35.3. SSL_VPN 服务端的设定

如果内网已有 SSL_VPN 服务器,想让其对外提供拨入服务,请参考: 使用内网 SSL_VPN 服务器

如果使路由自己充当 VPN 服务器,需要进行如下设置:

  1. 设定 SSL_VPN 服务参数

    进入“服务应用” ->“SSL VPN服务”,如下:

    初次使用 需要生成证书、密钥等文件,点击在右下角的“证书密钥文件管理”在弹出的窗口中单击“这里”即可“重新生成 CA、服务器端证书及TLS密钥”,如下:

    然后单击导出按钮即可导出刚刚生成的证书文件:ca.crt 、ca.key、server.key、ta.key 、server.crt

    如果之前导出过上述5个文件,则可以上传其到服务器,沿用原有的证书及密钥,无需重新生成。

    下面是设置VPN的连接参数:

    VPN 网络上使用的是内部保留IP地址,一般用 192.168.x.x 或 172.16.x.x 或 10.x.x.x,这里我们使用 172.16.0.x,可根据实际情况自行调整。

    [重要] 重要

    VPN 网络地址不能和本地局域网地址重复,也尽量不要和远程拨入端的局域网地址重复。

    为了防止冲突,建议把 VPN 网络地址设为比较特殊,比如 172.16.100.x 或 192.168.123.x 等。

    安全参数设置:

    如果想让客户端拨入后能访问远程局域网(VPN服务器后面的局域网),只需勾选 “允许客户端访问本地局域网”。

    和 PPTP_VPN 不同,无需在客户端手动添加静态路由或修改默认网关,VPN服务器会自动推送必要的动态路由给客户端,简化客户端的工作。

  2. 添加 VPN 用户

    进入“服务应用”->“用户账号管理”,点击新增用户,如下:

    如果需要让某个帐户拨号后始终获得一个固定的 VPN IP,在“分配固定 IP”项输入想要分配的 IP 即可,比如这里可以是 172.16.0.110。

    [注意] 注记

    分配给用户的固定 IP 必须在服务器所设定的 VPN 网络地址内。