在此页面上
4.b) 使用用户提供的配置文件配置 OpenVPN 连接
4.d) 启用 VPN 连接时的主屏幕 GUI
VPN 部署指南
vSpace ERP RX300 LEAFOS
RX300和LEAFOS是vSpace Pro端点设备,针对VPN安全WAN部署进行了优化,但是,部署的成功将取决于规划和实施,特别是在网络基础设施中。
请注意,vSpace 协议 (UXP 2.0) 是针对 WAN 环境设计和优化的。RX 系列、vSpace Pro Client 或 LEAFOS,支持 vCAST 视频流。视频流将根据流内容占用更高的带宽。我们建议在家庭用户设备上拥有良好的宽带互联网。(例如,具有生产力应用程序的桌面会话需要不到 256Kb/s 的应用程序)。或与许多其他家庭设备共享 Wi-Fi 连接,vSpace 会话可能会遇到明显的延迟或暂时的屏幕冻结。
作为上面知识库文章中提到的整体实现的一部分,通过 VPN 连接连接 vSpace Pro 需要四个关键组件。
1、虚拟化软件
NComputing 虚拟桌面
2、任何行业标准 VPN 解决方案
支持基于标准硬件或软件的 VPN 解决方案。
3、互联网带宽
数据中心和家庭用户必须有足够的互联网带宽。
4、NComputing 端点解决方案
RX300瘦客户端,固件版本3.8.1或更高版本,具有集成的VPN支持(OpenVPN,OpenConnect和PPTP)
LEAFOS – 重新调整旧 PC 的用途,使其像 RX300 瘦客户端一样工作,固件版本2.1.2或更高版本的集成VPN支持(OpenVPN,OpenConnect和PPTP)
适用于 Windows/Chrome 的 vSpace Pro Client,需要在本地 Windows PC/笔记本电脑上安装第三方 VPN 客户端。
1、虚拟化软件:Windows 平台上的 vSpace Pro 企业版
Windows Server 托管在数据中心、云中心,我们建议安装 vSpace Pro 企业版虚拟化软件。 vSpace Pro Enterprise Edition 采用新的 UXP 2.0 协议,有助于将网络流量减少 43%,从而为 WAN 用户提供更快、更高效的桌面体验和性能。它现在还具有更广泛的外设支持。
注:
2、数据中心的 VPN 服务器
支持任何基于行业标准的硬件或软件的VPN解决方案,如OpenVPN,OpenConnect和PPTP。
为什么选择VPN?
VPN使用公共互联网来创建经济,隔离和安全的专用网络,VPN通过防止未经授权访问特定网络资源来降低安全风险。加密可确保不受信任的 Wi-Fi 和其他公共访问网络的隐私 将集中式统一威胁管理扩展到远程网络。
在本文中,我们将OpenVPN服务器用于VPN连接。
以下链接提供了有关OpenVPN部署文档的完整指南。
付费商业版简单易用,支持OpenVPN:https://openvpn.net/vpn-server-resources/
免费的OpenVPN社区版本:https://openvpn.net/community-resources/
OpenVPN - 发布配置:
我们假设您已成功部署OpenVPN服务器。参考链接:https://openvpn.net/community-resources/installing-openvpn/
2.a) 启用端口转发和 VPN 网关(公共 IP)服务配置的具体步骤取决于您使用的防火墙,因此您需要在线搜索防火墙说明。 配置防火墙以路由 OpenVPN 客户端公共请求。已将防火墙IP地址(公共IP)上的OpenVPN默认端口(1194)配置为OpenVPN服务器的端口和IP地址。
示 例:VPN 服务器 (1194) 端口转发配置 (FortiGate)
示例:VPN 网关服务配置 (FortiGate)
2.b) 在 VPN 服务器上添加(推送路由)部署在本地网络和子网上的 vSpace 服务器,以便通过 VPN 网关进行访问。参考链接:https://openvpn.net/community-resources/setting-up-routing/
下面是推送路由的示例 OpenVPN 服务器配置。(/etc/openvpn/server.conf)
2.c) 生成 OpenVPN 客户端配置一个 .ovpn 文件(身份验证密钥)(确保您所需的 singed 证书配置了 VPN 服务器)到 链接:https://openvpn.net/community-resources/static-key-mini-howto/
OpenVPN 连接可以配置为让家庭用户提供配置文件(.ovpn 文件)。
成功配置VPN端口转发和网关后,您将能够使用有效的OpenVPN客户端配置文件通过VPN服务器网关连接到组织的公司网络。
3、互联网带宽
根据当前用户会话和应用程序使用的数量调整数据中心的互联网带宽。
3.a) 数据中心(带宽利用率估计):带宽利用率将根据用户会话分辨率和应用程序功能(快速滚动)或图形繁重的 GUI 而有所不同。我们强烈建议在部署之前执行 POC。在数据中心,我们建议执行以下操作:
对于基本的生产力应用程序(例如,对于基于文本的应用程序,如Word,Excel,PowerPoint),我们建议每个用户会话至少256 – 512 Kbps,
对于音频会议和屏幕共享(例如Microsoft团队、Skype、Zoom、GoToMeeting、WebEx 会议应用程序),我们建议每个用户会话至少 1-2 Mbps。
不建议使用涉及双向或多向视频通话的视频会议,因为每个用户会话生成的流量将大于 30-40 Mbps。
对于基于图形的应用程序,带宽要求可能因应用程序而异。
3.b)家庭用户带宽要求 用户端:家庭用户应具有:
对于基本的生产力应用程序(例如,对于基于文本的应用程序,如Word,Excel,PowerPoint),我们建议至少1Mbps带宽来交付虚拟桌面,
对于音频会议和屏幕共享(例如Microsoft团队、Skype、缩放、GoToMeeting、WebEx 会议应用程序),我们建议每个用户会话 2-3 Mbps。
不建议使用涉及双向或多向视频通话的视频会议,因为每个用户会话生成的流量将大于 30-40 Mbps,可能会降低用户体验(延迟和/或音频中断)。
对于多媒体应用程序和/或 vCAST 流式传输,可能需要更多家庭带宽,具体取决于内容,以提供良好的用户体验。
4、NComputing端点解决方案
RX300和LEAFOS支持VPN进行安全连接,它支持OpenVPN,OpenCconnect和PPTP VPN。
请参阅 RX300 & LEAFOS 安装指南。
vSpace Pro 客户端:
要通过 VPN 连接 vSpace Pro 客户端,请安装 vSpace Pro Client 上安装了 PC/笔记本电脑的 OpenVPN Windows 客户端应用程序。首先运行 OpenVPN Windows客户端应用程序以连接企业VPN网络 (必填 开放型网络 客户端配置),然后运行 vSpace Pro 客户端进行连接 相应的 vSpace Pro 服务器(IP 或服务器名称)。
4.a) 在 RX300 和 LEAFOS 中配置 VPN 连接:
要启用 VPN 连接,必须选中“启用 VPN 连接” 复选框。必须在组合框中选择所需的 VPN 类型。所有 VPN 类型的配置方式都允许设备在启动并连接到以太网或 Wi-Fi 网络后自动建立 VPN 连接(VPN 凭据存储在设备配置中)。还可以将设备配置为使用用户在 VPN 登录屏幕上提供的凭据建立 VPN 连接。OpenVPN连接还可以配置为允许用户在USB记忆棒上提供配置文件。
必须配置以下设备设置才能启用OpenVPN并允许用户提供OpenVPN配置文件:下面的屏幕截图。
4.b) 使用用户提供的配置文件配置 OpenVPN 连接
OpenVPN连接可以配置为允许用户在USB记忆棒上提供配置文件(.ovpn文件)。提供的配置文件必须位于 FAT、NTFS、ext3 或 ext4 格式的 U 盘的根目录中。如果配置 (.ovpn) 文件引用任何其他文件,如客户端证书、证书颁发机构证书或私钥,则所有这些文件也必须复制到 U 盘的根目录中。所有文件必须作为单独的文件提供。不支持包含所有文件的压缩存档(ZIP、RAR、7z 等)。
使用用户提供的配置文件的 OpenVPN 连接可以使用以下身份验证方法:
用户名和密码,
客户端证书密码,
私钥密码,
以及它们的组合。
4.c) 必须配置以下设置才能启用OpenVPN并允许用户提供OpenVPN配置文件:
对于用户将为其提供配置文件的 OpenVPN 连接,可以配置以下可选设置:
缓存 .ovpn 和证书 文件 – 选择后,设备将从 USB 记忆棒复制到内部存储,用户提供的 .ovpn 文件及其关联的证书和/或密钥文件(如有必要)。这将允许重新建立VPN连接,而无需再次向记忆棒提供文件。
缓存客户端证书密码和/或用户凭据 – 选择后,设备将在 VPN 登录屏幕上存储用户提供的凭据,并在重新启动后自动建立 VPN 连接,而无需要求用户提供任何凭据。仅当同时选择了“缓存 .ovpn 和证书文件”选项时,才能使用此选项。
注意: 启用上述选项会向任何具有物理访问权限的人打开 VPN 连接,从而禁用它们可提高 VPN 连接的安全性。
4.d) 启用 VPN 连接时的主屏幕 GUI
以下 VPN 登录屏幕出现在启用了 OpenVPN 的设备上,该选项允许用户提供配置文件,但设备上尚未缓存任何文件:
用户始终可以点击 [跳过VPN] 按钮,立即进入适合所选设备操作模式的主屏幕,无需尝试建立VPN连接。如果跳过 VPN 连接,设备将只能与可通过 LAN 或 Wi-Fi 连接访问的服务器进行通信。
4.e) 要从 U 盘导入 OpenVPN 配置文件,用户应单击 [导入 .ovpn] 按钮。GUI 将在左侧显示已连接的 USB 存储设备的列表。在右侧,将在左侧选择的USB记忆棒的根目录中找到OpenVPN配置文件列表(扩展名为.ovpn的文件):
点击 [导入.ovpn] 按钮后连接了USB记忆棒,可点击 [刷新] 按钮刷新列表。
选择适当的OpenVPN配置文件后,用户必须点击 [添加] 按钮将文件复制到设备内部存储。
4.f)根据导入的OpenVPN配置文件的内容,将显示包含OpenVPN服务器地址和适用于确定的身份验证模式的输入字段的VPN登录屏幕。如果设备上缓存了需要密码的客户端证书,则也会显示有关证书使用者的信息。
例如:
[连接VPN]按钮启动VPN用户认证过程,如果认证成功,则启动VPN连接。在这种情况下,[导入.ovpn]按钮可用于将当前缓存的OpenVPN配置文件替换为新的配置文件。
4.g) 成功连接 VPN 后,GUI 会显示两个 VPN 图标 .
屏幕顶部的 VPN 图标 表示 VPN 连接成功。将鼠标指针悬停在此图标上会显示 VPN 接口的当前 IP 地址。屏幕顶部的退出图标 () 允许断开 VPN 连接并返回 VPN 登录屏幕。
您也可以查看关于设备,请参阅 VPN IP 信息。
4.h) 现在,您已准备好在 VPN 网络中连接托管的 vSpace 服务器。 提供 vSpace 服务器 IP 地址或名称,然后单击连接。
