构建 OpenVPN 服务器
步骤一、配置 OpenVPN 服务器
- 登录 PBX 网页,进入 VPN 服务器 ,勾选 启用 VPN 服务器 。
- 配置 OpenVPN 服务器。
配置示例如下:
表 1. OpenVPN 配置项说明 配置项 描述 服务器端口 指定 OpenVPN 监听的端口 TCP/UDP。 默认端口 1194。
传输协议 选择传输协议。 - TCP
- UDP
设备模式 选择设备模式:
- TUN:TUN 设备相当于虚拟的点对点 IP 链路层设备。
如果选择 TUN 模式,你需要为 Windows 客户端分配静态 IP 来解决 TAP-WIN32 驱动限制。
- TAP: TAP 设备相当于虚拟以太网设备。
Android 和 iOS 客户端不支持 TAP 模式。
注: 如果 Android,iOS 和其它客户端需要同时使用 OpenVPN 连接 PBX 服务器,建议你使用 TUN 模式。加密方法 选择加密方法。 - BlowFish
- AES-128
- AES-256
- Triple-DES
密钥长度 选择密钥大小。 注: 密钥大小必须与 var.bat 文件中KEY_SIZE
的数值设置相同。最大客户端数 设置同时连接 OpenVPN 网络的客户端数量。 验证模式 选择客户端验证模式。 - 根证书 + 客户端证书 (推荐)
- 根证书 + 客户端证书 + 账户密码
- 根证书 + 账户密码
启用压缩 是否压缩 VPN 链路。 地址池 定义地址池。 掩码 设置子网掩码。 全局流量转发 如果启用全局流量转发,客户端成功连接服务端后,将会配置默认网关指向服务器,客户端所有流量由服务器转发。(OpenVPN服务器机器可能需要NAT或将TUN / TAP接口桥接到互联网才能使其正常工作)。 如果未启用全局流量转发,仅客户端与服务端通信的数据经过 VPN 通道传输,其他网络数据保持原来使用的路由转发。
该功能可能在部分客户端无法生效。
- 上传服务器证书和密钥。
表 2. 配置项 证书 & 密钥 CA 证书 上传 ca.crt。 服务端证书 上传 OpenVPN 服务器证书 server.crt。 服务端密钥 上传 OpenVPN 服务器证书 server.key。 DH PEM 上传 Diffie Hellman 文件 dh2048.pem。 注: 如果KEY_SIZE
设置为 1024,则上传文件 dh1024.pem。启用 SSL/TLS 加密层 开启 SSL/TLS 加密,上传 ta.key 文件。 - 点击 保存 和 应用。
步骤二、查看 VPN 服务器状态
- 进入 ,查看 OpenVPN 状态和虚拟 IP 地址。
步骤三、VPN 端口映射
要确保 OpenVPN 客户端可以访问 PBX,你可以在路由器上做 OpenVPN 服务器端口映射。 默认 OpenVPN 服务器端口为1194。
记下公网 IP 地址和映射后的外部 OpenVPN 服务器端口。后续你需要在客户端文件中配置 OpenVPN 服务器的远程 IP 地址和端口。