OpenVPN配置同时支持TCP和UDP协议

最新推荐文章于 2024-05-26 12:43:54 发布
最新推荐文章于 2024-05-26 12:43:54 发布
阅读量2k 收藏 8
点赞数 12
文章标签: tcp/ip udp 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nochunge/article/details/135505892
版权

一、使用背景:

我们有许多终端需要和服务端通信,为了不直接向公网公开服务器的业务端口,所以配置了一条虚拟局域网用于终端通信。选用了当前普遍使用的UDP协议,因为终端部署在世界各地,有些地方的网络供应商对联网进行了限制,不能使用UDP协议,所以需要在这基础上增加一个TCP协议。而且还需要保障当前已分配的固定IP正常工作。

二、方案选型:

基于此背景,我决定对当前的服务改造,使其同时通过1194端口接受TCP和UDP的请求,当前的openvpn服务是通过yum安装在centos7。

三、方法:

3.1. 修改配置文件:

[root@localhost server]# pwd
/etc/openvpn/server
[root@localhost server]# cat udp.conf
local 192.168.1.2
port 1194
proto udp
dev tunudp
ca ca.crt
cert server.crt
key server.key
dh dh.pem
auth SHA512
tls-crypt tc.key
topology subnet
server 192.168.162.0 255.255.254.0
client-config-dir ipp
push "redirect-gateway def1 bypass-dhcp"
log /var/log/openvpn-udp.log
ifconfig-pool-persist ippudp.txt
keepalive 10 120
cipher AES-256-CBC
user nobody
group nobody
persist-key
persist-tun
verb 3
crl-verify crl.pem
explicit-exit-notify
[root@localhost server]# cat tcp.conf
local 192.168.1.2
port 1194
proto tcp
dev tuntcp
ca ca.crt
cert server.crt
key server.key
dh dh.pem
auth SHA512
tls-crypt tc.key
topology subnet
server 192.168.162.0 255.255.254.0
client-config-dir ipp
push "redirect-gateway def1 bypass-dhcp"
log /var/log/openvpntcp.log
ifconfig-pool-persist ipptcp.txt
keepalive 10 120
cipher AES-256-CBC
user nobody
group nobody
persist-key
persist-tun
verb 3
crl-verify crl.pem

3.2.修改/usr/lib/systemd/system下面服务文件:

[root@localhost system]# cat openvpn-udp.service
[Unit]
Description=OpenVPN service for %I
After=syslog.target network-online.target
Wants=network-online.target
Documentation=man:openvpn(8)
Documentation=https://community.openvpn.net/openvpn/wiki/Openvpn24ManPage
Documentation=https://community.openvpn.net/openvpn/wiki/HOWTO

[Service]
Type=notify
PrivateTmp=true
WorkingDirectory=/etc/openvpn/server
ExecStart=/usr/sbin/openvpn --config /etc/openvpn/server/udp.conf
CapabilityBoundingSet=CAP_IPC_LOCK CAP_NET_ADMIN CAP_NET_BIND_SERVICE CAP_NET_RAW CAP_SETGID CAP_SETUID CAP_SYS_CHROOT CAP_DAC_OVERRIDE CAP_AUDIT_WRITE
LimitNPROC=10
DeviceAllow=/dev/null rw
DeviceAllow=/dev/net/tun rw
ProtectSystem=true
ProtectHome=true
KillMode=process
RestartSec=5s
Restart=on-failure

[Install]
WantedBy=multi-user.target
[root@localhost system]# cat openvpn-tcp.service
[Unit]
Description=OpenVPN service for %I
After=syslog.target network-online.target
Wants=network-online.target
Documentation=man:openvpn(8)
Documentation=https://community.openvpn.net/openvpn/wiki/Openvpn24ManPage
Documentation=https://community.openvpn.net/openvpn/wiki/HOWTO

[Service]
Type=notify
PrivateTmp=true
WorkingDirectory=/etc/openvpn/server
#ExecStart=/usr/sbin/openvpn --status %t/openvpn-server/status-%i.log --status-version 2 --suppress-timestamps --config %i.conf
ExecStart=/usr/sbin/openvpn --config /etc/openvpn/server/tcp.conf
CapabilityBoundingSet=CAP_IPC_LOCK CAP_NET_ADMIN CAP_NET_BIND_SERVICE CAP_NET_RAW CAP_SETGID CAP_SETUID CAP_SYS_CHROOT CAP_DAC_OVERRIDE CAP_AUDIT_WRITE
LimitNPROC=10
DeviceAllow=/dev/null rw
DeviceAllow=/dev/net/tun rw
ProtectSystem=true
ProtectHome=true
KillMode=process
RestartSec=5s
Restart=on-failure

[Install]
WantedBy=multi-user.target

3.3.此时执行

systemctl daemon-reload
systemctl enable openvpn-udp --now
systemctl enable openvpn-tcp --now

到这个时候两个服务都已经可以正常接受外部设备的注册了。

标题四、

按上述的操作完可以接受外部的请求,但是如果先启动udp再启动tcp的话,会导致udp注册的客户端无法连接,我们需要给每个IP设置固定的路由。
在/etc/openvpn/server/ipp目录下进行设置:

[root@localhost system]# cd /etc/openvpn/server/ipp/
[root@localhost ipp]# ls
udp1726  udp1757
[root@localhost ipp]# cat udp1757
ifconfig-push 192.168.162.30 255.255.254.0

我们给udp1757这个用户定义了一个IP 192.168.162.30 而且从名字来看它是一个udp用户
执行如下命令添加一条路由规则:

ip route add 192.168.162.30/32 via 0.0.0.0 dev tunudp

解析:tunudp这是我们在udp.conf里面指定的udp模式启动后使用的设备。
如果有其他的需求,我们只需要添加类似的路由规则即好了,如果要对某个终端的网络模式进行修改,只需要执行

ip route replace 192.168.162.30/32 via 0.0.0.0 dev tuntcp

需要做的更多的就是怎样把这一系列集成到用户名的颁发里面了,就不再细说。

nochunge
关注
  • 12
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
IPsec vpn ha 配置和截图
07-02
IPsec vpn ha 配置和截图
实操:BGP MPLS VPN 配置实验
最新发布
07-09
使用ensp模拟BGP MPLS VPN 实验
2、OpenVPN搭建
weixin_46371752的博客
05-26 3434
搭建OpenVPN,centos7搭建VPN,centos7部署OpenVPN,linux如何搭建VPN服务,cetnos7如何部署OpenVPN,centos7如何部署VPN服务
OpenVPN SSL/TLS方式连接
to_be_better_wen的博客
01-07 2430
OpenVPN SSL/TLS连接方式
同时连接多个VPN的方法
流星不逝的专栏
05-17 1577
在addtap.bat文件上右键,以管理员身份运行,点击之。每点击一下就会增加一个以太网,多点几次就有多个以太网了,这样就能同时连接多个vpn了。这意味着我可以同时连接N个VPN, 且还可以增加更多,具体操作往下看。OpenVPN的下载安装就不再累述了,没什么特别的, 实在不行问下度娘或者 一些大模型工具。运行OpenVPN GUI, 还是 右键以管理员身份运行之。如果有多个vpn,一般情况下都会有多个。有很多工具, 我们选择OpenVPN。以win11为例,搜索中搜索控制面板。
常识----LAN,WLAN,VLAN,VPN,TCPUDP,UPnP
writ的博客
06-18 1667
TCP不同,UDP不对数据传输的可靠性做出保证,但具有较低的延迟。VPN(Virtual Private Network):虚拟私有网络是一种通过使用加密和安全隧道技术在公共网络上创建私有连接的网络。VLAN(Virtual Local Area Network):虚拟局域网是一种逻辑上将不同物理位置的网络设备组合在一起的技术。WLAN(Wireless Local Area Network):无线局域网是一种使用无线通信技术连接设备的局域网,因此可以在范围内无线连接到网络。
完整的openvpn 服务端搭建,小白也能搭建!!网上最全的openvpn 服务端搭建文档之一,附带客户端创建管理的脚本
weixin_42474071的博客
11-19 5667
最近想尝试通过openvpn连接连接家里的nas和手机进行照片传输分享。加上之前从网上找教程,搞了很久才搞出服务端,但是但是当时不太了解,导致部署的openvpn server可以使用,但是感觉摇摇欲坠,像是一堆bug的软件,自己都不知道为啥可以用了。这次趁着有时间,也有需求就重新搭建了。由于网上各种教程参差不齐,所以自己写一个完成过程的笔记。以方便自己日后使用,也方便其他人参考。PS:不知道为啥群晖上导入客户端证书会提示无效证书,已经找群晖技术支持,目前还没反馈。有大佬知道要怎么搞可以说一下吗。
openvpn组网技术原理及配置过程(centos服务器/安卓客户端/linux客户端)
hacker_lpy的博客
02-24 5778
最近研究了一段时间的openvpn组网技术,也试着搭建了一个openvpn环境,大概理解了其中使用的一些技术原理,还是记录一下。本篇文章对专业搞网络的人也许用处不大,但是对于初次接触这些技术(比如vpn,代理技术,加密隧道,防火墙,路由,局域网组网)的人还是有一定价值的,便于理清整个vpn组网技术的脉络,也可以在遇到问题的时候自己排查。openvpn是众多vpn种类的一种,是一个开源的产品,也是应用最广泛的一种vpn。支持的平台很多,我们常用的系统平台linux,window,安卓都支持
深入浅出Linux TCP IP协议栈.pdf
06-19
深入浅出Linux TCP IP协议栈.pdf
TCP-IP详解(共三卷),高清文档
03-26
TCP-IP详解(共三卷),高清文档
Android VPN TLV协议场景使用
03-15
TLV源码
【Chat】可能能实现UDPTCP转发的方案
可信计算的博客
12-23 179
【声明:本文由New Bing(2023-12版)生成,使用时请注意辩证】
Mac OpenVPN报错:Transport Error: socket_protect error (UDP)
从零到1%
07-24 5609
设置自动加载命令,加载并启动相关服务,重启电脑后不用重新手动启用。在启动这个OpenVPN时,不知道什么原因导致。缺点是重启电脑后,下次还要手动输入相关命令;
OpenVPN 简介及部署
wang11876的博客
08-30 9141
OpenVPN 是一个健全且高效的 VPN 守护进程,它支持 SSL/TLS 安全、以太网桥,支持TCP 或者 UDP 代理或者是 NAT 通道传输,支持动态 IP 地址和 DHCP,可支持成百上千的用户,并且可以移植到大多数主要平台的操作系统上。OpenVPN 需要使用 OpenSSL 库,这是因为它使用了 OpenSSL 的加密功能。OpenVPN 支持常规的加密,即使用预共享密钥(即静态 Key 模式)或者客户端和服务器端的证书公钥安全(即 SSL/TLS 模式)。
VPN的介绍及自建点对点的OpenVPN和使用方法:保姆级详细教程,(windou客户端版)后附脚本
m0_58833554的博客
02-23 8832
VPN的基本知识介绍及自建VPN使用方法
如何使用OpenVPN搭建局域安全网
weixin_57228276的博客
04-30 9057
这里根据提示我输入了本地服务器的域名或者IP地址,下面选是否使用udp或者tcp,这个不选默认是udp,因为udp的连接更快,但是容易丢包,但是在现在这么快的网速下丢包率很低.很多游戏都是基于udp开发,后面都是无脑回车…就会进入到下面这个图片,然后直接点击图片右下角最大的一个黄色的文字 **这里我选择第一个,因为这个第一个就是服务器的局域网IP我能访问到的。**就可以进行下载了。
通过openVPN,实现安全内网穿透
qq_16005627的博客
11-30 6961
openVPN 为开源服务,虚拟,是提供给企业之间或者个人与公司之间的隧道,跨平台,支持linux\window\macos\和,值得学习使用。ubuntu环境下安装完成后生成了目录。
openVPN服务端搭建
liufangaliya的专栏
06-01 7551
openVPN服务端搭建和客户端指定固定IP
centos7中openvpn配置实例
04-13
对于您的问题,我可以提供以下配置实例: 1. 安装openvpn软件包:`yum install openvpn` 2. 创建一个名为`server.ovpn`的文件,并添加以下内容: ``` port 1194 proto udp dev tun server 10.8.0.0 255.255.255.0 push "redirect-gateway def1" push "dhcp-option DNS 8.8.8.8" push "dhcp-option DNS 8.8.4.4" ca /etc/openvpn/easy-rsa/keys/ca.crt cert /etc/openvpn/easy-rsa/keys/server.crt key /etc/openvpn/easy-rsa/keys/server.key dh /etc/openvpn/easy-rsa/keys/dh2048.pem tls-auth /etc/openvpn/easy-rsa/keys/ta.key 0 cipher AES-128-CBC auth SHA256 keepalive 10 120 ``` 3. 创建一个名为`client.ovpn`的文件,并添加以下内容: ``` client dev tun proto udp remote SERVER_IP_ADDRESS 1194 resolv-retry infinite nobind persist-key persist-tun ca /etc/openvpn/easy-rsa/keys/ca.crt cert /etc/openvpn/easy-rsa/keys/client1.crt key /etc/openvpn/easy-rsa/keys/client1.key tls-auth /etc/openvpn/easy-rsa/keys/ta.key 1 cipher AES-128-CBC auth SHA256 ``` 4. 生成证书和密钥: ``` cd /etc/openvpn/easy-rsa ./easyrsa init-pki ./easyrsa build-ca ./easyrsa build-server-full server ./easyrsa gen-dh ./easyrsa build-client-full client1 openvpn --genkey --secret ta.key ``` 5. 启动openvpn服务:`systemctl start openvpn@server` 以上是一个简单的openvpn配置实例,希望能对您有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值