ROS 5.20 全部4种VPN设置过程

ROS 5.20 全部4种VPN设置过程

介绍

本设置方法根据5.20版本进行设置，共分5个部分分别为:
1、VPN的公共设置部分（2楼）
2、PPTP设置过程（3楼）
3、L2TP设置过程（4楼）
4、OVPN设置过程（5楼）
5、SSTP设置过程（6楼）
为了便于大家查看，本人将按照分楼的方式进行上述5部分的设置介绍。

一、ROS 4种VPN方式公共设置部分

ROS的VPN有一定的规律，其中有一些设置是公共的，我们可以称之为基础配置。这个配置可以单独为某一种VPN方式所使用，也可以为4种VPN方式共同使用。本人的设置过程就是把此基础配置让4种VPN方式共同使用了。这样整个设置过程避免了内容重复。大家如果希望不同VPN方式使用的基础配置不一样，完全可以自己对其单独设置的，ROS完全可以满足各种个性化要求。
直接上图：
第一步：设置分配给vpn用户的地址池 ip–pool

image

代码：

/ip pool
 add name=pool1 ranges=192.168.50.2-192.168.50.100

第二步：根据地址池ip设置NAT上网规则

image

代码：

/ip firewall nat 
add action=masquerade chain=srcnat disabled=no src-address=\
     192.168.50.2-192.168.50.100

第三步：设置基础设置的profiles模板

image

代码：

/ppp profile
add change-tcp-mss=yes dns-server=192.168.50.1 local-address=192.168.50.1 \
     name=profile1 only-one=default remote-address=pool1 use-compression=\
     default use-encryption=yes use-ipv6=yes use-mpls=default \
     use-vj-compression=default

第四步：添加vpn用户

image

代码：

/ppp secret
 add caller-id="" disabled=no limit-bytes-in=0 limit-bytes-out=0 name=\
      router.com.cn password=123456 profile=profile1 routes="" service=any

至此基础设置部分已经完成。添加了地址池和防火墙规则，设置了vpn拨号模板和用户名密码。

或许会有人问拨号模板里面有一些内容具体是怎么设置的，请大家看代码，代码里面有详细的设置。我没有给截图，要不得截好几个图。另外添加用户的时候服务类型设置了any，那是因为这一个用户要拨这四种vpn，如果大家想让不同的用户拨不同的vpn方式，可以单独进行相应类目的选择。

二、PPTP的设置过程

pptp是最通用支持设备最多的一种vpn方式，相信大家大多都会相应设置，我今天就截个图供大家参考

image

/interface pptp-server server 
set authentication=pap,chap,mschap1,mschap2 default-profile=profile1 enabled=yes keepalive-timeout=30 max-mru=1460 max-mtu=1460 mrru=disabled

三、l2tp的设置过程

l2tp的设置与pptp的设置基本一致，不过有一个区别就是要给客户端修改一下注册表，今天我给大家准备了这个注册表文件，下载导入即可。
具体设置如图所示：

image

代码：

/interface l2tp-server server 
set authentication=pap,chap,mschap1,mschap2 default-profile=profile1 enabled=yes max-mru=1460 max-mtu=1460 mrru=disabled

注意：以上方式设置好后，只用在手机等终端上l2tp，不能在windows平台上l2tp。以win7为例，不支付纯l2tp。win7要求的是l2tp+ipsec，如下图
[图片上传失败...(image-464ccb-1609233118023)]
所以想在win7上应用还要选择12tp+ipsec，如下图：
[图片上传失败...(image-8250dd-1609233118023)]
然后，将下面注册表文件保存到文本，另存为.reg格式，双击导入系统，重启或注销windows系统：
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\Parameters]
"ProhibitIPSec"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent]
"AssumeUDPEncapsulationContextOnSendRule"=dword:00000002

在win7中，按下图配置：
[图片上传失败...(image-61020d-1609233118023)]
[图片上传失败...(image-f11a0d-1609233118023)]
具体ros的l2tp+ipsec设置，会在另一篇文章详细展开。

四、OVPN的设置过程

   openvpn是国外开发的一种新型可以有tcp方式和udp方式两种连接的使用SSL证书的VPN连接方式，但是ROS只支持TCP方式。openvpn可以任意修改端口，并且还是基于TCP协议的，这种vpn方法有人说可以穿透任何防火墙，具体是不是这样有待于验证，但是毫无疑问，它是目前受限制最少，应用最广泛的一种vpn拨入方式。openvpn在ROS里的服务是ovpn-server.

今天我们将会对它进行重点设置介绍。
windows默认的网络协议并不支持openvpn，想使用openvpn我们需要安装官方的或者自己重新编译后的openvpn客户端。安装客户端之后会在系统里加载一块虚拟的网卡，openvpn客户端将会在连接的时候启动这个虚拟网卡进行网络连接。
第一步、安装openvpn客户端
官方的客户端下载地址为：http://openvpn.net/index.php/download.html
打不开可以搜索以下版本：【openvpn-install-2.3.2-I003-i686】。个人认为这个版本最好用，支持win7。另外一个2.0的版本是winXP时代的，在WIN7上装不了：【openvpn-2.0_rc16-gui-1.0-rc4-install.exe】。

安装很简单，一路默认即可，重点在我们要使用windows下的openvpn客户端来生成服务器证书。
第二步、修改默认配置文件
如果默认安装在C盘的，找到C:\Program Files\OpenVPN\easy-rsa\下的 vars.bat.sample文件，用记事本打开按照如下图红色位置修改为自己的信息：

![](https://images.gitee.com/uploads/images/2020/1229/165907_16a251f5_2283166.png "屏幕截图.png")

修改完之后保存，进行下一步的证书生成。

第三步、生成根证书与key
我们需要进入到cmd下面用命令行的形式进行操作，具体操作请大家看本人的操作过程，根据顺序查看图片进行操作
[图片上传失败...(image-24108d-1609233118023)]
进入操作目录

image

执行init-config，生成vars.bat文件

image

执行vars，创建运行环境

image

清理证书文件夹keys，执行clean-all

image

执行以下两个命令创建证书

build-dh
[图片上传失败...(image-164f80-1609233118023)]
再执行一次vars，

image

build-ca，生成证书的时候让修改配置，因为我们已经修改过默认文件了，一路回车即可

image

查找keys文件夹里的ca.crt与ca.key两个文件
[图片上传失败...(image-496bbc-1609233118024)]
通过ftp或者winbox将这两个文件上传到ros里面
[图片上传失败...(image-ea00f7-1609233118024)]

image

导入进去之后执行下一步的安装证书的操作
第四步、安装openvpn的证书到ros
请根据图示进行导入证书的操作

image

[图片上传失败...(image-23e522-1609233118024)]

image

当证书前面出现了KR的时候，说明了证书导入成功

image

五步、ovpn的设置
ovpn的设置有几个选项需要注意，最重要的有一个是子网掩码那里，你设置的地址池是多少就用数字表示多少，比如是一个C段那这里就写成24，B段写成是16，相信大家都明白子网的换算。写不对后果很严重，那就是拨不上号，连不上ovpn。另外很有价值的一点是，端口port可以修改，默认是1194，可以改其它的，更安全。

image

至此ovpn设置已经基本完毕，现在贴出来部分代码
ovpn设置部分的代码：

/interface ovpn-server server 
set auth=sha1,md5 certificate=cert2 cipher=blowfish128,aes128,aes192,aes256 \
     default-profile=profile1 enabled=yes keepalive-timeout=60 mac-address=\     
     FE:69:30:E3:1B:80 max-mtu=1500 mode=ethernet netmask=24 port=1194 \     
     require-client-certificate=no

第六步、客户端的配置文件
客户端需要在客户端软件文件夹内建立一个名为config的文件夹，将ca.crt和ca.key复制到里面。

image

然后建立一个任意名字的以.ovpn为后缀的文件，文件名称最好是英文，如我建立一个openvpn.ovpn的文件，将这个文件以记事本打开键入以下内容：

client 
dev tap 
proto tcp 
remote "192.168.123.1" 1194 
ca ca.crt 
keepalive 10 120 
cipher AES-256-CBC 
auth SHA1 
auth-user-pass 
verb 5 
redirect-gateway def1

注意：这个remote “192.168.123.1”，如果不是局域网，要改为外网IP地址或DDNS类的域名“xxx.f3322.net"，例如如下：

image

还有一点，如果在ROS的防火墙做了限制，要在IP-firewall-Filter Rules里开通ovpn对应的端口。默认是没有限制的。如果不修改的话就是1194端口。由于我之前做了限制，所以要放开端口，如下：

image