0
Каталог товаров
Поиск по каталогу Поиск
Draytek

Настройка OpenVPN на роутере DrayTek Vigor при помощи XCA

OpenVPN - это метод VPN с открытым исходным кодом, который может проходить через трансляторы сетевых адресов (NAT) и брандмауэры, поскольку он использует настраиваемый протокол безопасности, который использует SSL / TLS для обмена ключами. Сертификат - это один из методов аутентификации клиента, который поддерживает OpenVPN. Имея центр сертификации (CA) для подписи сертификата, сервер может использовать разные сертификаты для каждого клиента в топологии с несколькими клиент-серверами.
В этой статье мы будем использовать XCA, бесплатное программное обеспечение центра сертификации (CA), для создания и управления сертификатами сервера и клиента, необходимыми для конфигурации OpenVPN. Эта статья включает:

Часть 1. Создание сертификата сервера на маршрутизаторе

1-1. Поскольку у сертификата есть действительный период, убедитесь, что настройки времени маршрутизатора верны в разделе « System Maintenance >> Time and Date.» .

скриншот настроек времени и даты DrayOS

1-2. Перейдите в Certificate Management >> Local Certificateт, чтобы сгенерировать новый сертификат. Введите информацию и нажмите « Generate» .

скриншот DrayOS, генерирующего новый локальный сертификат

1-3. После нажатия кнопки «Создать» вы увидите запрос на подпись сертификата, который должен быть подписан центром сертификации. Скопируйте сертификат в PEM Format Content .

скриншот запроса на подпись сертификата DrayOS

Часть 2. Создание нового центра сертификации на XCA.

2-1. Запустите XCA, перейдите на вкладку Certificates, нажмите New Certificate . Выберите Create a self-signed Certificate with the serial. Нажмите  Apply all, чтобы применить шаблон ЦС.

скриншот XCA

2-2. Перейдите на страницу Sunject,

  • введите различимую информацию для сертификата, затем щелкните Generate a new key. .
  • Выберите «RSA» для Keytype  и «2048 бит» для Keysize , затем нажмите « Create» .
  • Нажмите ОК, чтобы сгенерировать сертификат ЦС. Теперь у нас есть сертификат доверенного центра сертификации для подписи сертификата сервера и сертификата клиента.

скриншот XCA

Часть 3. Импорт подписанного сертификата сервера и сертификата CA на маршрутизатор

3-1 Перейдите в раздел «Certificate signing requests», выберите «Paste PEM data» и вставьте содержимое формата PEM, скопированное с маршрутизатора на шаге 1–3.

скриншот XCA

3-2. Щелкните импортированный сертификат правой кнопкой мыши и выберите « Sign» . Для подписи используйте сертификат, созданный на шаге 2.

скриншот XCA

3-3 На вкладке «Сертификат» экспортируйте подписанный локальный сертификат в формате .crt. Вернитесь к графическому интерфейсу маршрутизатора, импортируйте его в маршрутизатор в разделе Certificate Management >> Local Certificate >> Upload Local Certificate. .

скриншот XCA и DrayOS

3-4 Убедитесь, что статус загруженного сертификата в порядке.

снимок экрана локального сертификата DrayOS, показывающий ОК в статусе

3-5 В XCA перейдите в раздел «Сертификат», выберите сертификат ЦС и экспортируйте его в формате .crt и импортируйте его в маршрутизатор в разделе « Certificate Management >> Trusted CA Certificate.

скриншот XCA и DrayOS

3-6 Убедитесь, что импортированный доверенный ЦС находится в хорошем состоянии.

снимок экрана DrayOS Trusted CA, показывающий ОК

Часть 4. Создание закрытого сертификата и закрытого ключа для VPN-клиента.

4-1 В XCA перейдите в раздел «Certificates» и нажмите « New Certificate . В разделе «Подписание» выберите «use the CA certificate for signing.».

скриншот XCA

4-2 Перейдите на страницу темы,

  • введите различимую информацию для сертификата,
  • щелкните « Generate a new key» , выберите «RSA» для Keytype  и «2048 бит» для параметра « Keysize» . Затем нажмите " Create" .
  • Нажмите ОК, чтобы сгенерировать сертификат. Теперь у нас есть частный сертификат для VPN-клиента.

скриншот XCA

4-3. Перейдите в раздел «Certificates» и выберите только что созданный сертификат. Экспортируйте его в формат .crt и импортируйте в VPN-клиент.

скриншот XCA

4-4. Перейдите в раздел «Private Keys», экспортируйте закрытый ключ (Oclient.key), вручную измените имя расширения на. .key.Затем импортируйте его в VPN-клиент.

скриншот XCA

Часть 5. Настройка маршрутизатора в качестве сервера OpenVPN.

5-1. Перейдите в VPN and Remote Access >> OpenVPN General Setup, и выполните конфигурацию, указанную ниже.

скриншот Общей настройки DrayOS Open VPN

5-2. Перейдите на вкладку Client Config, укажите имя файла CA Certificate, , Client Certificate для OpenVPN клиента и  Client Key . Затем нажмите « Export» .

скриншот настройки DrayOS Open VPN Client Config

5-3. Перейдите в раздел «VPN and Remote Access >> Remote Dial-in User», чтобы создать профили пользователей для подключенных пользователей OpenVPN. Установите флажок Enable this account , введите имя пользователя / пароль и установите флажок OpenVPN Tunnel в поле Allowed Dial-In Type.

снимок экрана DrayOS Remote Dial-in User Setup

5-4. Перейдите в раздел  VPN and Remote Access >> SSL General Setup, чтобы изменить сертификат сервера на локальный сертификат, созданный в части 2.

скриншот Общей настройки DrayOS SSL VPN

Часть 6: Настройка клиента в графическом интерфейсе OpenVPN

 

6-1 Импортируйте конфигурацию OpenVPN (test.ovpn) в графический интерфейс OpenVPN. В папку конфигурации OpenVPN нужно положить три файла:

  • Сертификат доверенного центра сертификации (CAtest.crt)
  • Частный сертификат (Oclient.crt)
  • Закрытый ключ (Oclient.key)
s скриншот пользовательского интерфейса OpenVPN

6-2 Нажмите « Подключиться» и введите имя пользователя / пароль, настроенные на шаге 5-3.

скриншот интерфейса OpenVPN

Настройка клиента в Smart VPN client

OpenVPN поддерживается клиентом Smart VPN, начиная с версии 5.2.0, сначала установите OpenVPN для Windows .

Ниже приведены шаги по настройке смарт-клиента VPN в качестве альтернативного решения помимо графического интерфейса OpenVPN.

1. Добавьте профиль VPN и выберите тип VPN OpenVPN, затем импортируйте конфигурацию OpenVPN (test.ovpn) в клиент Smart VPN.

импортировать конфигурацию в смарт-клиент vpn

2. Введите имя пользователя / пароль, настроенные на шаге 5-3, и нажмите OK, чтобы сохранить его.

умная аутентификация клиента vpn

3. В папку ovpnca смарт-клиента VPN нужно положить три файла:

  • Сертификат доверенного центра сертификации (CAtest.crt)
  • Частный сертификат (Oclient.crt)
  • Закрытый ключ (Oclient.key)
путь к сертификату клиента smart vpn

4. Затем включите Connect.

умное подключение клиента vpn

После установки туннелей OpenVPN статус VPN будет отображаться в разделе VPN and Remote Access >> Connection Management

скриншот DrayOS, показывающий OpenVPN онлайн

Исправление проблем

VERIFY ERROR: error=self signed certificate
Маршрутизатор использует самозаверяющий сертификат для VPN вместо сертификата, который мы импортировали. Проверьте настройки сертификата сервера в SSL VPN >> Общие настройки (шаг 5-4).




Поиск по каталогу
Например Termit iRZ модем Rl21 Atm21 Антенна 906 sma 47270
По Вашему запросу «» ничего не найдено
Отправьте сообщение, мы постараемся помочь
Поиск по базе знаний
Например ATM control iRZ collector iRZ bridge Termit Настройка ALFA
Мы используем cookie-файлы