百度360必应搜狗淘宝本站头条
mqtt服务器xftp6mybatiscollectionkeyerrorc#var
当前位置:网站首页 > 热门文章 > 正文

干货,远程办公自建VPN实现安全访问公司资源

bigegpt 2024-10-26 08:12 6 浏览

2020年新型冠状病毒肺炎,促使很多单位紧急采取临时居家远程办公,以保护人身安全。本文是我公司实际使用的方式,特分享出来,以解决大家的燃眉之急。

一、 自建VPN二大难题解决

  1. 而很多单位没有支持SSL安全加密的VPN设备,如果能够快速的搭建起安装的VPN系统呢?

解决方法:我们采用CentOS Linux 系统,安装开源免费的OpenVPN 软件,来搭建自己可控的、安全的VPN 系统。

2.单位宽带是动态拔号上网,无固定公网IP ,在家的员工如何让VPN 客户端,能够拔上单位里的VPN 服务器呢?

解决方法:使用国内优秀的花生壳免费动态域名解析,实现花生壳免费域名和单位宽带公网IP绑定。

自建VPN 系统的2大问题将迎刃而解。

二、 自建VPN核心内容

下面我将分为 4 大部份,分别介绍如何来部署一套安全的VPN系统:

1. VPN系统网络结构

2. 花生壳动态域名解析部署

3. 单位OpenVPN服务端部署

4.远程用户VPN客户端部署

三、VPN系统各个环境部署详解

(一)、 VPN系统网络结构图

为了便于大家更好的理解本文,我特意画了网络结构图,以便大家理解。 结构如下:


二、动态域名解析部署

1.先到花生壳官网,免费注册一个动态域名。参见网址 https://hsk.oray.com/

2.在公司的宽带路由器里,动态域名解析里,填写申请到的花生壳帐号,如我的免费域名是 nailxxx.oicp.net。如果你单位的路由器没有动态域名解析功能,可在单位内任意一台电脑,安装花生壳客户端,填写正确的用户名和密码,即可实现动态域名解析到单位的动态公网IP。如下图所示:



3.端口转发配置。远程办公用户VPN客户端拔入的时候,需要在单位的路由器上,将用户的网络请求,转发给单位内的VPN服务器(本例单位VPN服务器IP 192.168.1.3),不同厂家的路由器配置界面不一样,但原理均相同。我单位的路由器配置截图如下:



三、OpenVPN 服务端部署

VPN 服务端我们以 CentOS 7.6 为系统平台,如下操作,均以 root 帐号执行。

服务器端配置核心工作内容如下:

1.Linux环境依赖包的安装

2.OpenVPN 服务端软件的安装

3.easy-rsa 证书部署

4.配置VPN服务


1.Linux环境依赖包的安装

# yum install openssl openssl-devel pam-devel lzo lzo-devel cmake

2.OpenVPN 服务端软件的安装

下载地址:http://openvpn.net/ ,该网站访问,需要翻墙,请读者根据自己的喜欢,选择一种。

(1) 解压安装包

[root@CentOS7U6 ~]# tar -zxvf openvpn-2.4.8.tar.gz

[root@CentOS7U6 ~]# cd openvpn-2.4.8/

(2) 执行编译并安装

[root@CentOS7U6 openvpn-2.4.8]# ./configure --prefix=/usr/openvpn

[root@CentOS7U6 openvpn-2.4.8]# make

[root@CentOS7U6 openvpn-2.4.8]# make install

(3) 创建工作目录

[root@CentOS7U6 openvpn-2.4.8]# cd /usr/openvpn/

[root@CentOS7U6 openvpn]# ls

include lib sbin share

[root@CentOS7U6 openvpn]# mkdir etc

[root@CentOS7U6 openvpn]# mkdir log

[root@CentOS7U6 openvpn]# ls

etc include lib log sbin share


3.easy-rsa 证书部署

下载地址:https://github.com/OpenVPN/easy-rsa

(1) 解压 easy-rsa

[root@CentOS7U6 ~]# unzip easy-rsa-3.0.6.zip

[root@CentOS7U6 ~]# cd easy-rsa-3.0.6/

(2) 复制easy-rsa到 OpenVPN安装目录

[root@CentOS7U6 easy-rsa-3.0.6]# cp -r easyrsa3/ /usr/openvpn/

[root@CentOS7U6 /]# cd /usr/openvpn/

[root@CentOS7U6 openvpn]# ls

easyrsa3 etc include lib log sbin share

(3) 重命名easy-rsa 目录名为 ca

[root@CentOS7U6 openvpn]# mv easyrsa3/ ca

(4) 准备环境参数文件 vars

[root@CentOS7U6 /]# cd /usr/openvpn/ca/

[root@CentOS7U6 ca]# ls

easyrsa openssl-easyrsa.cnf vars.example x509-types

[root@CentOS7U6 ca]# cp vars.example vars

[root@CentOS7U6 ca]# ls

easyrsa openssl-easyrsa.cnf openssl.cnf vars vars.example x509-types

(5) 最终修改后的 vars

[root@CentOS7U6 ca]# cat vars |grep -v "#"|grep -v ^$

if [ -z "$EASYRSA_CALLER" ]; then

echo "You appear to be sourcing an Easy-RSA 'vars' file." >&2

echo "This is no longer necessary and is disallowed. See the section called" >&2

echo "'How to use this file' near the top comments for more details." >&2

return 1

fi

set_var EASYRSA "$PWD"

set_var EASYRSA_PKI"$EASYRSA/pki"

set_var EASYRSA_DN "cn_only"

set_var EASYRSA_REQ_COUNTRY "CN"

set_var EASYRSA_REQ_PROVINCE"China"

set_var EASYRSA_REQ_CITY "ChongQing"

set_var EASYRSA_REQ_ORG "VPN"

set_var EASYRSA_REQ_EMAIL"nail@nail.cn"

set_var EASYRSA_REQ_OU"VPN CA"

set_var EASYRSA_KEY_SIZE 2048

set_var EASYRSA_ALGO rsa

set_var EASYRSA_CA_EXPIRE3650

set_var EASYRSA_CERT_EXPIRE3650

set_var EASYRSA_NS_COMMENT"VPN Generated Certificate"

set_var EASYRSA_SSL_CONF "$EASYRSA/openssl-easyrsa.cnf"

set_var EASYRSA_DIGEST"sha256"

(5) 生成证书CA

重要: CA 根证书的密码一定不能遗失,否则无法生成其它证书。

[root@CentOS7U6 ca]# ./easyrsa init-pki

Note: using Easy-RSA configuration from: ./vars

init-pki complete; you may now create a CA or requests.

Your newly created PKI dir is: /usr/openvpn/ca/pki

[root@CentOS7U6 ca]#

[root@CentOS7U6 ca]# ./easyrsa build-ca

Note: using Easy-RSA configuration from: ./vars

Using SSL: openssl OpenSSL 1.0.2k-fips 26 Jan 2017

Enter New CA Key Passphrase: 123456 #CA根证书密码

Re-Enter New CA Key Passphrase: 123456 #CA根证书密码

Generating RSA private key, 2048 bit long modulus

.....................+++

..............+++

e is 65537 (0x10001)

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

Common Name (eg: your user, host, or server name) [Easy-RSA CA]:

CA creation complete and you may now import and sign cert requests.

Your new CA certificate file for publishing is at:

/usr/openvpn/ca/pki/ca.crt

[root@CentOS7U6 ca]#

(6) 生成DH PEM文件

[root@CentOS7U6 ca]# ./easyrsa gen-dh

Note: using Easy-RSA configuration from: ./vars

Using SSL: openssl OpenSSL 1.0.2k-fips 26 Jan 2017

Generating DH parameters, 2048 bit long safe prime, generator 2

This is going to take a long time

................................................................+......................................................+.........................................................................................+.....................................................................................................+............+....+..................................+..................................+.+..................................................................................................................................................+

DH parameters of size 2048 created at /usr/openvpn/ca/pki/dh.pem

[root@CentOS7U6 ca]#

(7) 生成服务端证书

重要:

服务端证书,必须使用nopass参数生成证书,否则生成的证书,在启动VPN服务时,需要手动输入密码,VPN服务端才能够启动.

[root@CentOS7U6 ca]# ./easyrsa gen-req server nopass

Note: using Easy-RSA configuration from: ./vars

Using SSL: openssl OpenSSL 1.0.2k-fips 26 Jan 2017

Generating a 2048 bit RSA private key

............+++

......+++

writing new private key to '/usr/openvpn/ca/pki/private/server.key.HBXzQozLmF'

-----

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

Common Name (eg: your user, host, or server name) [server]:

Keypair and certificate request completed. Your files are:

req: /usr/openvpn/ca/pki/reqs/server.req

key: /usr/openvpn/ca/pki/private/server.key

[root@CentOS7U6 ca]#


[root@CentOS7U6 ca]# ./easyrsa sign-req server server

Note: using Easy-RSA configuration from: ./vars

Using SSL: openssl OpenSSL 1.0.2k-fips 26 Jan 2017

You are about to sign the following certificate.

Please check over the details shown below for accuracy. Note that this request

has not been cryptographically verified. Please be sure it came from a trusted

source or that you have verified the request checksum with the sender.

Request subject, to be signed as a server certificate for 3650 days:

subject=

commonName = server

Type the word 'yes' to continue, or any other input to abort.

Confirm request details: yes #这里输入 yes 继续

Using configuration from /usr/openvpn/ca/pki/safessl-easyrsa.cnf

Enter pass phrase for /usr/openvpn/ca/pki/private/ca.key: 123456 #CA证书的密码

Check that the request matches the signature

Signature ok

The Subject's Distinguished Name is as follows

commonName :ASN.1 12:'server'

Certificate is to be certified until Oct 2 03:37:28 2028 GMT (3650 days)

Write out database with 1 new entries

Data Base Updated

Certificate created at: /usr/openvpn/ca/pki/issued/server.crt

[root@CentOS7U6 ca]#

(8) 客户端证书

重要

./easyrsa build-client-full client1 用户登录时需要输入用户证书的密码。

./easyrsa build-client-full client20 nopass 用户登录时,不需要输入证书的密码。


[root@CentOS7U6 ca]# ./easyrsa build-client-full client1

Note: using Easy-RSA configuration from: ./vars

Using SSL: openssl OpenSSL 1.0.2k-fips 26 Jan 2017

Generating a 2048 bit RSA private key

...+++

.........................................................+++

writing new private key to '/usr/openvpn/ca/pki/private/client1.key.6yOFBpL7h0'

Enter PEM pass phrase: 666666 #自定义客户端证书的密码

Verifying - Enter PEM pass phrase: 666666 #自定义客户端证书的密码

Using configuration from /usr/openvpn/ca/pki/safessl-easyrsa.cnf

Enter pass phrase for /usr/openvpn/ca/pki/private/ca.key: 123456 #CA证书的密码

Check that the request matches the signature

Signature ok

The Subject's Distinguished Name is as follows

commonName :ASN.1 12:'client1'

Certificate is to be certified until Oct 2 03:45:27 2028 GMT (3650 days)

Write out database with 1 new entries

Data Base Updated

[root@CentOS7U6 ca]#

生成更多的远程用户VPN 证书,只需要按上面的步骤,继续执行即可

[root@CentOS7U6 ca]# ./easyrsa build-client-full client2

[root@CentOS7U6 ca]# ./easyrsa build-client-full client3

  1. 部署VPN服务

(1) 复制安装程序中自带的服务端配置文件

[root@CentOS7U6 /]# cd /usr/openvpn/etc/

[root@CentOS7U6 etc]# cp /opt/setup/openvpn-2.4.8/sample/sample-config-files/server.conf .

(2) 最终修改后的服务端配置文件

[root@CentOS7U6 etc]# cat server.conf | grep -v "^#" | grep -v ";" | grep -v ^$

port 1194 #工作端口

proto tcp #工作协议

dev tun

ca /usr/openvpn/ca/pki/ca.crt #指定证书位置

cert /usr/openvpn/ca/pki/issued/server.crt

dh /usr/openvpn/ca/pki/dh.pem

server 10.8.0.0 255.255.255.0 #VPN 网段

push "route 192.168.1.0 255.255.255.0" #单位局域网段信息

ifconfig-pool-persist ipp.txt

keepalive 10 120

cipher AES-256-CBC

comp-lzo

persist-key

persist-tun

status openvpn-status.log

verb 3

management localhost 7505

[root@CentOS7U6 etc]#

(3)CentOS 防火墙上允许 openvpn TCP 1194 端口通信

iptables -A INPUT -p tcp --dport 1194 -j ACCEPT

(4)启用路由功能

echo “1” > /proc/sys/net/ipv4/ip_forward

(5)启动VPN 服务

/usr/openvpn/sbin/openvpn --config /usr/openvpn/etc/server.conf &

(6)VPN 服务器启用SNAT 功能

iptables -t nat -A POSTROUTING -s 10.8.0.0/16 -o eth0 -j MASQUERADE

至此 VPN 服务端配置完成


四、远程用户OpenVPN客户端部署

(1) 下载安装程序

远程办公用户,下载Windows平台的OpenVPN安装程序,下载地址:http://openvpn.net/ ,该网站访问,需要翻墙,请读者根据自己的喜欢,选择一种。


(2) Windows 执行OpenVPN 程序安装

双击安装程序 “openvpn-install-2.4.8-I602-Win10.exe” 根据向导,直接 Next 直到安装完成

(3) 准备客户端配置文件 client.ovpn

将Windows 安装目录中 C:\Program Files\OpenVPN\sample-config 复制到 C:\Program Files\OpenVPN\config 目录,并修改该文件内容如下

client

dev tun

proto tcp

remote nail110.oicp.net 1194

resolv-retry infinite

nobind

persist-key

persist-tun

ca ca.crt # 从CentOS CA 目录下复制该文件

cert client1.crt #每个用户的证书文件,从CentOS CA 目录下复制该文件件

key client1.key #每个用户的证书文件,从CentOS CA 目录下复制该文件

remote-cert-tls server

cipher AES-256-CBC

comp-lzo

verb 3

auth-nocache

(4) 远程办公用户拔 VPN 连接

启动 Windows 开始菜单==>OpenVPN==> OpenVPN GUI ,它会在任务栏右下角出现一个电脑图标,鼠票右键==》Connect 连接





至此远程用户 VPN 客户端配置完成。

相关推荐

Docker篇(二):Docker实战,命令解析

大家好,我是杰哥上周我们通过几个问题,让大家对于Docker有了一个全局的认识。然而,说跟练往往是两个概念。从学习的角度来说,理论知识的学习,往往只是第一步,只有经过实战,才能真正掌握一门技术所以,本...

docker学习笔记——安装和基本操作

今天学习了docker的基本知识,记录一下docker的安装步骤和基本命令(以CentOS7.x为例)一、安装docker的步骤:1.yuminstall-yyum-utils2.yum-con...

不可错过的Docker完整笔记(dockerhib)

简介一、Docker简介Docker是一个开源的应用容器引擎,基于Go语言并遵从Apache2.0协议开源。Docker可以让开发者打包他们的应用以及依赖包到一个轻量级、可移植的容器中,...

扔掉运营商的 IPTV 机顶盒,全屋全设备畅看 IPTV!

其实现在看电视节目的需求确实大大降低了,折腾也只是为了单纯的让它实现,享受这个过程带来的快乐而已,哈哈!预期构想家里所有设备直接接入网络随时接收并播放IPTV直播(电信点播的节目不是太多,但好在非常稳...

第五节 Docker 入门实践:从 Hello World 到容器操作

一、Docker容器基础运行(一)单次命令执行通过dockerrun命令可以直接在容器中执行指定命令,这是体验Docker最快捷的方式:#在ubuntu:15.10容器中执行ech...

替代Docker build的Buildah简单介绍

Buildah是用于通过较低级别的coreutils接口构建OCI兼容镜像的工具。与Podman相似,Buildah不依赖于Docker或CRI-O之类的守护程序,并且不需要root特权。Builda...

Docker 命令大全(docker命令大全记录表)

容器生命周期管理run-创建并启动一个新的容器。start/stop/restart-这些命令主要用于启动、停止和重启容器。kill-立即终止一个或多个正在运行的容器rm-于删除一个或...

docker常用指令及安装rabbitMQ(docker安装rabbitmq配置环境)

一、docker常用指令启动docker:systemctlstartdocker停止docker:systemctlstopdocker重启docker:systemctlrestart...

使用Docker快速部署Storm环境(docker部署confluence)

Storm的部署虽然不是特别麻烦,但是在生产环境中,为了提高部署效率,方便管理维护,使用Docker来统一管理部署是一个不错的选择。下面是我开源的一个新的项目,一个配置好了storm与mono环境的D...

Docker Desktop安装使用指南:零基础教程

在之前的文章中,我多次提到使用Docker来安装各类软件,尤其是开源软件应用。鉴于不少读者对此有需求,我决定专门制作一期关于Docker安装与使用的详细教程。我主要以Macbook(Mac平台)为例进...

Linux如何成功地离线安装docker(linux离线安装httpd)

系统环境:Redhat7.2和Centos7.4实测成功近期因项目需要用docker,所以记录一些相关知识,由于生产环境是不能直接连接互联网,尝试在linux中离线安装docker。步骤1.下载...

Docker 类面试题(常见问题)(docker面试题目)

Docker常见问题汇总镜像相关1、如何批量清理临时镜像文件?可以使用sudodockerrmi$(sudodockerimages-q-fdanging=true)命令2、如何查看...

面试官:你知道Dubbo怎么优雅上下线的吗?你:优雅上下线是啥?

最近无论是校招还是社招,都进行的如火如荼,我也承担了很多的面试工作,在一次面试过程中,和候选人聊了一些关于Dubbo的知识。Dubbo是一个比较著名的RPC框架,很多人对于他的一些网络通信、通信协议、...

【Docker 新手入门指南】第五章:Hello Word

适合人群:完全零基础新手|学习目标:30分钟掌握Docker核心操作一、准备工作:先确认是否安装成功打开终端(Windows用户用PowerShell或GitBash),输入:docker--...

松勤软件测试:详解Docker,如何用portainer管理Docker容器

镜像管理搜索镜像dockersearch镜像名称拉取镜像dockerpullname[:tag]列出镜像dockerimages删除镜像dockerrmiimage名称或id删除...

一周热门
最近发表
标签列表