前提條件
- 一條公網(wǎng)ip
- 局域網(wǎng)內(nèi)部一臺服務(wù)器A
- 公網(wǎng)綁定到A
局域網(wǎng)架構(gòu)及原理
- vpn原理:與ssl協(xié)議類似,ssl協(xié)議是將443端口加密,vpn是對client到server整個鏈路加密
-
openvpn原理:使用虛擬網(wǎng)卡技術(shù)声滥,將局域網(wǎng)ip段映射到client端吧趣,在client訪問時局域網(wǎng)內(nèi)機器攔截虛擬網(wǎng)卡數(shù)據(jù)包由server端真實網(wǎng)卡轉(zhuǎn)發(fā)出去,實現(xiàn)client到局域網(wǎng)內(nèi)的訪問
image.png
Openvpn搭建
參考大佬鏈接陕截,搭建沒有問題,在調(diào)試階段不對 CentOS 7 搭建OpenVPN服務(wù)器_Centos7搭建vpn | abcdocker運維博客 (i4t.com)
1、證書制作
1.1豁遭、安裝制作證書工具
mkdir /data/tools -p #創(chuàng)建工作目錄
wget -P /data/tools http://down.i4t.com/easy-rsa.zip
unzip -d /usr/local /data/tools/easy-rsa.zip
1.2、修改變量
cd /usr/local/easy-rsa-old-master/easy-rsa/2.0
vim vars
export KEY_COUNTRY="cn"
export KEY_PROVINCE="BJ"
export KEY_CITY="BJ"
export KEY_ORG="abcdocker"
export KEY_EMAIL="cyh@i4t.com"
export KEY_CN=abc
export KEY_NAME=abc
export KEY_OU=abc
#初始化環(huán)境邊看
source vars
./clean-all
#注意:執(zhí)行clean-all命令會在當(dāng)前目錄下創(chuàng)建一個名詞為keys的目錄如果存在會刪除內(nèi)容
1.3贺拣、創(chuàng)建根證書
./build-ca
# 生成根證書ca.crt和根密鑰ca.key
#因為在vars中填寫了證書的基本信息蓖谢,所以這里一路回車即可
1.4、創(chuàng)建服務(wù)端證書
#為服務(wù)端生成證書和密鑰
#一直回車纵柿,2個Y
./build-key-server server
....
An optional company name []:
Using configuration from /usr/local/easy-rsa-old-master/easy-rsa/2.0/openssl-1.0.0.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName :PRINTABLE:'cn'
stateOrProvinceName :PRINTABLE:'BJ'
localityName :PRINTABLE:'BJ'
organizationName :PRINTABLE:'abcdocker'
organizationalUnitName:PRINTABLE:'abc'
commonName :PRINTABLE:'abc'
name :PRINTABLE:'abc'
emailAddress :IA5STRING:'cyh@i4t.com'
Certificate is to be certified until Jan 31 14:01:35 2030 GMT (3650 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
1.5蜈抓、制作client端證書
#每一個登陸的VPN客戶端需要有一個證書,每個證書在同一時刻只能供一個客戶端連接昂儒,下面建立2份
#為客戶端生成證書和密鑰(一路按回車沟使,直到提示需要輸入y/n時,輸入y再按回車渊跋,一共兩次)
./build-key client1
./build-key client2
每一個登陸的VPN客戶端需要有一個證書腊嗡,每個證書在同一時刻只可以一個客戶端連接(可以修改配置文件)
1.6、現(xiàn)在為服務(wù)器生成加密交換時的Diffie-Hellman文件
生成過程比較慢拾酝,在此期間不要去中斷它
./build-dh
# 創(chuàng)建迪菲·赫爾曼密鑰燕少,會生成dh2048.pem文件(生成過程比較慢,在此期間不要去中斷它)
1.7蒿囤、創(chuàng)建完成后證書目錄如下
[root@abc01 2.0]# ll keys
total 84
-rw-r--r-- 1 root root 7997 Feb 3 09:01 01.pem
-rw-r--r-- 1 root root 7880 Feb 3 09:09 02.pem
-rw-r--r-- 1 root root 7997 Feb 3 09:01 abc.crt
-rw-r--r-- 1 root root 1765 Feb 3 09:01 abc.csr
-rw------- 1 root root 3272 Feb 3 09:01 abc.key
-rw-r--r-- 1 root root 2293 Feb 3 09:01 ca.crt
-rw------- 1 root root 3272 Feb 3 09:01 ca.key
-rw-r--r-- 1 root root 424 Feb 3 09:06 dh2048.pem
-rw-r--r-- 1 root root 211 Feb 3 09:09 index.txt
-rw-r--r-- 1 root root 21 Feb 3 09:09 index.txt.attr
-rw-r--r-- 1 root root 21 Feb 3 09:01 index.txt.attr.old
-rw-r--r-- 1 root root 105 Feb 3 09:01 index.txt.old
-rw-r--r-- 1 root root 3 Feb 3 09:09 serial
-rw-r--r-- 1 root root 3 Feb 3 09:01 serial.old
-rw-r--r-- 1 root root 7880 Feb 3 09:09 test.crt
-rw-r--r-- 1 root root 1765 Feb 3 09:09 test.csr
-rw------- 1 root root 3272 Feb 3 09:09 test.key
2客们、openvpn server端安裝配置
2.1、安裝
yum install -y openvpn
2.2、配置服務(wù)端
2.2.1底挫、生成tls-auth key并將其拷貝到證書目錄中
openvpn --genkey --secret ta.key
2.2.2恒傻、證書位置移動
mv ./ta.key /etc/openvpn/keys/
cp /usr/local/easy-rsa-old-master/easy-rsa/2.0/keys/{server.crt,server.key,ca.crt,dh2048.pem} /etc/openvpn/keys/
#驗證
[root@k8s-01 ~]# ll /etc/openvpn/keys/
total 24
-rw-r--r-- 1 root root 2342 Feb 3 12:48 ca.crt
-rw-r--r-- 1 root root 424 Feb 3 12:48 dh2048.pem
-rw-r--r-- 1 root root 8089 Feb 3 12:48 server.crt
-rw------- 1 root root 3272 Feb 3 12:48 server.key
-rw------- 1 root root 636 Feb 3 12:47 ta.key
2.2.3、服務(wù)端配置文件
touch /etc/openvpn/server.conf
vim /etc/openvpn/server.conf
port 1194 #openVPN端口
proto tcp #tcp連接
dev tun #生成tun0虛擬網(wǎng)卡
ca keys/ca.crt #相關(guān)證書配置路徑(可以修改為全路徑/etc/openvpn/keys)
cert keys/server.crt
key keys/server.key # This file should be kept secret
dh keys/dh2048.pem
server 10..0.0 255.255.255.0 #默認虛擬局域網(wǎng)網(wǎng)段建邓,不要和實際的局域網(wǎng)沖突就可以
ifconfig-pool-persist ipp.txt
push "route 192.168.10.0 255.255.255.0" #可以通過局域網(wǎng)內(nèi)的ip路由的映射到客戶端
client-to-client #如果客戶端都是用一個證書和密鑰連接VPN盈厘,需要打開這個選項
duplicate-cn
keepalive 10 120
tls-auth keys/ta.key 0 # This file is secret
comp-lzo
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log #狀態(tài)日志路徑,路徑要存在
log-append /var/log/openvpn/openvpn.log #運行日志
verb 3 #調(diào)試信息級別
2.2.4、服務(wù)端啟動
openvpn --daemon --config /etc/openvpn/server.conf
#如果有問題根據(jù)/var/log/openvpn/ 下的日志排錯官边,一般是不會有問題的
啟動成功會多一個 tun0的虛擬網(wǎng)卡
image.png
2.2.5沸手、client端配置
要導(dǎo)出對應(yīng)的client端key 根證書 ca.crt,client.crt,client.key,ta.key
client
dev tun
proto tcp
remote 192.168.0.10 1194 #openvpn服務(wù)器的外網(wǎng)IP和端口(可以寫多個做到高可用)
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt #用戶的證書
key client1.key
tls-auth ta.key 1
cipher AES-256-CBC
comp-lzo
verb 3
2.2.6、client 鏈接測試
安裝client http://down.i4t.com/openvpn-install-2.4.7-I606-Win10.exe
配置如下
image.png
2.2.7注簿、鏈接問題排錯
如果一直鏈接不上請確認
- 服務(wù)存活情況
- 安全組(服務(wù)商提供的)端口是否放開
- iptables防火墻端口是否放開
我是在安全組卡了很久契吉,這兩只是client 與服務(wù)端鏈接成功,說明我們搭建openvpn已經(jīng)完成了
這時已經(jīng)可以直接登錄到server端滩援;
4栅隐、說明
到這我們搭建openvpn已經(jīng)完成了
這時已經(jīng)可以直接登錄到server端,但是無法登錄局域網(wǎng)內(nèi)的其他機器玩徊,因為server端未開轉(zhuǎn)發(fā)
開轉(zhuǎn)發(fā)還會遇到安全組問題租悄,因此要使用SNAT替換訪問的ip
3、iptables轉(zhuǎn)發(fā)設(shè)置
參考鏈接基礎(chǔ)知識Iptables - 簡書 (jianshu.com)
3.1恩袱、開啟內(nèi)核轉(zhuǎn)發(fā)
vim /etc/sysctl.conf
net.ipv4.ip_forward = 1 #將此行寫入配置文件泣棋,開啟ipv4轉(zhuǎn)發(fā)
sysctl -p #讀取修改后的配置
3.2、iptables配置
#將客戶端的虛擬ip 10.8.0.0網(wǎng)段的ip替換為局域網(wǎng)內(nèi)服務(wù)端服務(wù)器的ip
iptables -A POSTROUTING -t nat -s 10.8.0.0/24 -o eth0 -j SNAT --to-source 192.168.10.127
Troubleshooting
工具使用tcpdump 監(jiān)聽網(wǎng)卡 參考鏈接 tcpdump詳細教程 - 簡書 (jianshu.com)
#監(jiān)聽tun0網(wǎng)卡上訪問 192.168.10.118數(shù)據(jù)
tcpdump -n -i tun0 host 192.168.10.118
在客戶端ping 畔塔,發(fā)現(xiàn)有去無會潭辈,一看ip都是10.8.x.x 肯定無法過安全組,因此用iptables替換ip澈吨,整個服務(wù)就可用了
