构建 OpenVPN 服务器

步骤一、配置 OpenVPN 服务器

  1. 登录 PBX 网页,进入 VPN 服务器 ,勾选 启用 VPN 服务器
  2. 配置 OpenVPN 服务器。

    配置示例如下:

    1. OpenVPN 配置项说明
    配置项 描述
    服务器端口 指定 OpenVPN 监听的端口 TCP/UDP。

    默认端口 1194。
    传输协议 选择传输协议。
    • TCP
    • UDP
    设备模式

    选择设备模式:

    • TUN:TUN 设备相当于虚拟的点对点 IP 链路层设备。

      如果选择 TUN 模式,你需要为 Windows 客户端分配静态 IP 来解决 TAP-WIN32 驱动限制。

    • TAP: TAP 设备相当于虚拟以太网设备。

      Android 和 iOS 客户端不支持 TAP 模式。

    注: 如果 Android,iOS 和其它客户端需要同时使用 OpenVPN 连接 PBX 服务器,建议你使用 TUN 模式。
    加密方法 选择加密方法。
    • BlowFish
    • AES-128
    • AES-256
    • Triple-DES
    密钥长度 选择密钥大小。
    注: 密钥大小必须与 var.bat 文件中 KEY_SIZE 的数值设置相同。
    最大客户端数 设置同时连接 OpenVPN 网络的客户端数量。
    验证模式 选择客户端验证模式。
    • 根证书 + 客户端证书 (推荐)
    • 根证书 + 客户端证书 + 账户密码
    • 根证书 + 账户密码
    注: 如果你选择了 根证书 + 客户端证书 + 账户密码根证书 + 账户密码,稍后你需要 为每个客户都按配置账号密码验证
    启用压缩 是否压缩 VPN 链路。
    地址池 定义地址池。
    掩码 设置子网掩码。
    全局流量转发 如果启用全局流量转发,客户端成功连接服务端后,将会配置默认网关指向服务器,客户端所有流量由服务器转发。(OpenVPN服务器机器可能需要NAT或将TUN / TAP接口桥接到互联网才能使其正常工作)。

    如果未启用全局流量转发,仅客户端与服务端通信的数据经过 VPN 通道传输,其他网络数据保持原来使用的路由转发。

    该功能可能在部分客户端无法生效。
  3. 上传服务器证书和密钥。

    2.
    配置项 证书 & 密钥
    CA 证书 上传 ca.crt
    服务端证书 上传 OpenVPN 服务器证书 server.crt
    服务端密钥 上传 OpenVPN 服务器证书 server.key
    DH PEM 上传 Diffie Hellman 文件 dh2048.pem
    注: 如果 KEY_SIZE 设置为 1024,则上传文件 dh1024.pem
    启用 SSL/TLS 加密层 开启 SSL/TLS 加密,上传 ta.key 文件。
  4. 点击 保存应用

步骤二、查看 VPN 服务器状态

  1. 进入 系统状态 > 网络 > VPN 服务器,查看 OpenVPN 状态和虚拟 IP 地址。

步骤三、VPN 端口映射

要确保 OpenVPN 客户端可以访问 PBX,你可以在路由器上做 OpenVPN 服务器端口映射。 默认 OpenVPN 服务器端口为1194。

记下公网 IP 地址和映射后的外部 OpenVPN 服务器端口。后续你需要在客户端文件中配置 OpenVPN 服务器的远程 IP 地址和端口。