设置 VPN 客户端
在本教程中,您将学习如何设置 VPN 客户端并连接到 VPN 服务器。
准备工作
从 VPN 服务器管理员处获取以下信息:
-
客户机概要文件 (
<vpn_server>.ovpn) -
为 VPN 服务器配置的认证类型
选项包括客户机证书,用户标识和/或验证码。 如果已实现基于客户机证书的认证,请确保您也接收到客户机证书。
-
如果从公共认证中心 (CA) 订购了 VPN 服务器证书,请确保您具有 CA 证书编号。
安装 VPN 客户端
首先,必须下载并安装 OpenVPN 客户机。 支持以下客户机软件版本。
- 对于 macOS Catalina 和更高版本: OpenVPN Connect v3,OpenVPN Connect v2和 Tunnelblick 3.8.4
- Windows 8 和更高版本: OpenVPN Connect v3,OpenVPN Connect v2
- RHEL 7.x 和更高版本: OpenVPN Connect v3,OpenVPN Connect v2和 OpenVPN 命令行客户机 (V 2.4.4 和更高版本)
- Ubuntu 18.04 和更高版本: OpenVPN Connect v3,OpenVPN Connect v2和 OpenVPN 命令行客户机 (V 2.4.10 和更高版本)
您可以选择其他 OpenVPN-2.4-compatible 客户机软件。 但是,未列出的软件无法保证工作。
设置客户机认证
VPN 服务器管理员可以选择设置客户机证书和/或用户标识和验证码。 根据管理员指示您执行的操作,请完成以下一个或两个过程。
配置客户机证书
如果管理员为基于证书的认证提供了客户机证书,那么必须编辑客户机概要文件 (<vpn_server>.ovpn),然后使用任何 ASCII 编辑器将客户机证书添加到该文件中。
如果管理员使用了专用证书,那么他们可能为您提供了已包含客户机证书和专用密钥的客户机概要文件。 如果是这样,请将客户机概要文件保存在系统上,并跳至步骤 4 以打开 OpenVPN 客户机 UI 并导入该文件。
-
将客户机概要文件 (
<vpn_server>.ovpn) 保存在系统上。 -
在 ASCII 编辑器中打开该文件,并将客户机证书添加到客户机概要文件的末尾。 例如,使用下列其中一种方法:
-
输入客户机公用密钥和客户机专用密钥的路径:
cert /path/client_public_key.crt key /path/client_private_key.key
OR
-
在
<cert></certs>标记之间换行client_public_key.crt,并将client_private_key.key括在<key></key>之间,如下所示。<cert> -----BEGIN CERTIFICATE----- place your VPN client certificate -----END CERTIFICATE----- </cert> <key> -----BEGIN PRIVATE KEY----- place your VPN client private key -----END PRIVATE KEY----- </key>
-
-
如果从公共认证中心 (CA) 订购了 VPN 服务器证书,那么还必须使用公共 CA 证书更新
<ca>部分。<ca> ----BEGIN CERTIFICATE----- MIID...................... .......................... .......................... .......................... ----END CERTIFICATE----- </ca> -
打开 OpenVPN 客户机 UI 并导入
.ovpn概要文件。 根据您安装的 OpenVPN 客户机,指示信息会有所不同。 提供了 OpenVPN Connect 和 Tunnelblick 示例。OpenVPN Connect 示例:
- 单击窗口右下方的加号图标。 !["个人档案" 窗口](images/vpn-c2s-profile.png ""个人档案" 窗口")
- 单击 浏览 以选择并导入
.ovpn文件 (客户机概要文件)。 !["导入概要文件" 窗口](images/vpn-c2s-import.png ""导入概要文件" 窗口")
Tunnelblick 示例:
- 单击 VPN 详细信息。
Tunnelblick UI - 在“配置”部分中拖放
.ovpn文件。 !["配置" 窗口](images/vpn-c2s-configurations.png ""配置" 窗口") - 单击确定。 !["添加配置" 窗口](images/vpn-c2s-ok.png ""添加配置" 窗口")
- 选择 仅我 并提供系统用户名和系统密码。 这通常是您的 IBMid 和密码。 然后,单击确定。 !["所有用户的安装配置" 窗口](images/vpn-c2s-only-me.png ""所有用户的安装配置" 窗口")
-
如果仅配置客户机证书,请跳至 步骤 3: 连接到 VPN 服务器。 如果您还在配置用户标识和验证码,请完成下一节中的步骤。
配置用户标识和密码
如果管理员在 VPN 服务器上配置了用户标识和密码认证,请执行以下步骤:
VPN 服务器管理员邀请您加入 VPN 服务器所在的帐户,以便您可以连接到 VPN 服务器。 管理员已向您的标识分配 IBM Cloud Identity and Access Management (IAM) 许可权。
-
转至此 Web 站点以生成您的用户标识的验证码:
https://iam.cloud.ibm.com/identity/passcode -
如果从公共认证中心 (CA) 订购了 VPN 服务器证书,请在系统上保存客户机概要文件 (
<vpn_server>.ovpn),然后使用公共 CA 证书更新<ca>部分。 如果已配置客户机证书,请跳过此步骤。例如:
<ca> ----BEGIN CERTIFICATE----- MIID...................... .......................... .......................... .......................... ----END CERTIFICATE----- </ca> -
打开 OpenVPN UI 并导入文件。
请勿选择 保存密码。
OpenVPN Connect 示例:
-
在 OpenVPN Connect 客户机中,输入 IAM 用户名,然后单击 CONNECT。 !["导入的概要文件" 窗口](images/vpn-c2s-imported-profile.png ""导入的概要文件" 窗口")
-
添加在步骤 1 中生成的一次性密码,然后单击 确定。
输入密码窗口
Tunnelblick 示例:
-
导入
.ovpn文件后,单击 连接。 !["配置" 窗口](images/vpn-c2s-config.png ""配置" 窗口") -
在弹出窗口中,输入 IAM 用户名和使用步骤 1 中的链接生成的一次性密码。 然后,单击确定。
登录窗口
-
-
继续下一节。
连接到 VPN 服务器
准备好连接到 VPN 服务器时,单击 连接。
OpenVPN Connect 示例: !["导入的概要文件" 窗口](images/vpn-c2s-imported.png ""导入的概要文件" 窗口"){: caption=""导入的概要文件" 窗口" caption-side="bottom"} Tunnelblick 示例: !["配置" 窗口](images/vpn-c2s-config.png ""配置" 窗口")
如果您迂到警告消息,例如下列其中一项,请选择不要再次警告。 然后,根据 OpenVPN 客户机,单击 继续 或 确定。
Missing external certificateThis computer's apparent public IP address was not different after connecting to xxx...One or more possible problems with DNS were found:
您现在已连接到客户机到站点 VPN 服务器。
OpenVPN Connect 示例:
