WayOS-VPN设置

WayOS路由系统VPN连接说明

WayOS路由系统由VPN功能分为网关对网关和网关对客户机两种模式，下面我们将对这两种连接方式分别进行说明。

一、 网关对网关

网关对网关也就是路由对路由的连接方式，就是将一端的路由器设置为服务端，另一端路由设置为客户端。

1.1 VPN服务端设置

首先进入路由器Web管理界面（在IE地址栏输入路由器IP，填入用户名及密码即可进入）。点击左边导航栏”VPN管理-基本设置”，进入VPN设置界面，如下图所示：

（图1）

（图2）

然后我们将在服务端建立账号/密码等相关信息，以供客户端进行连接。下面我们队服务端的设置步骤进行说明。

VPN模式：有‘服务端’、‘客户端’、‘关闭’三个选项。选择‘关闭’为不开启VPN服务；这里我们要让其作为服务端，所以选择‘服务端’。

协议类型/端口：自定义VPN服务器所走的协议端口。

VPN虚拟网段地址/掩码:自定义一个用来连接VPN的虚拟网段地址及子网掩码。（请避免使用您正在使用的网段地址。如果您使用的是192.168.X.X,请使用10.X或者172.X的IP段）。

用户之间互通:即VPN之间的一个HUB功能。如果VPN的客户端与客户端之间需要进行互访，请勾选上。

以上已完成了服务端的基本信息设置，接下来我们要为客户端建立VPN连接的账号及密码以供客户端来连接服务端。

我们在下面的“用户列表”栏中科院看到建立VPN账号的一些选项，下面我们来说明一下建立方式：

状态：此项请勾选上;若未勾选，表示不启用该账号。

用户类型：这里我们选择‘路由器客户端’。（若是网关对客户机的连接方式才选择‘PC客户端’，后面我们将加以说明）

用户名/密码:为您的客户端建立一个用于连接VPN的帐号名及其密码。（请使用英文或者数字作为用户名/密码）

内部网络地址/掩码：填入您客户端连接VPN所用的内部IP广播地址及子网掩码。（此处IP不能与服务端内网处于同意网段）如果您客户端使用的是192.168.2.X的网段，那么此处IP就要设置为192.168.2.0。（192.168.2.0是客户端内网的广播地址）

新用户建立完之后点击“添加”，然后“提交设置”，最后再点击右上角的“保存设置”，至此您的服务端就建立完成了。

1.2 VPN客户端设置

首先进入路由器Web管理界面，点击左边导航栏“VPN管理-基本设置”，进入VPN设置界面，如下图所示：

图3

VPN模式：这里我们选择“客户端”

协议类型：选择VPN连接所使用的协议类型，必须与服务端的协议类型一致，否则无法建立VPN连接。

用户名/密码：请填写您在服务器建立的帐号名及密码。（此处填写的用户名与密码必须是您在服务器建立的，请正确填入，否则将无法建立VPN连接）

服务器地址：填写您服务端的WAN口IP（外网IP）地址或者DDNS域名，“：”后面填写您的VPN连接所使用的协议端口号（此端口号必须跟服务端的端口号一致）。

服务器地址备份：如果您的服务器是动态IP，且有申请多个DDNS，您可以在此处填写一个备用的DDNS域名，当某个DDNS解析不成功时，另一个还可以正常工作。

设置完毕之后请点击“提交设置”，然后点击右上角的“保存设置”以保存您的操作。

二、 网关对PC客户机

网关对PC客户机的连接方式就是，把路由器作为VPN服务端，在服务器上建立VPN用户，然后客户机利用VPN连接软件来与服务端进行连接

2.1 服务端设置

首先进入路由器Web管理界面，点击左边导航栏“VPN管理-基本设置”，进入VPN设置界面，如下图所示：

图4

服务端的基本设置与网关对网关的服务端设置基本相似，其不同之处在于“用户类型”的设置，此处我们选择“PC客户端”。

VPN模式：有‘服务端’、‘客户端’、‘关闭’三个选项。选择‘关闭’为不启用VPN服务；这里我们要让其作为服务所走的协议端口。

VPN虚拟网段地址/掩码：自定义一个用来连接VPN的虚拟网段地址及子网掩码。（请避免使用您正在使用的网段地址。如您正在使用的是192.168.X.X，请使用10.X或者172.X的IP段）

用户之间互通：即VPN之间的一个HUB功能。如果VPN客户端之间需要进行通信，请勾选上。

完成基本信息设置之后我们再来为客户端添加VPN账户。客户端需要使用我们在此处建立的账户/密码才能与服务端建立VPN连接。

状态:此选项请勾选上：若未勾选，表示不启用该账户。

用户类型：这里我们选择‘PC客户端’。（注：当选择‘PC客户端的时候’，其下方的‘内部网络地址/子网掩码’选项将不可用。VPN连接时候服务端将自动为用户分发一个IP。） 用户名/密码：为您的客户端建立一个用于连接VPN的账户名及其密码。（请使用英文或者数字作为用户名/密码）

用户账户建立完之后点击“添加”，然后“提交设置”，最后再点击右上角的“保存设置”，至此您的服务端就建立完成了。

2.2 PC客户端设置

用PC客户端连接VPN时需要借助Open VPN软件来进行，下面我们将对软件的应用设置进行说明。

2.2.1 中文汉化版设置

软件安装过程详见软件附带的安装程序向导，软件安装并汉化之后，运行主程序“OpenVpn-gui.exe”会在系统托盘区出现的图标，右键点击图标，会出现软件菜单，如（图五）所示。点击“编辑配置”，会弹出如（图六）所示的一个文本文档，这就是VPN客户端的配置文件。

我们来看看（图六）所示的配置文件，其中“proto”一项就是服务端选用的VPN协议（此处应与图2蓝色框中的协议类型一致），下面“remote”项就是服务端的WAN口IP(外网IP)或者是DDNS域名，中间保留一个空格，后面紧跟的是VPN协议的端口号（此处应与图2蓝色框中的端口一致），这样我们就完成了客户端的VPN连接设置。在关闭窗口之前别忘了保存哦！

设置完成之后我们就可以开始进行连接了，鼠标右侧点击托盘区

的菜单中选择“连接”，会出现下图所以的连接界面：

图标，在图5所示

（图7）

填入服务端所建立的用户账户及密码，点击‘确定’就开始连接了。若VPN连接成功，任务栏图标将变成绿色图标；若显示黄色图标，则说明VPN连接未成功。请检查远程服务器地址、端口、协议类型是否正确。其次需要看本地连接跟服务器是否处于同一网段，本地IP地址跟服务器IP地址若同一网段，是不能成功建立VPN连接的。

2.2.1英文版设置

运行英文原版安装程序。安装完毕之后，鼠标右键点击任务图盘区图标，将显示

菜单。因为我们还未进行用户端配置，所以这里暂时不会出现用户配置的菜

单。我们需要手动创建一份用户配置文件。可以使用下面的配置文件

新建一个记事本文件，复制下发红色字体内容，然后另存为‘Client.ovpn’格式（请将此文件保存在安装路径的config文件夹下），如图所示：

Client Devtun

Proto tcp

Remote server-IP 1194

Resolv-retry infinite

Nobind

Persist-key

Persist-tun

Ca ca.crt Auth-user-pass

Ns-cert-type server

Verb 4

;redirect-gateway def1

;dhcp-option DNS 8.8.8.8

PC

客户端的文件配置如下图所示，

文件保存之后，我们可以鼠标右击任务栏的图标，在弹出的菜单中点击‘Edit Config’选项即可对配置文件进行查看及修改。

最后我们还需要下载一个名为ca.crt的证书文件（此证书需要在服务端的‘证书管理’里面下载。若服务端没有提及新的证书，则所有的wayos路由系统里的证书可以相互通用。证书内容见文档结尾的红色文字部分），将从服务端下载的证书文件跟client.ovpn文件存放到同一个文件夹下（安装目录的config文件夹下面）如下图所示，完成之后我们就可以开始VPN连接了。

若VPN连接成功，任务栏图标将变成绿色图标；若显示黄色图标，则说明VPN连接未成功。请检查远程服务器地址、端口、协议类型是否正确。其次需要看本地连接跟服务器是否处于同一网段，本地IP地址跟服务器IP地址若同一网段，是不能成功建立VPN连接的。

-----BEGIN CERTIFICATE-----

MIIDUDCCArmgAwIBAgIBADANBgkqhkiG9w0BAQQFADB+MQswCQYDVQQGEwJDTjEL

MAkGA1UECBMCU0MxEDAOBgNVBAcTB0NoZW5nZHUxEjAQBgNVBAoUCXdheW9zX3Zw bjEOMAwGA1UECxMFd2F5b3MxDDAKBgNVBAMTA2pobDEeMBwGCSqGSIb3DQEJARYP d2F5b3NAZ21haWwuY29tMB4XDTA4MTExMDEwMjc1NVoXDTE4MTEwODEwMjc1NVow fjELMAkGA1UEBhMCQ04xCzAJBgNVBAgTAlNDMRAwDgYDVQQHEwdDaGVuZ2R1MRIw EAYDVQQKFAl3YXlvc192cG4xDjAMBgNVBAsTBXdheW9zMQwwCgYDVQQDEwNqaGwx HjAcBgkqhkiG9w0BCQEWD3dheW9zQGdtYWlsLmNvbTCBnzANBgkqhkiG9w0BAQEF

AAOBjQAwgYkCgYEAxD6UJr5qmndh0WiD8yn1GjRh4COLgbPuCLyzhZ1VSxxGKbpo

cZ2qfCRZW0aiMAI0GbjliSq1dhCed0zBjxlU2LJer5zgYRKINcqePttiCvosF53g

HdPktNEJVxWnp59yDbp7MFjo8e65HvPwaLNkc5MAVq/A8G2inAc6Zzl2klECAwEA

AaOB3TCB2jAdBgNVHQ4EFgQUZVKGbIHg8nSxfKw6+fyHphVrDu0wgaoGA1UdIwSB

ojCBn4AUZVKGbIHg8nSxfKw6+fyHphVrDu2hgYOkgYAwfjELMAkGA1UEBhMCQ04x

CzAJBgNVBAgTAlNDMRAwDgYDVQQHEwdDaGVuZ2R1MRIwEAYDVQQKFAl3YXlvc192

cG4xDjAMBgNVBAsTBXdheW9zMQwwCgYDVQQDEwNqaGwxHjAcBgkqhkiG9w0BCQEW D3dheW9zQGdtYWlsLmNvbYIBADAMBgNVHRMEBTADAQH/MA0GCSqGSIb3DQEBBAUA A4GBALfni4FG6g5Tfnlboa4+heIXe0/f2aAVBgIqqavXr6wOXDb1TeBf5DGO93AF

AI60wEwWkyzpER+yRwEmc0BdmRBgEjRVk1hl2u3hPUluFFxc53JLZ2JTb/6JuJMh

6PHje9tz2UXZphLwOT+pfg4zZXV5WGH8rmuKEdjJo5peWONQ

-----END CERTIFICATE-----

如果不能进行服务端证书下载，可以讲以上内容记事本编辑，另存为“ca.crt

“，然后存

放到安装目录的config文件夹下面（跟client.ovpn文件存放在同一个目录下）即可。

三、证书制作：

a) 安装openvpn-2.2-beta3-install.exe文件，具体步骤，请见安装文件说明，在此不累

赘了。

b) 配置证书，在C:\Program Files\OpenVPN\easy-rsa文件夹下，修改vars.bat.sample

文件里面的配置，提前修改好，为下面制作证书做准备。

set KEY_COUNTRY=CN //国家

set KEY_PROVINCE=JiangSu //省份

set KEY_CITY=LianYunGang //城市

set KEY_ORG=ahwt //机构名称

set //邮箱

c) 黄色背景为输入命令

C:\Documents and Settings\hcf1314>cd C:\Program Files\OpenVPN\easy-rsa

C:\Program Files\OpenVPN\easy-rsa>init-config

C:\Program Files\OpenVPN\easy-rsa>copy vars.bat.sample vars.bat

已复制 1 个文件。

C:\Program Files\OpenVPN\easy-rsa>copy openssl.f

已复制 1 个文件。

C:\Program Files\OpenVPN\easy-rsa>vars

C:\Program Files\OpenVPN\easy-rsa>clean-all

系统找不到指定的文件。

已复制 1 个文件。

已复制 1 个文件。

C:\Program Files\OpenVPN\easy-rsa>build-ca

Loading 'screen' into random state - done

Generating a 1024 bit RSA private key

.........................++++++

.....................++++++

writing new private key to 'keys\ca.key'

-----

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank. -----

Country Name (2 letter code) [CN]:

State or Province Name (full name) [JiangSu]: Locality Name (eg, city) [LianYunGang]: Organization Name (eg, company) [ahwt]:

Organizational Unit Name (eg, section) []:cmcc Common Name (eg, your name or your server's hostname) []:hcf1314

Email Address [hcf1314@host.domain]:

C:\Program Files\OpenVPN\easy-rsa>build-dh

Loading 'screen' into random state - done

Generating DH parameters, 1024 bit long safe prime, generator 2

This is going to take a long time

................................+..........+............+.......+..............

........+......................................................+...............

...............+..............................+..........+.....................

...+....................+.....+..........................+...........+........+

..............+.........+.......+..........+...................................

........................+.....................+..........+.....................

.........................................++*++*++*

d) 制作服务端证书：

C:\Program Files\OpenVPN\easy-rsa>build-key-server server //这里server名称可以根据自己需要修改

Loading 'screen' into random state - done

Generating a 1024 bit RSA private key

...........++++++

.....++++++

writing new private key to 'keys\server.key'

-----

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

----- Country Name (2 letter code) [CN]: //国家

State or Province Name (full name) [JiangSu]: //省份

Locality Name (eg, city) [LianYunGang]: //地区

Organization Name (eg, company) [ahwt]: //机构

Organizational Unit Name (eg, section) []:cmcc //组织名称 Common Name (eg, your name or your server's hostname) []:server //通用名称 Email Address [hcf1314@host.domain]: //邮箱地址

Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []:deg522 //密码

An optional company name []: //一个可选的公司名称，这里不填 Using configuration from openssl.cnf

Loading 'screen' into random state - done

Check that the request matches the signature

Signature ok

The Subject's Distinguished Name is as follows

countryName :PRINTABLE:'CN'

stateOrProvinceName :PRINTABLE:'JiangSu'

localityName :PRINTABLE:'LianYunGang'

organizationName :PRINTABLE:'ahwt'

organizationalUnitName:PRINTABLE:'cmcc'

commonName :PRINTABLE:'server'

emailAddress :IA5STRING:'hcf1314@host.domain' Certificate is to be certified until Jul 24 05:25:18 2022 GMT (3650 days)

Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y

Write out database with 1 new entries

Data Base Updated

e) 制作客户端证书：

C:\Program Files\OpenVPN\easy-rsa>build-key zte //这里zte根据自己需要修改 Loading 'screen' into random state - done

Generating a 1024 bit RSA private key

........................................++++++

......................++++++

writing new private key to 'keys\zte.key'

-----

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

----- Country Name (2 letter code) [CN]:

State or Province Name (full name) [JiangSu]:

Locality Name (eg, city) [LianYunGang]:

Organization Name (eg, company) [ahwt]:

Organizational Unit Name (eg, section) []:cmcc

Common Name (eg, your name or your server's hostname) []:client

Email Address [hcf1314@host.domain]:

Please enter the following 'extra' attributes to be sent with your certificate request

A challenge password []:deg522

An optional company name []: //同服务端不输入 Using configuration from openssl.cnf

Loading 'screen' into random state - done

Check that the request matches the signature

Signature ok

The Subject's Distinguished Name is as follows

countryName :PRINTABLE:'CN'

stateOrProvinceName :PRINTABLE:'JiangSu'

localityName :PRINTABLE:'LianYunGang'

organizationName :PRINTABLE:'ahwt'

organizationalUnitName:PRINTABLE:'cmcc'

commonName :PRINTABLE:'client'

emailAddress :IA5STRING:'hcf1314@host.domain' Certificate is to be certified until Jul 24 05:26:09 2022 GMT (3650 days) Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y

Write out database with 1 new entries

Data Base Updated