通过openVPN,实现安全内网穿透

这篇具有很好参考价值的文章主要介绍了通过openVPN,实现安全内网穿透。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

openVPN 为开源服务,虚拟专用通道,是提供给企业之间或者个人与公司之间安全数据传输的隧道,跨平台,支持linux\window\macos\Android和iOS,值得学习使用。

1、安装openVPN

ubuntu环境下

apt install openvpn

安装完成后生成了目录

通过openVPN,实现安全内网穿透,香橙派,物联网,安全

二、安装Easy RSA套件

用于生成openVPN所需的密钥,服务端和客户端所需的证书和密钥

1、下载Easy RSA源码包:

Easy RSA下载官网:https://github.com/OpenVPN/easy-rsa/releases

[root@localhost ~]wget https://github.com/OpenVPN/easy-rsa/releases/download/v3.1.2/EasyRSA-3.1.2.tgz

下载完后解压,在/etc/openvpn目录下创建目录easy-rsa,将刚才解压缩的所有文件复制到这个目录下

[root@localhost ~]#tar -zxvf EasyRSA-3.1.2.tgz
[root@localhost ~]#mkdir /etc/openvpn/easy-rsa
[root@localhost ~]#cp -r EasyRSA-3.1.2/* /etc/openvpn/easy-rsa

2、Easy RSA在服务端生成私钥和证书

- 进入Easy RSA的安装目录,并配置参数;

[root@localhost ~]# cd /etc/openvpn/easy-rsa/
[root@localhost easy-rsa]# cp vars.example vars
[root@localhost easy-rsa]# vim vars

通过openVPN,实现安全内网穿透,香橙派,物联网,安全

- 清理原有证书和私钥并初始化;

[root@localhost easy-rsa]# ./easyrsa clean-all

 - 生成CA根证书;

[root@localhost easy-rsa]# ./easyrsa build-ca

通过openVPN,实现安全内网穿透,香橙派,物联网,安全 CA根证书生成位置:/etc/openvpn/easy-rsa/pki/ca.crt

3、 为OpenVPN服务端生成server证书和私钥;

备注:这里使用nopass参数设置不需要密码,那么在启动OpenVPN服务的时候就不提示输入密码

[root@localhost easy-rsa]# ./easyrsa build-server-full server nopass

 通过openVPN,实现安全内网穿透,香橙派,物联网,安全

服务端证书路径:/etc/openvpn/easy-rsa/pki/issued/server.crt
服务端私钥路径:/etc/openvpn/easy-rsa/pki/private/server.key

- 生成Diffie-Hellman算法需要的密钥文件;

[root@localhost easy-rsa]# ./easyrsa gen-dh

等待一段时间即可生成成功

通过openVPN,实现安全内网穿透,香橙派,物联网,安全

生成tls-auth Key用于防止DDOS和TLS攻击;

[root@localhost easy-rsa]# openvpn --genkey --secret ta.key

通过openVPN,实现安全内网穿透,香橙派,物联网,安全

ta.key路径:/etc/openvpn/easy-rsa/ta.key

三、OpenVPN服务端配置

创建/修改OpenVPN服务端配置文件 vim /etc/openvpn/server/server.conf

port 1194                               #端口
dev tun                                 #采用路由隧道模式tun
ca ca.crt                               #ca证书文件位置
cert server.crt                         #服务端公钥名称
key server.key                          #服务端私钥名称
dh dh.pem                               #交换证书
auth SHA1 
proto tcp
server 10.8.0.0 255.255.255.0           #给客户端分配地址池,注意:不能和VPN服务器内网网段有相同
push "route 10.0.8.2 255.255.252.0"   #允许客户端访问内网10.0.8.2网段,我这里填了服务器内网IP和子网掩码
client-to-client
verb 3                                  #openvpn版本
persist-key     #通过keepalive检测超时后,重新启动VPN,不重新读取keys,保留第一次使用的keys。
persist-tun     #检测超时后,重新启动VPN,一直保持tun是linkup的。否则网络会先linkdown然后再linkup
keepalive 10 120                        #存活时间,10秒ping一次,120 如未收到响应则视为断线
max-clients 200                         #最多允许200个客户端连接
ifconfig-pool-persist ipp.txt           #地址池记录文件位置 维持客户端和virtual ip的对应表,以便客户端重连接连接也是相同IP
duplicate-cn    #和keys连接VPN,一定要打开这个选项,否则只允许一 个人连接VPN
script-security 3                                   #支持密码认证-允许使用自定义脚本
auth-user-pass-verify /etc/openvpn/check.sh via-env #支持密码认证-指定认证脚本
username-as-common-name                             #支持密码认证-用户密码登陆方式验证

编写用户认证脚本文件


[root@Web01 ~]# vim /etc/openvpn/check.sh

写入下面内容

#!/bin/bash
PASSFILE="/etc/openvpn/openvpnfile"   #密码文件 用户名 密码明文
LOG_FILE="/var/log/openvpn-password.log"  #用户登录情况的日志
TIME_STAMP=`date "+%Y-%m-%d %T"`
if [ ! -r "${PASSFILE}" ]; then
    echo "${TIME_STAMP}: Could not open password file \"${PASSFILE}\" for reading." >> ${LOG_FILE}
    exit 1
fi
CORRECT_PASSWORD=`awk '!/^;/&&!/^#/&&$1=="'${username}'"{print $2;exit}'    ${PASSFILE}`
if [ "${CORRECT_PASSWORD}" = "" ]; then
    echo "${TIME_STAMP}: User does not exist: username=\"${username}\",password=\"${password}\"." >> ${LOG_FILE}
    exit 1
fi
if [ "${password}" = "${CORRECT_PASSWORD}" ]; then
    echo "${TIME_STAMP}: Successful authentication: username=\"${username}\"." >> ${LOG_FILE}
    exit 0
fi
echo "${TIME_STAMP}: Incorrect password: username=\"${username}\", password=\"${password}\"." >> ${LOG_FILE}
exit 1   

给脚本执行权限

[root@Web01 ~]# chmod +x /etc/openvpn/check.sh

创建用户密码,空格为分割符

[root@Web01 ~]# vim /etc/openvpn/openvpnfile
koten 1

- 拷贝私钥、公钥和证书等文件到server.conf同级目录/etc/openvpn/server/下;

备注:需要拷贝的文件包括ca.crt、ca.key、server.crt、server.key、dh.pem、ta.key
[root@localhost server]# cp /etc/openvpn/easy-rsa/pki/ca.crt 
[root@localhost server]# cp /etc/openvpn/easy-rsa/pki/private/ca.key 
[root@localhost server]# cp /etc/openvpn/easy-rsa/pki/issued/server.crt 
[root@localhost server]# cp /etc/openvpn/easy-rsa/pki/private/server.key 
[root@localhost server]# cp /etc/openvpn/easy-rsa/pki/dh.pem 
[root@localhost server]# cp /etc/openvpn/easy-rsa/ta.key 

通过openVPN,实现安全内网穿透,香橙派,物联网,安全

修改服务端配置文件为支持密码认证

启动服务端服务

/etc/openvpn/server/目录下执行

[root@uos server]# openvpn --config server.conf

通过openVPN,实现安全内网穿透,香橙派,物联网,安全

四、OpenVPN客户端配置

在服务端生成客户端的证书和私钥,每多一个客户端就要多生成一份,为好区分,命名client_xxx为不一样

/etc/openvpn/easy-rsa/ 目录下执 行

[root@localhost easy-rsa]# ./easyrsa build-client-full client nopass

通过openVPN,实现安全内网穿透,香橙派,物联网,安全

客户端证书路径:/etc/openvpn/easy-rsa/pki/issued/client.crt
客户端私钥路径:/etc/openvpn/easy-rsa/pki/private/client.key
将生成的客户端证书(client.crt)、私钥(client.key),服务端根证书(ca.crt)、ta.key打包下载回来

上传到客户端的 /etc/openvpn/client

前提是客户端需要先安装vpn:apt install openvpn

linux

进入客户端 /etc/openvpn/client

创建OpenVPN客户端配置文件 

vim /etc/openvpn/client/client.conf

写入内容 

client
dev tun
proto tcp
remote 41.19.18.17 1194
ca ca.crt               #指定CA证书的文件路径
cert client.crt         #指定当前客户端的证书文件路径
key client.key          #指定当前客户端的私钥文件路径
nobind                  #不绑定本地特定的端口号
auth SHA1 
resolv-retry infinite   #断线自动重新连接,在网络不稳定的情况下非常有用
verb 3                  #指定日志文件的记录详细级别,可选0-9,等级越高日志内容越详细
persist-key     #通过keepalive检测超时后,重新启动VPN,不重新读取keys,保留第一次使用的keys
persist-tun     #检测超时后,重新启动VPN,一直保持tun是linkup的。否则网络会先linkdown然后再linkup
auth-user-pass pass.txt  #用户密码验证

 /etc/openvpn/client下创建用户密码文件pass.txt

写入用户,换行写密码

通过openVPN,实现安全内网穿透,香橙派,物联网,安全

目录文件如下

通过openVPN,实现安全内网穿透,香橙派,物联网,安全

启动客户端服务

/etc/openvpn/client/目录下执行


root@localhost: openvpn --config client.conf

通过openVPN,实现安全内网穿透,香橙派,物联网,安全

成功!!

五、window下客户端配置

安装好客户端 OpenVPN

通过openVPN,实现安全内网穿透,香橙派,物联网,安全

进入安装目录C:\Program Files\OpenVPN\config\

建了一个目录 config.4

通过openVPN,实现安全内网穿透,香橙派,物联网,安全

将上面说到的Easy RSA生成服务器根证ca.crt,和客户端私钥clientpc.key和证书clientpc.crt,和ta.key复制到config.4目录下面

通过openVPN,实现安全内网穿透,香橙派,物联网,安全

新建pc.ovpn文件,填入内容

client
dev tun
proto tcp
remote 41.19.18.17 1194
ca ca.crt               #指定CA证书的文件路径
cert clientpc.crt         #指定当前客户端的证书文件路径
key clientpc.key          #指定当前客户端的私钥文件路径
nobind                  #不绑定本地特定的端口号
auth SHA1 
resolv-retry infinite   #断线自动重新连接,在网络不稳定的情况下非常有用
verb 3                  #指定日志文件的记录详细级别,可选0-9,等级越高日志内容越详细
persist-key     #通过keepalive检测超时后,重新启动VPN,不重新读取keys,保留第一次使用的keys
persist-tun     #检测超时后,重新启动VPN,一直保持tun是linkup的。否则网络会先linkdown然后再linkup
auth-user-pass pass.txt  #用户密码验证

新建pass.txt 文件

填入内容

通过openVPN,实现安全内网穿透,香橙派,物联网,安全

到这里配置完成

测试连接成功

通过openVPN,实现安全内网穿透,香橙派,物联网,安全

查看本机IP

通过openVPN,实现安全内网穿透,香橙派,物联网,安全

正学的话和上面的linux客户端可以ping通

六、开始启动设置

服务端开机启动

修改openvpn-server服务文件

vim /usr/lib/systemd/system/openvpn-server@.service

修改内容:

ExecStart=/usr/sbin/openvpn --config server.conf
ExecStop=killall openvpn
 

修改ExecStart 和 ExecStop 启动和关闭命令即可,存盘退出后,再执行:

rm -rf /etc/systemd/system/openvpn-server@server.service.d

因为这个地方会 Override 加载一些没有用的内容而导致加载失败,而这些功能(add-bridge等)都不是我们这个极简教程所需要的,因此将之删除,有兴趣的同学可以在备份好源文件的前提下继续深入研究。现在,重新加载OpenVPN服务:

systemctl daemon-reload
systemctl start openvpn-server@server.service

查看状态
systemctl status openvpn-server@server.service

一切无误后,输入:

systemctl enable openvpn-server@server.service
 

客户端服务开机启动

vim /usr/lib/systemd/system/openvpn-client@.service

修改内容:

ExecStart=/usr/sbin/openvpn --config client.conf
ExecStop=killall openvpn

重新加载OpenVPN服务:

systemctl daemon-reload
systemctl start openvpn-client@client.service

一切无误后,输入:

systemctl enable openvpn-client@client.service

为客户端设置静态IP

默认客户端IP,每次重启可能都不相同,为了维护方便,设置静态IP

1.打开server端配置文件 /etc/openvpn/server/server.conf

添加一行

client-config-dir /etc/openvpn/server/clientip

2、在/etc/openvpn/server/添加一个文件夹clientip

3、在/etc/openvpn/server/clientip 下添加一个文件,文件名为客户端登录的用户名

如:客户端登录的用户名为  abc/密码为888

那这里添加的文件名就是 abc

通过openVPN,实现安全内网穿透,香橙派,物联网,安全

4.为用户设置固定IP

在上一步建的文件,中输入内容,并保存

ifconfig-push 10.8.0.11 255.255.255.252

                          IP               子网掩码

ifconfig-push 10.8.0.11 10.8.0.1

                       IP               网关

我试过两种都可以

通过openVPN,实现安全内网穿透,香橙派,物联网,安全

5.重启server端

6.客户端重连后就可以看到服务端分配的IP就是10.8.0.11了

注意,openvpn默认的子网掩码是255.255.255.252 所以要注意你需要分配的IP的可用性文章来源地址https://www.toymoban.com/news/detail-772248.html

到了这里,关于通过openVPN,实现安全内网穿透的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 通过内网穿透实现文件共享,Python—行代码轻松实现公网访问

    数据共享作为和连接作为互联网的基础应用,不仅在商业和办公场景有广泛的应用,对于个人用户也有很强的实用意义。也正因如此,大量数据共享软件被开发出来,云存储的概念也被重复炒作。对于爱好折腾的笔者来说,用最简单的工具找寻私人共享和存储解决方案,也是

    2024年02月07日
    浏览(39)
  • 如何通过内网穿透实现远程访问Linux SVN服务

    由于文档资料越来越多,将所有资料都存放在自己的电脑上容易混淆,并且也不利于分享。这种情况下,考虑将资料上传SVN统一管理,这样一来其他人也能很方便的查略各种资料。 当SVN安装在局域网内的话,想要远程访问资料库或者代码将会受到限制,为了能从公共网络访问内

    2024年02月05日
    浏览(55)
  • 如何通过cpolar内网穿透+VNC实现公网远程ubuntu

    前言 实现ubuntu 系统桌面级别的远程连接,需要在ubuntu 系统中安装vnc,既然是桌面,前提是需要ubuntu 带有图形化界面,如果没有,可以执行以下命令安装图形化界面 1. ubuntu安装VNC 在ubuntu中安装vnc 安装LightDM【LightDM从设计上就是支持本地图形界面以获得最好的兼容性】 安装过程中会

    2024年02月09日
    浏览(50)
  • 如何通过内网穿透实现无公网IP远程访问内网的Linux宝塔面板

    正文开始前给大家推荐个网站,前些天发现了一个巨牛的 人工智能 学习网站, 通俗易懂,风趣幽默 ,忍不住分享一下给大家。点击跳转到网站。 宝塔面板作为建站运维工具,适合新手,简单好用。当我们在家里/公司搭建了宝塔,没有公网IP,但是想要在外也可以访问内网

    2024年02月03日
    浏览(41)
  • 如何通过内网穿透实现远程访问本地Linux SVN服务

    由于文档资料越来越多,将所有资料都存放在自己的电脑上容易混淆,并且也不利于分享。这种情况下,考虑将资料上传SVN统一管理,这样一来其他人也能很方便的查略各种资料。 当SVN安装在局域网内的话,想要远程访问资料库或者代码将会受到限制,为了能从公共网络访问内

    2024年02月04日
    浏览(39)
  • 通过HFS低成本搭建NAS,并内网穿透实现公网访问

    云存储作为一个新概念,在前些年炒的火热,虽然伴随一系列黑天鹅事件,让热度快速下降,但云存储带来的方便深入人心。因此在大厂的云存储产品热度下降后,私人的NAS热度快速上升,其中最具代表性的,必然是群晖NAS。但群晖价格太高,个人和小型企业无法承担。实际

    2024年02月10日
    浏览(47)
  • Android Termux安装MySQL,通过内网穿透实现公网远程访问

    🔥 博客主页 : 小羊失眠啦. 🔖 系列专栏 : C语言 、 Linux 、 Cpolar ❤️ 感谢大家点赞👍收藏⭐评论✍️ 前些天发现了一个巨牛的人工智能学习网站,通俗易懂,风趣幽默,忍不住分享一下给大家。点击跳转到网站。 Android作为移动设备,尽管最初并非设计为服务器,但是

    2024年02月08日
    浏览(48)
  • Linux服务使用宝塔面板搭建网站,通过内网穿透实现公网访问

    宝塔面板作为简单好用的服务器运维管理面板,它支持Linux/Windows系统,我们可用它来一键配置LAMP/LNMP环境、网站、数据库、FTP等,通过Web端轻松管理服务器。 以下教程,我们将演示使用宝塔面板快速简单搭建本地web网站,并做内网穿透,实现不在同个局域网下的用户也可以

    2024年02月13日
    浏览(44)
  • 如何通过内网穿透实现固定tcp地址ssh远程连接Kali

    简单几步通过[cpolar 内网穿透](cpolar官网-安全的内网穿透工具 | 无需公网ip | 远程访问 | 搭建网站)软件实现ssh 远程连接kali! 默认新安装的kali系统会关闭ssh 连接服务,我们通过命令打开: 启动后我们查看ssh 状态,active 表示ssh 正常运行 通常ssh 是使用账号或者密码进行登录连接,所

    2024年02月04日
    浏览(53)
  • 利用Nginx通过内网穿透实现Windows Web多站点远程访问

    1. 下载windows版Nginx 进入官方网站(http://nginx.org/en/download.html)下载windows版的nginx 下载好后解压进入nginx目录双击Nginx.exe即可运行 打开浏览器输入http://localhost ,nginx默认使用80端口,所以无需加端口号.出现nginx欢迎页面表示启动成功 2. 配置Nginx 在8086,和9999端口分别配置两个web服务

    2024年02月08日
    浏览(45)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包