设置虚拟专用网 (VPN)

Chromebook 本身就支持采用互联网密钥交换协议第 2 版 (IKEv2) 的 VPN。这种 VPN 采用预共享密钥 (PSK)、用户证书或设有用户名和密码的可扩展身份验证协议 (EAP) 来设置安全隧道。

1. 选择右下角的时间。
2. 选择“设置”图标 。
3. 在“网络”部分中，选择添加连接。
4. 在“添加内置 VPN”旁边，选择“添加”图标 。
5. 在随即打开的对话框中填写信息。如果您是在自己所供职的组织或学校使用 Chromebook，您可能需要向管理员索取这些信息。
   • 服务器名称：可以为该连接指定您希望使用的任意名称。例如：“工作 VPN”。
   • 提供商类型：选择 IPsec (IKEv2)。
   • 服务器主机名：IP 地址或完整的服务器主机名。
   • 身份验证类型：选择预共享密钥、用户证书或用户名和密码。
   • 用户名和密码：仅适用于 EAP 连接。每位 VPN 用户都应有自己专属的用户名和密码。
   • 预共享密钥：仅适用于 PSK 连接。此密钥不是您的个人密码，而是在 IPsec 配置中使用的口令或密钥。在通常采用的设置中，只要连接到同一个 VPN 服务器，所使用的 PSK 也会相同。
   • 服务器 CA 证书：仅适用于采用用户证书的连接和 EAP 连接。请从列表中选择您已安装的由证书授权机构颁发的证书。系统会检查该服务器的证书，以确保它是由正确的证书授权机构 (CA) 签发的。
   • 用户证书：仅适用于采用用户证书的连接。请从列表中选择您已安装的用户 VPN 证书。如果您没有安装任何证书，则会收到一条错误消息。了解如何安装证书。
   • 本地身份和远程身份：如果您的 VPN 提供商针对这两个字段有相关说明，请在其中填写。如果您不确定该如何填写，请将这两个字段留空。
6. 选择连接。

Chromebook 本身就支持采用 L2TP over IPsec 的 VPN。IPsec 层采用预共享密钥 (PSK) 或用户证书来设置安全隧道。L2TP 层需要用户名和密码。

提示：思科 ASA 设备可设置为支持 L2TP over IPSec。不妨了解如何设置思科 ASA 设备。

1. 选择右下角的时间。
2. 选择“设置”图标 。
3. 在“网络”部分中，选择添加连接。
4. 在“添加内置 VPN”旁边，选择“添加”图标 。
5. 在随即打开的对话框中填写信息。如果您是在自己所供职的组织或学校使用 Chromebook，您可能需要向管理员索取这些信息。
   • 服务器名称：可以为该连接指定您希望使用的任意名称。例如：“工作 VPN”。
   • 提供商类型：选择 L2TP/IPsec。
   • 服务器主机名：输入 IP 地址或完整的服务器主机名。
   • 身份验证类型：选择预共享密钥或用户证书。
   • 用户名和密码：您的 L2TP/PPP 凭据。每位 VPN 用户都应有自己专属的用户名和密码。
   • 群组名称：客户端的 IPsec 身份字段，供某些 VPN 服务器用来设置隧道群组或用户大区。如果您不确定该如何填写，请将此字段留空。
   • 预共享密钥：仅适用于 PSK 连接。此密钥不是您的个人密码，而是在 IPsec 配置中使用的口令或密钥。在通常采用的设置中，只要连接到同一个 VPN 服务器，所使用的 PSK 也会相同。
   • 服务器 CA 证书：仅适用于采用用户证书的连接。请从列表中选择您已安装的由证书授权机构颁发的证书。系统会检查该服务器的证书，以确保它是由正确的证书授权机构 (CA) 签发的。
   • 用户证书：仅适用于采用用户证书的连接。请从列表中选择您已安装的用户 VPN 证书。如果您没有安装任何证书，则会收到一条错误消息。了解如何安装证书。
6. 选择连接。

Chromebook 针对 OpenVPN 服务器提供了基本支持。OpenVPN 连接可以采用用户名/密码身份验证方式、客户端证书身份验证方式，或者组合使用这两种验证方式。

如果您需要设置更高级的 OpenVPN 功能或导入“.ovpn”配置文件，并且您的 Chromebook 支持 Play 商店，不妨考虑安装 OpenVPN for Android，而不要使用内置的 OpenVPN 客户端。

1. 选择右下角的时间。
2. 选择“设置”图标 。
3. 在“网络”部分中，选择添加连接。
4. 在 OpenVPN/L2TP 旁边，选择“添加”图标 。
5. 在随即打开的对话框中填写信息。如果您是在自己所供职的组织或学校使用 Chromebook，您可能需要向管理员索取这些信息。
   • 服务器名称：可以为连接指定您希望使用的任意名称。例如：“工作 VPN”。
   • 提供商类型：选择 OpenVPN。
   • 服务器主机名：输入 IP 地址或完整的服务器主机名。
   • 用户名和密码：您的 VPN 凭据。如果您的服务器仅使用基于客户端证书的身份验证方式，则可将这个字段留空。
   • 动态密码：如果您有可生成动态密码 (OTP) 的动态密码卡或 VPN 令牌，请生成一个密码并在此处输入该密码。在大多数情况下，请将此字段留空。
   • 服务器 CA 证书：请从列表中选择您已安装的由证书授权机构颁发的证书。系统会检查该服务器的证书，以确保它是由正确的证书授权机构 (CA) 签发的。如果您遇到服务器证书问题，可以选择不检查来跳过 CA 验证；不过，这样做会跳过重要的安全措施。
   • 用户证书：如果您的 VPN 服务器要求采用客户端证书进行身份验证，请从列表中选择已安装的用户 VPN 证书。了解如何安装证书。
6. 选择连接。

某些 Chromebook 本身就针对 WireGuard 协议提供基本支持。

1. 选择右下角的时间。
2. 选择“设置”图标 。
3. 在“网络”部分中，选择添加连接。
4. 在“OpenVPN/L2TP”旁边，选择“添加”图标 。
5. 在随即打开的对话框中填写信息。
   • 服务器名称：可以为该连接指定您希望使用的任意名称。例如：“工作 VPN”。
   • 提供商类型：选择 WireGuard。
   • 客户端 IP 地址：这是您用于 Chromebook 的 IP 地址。
   • 域名服务器：网络的域名服务器 IP。
   • 密钥：如果您有来自提供商的密钥对，请选择我有一个密钥对；如果您想生成密钥对，请选择生成随机密钥对。连接 WireGuard 网络后，您可以在网络详情页面中找到生成的公钥。
   • 对等公钥、预共享密钥、端点、允许使用的 IP 和持久 keepalive 的时间间隔：填写 WireGuard 服务器的相应信息。
6. 选择连接。

配有 Play 商店的 Chromebook 可以连接到 PPTP VPN 服务。

1. 选择右下角的时间。
2. 选择“设置”图标 。
3. 向下滚动，然后选择 Google Play 商店。
4. 选择管理 Android 偏好设置。
5. 向下滚动，然后选择 PPTP VPN。
6. 在右上角，选择“添加”图标 。
7. 在随即显示的对话框中填写信息。如果您使用的是某个组织的 Chromebook，您可能需要向管理员索取这些信息。
   • 名称：可以为该连接指定您希望采用的任意名称，例如：“工作 VPN”。
   • 服务器地址：您访问 VPN 时需要连接的服务器的名称。您可以输入 IP 地址或完整的服务器主机名。
   • PPP 加密 (MPPE)：除非您的管理员另有说明，否则请保留该项为选中状态。
   • 显示高级选项：除非您的管理员另有说明，否则请保留该项为未选中状态。
   • 用户名和密码：您的 VPN 凭据。每位 VPN 用户都应有自己专属的用户名和密码。
8. 选择保存。

要连接到 PPTP VPN，请打开 PPTP VPN 菜单，然后选择要使用的 VPN 连接的名称。

注意：目前，只有部分型号的 Chromebook 可以使用 Google Play 商店。了解哪些 Chromebook 支持 Android 应用。

可用的 VPN 应用

Chrome 应用商店提供了多款 VPN 应用，其中包括：

• Pulse Secure VPN
• SonicWALL Mobile Connect
• Cisco AnyConnect
• F5 Access
• GlobalProtect

安装 VPN 应用

您可以从 Chrome 应用商店中安装 VPN 应用。详细了解如何下载应用。

如果您是管理员，则可以使用管理控制台强制安装 VPN 应用。如果允许，您可以上传配置文件。该应用会使用 chrome.storage API 来读取配置文件并应用其中的配置。

建立新连接

1. 选择右下角的时间。
2. 选择“设置”图标 。
3. 在“网络”部分中，选择“添加连接”。
4. 在相应的 VPN 应用旁边，选择“添加”图标 。
5. 按照屏幕上的说明操作。

连接到 VPN

1. 选择右下角的时间。
2. 选择“设置”图标 。
3. 在“网络”部分中，选择相应的连接名称。

配有 Play 商店的 Chromebook 可以安装 Android VPN 应用。

重要提醒：目前，只有部分型号的 Chromebook 可以使用 Google Play 商店。了解哪些 Chromebook 支持 Android 应用。

要建立新的连接，或连接到 Android 应用提供的 VPN，请按以下步骤操作：

第 1 步：在 Chromebook 上安装 Android VPN 应用

1. 在屏幕的一角，选择“启动器”图标 。
2. 选择“Play 商店”图标 。
3. 搜索您要安装的 VPN 应用。
4. 选择该 VPN 应用。
5. 选择右侧的安装。

第 2 步：为您的 Chromebook 配置 VPN 应用

1. 选择右下角的时间。
2. 选择“设置”图标 。
3. 在“网络”部分中，选择添加连接。
4. 在连接旁边，选择添加 [应用名称]...。
5. 按照屏幕上的说明操作。

第 3 步：使 VPN 连接保持开启状态

有些 VPN 可一直保持连接状态，除非 VPN 连接停止工作。

1. 确保您已在 Chromebook 上配置了 VPN 应用。
2. 选择右下角的时间。
3. 选择“设置”图标 。
4. 在左侧面板中，选择应用。
5. 在“应用”下方，选择 Google Play 商店。
6. 选择管理 Android 偏好设置。
7. 在随即显示的窗口中，选择网络和互联网。
8. 选择 VPN。此时页面中应该会列出您的 VPN 应用。
9. 选择应用右侧的“设置”图标 。
10. 启用始终开启的 VPN。如果处于“始终开启”模式的 VPN 连接停止工作，您会收到一条通知，该通知会一直显示，直到您重新建立连接。要清除该通知，请关闭这项“始终开启的 VPN”设置。

提示：如果您的 VPN 连接停止工作，而您又不想直接连接到互联网，可开启屏蔽未使用 VPN 的所有连接。

通常，VPN 会采用完整隧道，也就是说来自所有 Chrome 窗口、Chrome 应用和 Android 应用的所有流量一律会通过 VPN 连接。但有时您可以考虑使用分割隧道，即，只有某些网站才通过隧道加以访问，其他流量则跳过 VPN 而直接使用 Chromebook 的物理网络连接。这种做法很适合在以下情况下使用：

• 通过您的 VPN 只能访问内部网站，而非整个互联网。
• 连接到 VPN 时，您需要与本地网络上的设备（如打印机）进行通信。

很多 Chrome 和 Android VPN 应用以及内置的 OpenVPN 客户端都可以设置为使用分割隧道模式。如果在设置这种模式方面需要帮助，请咨询您的管理员。

1. 按照管理员为您提供的步骤，下载服务器证书。
2. 在 Chrome 中打开新标签页。
3. 在地址栏中输入 chrome://settings/certificates
4. 选择授权机构标签页。
5. 选择导入，然后选择 X.509 证书文件（该文件的扩展名通常为 .pem、.der、.crt 或 .p7b）。
6. 在随即显示的对话框中填写信息。您无需开启其中列出的任何设置，因此建议您保留这些设置为未选中状态。
7. 该证书随即便会打开，并自行安装到您的 Chromebook 上。

1. 按照管理员为您提供的步骤，下载用户证书。这种证书的文件名应以 .pfx 或 .p12 结尾。
2. 在 Chrome 中打开新标签页。
3. 在地址栏中输入 chrome://settings/certificates
4. 选择您的证书。
5. 选择导入并绑定。
6. 在随即打开的对话框中，选择所需的证书文件并选择打开。
7. 在系统提示时，输入该证书的密码。如果您不知道密码，请与您的网络管理员联系。如果您未设密码，请选择确定。
8. 该证书随即便会打开，并自行安装到您的 Chromebook 上。

Chromebook 仅支持使用 RSA 客户端证书接受 VPN 或 EAP 无线网络的身份验证，而不支持通过 ECC 客户端证书进行身份验证。