通过openVPN，实现安全内网穿透

openVPN
为开源服务，虚拟专用通道，是提供给企业之间或者个人与公司之间安全数据传输的隧道，跨平台，支持linux\window\macos[Android](https://baike.baidu.com/item/Android/60243?fromModule=lemma_inlink
“Android”)和iOS,值得学习使用。

1、安装openVPN

ubuntu环境下

apt install openvpn

安装完成后生成了目录

二、安装Easy RSA套件

用于生成openVPN所需的密钥，服务端和客户端所需的证书和密钥

1、下载Easy RSA源码包：

Easy RSA下载官网：https://github.com/OpenVPN/easy-rsa/releases

[root@localhost ~]wget https://github.com/OpenVPN/easy-rsa/releases/download/v3.1.2/EasyRSA-3.1.2.tgz

下载完后解压，在/etc/openvpn目录下创建目录easy-rsa，将刚才解压缩的所有文件复制到这个目录下

[root@localhost ~]#tar -zxvf EasyRSA-3.1.2.tgz
[root@localhost ~]#mkdir /etc/openvpn/easy-rsa
[root@localhost ~]#cp -r EasyRSA-3.1.2/* /etc/openvpn/easy-rsa

2、Easy RSA在服务端生成私钥和证书

- 进入Easy RSA的安装目录，并配置参数；

[root@localhost ~]# cd /etc/openvpn/easy-rsa/
[root@localhost easy-rsa]# cp vars.example vars
[root@localhost easy-rsa]# vim vars

- 清理原有证书和私钥并初始化；

[root@localhost easy-rsa]# ./easyrsa clean-all

- 生成CA根证书；

[root@localhost easy-rsa]# ./easyrsa build-ca

CA根证书生成位置：/etc/openvpn/easy-rsa/pki/ca.crt

3、 为OpenVPN服务端生成server证书和私钥；

备注：这里使用nopass参数设置不需要密码，那么在启动OpenVPN服务的时候就不提示输入密码

[root@localhost easy-rsa]# ./easyrsa build-server-full server nopass

服务端证书路径：/etc/openvpn/easy-rsa/pki/issued/server.crt
服务端私钥路径：/etc/openvpn/easy-rsa/pki/private/server.key

- 生成Diffie-Hellman算法需要的密钥文件；

[root@localhost easy-rsa]# ./easyrsa gen-dh

等待一段时间即可生成成功

生成tls-auth Key用于防止DDOS和TLS攻击；

[root@localhost easy-rsa]# openvpn --genkey --secret ta.key

ta.key路径：/etc/openvpn/easy-rsa/ta.key

三、OpenVPN服务端配置

创建/修改OpenVPN服务端配置文件vim /etc/openvpn/server/server.conf

port 1194                               #端口
dev tun                                 #采用路由隧道模式tun
ca ca.crt                               #ca证书文件位置
cert server.crt                         #服务端公钥名称
key server.key                          #服务端私钥名称
dh dh.pem                               #交换证书
auth SHA1 
proto tcp
server 10.8.0.0 255.255.255.0           #给客户端分配地址池，注意：不能和VPN服务器内网网段有相同
push "route 10.0.8.2 255.255.252.0"   #允许客户端访问内网10.0.8.2网段，我这里填了服务器内网IP和子网掩码
client-to-client
verb 3                                  #openvpn版本
persist-key     #通过keepalive检测超时后，重新启动VPN，不重新读取keys，保留第一次使用的keys。
persist-tun     #检测超时后，重新启动VPN，一直保持tun是linkup的。否则网络会先linkdown然后再linkup
keepalive 10 120                        #存活时间，10秒ping一次,120 如未收到响应则视为断线
max-clients 200                         #最多允许200个客户端连接
ifconfig-pool-persist ipp.txt           #地址池记录文件位置 维持客户端和virtual ip的对应表，以便客户端重连接连接也是相同IP
duplicate-cn    #和keys连接VPN，一定要打开这个选项，否则只允许一 个人连接VPN
script-security 3                                   #支持密码认证-允许使用自定义脚本
auth-user-pass-verify /etc/openvpn/check.sh via-env #支持密码认证-指定认证脚本
username-as-common-name                             #支持密码认证-用户密码登陆方式验证

编写用户认证脚本文件

[root@Web01 ~]# vim /etc/openvpn/check.sh

写入下面内容

#!/bin/bash
PASSFILE="/etc/openvpn/openvpnfile"   #密码文件 用户名 密码明文
LOG_FILE="/var/log/openvpn-password.log"  #用户登录情况的日志
TIME_STAMP=`date "+%Y-%m-%d %T"`
if [ ! -r "${PASSFILE}" ]; then
    echo "${TIME_STAMP}: Could not open password file \"${PASSFILE}\" for reading." >> ${LOG_FILE}
    exit 1
fi
CORRECT_PASSWORD=`awk '!/^;/&&!/^#/&&$1=="'${username}'"{print $2;exit}'    ${PASSFILE}`
if [ "${CORRECT_PASSWORD}" = "" ]; then
    echo "${TIME_STAMP}: User does not exist: username=\"${username}\",password=\"${password}\"." >> ${LOG_FILE}
    exit 1
fi
if [ "${password}" = "${CORRECT_PASSWORD}" ]; then
    echo "${TIME_STAMP}: Successful authentication: username=\"${username}\"." >> ${LOG_FILE}
    exit 0
fi
echo "${TIME_STAMP}: Incorrect password: username=\"${username}\", password=\"${password}\"." >> ${LOG_FILE}
exit 1   

给脚本执行权限

[root@Web01 ~]# chmod +x /etc/openvpn/check.sh

创建用户密码，空格为分割符

[root@Web01 ~]# vim /etc/openvpn/openvpnfile
koten 1

- 拷贝私钥、公钥和证书等文件到server.conf同级目录/etc/openvpn/server/下；

备注：需要拷贝的文件包括ca.crt、ca.key、server.crt、server.key、dh.pem、ta.key
[root@localhost server]# cp /etc/openvpn/easy-rsa/pki/ca.crt 
[root@localhost server]# cp /etc/openvpn/easy-rsa/pki/private/ca.key 
[root@localhost server]# cp /etc/openvpn/easy-rsa/pki/issued/server.crt 
[root@localhost server]# cp /etc/openvpn/easy-rsa/pki/private/server.key 
[root@localhost server]# cp /etc/openvpn/easy-rsa/pki/dh.pem 
[root@localhost server]# cp /etc/openvpn/easy-rsa/ta.key 

修改服务端配置文件为支持密码认证

启动服务端服务

/etc/openvpn/server/目录下执行

[root@uos server]# openvpn --config server.conf

四、OpenVPN客户端配置

在服务端生成客户端的证书和私钥，每多一个客户端就要多生成一份，为好区分，命名client_xxx为不一样

/etc/openvpn/easy-rsa/ 目录下执 行

[root@localhost easy-rsa]# ./easyrsa build-client-full client nopass

客户端证书路径：/etc/openvpn/easy-rsa/pki/issued/client.crt
客户端私钥路径：/etc/openvpn/easy-rsa/pki/private/client.key
将生成的客户端证书（client.crt)、私钥(client.key)，服务端根证书(ca.crt)、ta.key打包下载回来

上传到客户端的 /etc/openvpn/client

前提是客户端需要先安装vpn：apt install openvpn

linux

进入客户端 /etc/openvpn/client

创建OpenVPN客户端配置文件

vim /etc/openvpn/client/client.conf

写入内容

client
dev tun
proto tcp
remote 41.19.18.17 1194
ca ca.crt               #指定CA证书的文件路径
cert client.crt         #指定当前客户端的证书文件路径
key client.key          #指定当前客户端的私钥文件路径
nobind                  #不绑定本地特定的端口号
auth SHA1 
resolv-retry infinite   #断线自动重新连接，在网络不稳定的情况下非常有用
verb 3                  #指定日志文件的记录详细级别，可选0-9，等级越高日志内容越详细
persist-key     #通过keepalive检测超时后，重新启动VPN，不重新读取keys，保留第一次使用的keys
persist-tun     #检测超时后，重新启动VPN，一直保持tun是linkup的。否则网络会先linkdown然后再linkup
auth-user-pass pass.txt  #用户密码验证

/etc/openvpn/client下创建用户密码文件pass.txt

写入用户，换行写密码

目录文件如下

启动客户端服务

/etc/openvpn/client/目录下执行

root@localhost: openvpn --config client.conf

成功！！

五、window下客户端配置

安装好客户端 OpenVPN

进入安装目录C:\Program Files\OpenVPN\config\

建了一个目录 config.4

将上面说到的Easy
RSA生成服务器根证ca.crt，和客户端私钥clientpc.key和证书clientpc.crt，和ta.key复制到config.4目录下面

新建pc.ovpn文件，填入内容

client
dev tun
proto tcp
remote 41.19.18.17 1194
ca ca.crt               #指定CA证书的文件路径
cert clientpc.crt         #指定当前客户端的证书文件路径
key clientpc.key          #指定当前客户端的私钥文件路径
nobind                  #不绑定本地特定的端口号
auth SHA1 
resolv-retry infinite   #断线自动重新连接，在网络不稳定的情况下非常有用
verb 3                  #指定日志文件的记录详细级别，可选0-9，等级越高日志内容越详细
persist-key     #通过keepalive检测超时后，重新启动VPN，不重新读取keys，保留第一次使用的keys
persist-tun     #检测超时后，重新启动VPN，一直保持tun是linkup的。否则网络会先linkdown然后再linkup
auth-user-pass pass.txt  #用户密码验证

新建pass.txt 文件

填入内容

到这里配置完成

测试连接成功

查看本机IP

正学的话和上面的linux客户端可以ping通

六、开始启动设置

服务端开机启动

修改openvpn-server服务文件

vim /usr/lib/systemd/system/openvpn-server@.service

修改内容：

ExecStart=/usr/sbin/openvpn --config server.conf
ExecStop=killall openvpn

修改ExecStart 和 ExecStop 启动和关闭命令即可，存盘退出后，再执行：

rm -rf /etc/systemd/system/openvpn-server@server.service.d

因为这个地方会 Override 加载一些没有用的内容而导致加载失败，而这些功能（add-
bridge等）都不是我们这个极简教程所需要的，因此将之删除，有兴趣的同学可以在备份好源文件的前提下继续深入研究。现在，重新加载OpenVPN服务：

systemctl daemon-reload
systemctl start openvpn-server@server.service

查看状态
systemctl status openvpn-server@server.service

一切无误后，输入:

systemctl enable openvpn-server@server.service

客户端服务开机启动

vim /usr/lib/systemd/system/openvpn-client@.service

修改内容：

ExecStart=/usr/sbin/openvpn --config client.conf
ExecStop=killall openvpn

重新加载OpenVPN服务：

systemctl daemon-reload
systemctl start openvpn-client@client.service

一切无误后，输入:

systemctl enable openvpn-client@client.service

为客户端设置静态IP

默认客户端IP，每次重启可能都不相同，为了维护方便，设置静态IP

1.打开server端配置文件 /etc/openvpn/server/server.conf

添加一行

client-config-dir /etc/openvpn/server/clientip

2、在/etc/openvpn/server/添加一个文件夹clientip

3、在/etc/openvpn/server/clientip 下添加一个文件，文件名为客户端登录的用户名

如：客户端登录的用户名为 abc/密码为888

那这里添加的文件名就是 abc

4.为用户设置固定IP

在上一步建的文件，中输入内容，并保存

ifconfig-push 10.8.0.11 255.255.255.252

IP 子网掩码

或

ifconfig-push 10.8.0.11 10.8.0.1

IP 网关

我试过两种都可以

5.重启server端

6.客户端重连后就可以看到服务端分配的IP就是10.8.0.11了

注意，openvpn默认的子网掩码是255.255.255.252 所以要注意你需要分配的IP的可用性

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；

国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才 需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。

3.技术文档和电子书

技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！