文章目录
- 使用openVPN建立小型企业内网VPN环境
-
-
-
- [1. 使用VMware安装2个CentOS 7虚拟机,安装时记得都多添加一张网卡,第二张网卡设置为自定义vmnet1,第一台命名为"VPNserver",第二台命名为"VPNclient"。](#1. 使用VMware安装2个CentOS 7虚拟机,安装时记得都多添加一张网卡,第二张网卡设置为自定义vmnet1,第一台命名为“VPNserver”,第二台命名为“VPNclient”。)
- [2. 安装完两台虚拟机后,进入虚拟机,修改网络配置(onboot改为yes)并重启网络服务,查看相应IP地址,并使用远程连接软件进行连接。](#2. 安装完两台虚拟机后,进入虚拟机,修改网络配置(onboot改为yes)并重启网络服务,查看相应IP地址,并使用远程连接软件进行连接。)
-
- 配置内网主机
- 配置server服务器端
-
-
- [3. 配置ens34网卡IP,使用nmtui命令。](#3. 配置ens34网卡IP,使用nmtui命令。)
- [4. 关闭selinux策略和防火墙](#4. 关闭selinux策略和防火墙)
- [5. 配置yum源,使用阿里云的yum源。](#5. 配置yum源,使用阿里云的yum源。)
- [6. 安装基础软件](#6. 安装基础软件)
- [7. 安装证书工具。](#7. 安装证书工具。)
- [8. 编写 vars文件,修改证书创建的配置参数信息,并使配置生效。](#8. 编写 vars文件,修改证书创建的配置参数信息,并使配置生效。)
- [9. 清楚缓存,清楚缓存同时会创建keys目录](#9. 清楚缓存,清楚缓存同时会创建keys目录)
- [10. 生成根证书文件和私钥信息](#10. 生成根证书文件和私钥信息)
- [11. 生成服务端证书和秘钥文件信息](#11. 生成服务端证书和秘钥文件信息)
- [12. 生成客户端证书和秘钥文件信息:](#12. 生成客户端证书和秘钥文件信息:)
- [13. 生成秘钥交换文件信息:](#13. 生成秘钥交换文件信息:)
- [14. 安装openvpn](#14. 安装openvpn)
- [15. 编写修改 openvpn服务配置文件](#15. 编写修改 openvpn服务配置文件)
-
- 进入openvpn目录下,建立存放openvpn服务加载证书文件目录
- 将之前生成的证书文件信息进行拷贝迁移
- 拷贝openvpn服务模板配置文件
- [修改vim配置文件,在最后加上set number,使vim编译器显示行数。](#修改vim配置文件,在最后加上set number,使vim编译器显示行数。)
- 编辑openvpn服务模板配置文件
- 更改配置加载的证书文件路径信息
- 当vpn拨号建立连接成功后,会生成的隧道连接网段信息
- [表示路由信息推送,可以让拨号的客户端主机路由表中,添加以上两个路由条目信息; 最终实现和企业私网以及vpn隧道私网建立通信](#表示路由信息推送,可以让拨号的客户端主机路由表中,添加以上两个路由条目信息; 最终实现和企业私网以及vpn隧道私网建立通信)
- 表示拒绝服务攻击的证书
- 表示设置数据传输的加密模式,从2.4版本之后不能使用CBC模式了,需要改为GCM,修改完成后,保存退出。
- [16. 开启内核转发](#16. 开启内核转发)
- [17. 在 openvpn服务端建立ta.key文件,主要用于拒绝服务攻击证书](#17. 在 openvpn服务端建立ta.key文件,主要用于拒绝服务攻击证书)
- [18. 启动运行openVPN服务,并查看状态](#18. 启动运行openVPN服务,并查看状态)
- [19. 为客户端配置服务做准备](#19. 为客户端配置服务做准备)
-
- 创建保存客户端文件信息的目录,并将客户端模板文件进行拷贝迁移
- 修改客户端配置文件信息:
- 表示设置客户端要和哪个vpn服务器建立连接,设置为vpn服务器外网接口公网地址和服务端口1194信息
- 表示设置数据传输的加密模式,从2.4版本之后不能使用CBC模式了,需要改为GCM
- 汇总拷贝整理客户端相关证书文件,并检查确认客户端数据信息情况
- 修改客户端文件后缀名称信息
- [将所有 openvpn客户端所需的文件数据打包并下载保存,然后用winSCP软件下载到windows桌面。](#将所有 openvpn客户端所需的文件数据打包并下载保存,然后用winSCP软件下载到windows桌面。)
-
- 配置windows
-
-
- [20. 把刚刚下载的client压缩包解压](#20. 把刚刚下载的client压缩包解压)
- [21. 安装老师给的openvpn客户端软件。该软件可以通过openvpn官网下载(下载地址:https://openvpn.net/community-downloads/)](#21. 安装老师给的openvpn客户端软件。该软件可以通过openvpn官网下载(下载地址:https://openvpn.net/community-downloads/))
- [22. 安装好之后,桌面会出现openVPN图标。](#22. 安装好之后,桌面会出现openVPN图标。)
- [23. 进入openvpn软件目录,找到config文件夹,把从客户端下载下来的client压缩包中的文件都复制到config文件夹中。如下图所示。](#23. 进入openvpn软件目录,找到config文件夹,把从客户端下载下来的client压缩包中的文件都复制到config文件夹中。如下图所示。)
- [24. 双击桌面的openVPN图标,运行openVPN,在右下角小图标处,找到openVPN图标。](#24. 双击桌面的openVPN图标,运行openVPN,在右下角小图标处,找到openVPN图标。)
- [24. 邮件桌面右下角openVPN小图标,选择选项。](#24. 邮件桌面右下角openVPN小图标,选择选项。)
- [25. 修改设置中的高级信息,设置为正确的路径,如下图。](#25. 修改设置中的高级信息,设置为正确的路径,如下图。)
-
- 测试连通性
-
-
- [26. 启动VPN前,先测试是否可以ping通内网,发现无法ping通,可以通过route print查看路由表,发现也没有相应的访问172网段的路由信息。](#26. 启动VPN前,先测试是否可以ping通内网,发现无法ping通,可以通过route print查看路由表,发现也没有相应的访问172网段的路由信息。)
- [27. 启动VPN](#27. 启动VPN)
- [28. 测试是否可以ping通server内网IP172.16.30.101,发现可以ping通,查看路由信息,也可以看到已经有了172网段的路由信息。](#28. 测试是否可以ping通server内网IP172.16.30.101,发现可以ping通,查看路由信息,也可以看到已经有了172网段的路由信息。)
- [29. 测试是否可以ping通内网IP172.16.30.102,发现ping不通,原因是内网102主机无路由信息。](#29. 测试是否可以ping通内网IP172.16.30.102,发现ping不通,原因是内网102主机无路由信息。)
- [30. 修改调整内网主机数据通讯配置信息,添加网关路由信息](#30. 修改调整内网主机数据通讯配置信息,添加网关路由信息)
- [31. 再次测试是否可以ping通,发现可以ping通](#31. 再次测试是否可以ping通,发现可以ping通)
- 至此,整个VPN构建已经完成。
-
-
使用openVPN建立小型企业内网VPN环境
实验前准备:编辑虚拟机网络配置,使VMnet8处在192.168.10.0网段。
1. 使用VMware安装2个CentOS 7虚拟机,安装时记得都多添加一张网卡,第二张网卡设置为自定义vmnet1,第一台命名为"VPNserver",第二台命名为"VPNclient"。
2. 安装完两台虚拟机后,进入虚拟机,修改网络配置(onboot改为yes)并重启网络服务,查看相应IP地址,并使用远程连接软件进行连接。
配置内网主机
配置ens34网卡IP,使用nmtui命令。
配置为172.16.30.102/24,保存退出
关闭selinux策略和防火墙
安装net-tools,
bash
yum install -y net-tools
把ens33网卡禁用,网卡配置文件中"onboot改为no",使之无法与外网相连。重启网络然后查看IP地址,发现ens33已经无IP地址
配置server服务器端
3. 配置ens34网卡IP,使用nmtui命令。
配置为172.16.30.101/24,保存退出
4. 关闭selinux策略和防火墙
5. 配置yum源,使用阿里云的yum源。
bash
curl -s -o /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-7.repo
bash
curl -s -o /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo
6. 安装基础软件
7. 安装证书工具。
证书文件制作过程,需要使用到easy-rsa-old.zip工具进行制作证书。
制作证书工具下载地址: https://github.com/OpenVPN/easy-rsa-old
下载好包或者直接把老师给的包使用winSCP进行上传。
安装压缩和解压软件
8. 编写 vars文件,修改证书创建的配置参数信息,并使配置生效。
9. 清楚缓存,清楚缓存同时会创建keys目录
10. 生成根证书文件和私钥信息
11. 生成服务端证书和秘钥文件信息
12. 生成客户端证书和秘钥文件信息:
13. 生成秘钥交换文件信息:
14. 安装openvpn
15. 编写修改 openvpn服务配置文件
进入openvpn目录下,建立存放openvpn服务加载证书文件目录
将之前生成的证书文件信息进行拷贝迁移
拷贝openvpn服务模板配置文件
修改vim配置文件,在最后加上set number,使vim编译器显示行数。
编辑openvpn服务模板配置文件
更改配置加载的证书文件路径信息
当vpn拨号建立连接成功后,会生成的隧道连接网段信息
表示路由信息推送,可以让拨号的客户端主机路由表中,添加以上两个路由条目信息; 最终实现和企业私网以及vpn隧道私网建立通信
表示拒绝服务攻击的证书
表示设置数据传输的加密模式,从2.4版本之后不能使用CBC模式了,需要改为GCM,修改完成后,保存退出。
16. 开启内核转发
17. 在 openvpn服务端建立ta.key文件,主要用于拒绝服务攻击证书
18. 启动运行openVPN服务,并查看状态
19. 为客户端配置服务做准备
创建保存客户端文件信息的目录,并将客户端模板文件进行拷贝迁移
修改客户端配置文件信息:
表示设置客户端要和哪个vpn服务器建立连接,设置为vpn服务器外网接口公网地址和服务端口1194信息
表示设置数据传输的加密模式,从2.4版本之后不能使用CBC模式了,需要改为GCM
汇总拷贝整理客户端相关证书文件,并检查确认客户端数据信息情况
修改客户端文件后缀名称信息
将所有 openvpn客户端所需的文件数据打包并下载保存,然后用winSCP软件下载到windows桌面。
配置windows
20. 把刚刚下载的client压缩包解压
21. 安装老师给的openvpn客户端软件。该软件可以通过openvpn官网下载(下载地址:https://openvpn.net/community-downloads/)
22. 安装好之后,桌面会出现openVPN图标。
23. 进入openvpn软件目录,找到config文件夹,把从客户端下载下来的client压缩包中的文件都复制到config文件夹中。如下图所示。
24. 双击桌面的openVPN图标,运行openVPN,在右下角小图标处,找到openVPN图标。
24. 邮件桌面右下角openVPN小图标,选择选项。
25. 修改设置中的高级信息,设置为正确的路径,如下图。
测试连通性
26. 启动VPN前,先测试是否可以ping通内网,发现无法ping通,可以通过route print查看路由表,发现也没有相应的访问172网段的路由信息。
27. 启动VPN
28. 测试是否可以ping通server内网IP172.16.30.101,发现可以ping通,查看路由信息,也可以看到已经有了172网段的路由信息。