巧用openVPN实现访问云资源池业务

最新推荐文章于 2024-06-12 23:11:17 发布
最新推荐文章于 2024-06-12 23:11:17 发布
阅读量919 收藏 17
点赞数 29
文章标签: 服务器 https linux 运维 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gtj0617/article/details/139017393
版权

becdf0ca27b8feaa94185a94d6dd6d0f.gif

正文共:1234 字 25 图,预估阅读时间:2 分钟

我们前面介绍了使用VSR配置入云访问云资源池内的服务器一个“假”的“SD-WAN”入云操作案例,虽然功能强大,但是还是要额外占用一台服务器以腾讯云为例,在公有云部署一台VSR;而且有些小伙伴也在关心授权问题,比如性能和并发数量等问题;对于一些低配版本的经济版主机,更是不支持使用自定义镜像,导致无法使用VSR。

那有没有其他解决方案呢?

肯定有啊,这不是刚介绍的openVPN就派上用场了吗!

首先,直接同时安装openVPN和Easy-RSA。

yum install -y openvpn easy-rsa

24694681e960601a386d2df6b81f3fc4.png

当然,对于我们这种直接从发行版的包管理器中安装的Easy-RSA,官方建议是将整个easy-rsa目录复制到另一个位置,而不是在原目录下进行操作,以便将来的升级不会消除已做的更改。所以我们把/usr/share/easy-rsa/3.0.8/这个目录复制到/etc/openvpn/。

cp -r /usr/share/easy-rsa/3.0.8/ /etc/openvpn/easyrsa3/

84fb0e607ea23aae721f6cbfe1c06230.png

f28bf315f71b7190fff3d5dfa6c9bfd0.png

配置生成证书

首先复制一个机构配置文件到easyrsa所在的路径下。

cp /usr/share/doc/easy-rsa-3.0.8/vars.example /etc/openvpn/easyrsa3/vars

64b822d3673ad0f5366c215eef286968.png

然后找到修改vars文件中的机构信息字段,如下所示:

19882e8541aa4deaf08ece55d820b63a.png

取消注释并修改为自己期望的信息。

set_var EASYRSA_REQ_COUNTRY     "CN"
set_var EASYRSA_REQ_PROVINCE    "Beijing"
set_var EASYRSA_REQ_CITY        "Haidian"
set_var EASYRSA_REQ_ORG         "TIETOU TECH"
set_var EASYRSA_REQ_EMAIL       "tietou@h3cadmin.cn"
set_var EASYRSA_REQ_OU          "Tietou openVPN"

切换到/etc/openvpn/easyrsa3/目录下,初始化PKI(Public Key Infrastructure,公钥基础设施)信息。

./easyrsa init-pki

1c285a2184b79c56a3068649aca70721.png

创建根证书,用于CA(Certificate Authority,证书颁发机构)对之后生成的server和client证书签名时使用。使用nopass参数,不对CA密钥进行加密,这样在签署证书时就可以跳过密码验证。

./easyrsa build-ca nopass

16b442c345f0eee481202c59a75b3600.png

创建服务器端证书,同样指定nopass参数,不对私钥进行加密。

./easyrsa gen-req tiejunge nopass

b7e874244fdcc8f669a6f76717a4e9ff.png

给服务器端证书tiejunge进行签名。

./easyrsa sign-req server tiejunge

5fe15bdb6f6433367310f038d029ff2f.png

然后创建Diffie-Hellman文件,也就是秘钥交换时的DH算法,确保密钥可以穿越不安全网络。

./easyrsa gen-dh

生成时间比较长,请耐心等待生成结束。

62e6fa9dbb5f069eade50ef4d66dcb76.png

接下来创建客户端的证书,同样指定nopass参数表示不对私钥进行加密。

./easyrsa gen-req tietouge nopass

793498991fb53a1a05653c9012bca887.png

给客户端证书tietouge进行签名。

./easyrsa sign-req client tietouge

ddf5755afdcebd7b34272f0c81dbb79f.png

梳理一下生成的证书信息,把服务器端的必要文件(ca.crt、dh.pem、tiejunge.crt、tiejunge.key)复制到/etc/openvpn/server/目录下。

cp /etc/openvpn/easyrsa3/pki/ca.crt /etc/openvpn/server/
cp /etc/openvpn/easyrsa3/pki/dh.pem /etc/openvpn/server/
cp /etc/openvpn/easyrsa3/pki/issued/tiejunge.crt /etc/openvpn/server/
cp /etc/openvpn/easyrsa3/pki/private/tiejunge.key /etc/openvpn/server/

99e86b37a6fef59ada3dad790875843f.png

把客户端的必要文件(ca.crt、tietouge.crt、tietouge.key)下载到本地。

dd7016221df444cff18ef5b493ba9ca1.png

配置server.conf文件

openVPN的配置文件server.conf这部分,前面已经着重介绍过了openVPN服务器配置的31个关键点。熟悉之后,可以直接在/etc/openvpn/server/目录下新建一个server.conf配置文件,配置使用TCP端口10086作为业务端口,监听所有接口地址,指定根证书、服务器证书、私钥和DH文件。隧道接口类型为隧道,网络拓扑结构配置为子网,地址池网段为10.153.214.0/24,下发默认路由。允许证书混用,隧道保活间隔为20秒,超时时间为120秒,并固化服务器配置。

配置文件内容如下:

local 0.0.0.0
proto tcp
port 10086
dev tun
ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/tiejunge.crt
key /etc/openvpn/server/tiejunge.key
dh /etc/openvpn/server/dh.pem
topology subnet
server 10.153.214.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
duplicate-cn
keepalive 20 120
persist-key
persist-tun

e7db55d820ccec84f72850a75b6c00a1.png

14617e4f271eb968441dd6bdb2b2a2e1.png

启动openVPN

首先使能Linux的内核转发。

echo 1 > /proc/sys/net/ipv4/ip_forward

然后开启主机的NAT功能。

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

如果是长期使用,建议把这两条命令写入到启动脚本/etc/rc.d/rc.local中。

接下来就是启动openVPN了,系统里的服务名称有点不太符合常规,是openvpn@server.service,为了方便起见,我们可以选择新建一个名为openvpn.service的服务。

先创建openvpn服务的启动文件。

vi /etc/systemd/system/openvpn.service
[Unit]
Description=OpenVPN Server
After=network.target
After=syslog.target
[Install]
WantedBy=multi-user.target
[Service]
ExecStart=/usr/sbin/openvpn --config /etc/openvpn/server/server.conf

666a41a2099abf35df8c83d1fb0347b1.png

然后重新加载系统服务,启动openvpn服务并使能开机启动。

systemctl daemon-reload
systemctl start openvpn
systemctl enable openvpn
systemctl status openvpn

1870d051faefea08ab76ec4504cc21f0.png

查看openVPN的端口监听状态:

ss -atnp |grep 10086
ss -atnp |grep openvpn

066f2165f556d34a9220c539e177735b.png

从本地探测一下端口开放状态。

d5bbfa041f351d6b332ccede94567128.png

openVPN网关服务器运行状态正常。

5857ef8dfbbbf62d4616a5771be27402.png

连接客户端

我们已经介绍过了Windows系统openVPN连接操作指南、Linux-CentOS系统openVPN的Linux客户端竟然比Windows客户端性能高5倍不止、macOS系统和Android系统openVPN客户端配置之macOS、Android操作指南的openVPN客户端安装,iOS系统的客户端不提供在中国境内下载。

我们今天就在Windows 10系统中做个简单演示。

openVPN客户端的默认安装路径是C:\Program Files (x86)\OpenVPN Technologies\OpenVPN Client,我们需要将服务器上生成的客户端证书和密钥(ca.crt、tietouge.crt、tietouge.key)复制到OpenVPN安装目录的etc目录下。

3e3b50e277492346c09742c7e840021b.png

接下来还是在存放证书的etc目录下,编写一个客户端配置文件tietouge.ovpn,配置为客户端模式,服务器为opvpn.h3cadmin.cn,服务器使用TCP端口10086,使用隧道传输协议;不绑定本地特定的端口号,开启断线自动重新连接,并保持心跳检测超时后,不会变更密钥和网卡状态;同时指定相关的证书文件,配置日志级别为4。

配置文件tietouge.ovpn的内容如下所示:

client
dev tun
proto tcp
remote opvpn.h3cadmin.cn 10086
ca ca.crt
cert tietouge.crt
key tietouge.key
nobind
resolv-retry infinite
persist-key
persist-tun
verb 4

db466e0229008157a3309b97b56a0f4e.png

然后我们右击任务栏的图标,选择“Import→From local file”导入刚才生成的配置文件tietouge.ovpn。

55bf4d3992ddfc368843f8d90e67d26b.png

导入成功之后,可以看到多了一个VPN服务器opvpn.h3cadmin.cn,然后点击“Connect”连接VPN。

c34da4c0ada82384ccd8c98d7e2cc1a5.png

连接成功之后,任务栏中的OpenVPN图标会变成绿色,同时会有一个连接成功的提示。鼠标悬浮在图标上,可以查看概览信息。

93365ca8f7d9e6eb0975b69ea95676f9.png

查看网络适配器信息,可以看到新安装的TAP网卡连接成功,并且获得了一个OpenVPN服务器分配的IP地址10.153.214.2。与Windows7系统不同的是,Windows10中显示的网卡速率为1.0 Gbps。

0c0460d6c6b80b53ddf1e6f9fa5d6c12.png

查看系统路由表。

ec21e85652cc8cbcfd1cd2a6092ed3e4.png

可以看到系统中多了两条路由0.0.0.0/1和120.0.0.0/1,效果等同于默认路由,但是这样下发配置能以最长匹配的方式直接覆盖掉默认路由,避免再因为路由优先级的原因出现不生效或冲突等情况。

最后测试一下访问云资源池内的服务器资源。

7e2e42eaba721ac0b920f2da1dc7f983.png

访问成功,一跳直达,入云访问测试成功!

a0e3971dc814c34b399d40556e334124.gif

长按二维码
关注我们吧

479311edbae8ad2208cabffa601ad9b4.jpeg

169bbf18c6d4980dd9da5067b88e93cd.png

openVPN连接操作指南

openVPN的Linux客户端竟然比Windows客户端性能高5倍不止

使用Easy-RSA配置生成SSL证书

VPP配置指南:NAT“三板斧”

MPLS TE隧道带宽的决定因素有哪些?

超线程和VT-d开启与否对性能的影响大不大?

不是KVM不支持精简置备的磁盘,而是VMM

HVV知识点:防守队如何建立实战化的安全体系

IPsec VPN文章及知识点汇总【墙裂建议收藏】

Danileaf_Guo
关注
  • 29
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
hh.zip_vpn_x波_激波膨胀波_用激波膨胀方法
09-20
采用激波膨胀波理论分析方程为 y=+-0.3x(1-x) 的薄翼形在马赫数为2,攻角分别为0°,2°情形下的受力情况。
笔记本电脑通过VMware虚拟机实现物理机同时访问内网和外网.doc
07-30
笔记本通过VMware实现物理机同时访问外网,虚拟机通过桥接网卡连接内网,在把网络通过仅主机模式与物理机共享,实现物理机能同时访问内网和互联网
工业电子中的采用3G和VPN技术实现电能质量无线监测的方案
10-19
地理位置偏远、未进行通信改造的变电站尚未实现有线通信;  2. 有线网络终端设备占用资源多、出现故障恢复时间较长;  3. 对于钢铁、冶金、化工等行业,专用光纤网络铺设成本高、实施周期长、维
openconnect-gui:镜像-图形化OpenConnect客户端(测试阶段)
02-20
OpenConnect GUI 这是openconnect VPN的GUI客户端。 该客户端处于beta测试阶段。 不能假定它提供了所需的安全性。 查看项目网页以获取详细描述,屏幕截图和其他相关项目。支持平台Microsoft Windows 7及更高版本...
EasyConnect,访问高校VPN的软件,这是她的安装包,解压之后安装即可使用
03-15
EasyConnect,访问高校VPN的软件,这是她的安装包,解压之后安装即可使用。 EasyConnect, 是一款应用软件,可以在办公室之外使用公司内网的所有系统及应用,它可以帮助用户实现远程桌面、文件传输、远程会议、远程...
洛杉矶裸机多IP服务器网线路测评
RAKsmart123的博客
06-07 368
在当今日益数字化的世界中,服务器的网络线路质量对于企业的运营效率和用户体验具有至关重要的作用。特别是对于那些寻求在洛杉矶部署裸机多IP服务器的企业来说,了解服务器的网络线路质量显得尤为重要。本文将对洛杉矶裸机多IP服务器的网络线路进行测评,帮助企业更好地了解该地区的网络状况。
多进程并发服务器
dc爱傲雪和技术
06-12 141
3.子进程:完成通信,接受一个客户端连接,就创建一个子进程用于通信。要实现TCP通信服务器处理并发的任务,使用多线程或者多进程来解决。2.父进程负责等待并接受客户端的连接。
Joplin Typora 粘贴图片 | 当使用Typora作为Joplin编辑器时,如何粘贴图片并上传到Joplin服务器,替换链接
瑞哥的博客
06-12 461
然而Typora中上传的图片只能在本地,无法上传到Joplin服务器,在其他客户端也看不到图片。本文编写了一个脚本,通过Typora的上传服务器功能,自动上传图片并替换为Joplin链接。在编辑器内粘贴图片,按下ctrl+s 保存,等待几秒后自动替换为内部连接,大公告成。当我们使用Joplin时,上传图片时会自动上传到Joplin服务器并替换链接。选择图象,上传服务,命令,确保你的python环境和模块正确。如果遇到问题,可以手动点击上传图片,检查顶部报错。token可以在网页剪藏器中获取。
Linux 常用命令 - userdel 【删除用户】
随便转转
06-12 82
userdel 这个命令源自于 “user delete”,即用户删除。这个命令主要用于在 Linux 系统中删除用户账户及其相关文件。当管理员需要移除一个用户及其在系统中的所有踪迹时,会用到这个命令。
同三维TF806-40 网络流媒体直播服务器 (40个通道, 400个终端)
weixin_60295046的博客
06-07 458
400Mbit(具体会因不同协议,不同编码格式而不同)440X216X45mm(1U机架式外壳)支持1个最大16T的硬盘,不支持自行加装。支持远程修改设备参数,远程回放设备录像。
京准电钟|基于纳秒级的GPS北斗卫星授时服务器
NTP授时服务器
06-12 382
京准电钟|基于纳秒级的GPS北斗卫星授时服务器
【实例分享】访问后端服务超时,银河麒麟服务器操作系统分析及处理建议
银河麒麟操作系统的博客
06-12 553
【实例分享】访问后端服务超时,关于国产操作系统-银河麒麟服务器操作系统分析及处理建议
Dell服务器根据GPU温度调整风扇转速
cjj2006的博客
06-06 265
dell服务器自动风扇是根据CPU温度来调速的,我跑AI的时候cpu温度不高但是GPU温度很高导致显卡卡死PVE虚拟机直接挂起无法运行,我看了下也没有基于显卡温度调速的脚本,于是我就自己写了一个。
【六】Linux安装部署Nginx web服务器--及编写服务器启动脚本
最新发布
勤能补拙
06-12 612
(RHEL)Linux版本中对安装部署Nginx web服务器和编写启动脚本的详细介绍。
[Mdfs] lc3067. 在带权树网络中统计可连接服务器对数目(邻接表+图操作基础+技巧+好题)
Y-puyu 的博客
06-09 327
挺有意思的一道题目,重点是要能够读懂题目,然后结合几个图相关的处理技巧即可拿下。
Linux进程间通信---使用【共享内存+信号量+消息队列】的组合来实现服务器进程与客户进程间的通信
dearzhangxp的博客
06-12 271
使用【共享内存+信号量+消息队列】的组合来实现服务器进程与客户进程间的通信。 - 共享内存用来传递数据; - 信号量用来同步; - 消息队列用来 在客户端修改了共享内存后通知服务器读取。
Linux环境下测试服务器的DDR5内存性能
存储随笔
06-08 487
执行内存压力测试,例如填满所有可用内存:`stress-ng --vm BYTES --vm-keep N`,其中BYTES是要分配的总字节数,N是并行进程数。例如,测试8GB内存可以尝试:`stress-ng --vm 8G --vm-keep 1`。- 在Linux终端安装Stress-ng(如果未预装):`sudo apt-get install stress-ng` (适用于基于Debian的系统,如Ubuntu)。- 软件自动开始全面的内存测试,显示测试进度和发现的任何错误。
徐州服务器租用该如何维护?
wanhengwangluo的博客
06-07 467
服务器能够帮助企业处理网络上大部分的数据和信息,在互联网行业中起着十分重要的作用,服务器的存在能够保障网站稳定的运行,主要是由内存、硬盘和处理器等组成,服务器除了进行正常的工作运行,还需要定期维护和管理,避免服务器出现老化的现象。对于服务器的硬件维护包含设备的更换和存储设备的扩充,服务器中的硬件定期的检查,定期拆机打扫清理,因为产生的灰尘会影响服务器的散热功能,服务器的内存会随着时间的推移逐渐不足,所以要对服务器的存储设备进行扩展。
【调试笔记-20240606-Linux-为 OpenWrt 的 nginx 服务器添加Shell CGI 支持】
David唐辉的博客
06-06 1042
本文记录在 OpenWrt-23.05 发行版本上 的 nginx 服务器添加Shell CGI 支持的调试步骤和解决方法。实验使用的电脑如下:本文记录在 OpenWrt-23.05 发行版本上 的 nginx 服务器添加Shell CGI 支持的调试步骤和解决方法。
openvpn 实现访问的域名的拦截
06-10
OpenVPN本身并不支持对访问域名的拦截,但您可以借助其他工具来实现这个功能。以下是一些可能有用的方法: 1. 使用防火墙规则 - 您可以使用防火墙软件(如iptables或Windows防火墙)来设置规则,阻止OpenVPN客户端访问特定的域名或IP地址。这种方法需要您了解防火墙规则的设置方法,并能够正确地配置规则。 2. 使用DNS服务器 - 您可以在OpenVPN服务器上设置一个DNS服务器,并将其配置为仅返回您想要阻止的域名的IP地址。这样,当OpenVPN客户端尝试访问这些域名时,它们将被重定向到一个无害的IP地址或错误页面。 3. 使用代理服务器 - 您可以在OpenVPN服务器上设置一个代理服务器,并将其配置为仅允许访问您想要允许的域名。这样,当OpenVPN客户端尝试访问被禁止的域名时,它们将无法连接到代理服务器并无法访问该域名。 请注意,这些方法都需要您在OpenVPN服务器上进行配置,并且需要一定的技术知识和经验。您需要评估您的技术能力和需求,以确定最适合您的方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Danileaf_Guo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值