配置单包授权、加密通讯与反向代理的实战指南-CSDN博客

本文链接：https://blog.csdn.net/sinat_27690807/article/details/111177327

包含单包授权认证，加密通讯，反向代理等功能。

前置流程见：https://blog.csdn.net/sinat_27690807/article/details/110517732

1、网络基础情况

网卡
VMnet1： 192.168.0.0 子网掩码：255.255.255.0
VMnet1： 172.16.0.0 子网掩码：255.255.0.0

系统
Win Server 2008 R2 x64：
VMnet1：192.168.0.10

CentOS 7：
VMnet1：192.168.0.1
VMnet8：172.16.1.1

Windows 7：
VMnet8：172.16.10.10
零信任服务程序拓扑图
已有软件

Squid：可实现反向代理功能，默认监听3128端口，反向代理Web服务时使用80、443端口。

Fwknop：可实现单包授权认证，默认使用62201端口进行敲门，使用22/TCP端口进行访问。

OpenV//P//N：可实现加密通讯功能，使用系统1194端口进行通信

2、配置过程

进入Win 7，在命令行中新建fwknop敲门配置，添加开启端口tcp/80和udp/1194，80端口用于反向代理，1194端口便于加密通讯。

C:\Users\xiahuai> fwknop -n CentOS7 -A tcp/22,tcp/80,udp/1194,tcp/4432 -a 172.16.10.10 -D 172.16.1.1 --use-hmac -p 62201 -P udp -k --save-rc-stanza

[CentOS7]
SPA_SERVER_PROTO            udp
SPA_SERVER_PORT             62201
ALLOW_IP                    172.16.10.10
ACCESS                      tcp/22,tcp/80,udp/1194,tcp/4432
SPA_SERVER                  172.16.1.1
KEY_BASE64                  Irjcm/MtAP72WpK6rGGRfzZjNAWZEt4A4KLN5GMw/g8=
HMAC_KEY_BASE64             Irjcm/MtAP72WpK6rGGRfzZjNAWZEt4A4KLN5GMw/g9cVnG6lIBS7LwyI629UvFDrTjFwx39rKjmYC5P1bEV9Q==
USE_HMAC                    Y

进入CentOS 7的fwknop软件配置文件，修改端口、KEY_BASE64和HMAC_KEY_BASE64。

[root@localhost ~]# vim /etc/fwknop/access.conf
#### fwknopd access.conf stanzas ###
OPEN_PORTS          tcp/22,tcp/80,udp/1194,tcp/4432
KEY_BASE64                  Irjcm/MtAP72WpK6rGGRfzZjNAWZEt4A4KLN5GMw/g8=
HMAC_KEY_BASE64             Irjcm/MtAP72WpK6rGGRfzZjNAWZEt4A4KLN5GMw/g9cVnG6lIBS7LwyI629UvFDrTjFwx39rKjmYC5P1bEV9Q==

重启fwknopd。

确认服务器上的squid、openVPN和firewalld防火墙都开启。

[root@localhost ~]# systemctl status squid
[root@localhost ~]# systemctl status fwknopd
[root@localhost ~]# systemctl status openvpn
[root@localhost ~]# systemctl status firewalld

打开客户端进行单包敲门认证