搭建内网环境

搭建内网环境

1. 本次实验环境

   1. ubuntu 22.04 64位UEFI版

2. 实验步骤

   1. 拿到新机，首先执行 apt-get update

   2. 使用apt-get install easy-rsa openvpn 安装本次所需要的包

   3. 创建安装目录，这里以/opt/easy-rsa 为例

      1. mkdir -p /opt/easy-rsa
         cd /opt/easy-rsa
         cp -r /usr/share/easy-rsa/* .

   4. 初始化pki环境

      1. ./easy-rsa init-pki

   5. 构建 CA (证书授权)

      1. ./easy-rsa build-ca

      2. 根据提示输入 CA 的详细信息，如国家、组织等。直接敲回车也行。它会生成 pki/ca.crt 和 pki/private/ca.key 文件。

   6. 生成服务器证书和密钥

      1. ./easyrsa build-server-full server nopass

      2. 在这个步骤会生成pki/issued/server.crt 和 pki/private/server.key 文件

   7. 生成客户端证书和密钥

      1. ./easyrsa build-client-full client1 nopass

   8. 生成 Diffie-Hellman 参数

      1. ./easyrsa gen-dh

   9. 生成 HMAC 签名密钥

      1. openvpn --genkey --secret pki/ta.key

      2. 这条命令要看情况，如果显示命令弃用，用后面这个 openvpn --genkey secret pki/ta.key

   10. 创建用于openvpn的server.conf

       1. 详细步骤

          1. cd /etc/openvpn
             vim server.conf
             # ================ 将一下内容输入 =================
             port 1194
             proto udp
             dev tun
             ​
             ca /opt/easy-rsa/pki/ca.crt
             cert /opt/easy-rsa/pki/issued/server.crt
             key /opt/easy-rsa/pki/private/server.key
             dh /opt/easy-rsa/dh.pem
             tls-auth /opt/easy-rsa/ta.key 0
             ​
             server 10.8.0.0 255.255.255.0
             ifconfig-pool-persist /var/log/openvpn/ipp.txt
             ​
             keepalive 10 120
             cipher AES-256-CBC
             auth SHA256
             comp-lzo
             persist-key
             persist-tun
             status /var/log/openvpn/openvpn-status.log
             verb 3
             ​

       2. 启动openvpn服务端

          1. sudo systemctl start openvpn@server
             sudo systemctl enable openvpn@server  # 可选，开机自启

       3. 防火墙配置

          1. 一般购买云服务，机器防火墙默认为关闭状态，可通过一下命令查看

             1. ufw status
                #. Status: inactive  这个结果直接跳过这一段

             2. 配置防火墙

                1. sudo ufw allow 1194/udp
                   sudo ufw allow OpenSSH
                   sudo ufw enable

       4. 安全组放行

          1. 在云厂商放行1194端口，规则选择UDP

       5. 客户端配置创建配置文件

          1. 1. 如下拷贝，本次以MacOS系统为例，保存为 client.ovpn 需要以ovpn结尾

             2. client
                dev tun
                proto udp
                remote YOUR_SERVER_IP 1194  # YOUR_SERVER_IP 需要改成服务器IP
                resolv-retry infinite
                nobind
                persist-key
                persist-tun
                remote-cert-tls server
                cipher AES-256-CBC
                auth SHA256
                comp-lzo
                verb 3
                # 一下四个对应上面复制的四个文件，需要下载下来，与client.ovpn同级即可
                ca ca.crt
                cert client1.crt
                key client1.key
                tls-auth ta.key 1

             3. 软件打开，选择client.ovpn 链接

       6. 端口转发

          1. 如果需要端口转发，执行一下操作

          2. sudo nano /etc/sysctl.conf
             # ==== 有就更改，没有就添加 ====
             net.ipv4.ip_forward=1
             # ===========================
             sudo sysctl -p
             ​
             sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE  # NAT配置
             ​
             sudo apt install iptables-persistent  # 选Yes ｜ sudo netfilter-persistent save
             ​
             # 在服务端 server.conf 中追加
             push "redirect-gateway def1"
             push "dhcp-option DNS 8.8.8.8"
             push "dhcp-option DNS 8.8.4.4"
             # ==========================
             sudo systemctl restart openvpn@server
             ​
             # 客户端追加
             redirect-gateway def1
             ​
             ​
             ​