網(wǎng)易首頁(yè) > 網(wǎng)易號(hào) > 正文申請(qǐng)入駐

OpenVPN實(shí)戰(zhàn) | 公有云+兩地局域網(wǎng)跨網(wǎng)互聯(lián)方案

2025-02-23 10:02:32　來(lái)源: IT狂人日志

江蘇舉報(bào)

分享至

技術(shù)背景
企業(yè)常見(jiàn)需求：實(shí)現(xiàn)公有云服務(wù)器、分支機(jī)構(gòu)A、分支機(jī)構(gòu)B的網(wǎng)絡(luò)互通。相比PPTP協(xié)議，OpenVPN在安全性（TLS加密）和穩(wěn)定性上更具優(yōu)勢(shì)。

一、環(huán)境搭建（服務(wù)端配置） 1. 安裝OpenVPN服務(wù)端

操作系統(tǒng)
：Windows Server 2016+
軟件版本
：OpenVPN 2.6.13-I001（關(guān)鍵組件：X509證書(shū)管理）
安裝路徑
： C:\Program Files\OpenVPN

? 安裝要點(diǎn)
勾選Certificate Management組件

2. 證書(shū)體系生成步驟分解：

復(fù)制vars.example → vars
管理員身份運(yùn)行 EasyRSA-Start.bat
依次執(zhí)行以下命令：

./easyrsa init-pki        # 初始化PKI結(jié)構(gòu)
./easyrsa build-ca nopass # 生成CA證書(shū)
./easyrsa build-server-full server nopass # 服務(wù)端證書(shū)
./easyrsa build-client-full client nopass # 客戶端證書(shū)
./easyrsa gen-dh          # 生成DH參數(shù)

把這些生成的文件，全部復(fù)制到C:\Program Files\OpenVPN\config目錄，C:\Program Files\OpenVPN\sample-config目錄下有服務(wù)端配置文件模板server.ovpn，也復(fù)制過(guò)來(lái)。

二、服務(wù)端配置 server.ovpn核心配置：

port 1194                    # 默認(rèn)端口
proto udp                  # 推薦UDP協(xié)議
dev tap                   # 使用TAP模式
ca ca.crt
cert server.crt
key server.key
dh dh.pem
data-ciphers AES-256-GCM    # 加密算法
server 10.8.0.0 255.255.255.0 # VPN網(wǎng)段
push "route 172.16.100.0 255.255.255.0" # 內(nèi)網(wǎng)路由推送
client-to-client          # 允許客戶端間通信
duplicate-cn              # 支持多設(shè)備同名
keepalive 10 120           # 心跳檢測(cè)

配置技巧

若需客戶端自定義IP，啟用 ifconfig-pool-persist ipp.txt
Windows服務(wù)端需提前啟用 IP轉(zhuǎn)發(fā) 功能（見(jiàn)下文）

三、客戶端配置（以愛(ài)快路由器為例）必須一致的參數(shù)：

參數(shù)項(xiàng)

服務(wù)端值

協(xié)議類型

UDP

隧道模式

TAP

加密算法

AES-256-GCM

LZO壓縮

禁用

證書(shū)上傳
將客戶端證書(shū)（client.crt）和私鑰（client.key）粘貼到設(shè)備證書(shū)管理界面

四、高級(jí)配置 1. Windows IP轉(zhuǎn)發(fā)設(shè)置

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
IPEnableRoute=1

?? 需重啟生效

2. 客戶端靜態(tài)路由配置

Route 192.168.9.0 255.255.255.0 10.8.0.3 metric 16 if 5

if 5
：通過(guò) route print 獲取網(wǎng)卡接口號(hào)

五、檢查服務(wù)端路由表

服務(wù)端檢查路由表：

route print

順便提一句：Windows Server的“路由和遠(yuǎn)程訪問(wèn)”必須啟用，否則網(wǎng)絡(luò)無(wú)法轉(zhuǎn)發(fā)。

六、分支機(jī)構(gòu)A、分支機(jī)構(gòu)B互寫(xiě)路由，實(shí)現(xiàn)直接通訊

?? 兩個(gè)分支機(jī)構(gòu)必須互寫(xiě)路由，才能實(shí)現(xiàn)直接通訊

七、常見(jiàn)問(wèn)題排查

現(xiàn)象

解決方案

服務(wù)端無(wú)法連接

檢查服務(wù)端日志

客戶端無(wú)法連接

檢測(cè)配置是否一致，檢查云端安全策略

內(nèi)網(wǎng)不通

確認(rèn)路由推送配置和IP轉(zhuǎn)發(fā)開(kāi)啟

進(jìn)階方向

部署多節(jié)點(diǎn)集群提高可用性
配置防火墻規(guī)則實(shí)現(xiàn)精細(xì)化訪問(wèn)控制
筆記本電腦及手機(jī)端的遠(yuǎn)程接入訪問(wèn)

歡迎關(guān)注和討論
持續(xù)更新，希望得到您的關(guān)注；也歡迎留言討論

特別聲明：以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺(tái)“網(wǎng)易號(hào)”用戶上傳并發(fā)布，本平臺(tái)僅提供信息存儲(chǔ)服務(wù)。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.