使用Open×××在家庭、辦公場所、住宿酒店等不同網絡訪問場所之間搭建類似于局域網的專用網絡通道

安裝環境：Windows 7 SP1 , open***-install-2.3.6-I003-x86_64

創建加密證書和密鑰

安裝Open ×××,在選擇安裝組件時，因為默認是不安裝easy-rsa(一個加密證書生成程序)的，所以，我們必須手動勾選如下圖紅色框框所示的兩個選項：Open*** RSA Certificate Management Script ?和 OPENSSL Utilites。

然后一路Next(如果詢問是否安裝TAP-Win32驅動程序時，請選擇“仍然繼續”)，就安裝成功了。

安裝成功后，創建加密證書和私鑰，

證書包括服務器端和客戶端都要用到的核心CA證書和私鑰，服務器端自身的加密證書(即公鑰)和私鑰，以及每個客戶端對應的加密證書和私鑰

第一步：修改Open×××服務器端的vars.bat.sample文件(客戶端的無需做任何修改)。這個文件存放在Open×××安裝目錄\easy-rsa\var\路徑下，可以使用記事本或其他文本編輯工具打開

修改這個sample文件的目的是 在稍后生成客戶端證書時，程序會要求我們輸入一些注冊信息(比如國家、省市、地址、公司名稱等)，如果我們設置好這些變量的值，這樣在稍后生成客戶端證書的時候，如果該信息項不輸入就會采用默認值。

第二步, 在作為服務器端的電腦A上打開DOS命令窗口，并進入到%Open×××的安裝目錄%\easy-rsa目錄。然后依次輸入并執行以下命令(括號內的是注釋)：

init-config(初始化配置，將vars.bat.sample文件的內容復制到vars.bat)vars(設置相應的局部環境變量，就是我們在vars.bat.sample文件中設置的內容)clean-all(相關設置和清理工作)

第三步，生成CA證書：在DOS命令執行 vars.bat 命令后，執行build-ca命令，確認好信息后（如下圖所示），一路回車即可 , ca.crt 和 ca.key 兩個文件默認生成 當前腳本目錄下的key 文件夾下。

在build-ca的時候需要輸入一些注冊信息。在輸入信息的時候，如果你不輸入任何信息，就表示采用默認值(前面[]中的內容就是默認值)；如果你輸入.，則表示當前信息項留空白。值得注意的是，下圖changeme是證書的通用名稱(Common Name),相當于我們常說的賬號，你也可以自行輸入其他名稱。

第四步，創建迪菲·赫爾曼密鑰：build-dh，?生成 dh1024.pem 文件?

在命令行下運行 ?vars.bat 腳本 然后在執行build-dh.bat 腳本，運行成功的輸出結果如下圖：

第五步，使用build-key-server 生成服務器端證書

在命令行下運行 ?vars.bat 腳本 然后在執行build-key-server server，命令中的參數server指的是生成的證書文件名稱，你可以按照自己的需要進行修改，不過后面的Common Name也應保持一致。輸入的密碼，你也可以根據意愿自行輸入。最后程序會詢問你是否注冊并提交證書，兩次均輸入y即可。

第六步，使用build-key-client 生成客戶端端證書

在命令行下運行 ?vars.bat 腳本 然后在執行build-key-client client-name，命令中的參數client表示生成的證書文件名稱，你可以按照自己的需要進行修改，不過后面的Common Name也應保持一致。輸入的密碼，你也可以根據意愿自行輸入。最后程序會詢問你是否注冊并提交證書，兩次均輸入y即可。

如果你想創建多個不同的客戶端證書，只需要重復此步驟即可。切記，Common Name不要重復，這是Open×××用來區分不同客戶端的關鍵所在。

第七步，?創建完證書后，我們會發現easy-rsa目錄下多了一個keys文件夾。現在我們將keys文件夾中對應的文件復制到Open×××服務器或客戶端的安裝目錄的config文件夾下。

服務器端config目錄需要的文件包括：

ca.crt，ca.key(核心CA證書和私鑰)dh1024.pem(如果最初的變量KEY_SIZE設為2048，這里就是dh2048.pem)server.crtserver.key(名稱server根據個人設置可能有所不同)

客戶端config目錄需要的文件包括：

ca.crt，client.crt，client.key(名稱client根據個人設置可能有所不同)

編輯服務器端和客戶端配置文件

Open×××的安裝目錄的sample-config文件夾中存放有3個示例模板文件：server.o***、client.o***、sample.o***。其中，server.o***是服務器的配置模板，client.o***是客戶端的配置模板

現在，我們就復制server.o***到服務器的config目錄，client.o***到客戶端的config目錄，并在此基礎上進行修改。在Open×××的配置文件中，前面帶“#”或“;”的表示注釋內容。

Server.o***的配置修改：

// 設定好服務器證書的名稱，名稱與創建時相同，以下僅是示例參考：

ca ca.crt

cert server.crt

key e***server01.key ?# This file should be kept secret

設定使用TAP網卡驅動

dev tap ?//使用 tap 的網卡驅動

設定迪菲·赫爾曼密鑰使用1024位

dh dh1024.pem ?// 配置文件默認是 dh2048.pem 這個需要修改為 dh1024.pem 因為我們事前生成的是1024pem文件

設定OPEN×××客戶端接入后分配的IP地址段

server 192.168.48.0 255.255.255.0 // 配置一個與服務器IP地址不同地址的網段 ，這段將用于分配給OPEN×××客戶端地址，假設本例使用192.168.48.0/24段作為客戶端接入地址池

push "route 192.168.4.0 255.255.255.0"?

push "route 192.168.0.0 255.255.255.0"

// ?表示此××× SERVER 能訪問 192.168.4.0/24 和 192.168.0.0/24的網段

ifconfig-pool-persist ipp.txt //基于客戶端名稱分配IP地址，ipp.txt的格式為：

key-name, ip-address

client.o*** 的配置修改：

設定證書路徑即可

ca "C:\\Program Files\\Open×××\\key\\ca.crt"

cert "C:\\Program Files\\Open×××\\key\\e***client03.crt"

key "C:\\Program Files\\Open×××\\key\\e***client03.key"

使用tap驅動方式，保持與Server端一致

dev tap // 保持與服務器端一致

使用Windows 7 系統作為OPEN ××× Server 還需要啟動一下服務：

1. 啟動 Routing and Remote Access 服務

2. 在網卡1 ( 本地鏈接1) 下啟用共享功能，如下圖，其中本地鏈接2是 OPEN ××× SERVER 啟動后模擬的網卡

轉載于:https://blog.51cto.com/upself/1712998

總結

以上是生活随笔為你收集整理的教你如何搭建虚拟专用网连接 OPEN***的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。