上一篇:Ubuntu 16.04上安装OpenVPN服务器(一)
步骤十二:安装客户端配置
现在,我们会讨论如何在Windows、OS X、iOS和安卓上安装客户端VPN配置文件。这些客户端上的指令之间是独立的,所以可以跳到适用你的任一条。
Windows
安装
OpenVPN的下载页面上可以找到Windows的OpenVPN客户端程序。为你的Windows选择合适的安装程序版本。
注意:OpenVPN需要管理员权限才能安装。
在安装OpenVPN之后,把.opvn
文件拷贝到:
C:\Program Files\OpenVPN\config
当你启动OpenVPN时,它会自动查看配置文件。
每次使用OpenVPN时必须以管理员身份运行。为了不必在每次使用VPN时右击并选择Run as administrator
,你可以进行预设置,但是必须通过管理员账号完成。这也意味着标准用户需要输入管理员密码才能使用OpenVPN。另一方面,除非客户端上的OpenVPN程序有管理权限,否则标准用户无法正确链接到服务器,所以有必要提升权限。
要将OpenVPN程序设置为始终以管理员身份运行,右键单击其快捷方式图标,然后点击属性。在“兼容性”选项的底部,点击“更改所有用户的设置”。在新窗口中,选中“以管理员身份运行此程序”。
连接
每次启动OpenVPN GUI时,Windows都会询问是否要让程序对你的计算机进行修改,选择是。启动OpenVPN客户端程序只是把applet放入系统托盘中,以便根据需要连接和断开VPN,它实际上并没有创建VPN连接。
一旦OpenVPN启动,右击系统托盘中的OpenVPN程序图标,这会打开一个菜单。选择菜单顶部的client1
(这是我们的client1.opvn
配置文件)并选择Connect
。
这会打开一个状态窗口,显示建立连接时的日志输出,一旦客户端连上回显示一条消息。
断开与VPN的连接:右击系统托盘中的OpenVPN图标,选择客户端配置文件,并单击Disconnect
。
OS X
安装
Tunnelblick是一款适用于Mac OS X的免费、开源OpenVPN客户端。你可以从Tunnelblick下载页面下载最新的磁盘映像。双击下载的.dmg
文件并按照提示进行安装。
在安装过程结束时,Tunnelblick会问你是否有任何配置文件。打开Finder窗口,并双击client1.opvn
。Tunnelblick会安装客户端配置文件。
连接
通过双击Applications
文件夹中的Tunnelblick来启动Tunnelblick。一旦Tunnelblick启动,屏幕右上角的菜单栏会出现一个Tunnelblick图标来控制连接。点击图标,然后点击Connect
来启动连接。选择client
连接。
Linux
安装
如果你使用的是Linux,根据你的发行版本可以使用各种工具。你的桌面环境或窗口管理器也可能包含连接程序。
最普遍的方式是使用OpenVPN软件。
在Ubuntu或者Debian上,你可以像在服务器上一样安装:
client$ sudo apt-get update
client$ sudo apt-get install openvpn
在CentOS上你可以启动EPEL库,然后通过以下命令安装:
client$ sudo yum install epel-release
client$ sudo yum install openvpn
配置
检查你的发行版本是否包含/etc/openvpn/update-resolv-conf
脚本:
client$ ls /etc/openvpn
Output
update-resolve-conf
下面编辑你传输的OpenVPN客户端配置文件:
client$ vim client1.ovpn
如果发现有update-resolv-conf
文件,那么取消注释我们添加的三行来调整DNS设置:client1.ovpn
script-security 2
up /etc/openvpn/update-resolv-conf
down /etc/openvpn/update-resolv-conf
如果你使用的是CentOS,把group
从nogroup
修改为nobody
以匹配发行版本的可用组:client1.ovpn
group nobody
保存并关闭文件。
现在你只需把openvpn
命令指向客户端配置文件即可连接到VPN:
client$ sudo openvpn --config client1.ovpn
安卓
安装
打开Google Play Store,搜索并安装Android OpenVPN Connect,这是官方的Android OpenVPN客户端程序。
用USB把你的安卓设备连接到你的计算机,然后通过拷贝文件来传输.opvn
配置文件。
启动openVPN应用,点击菜单导入配置文件:
然后导航到保存的配置文件的位置并选择文件。这个应用将记下该配置文件已被导入:
连接
只需要点击Connect
按钮,就可以进行连接。你会被问到是否信任OpenVPN程序,选择确定以启动连接。要断开VPN连接,返回到OpenVPN应用,然后选择断开连接。
步骤十三:测试VPN连接
一旦安装了所有东西,一个简单的检查可以确认一切正常。现在断开VPN连接,然后打开浏览器访问DNSLeakTest。
这个网站会返回由你的互联网服务提供商分配的IP地址。为了用这个网站检查你的DNS设置,点击Extended Test
,它会告诉你你在使用哪个DNS服务器。
现在把OpenVPN客户端连接到你的VPN服务器上,然后刷新浏览器。现在应该出现你的VPN服务器的IP地址。再一次,Extended Test
会检查你的DNS设置。
步骤十四:撤销客户证书
有时候,你可能需要撤销一个客户端证书以防止进一步访问OpenVPN服务器。
为此,输入你的CA目录并重新source
var
文件:
$ cd ~/openvpn-ca
$ source vars
然后,使用你想要撤销的客户端名称调用revoke-full
命令:
$ ./revoke-full client3
这会显示一些输出并以error 23
结束。这是正常的并且应该已经成功生成了必要的撤销信息,这些信息保存在keys
字目录下的一个名为crl.pem
文件中。
把这个文件放到/etc/openvpn
配置目录中:
$ sudo cp ~/openvpn-ca/keys/crl.pem /etc/openvpn
然后,打开OpenVPN服务器配置文件:
$ sudo vim /etc/openvpn/server.conf
在文件的底部,增加crl-verify
选项,使得OpenVPN服务器在试图创建连接时检查证书撤销列表:/etc/openvpn/server.conf
crl-verify crl.pem
保存并关闭文件。
最后,重启OpenVPN以实现证书撤销:
$ sudo systemctl restart openvpn@server
现在客户端应该不可以再用旧的证书成功连接到服务器。
要撤销其他用户,按照以下过程进行操作:
source
~/openvpn-ca
目录下的vars
文件,然后使用客户端名称调用revoke-full
脚本,生成一个新的证书撤销列表。- 拷贝新的证书撤销列表到
/etc/openvpn
目录以覆盖旧的列表。 重启OpenVPN服务。
来自