「安全高效」三地局域網(wǎng)秒變局域網(wǎng) 實施環(huán)境說明

組件

角色

系統(tǒng)/設(shè)備

OpenVPN服務(wù)端

公有云服務(wù)器

CentOS 7.9

OpenVPN客戶端

網(wǎng)絡(luò)出口設(shè)備

愛快路由器

OpenVPN客戶端

終端設(shè)備

Windows 11 Pro

?? 核心步驟詳解 一、服務(wù)端部署(CentOS 7) 1. 安裝OpenVPN服務(wù)

# 安裝OpenVPN
yum install openvpn easy-rsa -y

打開網(wǎng)易新聞 查看精彩圖片

2. 證書管理體系搭建

# 進入證書目錄
cd /etc/openvpn/easy-rsa/

# 初始化CA
./easyrsa init-pki

# 生成CA證書
./easyrsa build-ca nopass
會提示設(shè)置密碼,用于ca對之后生成的server和client證書簽名時使用,其他提示內(nèi)容直接回車即可 

# 創(chuàng)建server端證書和私鑰文件,nopass表示不加密私鑰文件
 ./easyrsa gen-req server nopass

# 給server端證書簽名,提示內(nèi)容需要輸入yes和創(chuàng)建ca根證書時候的密碼
 ./easyrsa sign server server

# 生成客戶端證書
./easyrsa build-client-full client nopass

# 創(chuàng)建Diffie-Hellman文件,密鑰交換時的Diffie-Hellman算法
./easyrsa gen-dh

# 創(chuàng)建client端的證書和私鑰文件,nopass表示不加密私鑰文件,提示內(nèi)容直接回車即可
 ./easyrsa gen-req client nopass

# 給client端證書前面,提示內(nèi)容輸入yes和創(chuàng)建ca根證書時候的密碼
 ./easyrsa sign client client
3. 服務(wù)端配置優(yōu)化

復(fù)制服務(wù)端配置文件,并且根據(jù)實際情況修改 cp /usr/share/doc/openvpn-2.4.12/sample/sample-config-files/server.conf /etc/openvpn/server/

# /etc/openvpn/server/server.ovpn
port 51194
proto udp
dev tap
ca ca.crt
cert server.crt
key server.key
dh dh.pem
topology subnet
server 10.8.0.0 255.255.255.0
push "route 172.24.22.0 255.255.255.0"
keepalive 10 120
persist-key
persist-tun
status openvpn-status.log
verb 3
explicit-exit-notify 1
cipher AES-256-GCM
生成靜態(tài)加密密鑰 openvpn --genkey --secret /etc/openvpn/hcit.tlsauth

編輯sysctl.conf 添加net.ipv4.ip_forward = 1,啟用ipv4轉(zhuǎn)發(fā);

然后重啟網(wǎng)絡(luò)服務(wù) systemctl restart network.service

添加openvpn服務(wù) systemctl -f enable openvpn@server.service

啟動openvpn服務(wù) systemctl start openvpn@server.service

打開網(wǎng)易新聞 查看精彩圖片

二、客戶端配置指南 ?? 愛快路由器配置

上一篇文章已經(jīng)寫過了,這里就不重復(fù)了,不同的是,這次啟用了TLS認證,所以略有不同,需要導(dǎo)入上面生成的靜態(tài)加密密鑰hcit.tlsauth。

?? Windows 11客戶端配置

  1. 下載安裝OpenVpn

  2. 編輯client.ovpn配置文件,并導(dǎo)入證書:

  • 新建一個文件:client.ovpn

client
dev tap
proto udp
remote 139.196.187.221 51194
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
remote-cert-tls server
cipher AES-256-GCM
verb 3
persist-key

  • 相應(yīng)證書復(fù)制到config文件夾下`

連接成功后會自動分配 10.8.0.0 網(wǎng)段IP

打開網(wǎng)易新聞 查看精彩圖片

三、網(wǎng)絡(luò)優(yōu)化關(guān)鍵配置 服務(wù)端路由策略

# 添加內(nèi)網(wǎng)路由
ip route add 18.18.18.0/24 via 10.8.0.2 dev tap0

# 檢查服務(wù)端到客戶端的網(wǎng)絡(luò)路徑
tracepath 18.18.18.58
? 故障排查清單

? 服務(wù)驗證命令:

systemctl status openvpn@server
ss -tulnp | grep 51194

? 常見錯誤處理:

  1. No server certificate verification method has been enabled

    → 檢查證書鏈完整性及有效性,檢查端口是否配置正確

  2. 客戶端無法直接通訊

    → 確認兩端路由是否存在和正確

IT狂人日志,持續(xù)更新,歡迎關(guān)注、評論和轉(zhuǎn)發(fā)。