openvpn client端 安裝設定

接前文:openvpn server端 安裝設定

openvpn主程式本身並沒有分Server/Client端,也就是Client端一樣也是啟動openvpn服務,去連接當Server的主機。不過在Linux跟Windows底下設定方式略有不同:

Linux部份:

一樣!將openvpn安裝起來後,首先你要取得在 openvpn server端 安裝設定中提到的下列檔案:

1. SSL的rootCA:ca.crt
2. client的憑證公鑰: acman.crt
3. client的憑證私鑰: acman.key
4. tls.key

我們一樣將這四個檔都放在 /etc/openvpn/keys/ 底下

修改設定檔/etc/openvpn/client.conf,以下是設定檔範例及說明:

client
dev tun
proto tcp
;; Server的ip及port
remote 1.2.3.4 1194
resolv-retry infinite
nobind

persist-key
persist-tun
;; 以下四行要確定檔案都在且檔名都沒有打錯
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/acman.crt
key /etc/openvpn/keys/acman.key
tls-auth /etc/openvpn/keys/ta.key 1
;;如果Server有開啟使用username/password登入,才需要這行
auth-user-pass
ns-cert-type server
status /var/log/openvpn-status.log
log         /var/log/openvpn.log
comp-lzo
verb 9

啟動openvpn:

/etc/init.d/openvpn start

Windows部份:
請先安裝openvpn:下載點
然後雙擊就可以安裝了
設定檔存放在”c:\program files\openvpn\conf\”,檔名為"openvpn.ovpn",以下是範例:
和linux設定檔幾乎一模一樣,只有多一行,用紅字表示

client
dev tun
;; windows底下要多這一行,記住後面的pvpn(可自取),等下要用
dev-node pvpn
proto tcp
remote 1.2.3.4 1194
resolv-retry infinite
nobind

persist-key
persist-tun
ca ca.crt
cert portal.crt
key portal.key

auth-user-pass
ns-cert-type server

tls-auth ta.key 1
comp-lzo
verb 3

最後,再到網路上的芳鄰->右鍵選內容, 有一個"區域連線n"(TAP-Win32 Adapter...) , 按 F2 改名成 "pvpn" (要和設定檔你所自定的名字一樣)

設定到此完成,執行 OpenVpn GUI, 在右下角就會有一個 Icon 出現。
如果要連線的話,在右下角的 Icon 直接選 Connect就可以連上vpn了
(若右下角沒有openvpn的Icon,則到開始功能表-->openvpn中,點擊openvpn主程式即可看到Icon)

要離線的話,在右下角的 Icon 直接選 Disconnect就可以離線了

==下一篇再來寫進階設定==

本篇發表於 VPN。將永久鏈結加入書籤。

openvpn client端 安裝設定 有 5 則回應

  1. son 說道:

    請問...您上面所提到的
    1. SSL的rootCA:ca.crt
    2. client的憑證公鑰: acman.crt
    3. client的憑證私鑰: acman.key
    4. tls.key

    是說...要在Client 端 再製作一次同樣檔名的嗎?
    還是說是把Server端的 憑證 copy過去?

  2. acman 說道:

    server端做好的 copy過去
    所有憑證都是 server 簽發

  3. 訪客 說道:

    conf --> config in WinXP for openvpn 2.3.2
    For your information

  4. Pin 說道:

    您好,可否請教一下
    如果我想要讓同一Client端去存取2個不同的VPN Server
    在Client這邊是否可支援呢?
    如果可以要如何做到呢?

    感謝

  5. acman 說道:

    理論上可以!
    要注意 dev-node or dev 後面接的名稱,不一樣的話或許可以吧
    沒實際測試過
    另外,要注意接上後的路由,不要有衝突

發表迴響

你的電子郵件位址並不會被公開。

*

:~~: :stealthy: :sigh: :shake: :pop: :photo: :orz: :oops: :muyu: :loser: :laugh: :hot: :fight: :eat: :cry: :cool: :cookacman: :clap: :addoil: :PP :O~: :O: :?: :-x