設定 Azure 虛擬 WAN 的 OpenVPN 用戶端
此文章可協助您設定 OpenVPN ® 通訊協定用戶端。 您也可以使用 Azure VPN Client,透過 OpenVPN 通訊協定進行連線。 如需詳細資訊,請參閱設定 P2S OpenVPN 連線的 VPN 用戶端。
開始之前
建立使用者 VPN (點對站) 設定。 請確定您選取「OpenVPN」做為通道類型。 如需步驟,請參閱建立 Azure 虛擬 WAN的 P2S 設定。
Windows 用戶端
從官方 OpenVPN 網站下載並安裝 OpenVPN 用戶端 (2.4 版或更新版本)。
找到您所產生並下載到電腦的 VPN 用戶端設定檔組態套件。 擷取套件。 前往 OpenVPN 資料夾,然後使用記事本開啟 vpnconfig.ovpn 組態檔。
接下來,找出您建立的子憑證。 若無憑證,請使用下列其中一個連結來匯出憑證。 您會在下一個步驟中使用憑證資訊。
從子憑證中,擷取 .pfx 中的私密金鑰和 base64 指紋。 有多種方式可以執行這項操作。 其中一種方式是在電腦上使用 OpenSSL。 profileinfo.txt 檔案包含 CA 和用戶端憑證的私密金鑰和指紋。 請務必使用用戶端憑證的指紋。
openssl pkcs12 -in "filename.pfx" -nodes -out "profileinfo.txt"
切換至您在記事本開啟的 vpnconfig.ovpn 檔案。 填入 和
</cert>
之間的<cert>
區段,取得 、$INTERMEDIATE_CERTIFICATE
和$ROOT_CERTIFICATE
的值$CLIENT_CERTIFICATE
,如下列範例所示。# P2S client certificate # please fill this field with a PEM formatted cert <cert> $CLIENT_CERTIFICATE $INTERMEDIATE_CERTIFICATE (optional) $ROOT_CERTIFICATE </cert>
- 在記事本中,開啟上一個步驟的 profileinfo.txt。 您可以透過查看
subject=
行來識別每個憑證。 例如,如果您的子憑證稱為 P2SChildCert,則用戶端憑證將會在subject=CN = P2SChildCert
屬性之後。 - 針對鏈結中的每個憑證,複製 "-----BEGIN CERTIFICATE-----" 和 "-----END CERTIFICATE-----" 以及介於兩者之間的文字。
- 只有當您的 profileinfo.txt 檔案中有中繼憑證時,才包括
$INTERMEDIATE_CERTIFICATE
值。
- 在記事本中,開啟上一個步驟的 profileinfo.txt。 您可以透過查看
在記事本中開啟 profileinfo.txt。 若要取得私密金鑰,請選取 "-----BEGIN PRIVATE KEY-----" 和 "-----END PRIVATE KEY-----" 以及介於兩者之間的文字,並加以複製。
返回記事本中的 vpnconfig.ovpn 檔案,並尋找此區段。 貼上私密金鑰,以取代
<key>
和</key>
之間的所有內容。# P2S client root certificate private key # please fill this field with a PEM formatted key <key> $PRIVATEKEY </key>
如果您使用 2.6 版的 OpenVPN 用戶端,請將 “disable-dco” 選項新增至配置檔。 此選項似乎與舊版不相容,因此應該只新增至OpenVPN用戶端2.6版。
請勿變更任何其他欄位。 使用用戶端輸入中填入的設定來連線至 VPN。
將 vpnconfig.ovpn 檔案複製到 C:\Program Files\OpenVPN\config 資料夾。
以滑鼠右鍵按一下系統匣中的 OpenVPN 圖示,然後按一下 [連線]。
macOS 用戶端
重要
只有 MacOS 10.13 和更新版本支援 OpenVPN 通訊協定。
注意
尚不支援 OpenVPN 用戶端 2.6 版。
下載並安裝 OpenVPN 用戶端,例如 TunnelBlick。
從 Azure 入口網站下載 VPN 用戶端設定檔套件 (如果尚未這麼做)。
將設定檔解壓縮。 在文字編輯器中,從 OpenVPN 資料夾開啟 vpnconfig.ovpn 設定檔。
以 Base64 的 P2S 用戶端憑證公開金鑰填入 P2S 用戶端憑證區段。 在 PEM 格式的憑證中,您可以開啟 .cer 檔案並在憑證標題之間複製 Base64 金鑰。
以 Base64 的 P2S 用戶端憑證私密金鑰填入私密金鑰區段。 如需如何擷取私密金鑰的相關資訊,請參閱 OpenVPN 網站上的匯出私密金鑰。
請勿變更任何其他欄位。 使用用戶端輸入中填入的設定來連線至 VPN。
按兩下設定檔,在 Tunnelblick 中建立設定檔。
從應用程式資料夾啟動 Tunnelblick。
按一下系統匣中的 Tunnelblick 圖示並挑選連線。
iOS 用戶端
重要
只有 iOS 11.0 和更新版本支援 OpenVPN 通訊協定。
注意
尚不支援 OpenVPN 用戶端 2.6 版。
從 App Store 安裝 OpenVPN 用戶端 (2.4 版或更新版本)。 尚不支援 2.6 版。
從 Azure 入口網站下載 VPN 用戶端設定檔套件 (如果尚未這麼做)。
將設定檔解壓縮。 在文字編輯器中,從 OpenVPN 資料夾開啟 vpnconfig.ovpn 設定檔。
以 Base64 的 P2S 用戶端憑證公開金鑰填入 P2S 用戶端憑證區段。 在 PEM 格式的憑證中,您可以開啟 .cer 檔案並在憑證標題之間複製 Base64 金鑰。
以 Base64 的 P2S 用戶端憑證私密金鑰填入私密金鑰區段。 如需如何擷取私密金鑰的相關資訊,請參閱 OpenVPN 網站上的匯出私密金鑰。
請勿變更任何其他欄位。
透過電子郵件將設定檔 (.ovpn) 寄送到您在 iPhone 上郵件應用程式中所設定的電子郵件帳戶。
在 iPhone 上的郵件應用程式中開啟該封電子郵件,然後點選附加的檔案。
如果您看不到 [複製到 OpenVPN] 選項,請點選 [其他]。
點選 [複製到 OpenVPN]。
在 [匯入設定檔] 頁面中,點選 [新增]
在 [匯入的設定檔] 頁面中,點選 [新增]
啟動 OpenVPN 應用程式,並在 [設定檔] 頁面中將開關向右滑動以進行連線
Linux 用戶端
注意
尚不支援 OpenVPN 用戶端 2.6 版。
開啟新的終端機工作階段。 同時按下 'Ctrl + Alt + t' 即可開啟新的工作階段。
輸入下列命令以安裝所需的元件:
sudo apt-get install openvpn sudo apt-get -y install network-manager-openvpn sudo service network-manager restart
下載閘道的 VPN 設定檔。 這可從 Azure 入口網站中的 [點對站設定] 索引標籤來完成。
匯出您所建立並上傳至閘道上 P2S 設定的 P2S 用戶端憑證。 如需指示,請參閱虛擬 WAN 點對站。
從 .pfx 擷取私密金鑰和 base64 指紋。 有多種方式可以執行這項操作。 其中一種方式是在電腦上使用 OpenSSL。
openssl pkcs12 -in "filename.pfx" -nodes -out "profileinfo.txt"
profileinfo.txt 檔案會包含 CA 和用戶端憑證的私密金鑰和指紋。 請務必使用用戶端憑證的指紋。
在文字編輯器中開啟 profileinfo.txt。 若要取得用戶端 (子系) 憑證的指紋,請選取子系憑證介於 "-----BEGIN CERTIFICATE-----" 和 "-----END CERTIFICATE-----" 之間 (包含這兩句) 的文字,並加以複製。 您可以藉由查看 subject=/ 這一行來識別子系憑證。
開啟 vpnconfig.ovpn 檔案,並尋找如下所示區段。 取代 "cert" 與 "/cert" 之間的所有內容。
# P2S client certificate # please fill this field with a PEM formatted cert <cert> $CLIENTCERTIFICATE </cert>
在文字編輯器中開啟 profileinfo.txt。 若要取得私密金鑰,請選取 "-----BEGIN PRIVATE KEY-----" 和 "-----END PRIVATE KEY-----" 以及介於兩者之間的文字,並加以複製。
在文字編輯器中開啟 vpnconfig.ovpn 檔案,並尋找此區段。 貼上私密金鑰來取代 "key" 與 "/key" 之間的所有內容。
# P2S client root certificate private key # please fill this field with a PEM formatted key <key> $PRIVATEKEY </key>
請勿變更任何其他欄位。 使用用戶端輸入中填入的設定來連線至 VPN。
若要使用命令列建立連線,請輸入下列命令:
sudo openvpn --config <name and path of your VPN profile file>&
若要使用 GUI 建立連線,請移至系統設定。
按一下 + 以新增新的 VPN 連線。
在 [新增 VPN] 之下,挑選 [匯入自檔案...]。
瀏覽至設定檔並按兩下或點選 [開啟]。
按一下 [新增 VPN] 視窗上的 [新增]。
在 [網路設定] 頁面上或在系統匣中網路圖示下將 VPN 切換到 [開] 即可建立連線。
下一步
如需使用者 VPN (點對站) 的詳細資訊,請參閱建立使用者 VPN 連線。
「OpenVPN」是 OpenVPN Inc. 的商標