以PPTP VPN为例子。PPTP访问端口号1723,但是由于外网是无法访问192.168.0.X网络段的,因此也没有办法直接访问到群晖NAS服务器上安装的VPN服务。因此需要在路由器上开一个端口PPTP的映射。一般路由器上都有做端口映射或者叫做虚拟服务器的设置,目的就是外网对特定的端口号的访问映射到内网中来。
    实验测试群晖DSM的PPTP和OpenVPN两种VPN接入 NAS 第4张
    例如:D-LINK的端口映射设置如上图所示,其他路由器一般都有类似设置,非常简单的。比如PPTP VPN的端口号是TCP 1723,如下所示:
    实验测试群晖DSM的PPTP和OpenVPN两种VPN接入 NAS 第5张
    这样设置以后,外网就可以通过1723端口访问到群晖的VPN服务了。
  4. 外网电脑的PPTP客户端配置
    PPTP的配置是非常简单的,我们测试中使用电脑。比如windows10的操作过程为:
    从控制面板->网络与共享中心->设置新的链接与网络->连接到工作区->选择“使用我的Internet链连接(VPN)”,如下图:
    实验测试群晖DSM的PPTP和OpenVPN两种VPN接入 NAS 第6张
    填写创建VPN的参数,注意
    实验测试群晖DSM的PPTP和OpenVPN两种VPN接入 NAS 第7张
    注意,图片中的地址需要改成路由器WAN地址或者域名地址,其他参数都是默认即可。
    创建完毕后,点击所创建的VPN连接,过程中会要求输入账号密码。这个账号就是之前在群晖NAS上创建的实验账号,比如:admin。
  5. 测试验证PPTP
    外网电脑的VPN虚拟网卡VPN1将获取到PPTP设置的内网地址10.0.0.1。这个地址默认就可以访问192.168.0.0网段的电脑了。原理上来说就是基于TCP 1723这个端口连接,外网的电脑可以访问到内网的任何地址和服务了。虽然没有获取192.168.0.0网段的地址,但是VPN Server会做转发服务,可以认为外网笔记本电脑就是在内网一样。

Open VPN

OpenVPN相对于PPTP的VPN方式存在以下的优点和缺点:

优点:

1、OpenVPN支持UDP或者TCP作为协议承载,适合于不同的网络场景,使用更加灵活;
2、账号密码+证书使得安全性更加强大;
3、默认端口号只有一个,并且修改比其他两种VPN(PPTP和L2TP/IPSec)更加方便,在做端口转发设置的时候更加方便灵活。
缺点:
1、Open VPN是需要安装一个客户端软件,windows默认没有这个功能。
2、基于证书的加密机制,使用比较复杂一些

实验步骤:

1、安全证书管理

之前已经介绍过了,OpenVPN的安全加密基于证书,因此需要在客户端安装配置证书。而证书的验证默认是要和访问的域名一致的。比如:你的域名是 abc.com,则证书必须是abc.com发布并生成的。好在群晖NAS支持证书的创建和发布。
群晖NAS DMS操作系统的证书管理,通过 安全中心 进行管理,如下:
实验测试群晖DSM的PPTP和OpenVPN两种VPN接入 NAS 第8张

  • 如果之前没有对自己的网站创建过证书,操作步骤为点击 新增 菜单:
    实验测试群晖DSM的PPTP和OpenVPN两种VPN接入 NAS 第9张
  • 创建根证书:
    实验测试群晖DSM的PPTP和OpenVPN两种VPN接入 NAS 第10张
  • 创建证书:注意域名要正确。
    实验测试群晖DSM的PPTP和OpenVPN两种VPN接入 NAS 第11张

以上就把证书创建生成好了。

2、 配置VPN的证书
实验测试群晖DSM的PPTP和OpenVPN两种VPN接入 NAS 第12张
将VPN Server的证书配置为刚才创建的abc.com的证书。这样,VPN就可以使用你创建的证书进行安全加密传送了。

3、群晖NAS上启动OpenVPN
实验测试群晖DSM的PPTP和OpenVPN两种VPN接入 NAS 第13张
勾选 启动OpenVPN,并点击应用即可启动OpenVPNServer。默认端口号为udp 1194,使用者可以根据自己的情况选择TCP和其他不同的端口号。
4、网络配置
用户需要参考PPTP的端口映射的配置过程,在路由器上做端口映射到本地的1194端口号。同时要启动群晖的DDNS,动态域名服务。这样外网电脑就可以通过动态域名访问到OpenVPNServer的服务了。千万注意的是,动态域名需要和证书上的名称一致,否则OpenVPNServer默认是要验证的。如果因为证书的问题无法使用VPN服务,需要查看证书的有效期,名称等等是否正确。

5、群晖OpenVPN配置的下载导出
实验测试群晖DSM的PPTP和OpenVPN两种VPN接入 NAS 第14张

如上图所示的步骤,点击到处配置文件到本地备用。这个压缩包(openvpn.zip)里面有三个文件,请保存到外网电脑,后面安装OpenVPN的客户端时要作为配置文件来使用。
实验测试群晖DSM的PPTP和OpenVPN两种VPN接入 NAS 第15张
6、OpenVPN客户端安装
http://openvpn.ustc.edu.cn/
OpenVPN的安装、下载、使用参考如上的链接,这里不再详细描述了。

7、客户端配置
将步骤5导出的压缩包(openvpn.zip)解压缩到OpenVPN客户端配置目录下,一般为(C:\Program Files\OpenVPN\config)下。注意,拷贝和修改配置文件的过程需要管理员权限。
实验测试群晖DSM的PPTP和OpenVPN两种VPN接入 NAS 第16张
OpenVPN的配置文件是以ovpn结尾的文件,如上图所示,只要修改
remote YOUR_SERVER_IP 1194
为访问的OpenVPNServer地址和端口号即可,如果在外网,则修改为DDNS动态域名和外网端口号即可(注意参考步骤4做外网内网的端口映射)。
8、连接OpenVPN
打开 OpenVPN客户端软件以后,会在状态栏增加一个OpenVPN的小图标(未连接为黄色,连接成功为绿色),这时候点击图标右键,选择connect即可。
实验测试群晖DSM的PPTP和OpenVPN两种VPN接入 NAS 第17张
在客户端连接的过程中,会有一个状态栏信息提示框,当出现 Initialization Sequence Completed 的提示就表示连接成功,客户端的状态栏信息提示框会自动隐藏,图标会变为绿色。
9、验证
实验测试群晖DSM的PPTP和OpenVPN两种VPN接入 NAS 第18张
在命令行下,执行IPCONFIG命令就会显示如上的信息,其中红色框内表示VPN虚拟网络已经获取了VPN局域网地址。这时,选择局域网的一台电脑访问就可以验证连接是否成功。
实验测试群晖DSM的PPTP和OpenVPN两种VPN接入 NAS 第19张

点赞

发表评论