本文的示例用于点到端的访问，如需端到端访问教程，可等待更新或参考后注部分的说明。

本文的示例建立于ROS 7版本，但6版本仍适用；操作系统方面，只要能安装openvpn 2.6或3.5客户端的windows系统都适用。

一、证书签发

1、打开ros管理界面，进入system-->certificates窗口

2、点击“加”号按钮，新建证书，为了完成OVPN的证书链，我们需要创建三个证书，分别是自签CA证书、OVPN服务端证书以及分发给用户的客户端证书

首先创建自签CA证书，该证书用于将ROS本身作为一个根级证书签发机构，在签发证书时需要指定Name和Common Name的值，其他值选填或保持默认；其中默认的Day Valid也就是证书有效期默认是365天，请根据实际需要修改；点击窗口的Key Usage标签切换到签发用途页，按图示勾选用途后点击OK确认

鼠标右键证书列表中的证书ovpn-ca证书，选择sign进行签署，在弹出的签署框内，填写CA CRL Host的值（注意如果ros不是在网络边界，没有固定的IP，也没有域名指向，留空不要填写这个值），点start签发这个证书

然后创建ovpn服务端证书，如图所示，勾选key usage的选项

对ovpn服务端证书进行签发，签发时需要选择CA机构，也就是你刚才创建的第一张证书ovpn-ca

在证书列表双击刚才签发的ovpn-srv证书，在General标签所有选项的最下方有一个勾选框Trusted，勾选，然后点击OK保存

最后，创建一张提供给远程用户的客户端证书，签发时需要选择自己的CA证书ovpn-ca作为签发机构

3、至此，证书列表里有至少三张证书，分别是ca证书，服务端证书和客户端证书，请核对三张证书的状态，在Name列表前会有状态标记，核对下图内的标记是否与你生成的证书状态一致

二、分发证书

1、对ovpn-ca证书鼠标右键，选择Export并点击Export按钮导出一份，注意请不要更改Type类型

2、导出一份ovpn-client证书，注意导出需要生成一份私钥，所以导出时需设置一个证书密码

3、打开ros的管理菜单Files窗口，可以看到生成了三个新文件，分别是一个ca的crt和client的crt以及key，将这三个文件拖到windows桌上面，打包并发送给远程用户

三、服务端服务开启

1、设置远程用户使用的地址范围

远程用户拨入需要为其分配ip地址，可以分配一个单独的网段，以便管理，也可以分配在和访问目标（文件服务器等）相同的网段内，方便路由。打开ip-->pool菜单，新建一个地址池，本例中新建了一个与访问目标在同一个网段的地址池

2、设置ppp 配置文件

打开ros的管理菜单选择PPP打开PPP窗口，切换到Profiles标签卡，选择“加”号新建一个配置文件

要注意local address实际是指vpn用户拨入后的默认网关地址，也是整个vpn地址段用来进行数据连通的节点，本列中设置了一个与ovpn-pool在同一个网段，但是不在ovpn-pool地址池范围内的值

3、设置拨入用户名和密码

切换到PPP窗口的Secrets标签卡，点击“加”号新建一个远程拨入用户，服务可以保持默认any，为了便于管理建议按照实际的vpn服务来选择，配置文件要选择刚才新建的ovpn-profiles

4、开启ovpn服务

切换到PPP窗口的Interface标签卡，点击OVPN Server按钮打开设置窗口

如下图所示，勾选Enabled点击ok保存即可开启ovpn服务，在下图中蓝色字段为修改过的默认值；Default Profile 需要改成你刚才创建的那份，Certificate需要改成之前创建的服务端证书，勾选Require Client强制要求客户端提供证书验证凭据，加密认证部分仅勾选sha1，密钥对勾选aes256

---

以上是ros部分关于ovpn服务设置的示例，接下来是Windows客户端链接设置部分，请参考下一篇文章。

注意，如果windwos拨号后，能获取到vpn服务提供的ip地址，能ping通vpn的网关都无法ping通同一网段下的其他设备，请检查ros的防火墙NAT部分是否有符合的MASQUERADE伪装条目。

注意，如有针对某些网段走vpn网关，其他网段保持拨入机默认网关的需求，请参考客户端链接设置部分的文章。