设置虚拟专用网 (VPN)

FydeOS 可以通过虚拟专用网 (VPN) 连接来接入专用网络(例如单位或学校的网络等)。

OpenVPN 支持功能

FydeOS 针对 OpenVPN 服务器提供了基本支持。OpenVPN 连接可以使用用户名/密码身份验证、客户端证书身份验证或两者的组合。根据以下步骤进行操作:

  1. 选择右下角的时间。
  2. 选择「设置」图标。
  3. 在「网络」选项下,选择「添加连接」。
  4. 选择「OpenVPN / L2TP」旁边的「添加」图标。
  5. 在随即显示的方框中填写以下信息。
    • 服务器主机名:你可以输入 IP 地址或完整的服务器主机名。
    • 服务名称:你可以随意命名该连接,例如:「工作 VPN」。
    • 提供商类型:选择「OpenVPN」。
    • 用户名和密码:你的 VPN 凭据。如果你的服务器仅使用客户端证书身份验证,则可将这个字段留空。
    • 一次性密码:如果你拥有可生成动态密码的动态密码卡或 VPN 令牌,请在此处输入生成的密码。在大多数情况下,无需填写这个字段。
    • 服务器 CA 证书:请从列表中选择已安装的证书授权机构颁发的证书。系统将检查服务器的证书,以确认该证书是由正确的证书授权机构 (CA) 签署的。如果遇到服务器证书问题,可以选择「不检查」来跳过 CA 验证;不过,这样做会跳过重要的安全措施。
    • 用户证书:如果你的 VPN 服务器需要进行客户端证书身份验证,请从列表中选择已安装的用户 VPN 证书。要安装证书,请参见下文中的说明。
  6. 点击连接。

L2TP/IPsec VPN 支持功能

FydeOS 内置了 L2TP/IPsec VPN 的支持功能。IPsec 层会使用预共享密钥 (PSK) 或用户证书来设置安全通道。L2TP 层需要用户名和密码。

  1. 选择右下角的时间。
  2. 选择「设置」图标。
  3. 在「网络」选项下,选择「添加连接」。
  4. 选择「OpenVPN / L2TP」旁边的「添加」图标。
  5. 在随即显示的方框中填写以下信息。
    • 服务器主机名:你可以输入 IP 地址或完整的服务器主机名。
    • 服务名称:你可以随意命名该连接,例如:「工作 VPN」。
    • 提供商类型:选择「L2TP/IPsec + 预共享密钥」或「L2TP/IPsec + 用户证书」。
    • 用户名、密码:你的 L2TP/PPP 凭据。每位 VPN 用户都应拥有自己专属的用户名和密码。
    • 群组名称:客户端的 IPsec 身份字段,某些 VPN 服务器用来设置隧道群组或用户领域。如果你不确定该填入什么内容,请将此字段留空。
    • 预共享密钥:仅用于 PSK 连接。此密钥不是你的个人密码,而是 IPsec 配置中使用的密码或密钥。在采用典型设置的情况下,只要连接到同一个 VPN 服务器,所使用的 PSK 也会相同。
    • 服务器 CA 证书:仅适用于用户证书连接。请从列表中选择已安装的证书授权机构颁发的证书。系统将检查服务器的证书,以确认该证书是由正确的证书授权机构 (CA) 签署的。如果遇到服务器证书问题,可以选择「不检查」来跳过 CA 验证;不过,这样做会跳过重要的安全措施。
    • 用户证书:仅适用于用户证书连接。请从列表中选择已经安装的用户 VPN 证书。如果没有安装任何证书,则会看到一条错误消息。要安装证书,请参见下文中的说明。
  6. 点击连接。

安装证书

你可能需要使用证书才能连接到 VPN、WPA2 Enterprise 网络(如 EAP-TLS)或需要双向 TLS 身份验证的网站。如果是这样,那么你的管理员可能会要求你在直接连接到单位的网络时访问某个特殊网站,或让你直接自行下载并安装相关证书。

你需要获得以下证书:

  • 供单位中所有人使用的服务器证书
  • 个人专用的用户证书

安装服务器证书请参照以下步骤:

  1. 按照管理员提供的步骤,下载服务器证书。
  2. 在 Chromium 浏览器中打开新的标签页。
  3. 在地址栏中输入chrome://settings/certificates
  4. 点击「授权中心」标签。
  5. 点击导入,然后选择 X.509 证书文件(该文件的扩展名通常为 .pem、.der、.crt 或 .p7b)。
  6. 在随即显示的方框中,填写相应信息。你无需开启这里列出的任何设置,因此建议你保留这些设置为未选中状态。
  7. 该证书将会打开并自行安装到当前 FydeOS 设备上。

安装用户证书请参照以下步骤:

  1. 按照管理员提供的步骤,下载用户证书。证书的文件名应以 .pfx 或 .p12 结尾。
  2. 在 Chromium 浏览器中打开新的标签页。
  3. 在地址栏中输入chrome://settings/certificates
  4. 点击你的证书。
  5. 点击导入并绑定到设备。
  6. 在随即打开的对话框中,选择证书文件并点击打开。
  7. 根据系统提示,输入证书的密码。如果不知道密码,请与你的网络管理员联系。如果没有密码,请点击确定。
  8. 该证书将会打开并自行安装到到当前 FydeOS 设备上。

FydeOS 仅支持通过 RSA 客户端证书对 VPN 或 EAP 无线网络进行身份验证,而不支持通过 ECC 客户端证书进行身份验证。