技術(shù)背景
企業(yè)常見(jiàn)需求:實(shí)現(xiàn)公有云服務(wù)器、分支機(jī)構(gòu)A、分支機(jī)構(gòu)B的網(wǎng)絡(luò)互通。相比PPTP協(xié)議,OpenVPN在安全性(TLS加密)和穩(wěn)定性上更具優(yōu)勢(shì)。
一、環(huán)境搭建(服務(wù)端配置) 1. 安裝OpenVPN服務(wù)端
- 操作系統(tǒng)
:Windows Server 2016+
- 軟件版本
:OpenVPN 2.6.13-I001(關(guān)鍵組件:X509證書(shū)管理)
- 安裝路徑
:
C:\Program Files\OpenVPN
? 安裝要點(diǎn)
勾選Certificate Management組件
2. 證書(shū)體系生成 步驟分解:
復(fù)制vars.example → vars
管理員身份運(yùn)行
EasyRSA-Start.bat依次執(zhí)行以下命令:
./easyrsa init-pki # 初始化PKI結(jié)構(gòu)
./easyrsa build-ca nopass # 生成CA證書(shū)
./easyrsa build-server-full server nopass # 服務(wù)端證書(shū)
./easyrsa build-client-full client nopass # 客戶端證書(shū)
./easyrsa gen-dh # 生成DH參數(shù)把這些生成的文件,全部復(fù)制到C:\Program Files\OpenVPN\config目錄,C:\Program Files\OpenVPN\sample-config目錄下有服務(wù)端配置文件模板server.ovpn,也復(fù)制過(guò)來(lái)。二、服務(wù)端配置 server.ovpn核心配置:
port 1194 # 默認(rèn)端口
proto udp # 推薦UDP協(xié)議
dev tap # 使用TAP模式
ca ca.crt
cert server.crt
key server.key
dh dh.pem
data-ciphers AES-256-GCM # 加密算法
server 10.8.0.0 255.255.255.0 # VPN網(wǎng)段
push "route 172.16.100.0 255.255.255.0" # 內(nèi)網(wǎng)路由推送
client-to-client # 允許客戶端間通信
duplicate-cn # 支持多設(shè)備同名
keepalive 10 120 # 心跳檢測(cè)配置技巧
若需客戶端自定義IP,啟用
ifconfig-pool-persist ipp.txtWindows服務(wù)端需提前啟用 IP轉(zhuǎn)發(fā) 功能(見(jiàn)下文)
參數(shù)項(xiàng)
服務(wù)端值
協(xié)議類型
UDP
隧道模式
TAP
加密算法
AES-256-GCM
LZO壓縮
禁用
證書(shū)上傳
將客戶端證書(shū)(client.crt)和私鑰(client.key)粘貼到設(shè)備證書(shū)管理界面
四、高級(jí)配置 1. Windows IP轉(zhuǎn)發(fā)設(shè)置
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
IPEnableRoute=1?? 需重啟生效
2. 客戶端靜態(tài)路由配置
Route 192.168.9.0 255.255.255.0 10.8.0.3 metric 16 if 5if 5:通過(guò)
route print獲取網(wǎng)卡接口號(hào)
服務(wù)端檢查路由表:
route print順便提一句:Windows Server的“路由和遠(yuǎn)程訪問(wèn)”必須啟用,否則網(wǎng)絡(luò)無(wú)法轉(zhuǎn)發(fā)。六、分支機(jī)構(gòu)A、分支機(jī)構(gòu)B互寫(xiě)路由,實(shí)現(xiàn)直接通訊?? 兩個(gè)分支機(jī)構(gòu)必須互寫(xiě)路由,才能實(shí)現(xiàn)直接通訊
七、常見(jiàn)問(wèn)題排查
現(xiàn)象
解決方案
服務(wù)端無(wú)法連接
檢查服務(wù)端日志
客戶端無(wú)法連接
檢測(cè)配置是否一致,檢查云端安全策略
內(nèi)網(wǎng)不通
確認(rèn)路由推送配置和IP轉(zhuǎn)發(fā)開(kāi)啟
進(jìn)階方向
部署多節(jié)點(diǎn)集群提高可用性
配置防火墻規(guī)則實(shí)現(xiàn)精細(xì)化訪問(wèn)控制
筆記本電腦及手機(jī)端的遠(yuǎn)程接入訪問(wèn)
歡迎關(guān)注和討論
持續(xù)更新,希望得到您的關(guān)注;也歡迎留言討論
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺(tái)“網(wǎng)易號(hào)”用戶上傳并發(fā)布,本平臺(tái)僅提供信息存儲(chǔ)服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.