簡單的OpenVPN搭建之Windows

需求描述：

POC客戶的云桌面需要與客戶本地物理機通信以獲取許可。

參考文檔

1. 簡書教程：https://www.jianshu.com/p/e0ba68e2f357

2. 官方文檔：https://openvpn.net/index.php/open-source/documentation/howto.html#quick

操作步驟

1. 下載OpenVPN

官網(wǎng)，2.4.6自帶OpenSSL，Windows的直接用exe安裝就好了，記得在Server端安裝的時候把EasyRSA勾上，不然就像我一樣傻乎乎的去Github上再找源碼。。不過我發(fā)現(xiàn)這個EasyRSA 2 Windows版是13年前的東西，牛逼啊。

2. 創(chuàng)建證書

OpenVPN安裝目錄/easy-rsa/vars.bat.sample

這個文件是個創(chuàng)建bat腳本的模板，一會會創(chuàng)建三次證書，不想打字的就在這里多改點

初始化操作：

接著，我們用管理員身份打開命令提示符窗口，并轉到easy-rsa目錄，然后依次執(zhí)行如下命令完成初始化工作：

init-config vars clean-all

第一次執(zhí)行clean-all時，提示"系統(tǒng)找不到指定的文件"是正常的，不用管它。該命令會刪除掉之前生成的所有證書和密鑰文件，以避免與之后全新生成的證書和密鑰發(fā)生沖突。

1）第一個證書：CA證書

build-ca

看這里默認值都是前面在vars.bat.sample里面改的。后面幾項我瞎寫的也沒事

2）第二個證書：服務器證書

build-key-server?server

大部分跟上面一樣，主要注意一個點：Common Name這里要寫server。創(chuàng)建出來的證書名字就是server

輸入密碼，y，y。日常RSA操作。

3）第三個證書：客戶端證書

build-key?client1

有多少client就跑多少遍,1,2,3,4,5.

然后在Common Name填對應的名字

4）最后一個證書是迪飛赫爾曼密鑰，很酷的樣子，不知道是啥

build-dh

不過要等大概5分鐘，比較久

5）開啟tls-auth（可選）

簡書教程說這是防DDoS的，總之是好東西，我就開了

6）增加客戶端

引用簡書教程里的話：如果你以后還想要創(chuàng)建新的客戶端，只需要先執(zhí)行vars命令，再執(zhí)行build-key clientName命令即可(每次打開新的命令提示符窗口，都必須先執(zhí)行vars命令，才能執(zhí)行其他命令)。

3. OpenVPN配置

在安裝目錄下有個sample-config文件夾，里面的".ovpn"文件就是配置文件的模板。其實基本上用server.ovpn跟client.ovpn這兩個文件就能連通。

小提示：'#'號開頭的注釋是每一行配置的文字解釋；';'號類似是一個“switch”的功能，為了區(qū)分文字行與配置行。

簡單一個舉例：

第34行的注釋是解釋下面這行配置事用TCP還是UDP協(xié)議，35行注釋掉了配置tcp的代碼，那么確實生效的配置就是36行的"proto udp"，最后OpenVPN服務也將走UDP協(xié)議。

這個理解了以后就看著文字解釋改吧，有什么不懂的就看參考最上面的官方文檔，簡書教程里把整個配置文件貼出來了，照著寫也行。

4.華為云虛擬機配置

1）添加OpenVPN端口

在華為云Server端所在ECS的安全組里添加如下規(guī)則：

若使用云桌面作為Server端，請在名為“WorkspaceUserSecurityGroup”的安全組下添加此規(guī)則。

2）NAT網(wǎng)關設置（如果Server端有綁定EIP則可以跳過）

購買一個小型的NAT網(wǎng)關，并綁定一個1Mbit/s的EIP。進入NAT網(wǎng)關控制臺，選中創(chuàng)建好的NAT網(wǎng)關，點擊添加DNAT規(guī)則：

私網(wǎng)IP選擇Server端的私網(wǎng)IP地址，點擊確認。

DNAT公網(wǎng)的端口映射到私網(wǎng)的端口，所以私網(wǎng)端口一定要填OpenVPN默認的1194端口（當然你也可以在配置里面改，32行FYI）公網(wǎng)端口填沒有被占用的端口就行。注意，這里的設置在client.ovpn里體現(xiàn)在第42行：remote "彈性公網(wǎng)IP" "公網(wǎng)端口"

5. 鏈接OpenVPN并驗證結果

1）開啟OpenVPN服務

進入Server端所在計算機的Windows服務界面(【開始】->【運行】->【services.msc】)，然后啟動OpenVPN Service服務，從而啟動服務器端的OpenVPN。

開啟后稍微等1分鐘，可以運行命令：netstat -ano，來查看是否有個udp 1194的端口在監(jiān)聽

2）在Client端鏈接OpenVPN Server

切換到Client端服務器，雙擊安裝OpenVPN時在桌面上生成的OpenVPN GUI圖標，此時任務欄右下角會出現(xiàn)如下圖所示的托盤圖標，右鍵該圖標，點擊【connect】即可啟動OpenVPN客戶端，并嘗試連接服務器。

如果連接成功，該托盤圖標將會變?yōu)榫G色，并且提示OpenVPN服務分配給Client端的隧道IP，如圖：

如果一不留神沒看到，可以右鍵點擊OpenVPN圖標?-> Show Status；在彈出窗口的最后一行看到，如圖：

3）測試

嘗試在Server端ping一下Client端的地址：執(zhí)行命令ping 10.8.0.2

嘗試在Client端ping一下Server端的地址：執(zhí)行命令ping 10.8.0.1

如果都能ping通，那么VPN的通道就搭建好了。下一篇講一下如何用Client端（Server端也行）作為跳轉，讓與Client端同網(wǎng)段的機器與Server端互信。

Windows 虛擬專用網(wǎng)絡 VPN

版權聲明：本文內容由網(wǎng)絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實的內容，請聯(lián)系我們jiasou666@gmail.com 處理，核實后本網(wǎng)站將在24小時內刪除侵權內容。

版權聲明：本文內容由網(wǎng)絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實的內容，請聯(lián)系我們jiasou666@gmail.com 處理，核實后本網(wǎng)站將在24小時內刪除侵權內容。