OpenVPN-Anleitung für SIP-Telefone mit VPN-Grundlagen, Serverinstallation unter Ubuntu und Windows, Zertifikatserstellung, Client-Konfiguration, Upload ins Telefon und VPN-NAT-Nutzung.
Ein virtuelles privates Netzwerk, kurz VPN, ist eine sichere Netzwerkverbindung, die über ein öffentliches Netzwerk aufgebaut wird. Im Unterschied zu einer normalen Netzwerkverbindung verwendet es spezielle Tunnelprotokolle, um Datenverschlüsselung, Integritätsprüfung und Benutzerauthentifizierung bereitzustellen. Dadurch wird verhindert, dass übertragene Informationen eingesehen, verändert oder kopiert werden. Aus Sicht der Verbindungssicherheit ähnelt dies dem Aufbau einer privaten Standleitung innerhalb eines öffentlichen Netzwerks. Da diese private Leitung logisch und nicht physisch ist, wird sie als virtuelles privates Netzwerk bezeichnet. Ein VPN-System umfasst einen VPN-Server, VPN-Clients und Tunnel. Da die Übertragung über das Internet deutlich günstiger ist als das Mieten einer dedizierten Leitung, ermöglicht VPN Unternehmen, private und vertrauliche Informationen sicher und wirtschaftlich über das Internet zu übertragen.
Diese Anleitung beschreibt die VPN-Konfiguration mit OpenVPN. OpenVPN ist ein quelloffenes VPN-Konfigurationstool eines Drittanbieters, mit dem vorhandene Geräte als VPN-Anwendungsgateway genutzt werden können.
OpenVPN ist ein quelloffenes VPN-Konfigurationstool eines Drittanbieters, mit dem vorhandene Geräte als VPN-Anwendungsgateway genutzt werden können. Die folgenden Abschnitte beschreiben die Bereitstellung und Konfiguration des Servers unter Ubuntu und Windows.
2.1.1 OpenVPN-Server installieren
Geben Sie unter Ubuntu die folgenden Befehle ein:
sudo apt-get -y install openvpn libssl-dev openssl
sudo apt-get -y install easy-rsa
2.1.2 Zertifikate erstellen
Führen Sie die folgenden Befehle aus, um die anfängliche Zertifikatskonfiguration zu erstellen, die für den normalen Betrieb von OpenVPN erforderlich ist:
sudo mkdir /etc/openvpn/easy-rsa/
sudo cp -r /usr/share/easy-rsa/* /etc/openvpn/easy-rsa/
sudo su
sudo vi /etc/openvpn/easy-rsa/vars
----->Ändern Sie die Zertifikatseinstellungen bei Bedarf wie folgt:
export KEY_COUNTRY=”CN”
export KEY_PROVINCE=”BJ”
export KEY_CITY=”BeiJing”
export KEY_ORG=”fanvil”
export KEY_EMAIL=”fanvil@fanvil.com”
export KEY_OU=”fanvil”
export KEY_NAME=”server”
vars ausführen: source vars
Wenn es der erste Lauf ist, alles bereinigen: ./clean-all
CA-Zertifikat erzeugen: ./build-ca
Serverzertifikat erzeugen: ./build-key-server server
Clientzertifikat erzeugen: ./build-key client
Diffie-Hellman-Schlüsselbibliothek erzeugen. ./build-dh
Konfigurieren Sie die Serverumgebung und legen Sie die entsprechenden Zertifikatskonfigurationsdateien im angegebenen Verzeichnis ab:
cp keys/ca.crt /etc/openvpn/
cp keys/server.crt keys/server.key keys/dh2048.pem /etc/openvpn
mv /etc/openvpn/dh2048.pem /etc/openvpn/dh1024.pem
cp keys/client.key keys/client.crt /etc/openvpn/
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/
cd /etc/openvpn
gzip -d server.conf.gz
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/
Server starten:
/etc/init.d/openvpn restart
2.3.1 OpenVPN-Server installieren
Suchen Sie online nach der Windows-Version von OpenVPN und laden Sie sie herunter. In diesem Beispiel wird OpenVPN GUI verwendet. Doppelklicken Sie auf die heruntergeladene Software und installieren Sie sie mit den Standardeinstellungen. Achten Sie darauf, während der Installation die easy-rsa-Komponente auszuwählen. Der Standardpfad lautet C:\Program Files\OpenVPN.
2.3.2 Zertifikate erstellen
Vor der Ausführung muss zunächst die Umgebung initialisiert werden:
Ändern Sie den folgenden Teil von C:\Program Files\OPENVPN\easy-rsa\vars.bat.sample entsprechend Ihrer Situation:
set HOME=C:\Program Files\OPENVPN\easy-rsa
set KEY_COUNTRY=CN #(Land)
set KEY_PROVINCE=BEIJING #(Provinz)
set KEY_CITY= BEIJING #(Stadt)
set KEY_ORG=WINLINE #(Organisation)
set KEY_EMAIL=admin@winline.com.cn #(E-Mail-Adresse)
Der oben mit # beginnende Inhalt ist ein Kommentar. Schreiben Sie ihn nicht in die Datei.
Öffnen Sie cmd mit Administratorrechten, wechseln Sie in DOS und führen Sie die folgenden Befehle aus, um in das Verzeichnis
openvpn\easy-rsa zu gelangen:
init-config
vars
clean-all
Root-Zertifikat erzeugen: build-ca (drücken Sie durchgehend Enter, um die Standardkonfiguration zu verwenden)
Diffie-Hellman-Schlüsselbibliothek erzeugen: build-dh
Serverzertifikat erzeugen: build-key-server server (drücken Sie durchgehend Enter, um die Standardkonfiguration zu verwenden)
Clientzertifikat erzeugen: build-key client (drücken Sie durchgehend Enter, um die Standardkonfiguration zu verwenden)
2.3.3 Server starten
Alle erzeugten Schlüssel werden im Verzeichnis OpenVPN\easy-rsa\keys gespeichert.
Kopieren Sie die erzeugten Zertifikate in das Verzeichnis OpenVPN\config.
Kopieren Sie die Serverkonfigurationsdatei aus OpenVPN\sample-config in das Verzeichnis OpenVPN\config und starten Sie anschließend die OpenVPN-Anwendung.
Verwenden Sie im OpenVPN-Installationsverzeichnis notepad++, um die Datei server.ovpn oder server.conf zu öffnen. Ein Beispiel für eine serverseitige Datei ist unten dargestellt:
port 1194 # Dieser Port ist der von IANA für OpenVPN zugewiesene Port und kann bei Bedarf geändert werden
proto udp # tcp kann ebenfalls ausgewählt werden
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
server 10.8.0.0 255.255.255.0 # Einstellung des virtuellen LAN-Segments; bei Bedarf ändern
ifconfig-pool-persist ipp.txt
keepalive 10 120
client-to-client
comp-lzo
max-clients 100
persist-key
persist-tun
status openvpn-status.log
verb 3
Weitere detaillierte Informationen finden Sie im OpenVPN Wiki.
Der Client bezieht sich hier auf Geräte, die OpenVPN unterstützen. Damit das SIP-Telefon eine Verbindung zum OpenVPN-Server herstellen kann, werden Zertifikatsdateien benötigt.
Bearbeiten Sie zunächst die Client-Konfigurationsdatei client.ovpn oder client.conf. Ein Beispiel für eine Client-Konfigurationsdatei ist unten dargestellt:
client
dev tun
proto udp
remote 192.168.1.135 1194 # Server-Domain/IP und Port
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key comp-lzo
verb 3
Sie können die Client-Konfiguration entsprechend der serverseitigen Konfiguration anpassen.
Exportieren Sie anschließend die zuvor erstellten Clientdateien ca.crt, client.crt und client.key zur Verwendung beim Upgrade des SIP-Telefons.
Melden Sie sich auf der Weboberfläche des Telefons an und klicken Sie nacheinander auf Netzwerk->VPN. Laden Sie im OpenVPN-Dateifeld client.ovpn, client.key, client.crt und ca.crt nacheinander hoch. Nach Abschluss des Uploads zeigt das OpenVPN-Dateifeld die Größe der hochgeladenen Zertifikatsdateien an, wie unten dargestellt:
Öffnen Sie die VPN-Konfigurationsseite, wählen Sie Open VPN als VPN-Modus, aktivieren Sie VPN und klicken Sie auf die Schaltfläche Senden. Nach erfolgreicher Verbindung mit dem Server wird die erhaltene IP-Adresse im Feld VPN-Online-Status auf der VPN-Seite angezeigt. Wie unten dargestellt, lautet die erhaltene IP-Adresse 10.8.0.10.
Verwendungsmethode:
Importieren Sie die VPN-Zertifikate in das Telefon, aktivieren Sie Enable VPN und Enable NAT und verbinden Sie den PC mit dem LAN-Port des Telefons. Das Gateway des PCs muss auf die IP-Adresse des Telefons eingestellt werden. Danach kann der PC auf das VPN des Telefons zugreifen.
PC ping10.8.0.10 kann erfolgreich antworten, und ping www.baidu.com kann ebenfalls erfolgreich antworten. 10.8.0.10 ist die VPN-IP-Adresse.
Hinweis: Derzeit unterstützte Modelle sind J3G/X3U/X3SG/J1P sowie X5S/X6/X7/X7C/X210/X210i. Die Telefone X3S/X4/X7 werden derzeit nicht unterstützt.
