یکی از روش های ارتباط کاربران راه دور (Remote Users) با شبکه داخلی و مرکز تلفن ویپ، ارتباط از طریق بستر امن OpenVPN می باشد، که در مرکز تلفن های یستار به راحتی می توان این سرویس را راه اندازی کرد و از طریق محیط وب، آن را مدیریت نمود. در ادامه چگونگی تنظیمات و راه اندازی این سرویس را آموزش خواهیم داد.
تنظیمات:
برای راه اندازی OpenVPN در مرکز تلفن های Yeastar نیاز است تا ابتدا certificate و کلیدهای خصوصی و عمومی مورد نیاز جهت امن سازی ارتباط میان سرور و کلاینت ها را تولید کنیم.
برای این منظور لازم است تا نرم افزار OpenVPN را دانلود کرده و همچون مراحل زیر، نصب را انجام دهید:
• به مسیر نصب نرم افزار دقت داشته باشید. در این مقاله، نرم افزار در این مسیر نصب شده است.
• با انتخاب این گزینه، اسکریپت EasyRSA را نیز نصب کنید که برای تولید certificate ها به آن نیاز خواهید داشت.
پس از اتمام نصب، وارد محیط Command Prompt ویندوز شوید:
• در این محیط نیاز است تا به فلدر openvpn وارد شوید تا با اجرای اسکریپت های مربوطه، certificate ها را بسازید.
CMD > D:
CMD > cd OpenVPN
CMD > cd easy-rsa
• پس از دسترسی به فلدر easy-rsa مراحل زیر را در command prompt انجام دهید:
1- تنظیمات اولیه برای OpenVPN:
اسکریپت init-config.bat را اجرا کنید:
همانطور که دیدید یک فایل ساخته شد. سپس دستور notepad vars.bat را اجرا کنید تا فایل vars.bat جهت ویرایش با notepad باز شود:
در فایل، تغییرات زیر را انجام دهید:
مقدار پارامتر KEY_SIZE به طور پیش فرض بر روی 4096 است. این عدد را به 2048 تغییر دهید.
در قسمت آخر فایل پارامترهای زیر موجود است:
مقادیر زیر را جاگزین آن ها کنید:
set KEY_COUNTRY=CN
set KEY_PROVINCE=FJ
set KEY_CITY=Xiamen
set KEY_ORG=Yeastar
set KEY_EMAIL=این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید
تنظیمات را ذخیره کرده و خارج شوید.
مجدد به پنجره command prompt بازگردید و دستورات زیر را به ترتیب وارد کنید:
Vars.bat
Clean-all.bat
پس از انجام این مراحل، تنظیمات اولیه OpenVPN انجام شده است.
2- چگونگی ساخت فایل های CA.crt و CA.key:
در پنجره command prompt دستور زیر را وارد کنید:
build-ca.bat
سپس مقادیر زیر را با دقت تعریف کنید و در صورتی که مقادیر نمایش داده شده در command prompt با مقادیر زیر یکسان بود با فشردن کلید enter آن را تایید کنید.
Country Name (2 letter code) [CN]:
State or Province Name (full name) [FJ]:
Locality Name (eg, city) [Xiamen]:
Organization Name (eg, company) [Yeastar]:
Organizational Unit Name (eg, section) [changeme]:admin
Common Name (eg, your name or your server's hostname) [changeme]:OpenVPN_CA
Name [changeme]:Yeastar
Email Address [این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید]:
پس از انجام این تنظیمات می توانید جهت اطمینان، به مسیر زیر بروید:
D:\OpenVPN\easy-rsa\keys
در اینجا می بینیم که فایل های ca.crt و ca.key ایجاد شده اند. در ادامه به ساخت فایل های مربوط به سرور میپردازیم.
3- نحوه ساخت فایل های server.crt و server.key:
دستور زیر را در cmd و در مسیر easy-rsa وارد کنید:
build-key-server.bat server
سپس مقادیر زیر را با دقت تعریف کنید و در صورتی که مقادیر نمایش داده شده در command prompt با مقادیر زیر یکسان بود با فشردن کلید enter آن را تایید کنید.
Country Name (2 letter code) [CN]:
State or Province Name (full name) [FJ]:
Locality Name (eg, city) [Xiamen]:
Organization Name (eg, company) [Yeastar]:
Organizational Unit Name (eg, section) [changeme]:admin
Common Name (eg, your name or your server's hostname) [changeme]:server
Name [changeme]:Yeastar
Email Address [این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید]:
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
توجه: اسامی admin و server و Yeastar را در مقابل مقادیر مربوط به خود در command prompt وارد کنید.
پس از انجام این تنظیمات می توانید برای اطمینان از صحت عملکرد خود به مسیر زیر بروید:
D:\OpenVPN\easy-rsa\keys
در اینجا می بینیم که فایل های server.crt و server.key ایجاد شده اند. در ادامه به ساخت فایل های مربوط به client می پردازیم.
4- نحوه ساخت فایل های client.crt و client.key:
دستور زیر را در command prompt و در مسیر easy-rsa وارد کنید:
build-key.bat client
سپس مقادیر زیر را با دقت تعریف کنید و در صورتی که مقادیر نمایش داده شده در command prompt با مقادیر زیر یکسان بود با فشردن کلید enter آن را تایید کنید.
Country Name (2 letter code) [CN]:
State or Province Name (full name) [FJ]:
Locality Name (eg, city) [Xiamen]:
Organization Name (eg, company) [Yeastar]:
Organizational Unit Name (eg, section) [changeme]:admin
Common Name (eg, your name or your server's hostname) [changeme]:client
Name [changeme]:Yeastar
Email Address [این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید]:
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
توجه: اسامی admin و client و Yeastar را در مقابل مقادیر مربوط به خود در command prompt وارد کنید.
پس از انجام این تنظیمات می توانید برای اطمینان از صحت عملکرد خود به مسیر زیر بروید:
D:\OpenVPN\easy-rsa\keys
در اینجا دیده می شود که فایل های client.crt و client.key ایجاد شده اند. در ادامه به ساخت فایل های مربوط به ta.key می پردازیم.
نکته: توجه داشته باشید که فایل های مربوط به client تنها برای یک دستگاه معتبر است و برای ارتباط چندین دستگاه از طریق openvpn با yeastar می بایست فایل های client به طور اختصاصی برای آن دستگاه ساخته و استفاده شود که این امر با تکرار مرحله 4 و تعریف پارامتر common name برای هر دستگاه امکان پذیر هست.
5- نحوه ساخت فایل ta.key:
دستور زیر را در command prompt و در مسیر easy-rsa وارد کنید:
OpenVPN --genkey --secret keys/ta.key
6- نحوه ساخت فایل Diffie Hellman:
دستور زیر را در command prompt و در مسیر easy-rsa وارد کنید:
build-dh.bat
پس از انجام تمامی مراحل بالا، در فلدر keys فایل های زیر را خواهید داشت که در جدول کاربرد هرکدام توضیح داده شده است:
کاربرد در: | اسم فایل |
سرور و کلاینت | Ca.crt |
فقط سرور | Server.crt |
فقط سرور | Server.key |
فقط کلاینت | Client.crt |
فقط کلاینت | client.key |
فقط سرور | dh2048.pem |
سرور و کلاینت | ta.key |
تنظیمات VPN Server در سرور Yeastar:
پس از ورود به اینترفیس وب دستگاه لازم است تا از قسمت App center اپلیکیشن vpn server را دانلود و نصب کنید. پس از نصب، اپلیکیشن را اجرا کرده و از قسمت configuration تنظیمات را انجام می دهیم:
در زیر هرکدام از پارامترها به اختصار توضیح داده شده است:
Enable VPN Server: فعال/ غیر فعال کردن VPN Server
Server Port: پورت سرویس OpenVPN (به طور پیش فرض 1194)
Protocol: نوع پروتکل (UDP/TCP) که بر روی UDP قرار می دهیم.
TUN/TAP) :Device Mode) که بر روی TUN قرار می دهیم.
Encryption: رمزگذاری از نوع blowfish
Key length: این مقدار باید برابر با مقداری باشد که در vars.bat و در پارامتر key_size تعریف کرده ایم. (در این جا 2048)
Maximum Number of Clients: تعداد دستگاه هایی که می توانند با سرور ارتباط برقرار کنند.
Verification Mode: حالت بررسی و تایید کلاینت که بر روی مقدار CA Cert + Client Cert قرار می دهیم.
Upload cert: آپلود فایل های خواسته شده در فلدرkeys که ساخته ایم و موجود است.
Enable Compression: فعال/ غیر فعال کردن فشرده سازی ارتباط VPN
Address Pool: رنج آدرس های IP که به کلاینت های OpenVPN اختصاص داده خواهد شد.
پس از انجام تنظیمات مطابق شکل آن ها را ذخیره کنید.
صحت عملکرد تنظیمات را می توانید از مسیر زیر و در صفحه وب مرکز تلفن یستار بررسی کنید:
Resource Monitor > Network > VPN Server
همانطور که می بینید VPN Server فعال است و IP سرور 10.8.0.1 می باشد. در این مرحله کافی است که کلاینت های خود همچون تلفن های تحت شبکه و یا تلفن های موبایل را برای اتصال به سرور از طریق OpenVPN تنظیم کنید.