技術(shù)背景
企業(yè)常見需求：實(shí)現(xiàn)公有云服務(wù)器、分支機(jī)構(gòu)A、分支機(jī)構(gòu)B的網(wǎng)絡(luò)互通。相比PPTP協(xié)議，OpenVPN在安全性（TLS加密）和穩(wěn)定性上更具優(yōu)勢。

一、環(huán)境搭建（服務(wù)端配置） 1. 安裝OpenVPN服務(wù)端

• 操作系統(tǒng)

  ：Windows Server 2016+

• 軟件版本

  ：OpenVPN 2.6.13-I001（關(guān)鍵組件：X509證書管理）

• 安裝路徑

  ： C:\Program Files\OpenVPN

? 安裝要點(diǎn)
勾選Certificate Management組件

打開網(wǎng)易新聞 查看精彩圖片

2. 證書體系生成 步驟分解：

1. 復(fù)制vars.example → vars

2. 管理員身份運(yùn)行 EasyRSA-Start.bat

   


   

   打開網(wǎng)易新聞 查看精彩圖片

   


3. 依次執(zhí)行以下命令：

./easyrsa init-pki        # 初始化PKI結(jié)構(gòu)
./easyrsa build-ca nopass # 生成CA證書
./easyrsa build-server-full server nopass # 服務(wù)端證書
./easyrsa build-client-full client nopass # 客戶端證書
./easyrsa gen-dh          # 生成DH參數(shù)

把這些生成的文件，全部復(fù)制到C:\Program Files\OpenVPN\config目錄，C:\Program Files\OpenVPN\sample-config目錄下有服務(wù)端配置文件模板server.ovpn，也復(fù)制過來。

打開網(wǎng)易新聞 查看精彩圖片

二、服務(wù)端配置 server.ovpn核心配置：

port 1194                    # 默認(rèn)端口
proto udp                  # 推薦UDP協(xié)議
dev tap                   # 使用TAP模式
ca ca.crt
cert server.crt
key server.key
dh dh.pem
data-ciphers AES-256-GCM    # 加密算法
server 10.8.0.0 255.255.255.0 # VPN網(wǎng)段
push "route 172.16.100.0 255.255.255.0" # 內(nèi)網(wǎng)路由推送
client-to-client          # 允許客戶端間通信
duplicate-cn              # 支持多設(shè)備同名
keepalive 10 120           # 心跳檢測

配置技巧

• 若需客戶端自定義IP，啟用 ifconfig-pool-persist ipp.txt

• Windows服務(wù)端需提前啟用 IP轉(zhuǎn)發(fā) 功能（見下文）

參數(shù)項

服務(wù)端值

協(xié)議類型

UDP

隧道模式

TAP

加密算法

AES-256-GCM

LZO壓縮

禁用

證書上傳
將客戶端證書（client.crt）和私鑰（client.key）粘貼到設(shè)備證書管理界面

打開網(wǎng)易新聞 查看精彩圖片

四、高級配置 1. Windows IP轉(zhuǎn)發(fā)設(shè)置

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
IPEnableRoute=1

?? 需重啟生效

2. 客戶端靜態(tài)路由配置

Route 192.168.9.0 255.255.255.0 10.8.0.3 metric 16 if 5

• if 5

  ：通過 route print 獲取網(wǎng)卡接口號

1. 服務(wù)端檢查路由表：

route print

打開網(wǎng)易新聞 查看精彩圖片

順便提一句：Windows Server的“路由和遠(yuǎn)程訪問”必須啟用，否則網(wǎng)絡(luò)無法轉(zhuǎn)發(fā)。

?? 兩個分支機(jī)構(gòu)必須互寫路由，才能實(shí)現(xiàn)直接通訊

打開網(wǎng)易新聞 查看精彩圖片

打開網(wǎng)易新聞 查看精彩圖片

七、常見問題排查

現(xiàn)象

解決方案

服務(wù)端無法連接

檢查服務(wù)端日志

客戶端無法連接

檢測配置是否一致，檢查云端安全策略

內(nèi)網(wǎng)不通

確認(rèn)路由推送配置和IP轉(zhuǎn)發(fā)開啟

進(jìn)階方向

• 部署多節(jié)點(diǎn)集群提高可用性

• 配置防火墻規(guī)則實(shí)現(xiàn)精細(xì)化訪問控制

• 筆記本電腦及手機(jī)端的遠(yuǎn)程接入訪問

歡迎關(guān)注和討論
持續(xù)更新，希望得到您的關(guān)注；也歡迎留言討論