openvpn + frp 实现小企业局域网穿透

已于 2023-07-10 19:36:18 修改
阅读量2.1k 收藏 3
点赞数 3
文章标签: p2p rpc centos 开源软件 开源协议
于 2023-07-10 19:30:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_55800462/article/details/131646296
版权

openvpn安装配置

1、服务端安装

[root@openvpn ~]# curl -o /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-7.repo && yum install epel-release -y
[root@openvpn ~]# yum install -y openvpn
[root@openvpn 3]# yum install -y easy-rsa && whereis easy-rsa && cd /usr/share/easy-rsa/3/
[root@openvpn 3]# cat vars
export KEY_COUNTRY="CN"
export KEY_PROVINCE="TianJin"
export KEY_CITY="JinNan"
export KEY_ORG="li"
export KEY_EMAIL="li001157@163.com"
export KEY_OU="My OpenVPN"
​
[root@openvpn 3]# ./easyrsa init-pki #生成存放证书文件
[root@openvpn 3]# ./easyrsa build-ca
​
Note: using Easy-RSA configuration from: /usr/share/easy-rsa/3.0.8/vars
Using SSL: openssl OpenSSL 1.0.2k-fips  26 Jan 2017
​
Enter New CA Key Passphrase: 第一次根证书密码
Re-Enter New CA Key Passphrase: 第二次根证书密码
Generating RSA private key, 2048 bit long modulus
...............................+++
.................................+++
e is 65537 (0x10001)
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Common Name (eg: your user, host, or server name) [Easy-RSA CA]:li 名字随意
​
CA creation complete and you may now import and sign cert requests.
Your new CA certificate file for publishing is at:
/usr/share/easy-rsa/3/pki/ca.crt
[root@openvpn 3]# ./easyrsa gen-req server nopass
​
Note: using Easy-RSA configuration from: /usr/share/easy-rsa/3.0.8/vars
Using SSL: openssl OpenSSL 1.0.2k-fips  26 Jan 2017
Generating a 2048 bit RSA private key
......................................+++
.................+++
writing new private key to '/usr/share/easy-rsa/3/pki/easy-rsa-4488.vN18r1/tmp.dfrp6F'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Common Name (eg: your user, host, or server name) [server]:zhou server name 随意
​
Keypair and certificate request completed. Your files are:
req: /usr/share/easy-rsa/3/pki/reqs/server.req
key: /usr/share/easy-rsa/3/pki/private/server.key
[root@openvpn 3]# ./easyrsa sign server server 签发server证书,属入yes 和 密码
​
Note: using Easy-RSA configuration from: /usr/share/easy-rsa/3.0.8/vars
Using SSL: openssl OpenSSL 1.0.2k-fips  26 Jan 2017
​
​
You are about to sign the following certificate.
Please check over the details shown below for accuracy. Note that this request
has not been cryptographically verified. Please be sure it came from a trusted
source or that you have verified the request checksum with the sender.
​
Request subject, to be signed as a server certificate for 825 days:
​
subject=
    commonName                = zhou
​
​
Type the word 'yes' to continue, or any other input to abort.
  Confirm request details: yes
Using configuration from /usr/share/easy-rsa/3/pki/easy-rsa-4560.oTwrQj/tmp.AJ8ykd
Enter pass phrase for /usr/share/easy-rsa/3/pki/private/ca.key:
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
commonName            :ASN.1 12:'zhou'
Certificate is to be certified until Oct 11 12:03:17 2025 GMT (825 days)
​
Write out database with 1 new entries
Data Base Updated
​
Certificate created at: /usr/share/easy-rsa/3/pki/issued/server.crt
[root@openvpn 3]# ./easyrsa gen-req client  生成客户端证书
​
Note: using Easy-RSA configuration from: /usr/share/easy-rsa/3.0.8/vars
Using SSL: openssl OpenSSL 1.0.2k-fips  26 Jan 2017
Generating a 2048 bit RSA private key
........................................................+++
...........................................................+++
writing new private key to '/usr/share/easy-rsa/3/pki/easy-rsa-4703.3ovrws/tmp.49EtQf'
Enter PEM pass phrase: 私钥密码
Verifying - Enter PEM pass phrase:
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Common Name (eg: your user, host, or server name) [client]:win10 #随意
​
Keypair and certificate request completed. Your files are:
req: /usr/share/easy-rsa/3/pki/reqs/client.req
key: /usr/share/easy-rsa/3/pki/private/client.key
[root@openvpn 3]# ./easyrsa sign client client #yes 和根证书密码 签名client证书
​
Note: using Easy-RSA configuration from: /usr/share/easy-rsa/3.0.8/vars
Using SSL: openssl OpenSSL 1.0.2k-fips  26 Jan 2017
​
​
You are about to sign the following certificate.
Please check over the details shown below for accuracy. Note that this request
has not been cryptographically verified. Please be sure it came from a trusted
source or that you have verified the request checksum with the sender.
​
Request subject, to be signed as a client certificate for 825 days:
​
subject=
    commonName                = win10
​
​
Type the word 'yes' to continue, or any other input to abort.
  Confirm request details: yes
Using configuration from /usr/share/easy-rsa/3/pki/easy-rsa-4901.4iD2NE/tmp.Lw30Zt
Enter pass phrase for /usr/share/easy-rsa/3/pki/private/ca.key:
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
commonName            :ASN.1 12:'win10'
Certificate is to be certified until Oct 11 12:08:16 2025 GMT (825 days)
​
Write out database with 1 new entries
Data Base Updated
​
Certificate created at: /usr/share/easy-rsa/3/pki/issued/client.crt
[root@openvpn 3]# ./easyrsa gen-dh         #创建Diffie-Hellman文件,秘钥交换时的Diffie-Hellman算法,确保key穿越不安全网络的命令,这里可能需要点时间才能执行完
​

2、服务端配置文件

cp -r /usr/share/easy-rsa/3/pki/ca.crt /etc/openvpn/
cp -r /usr/share/easy-rsa/3/pki/issued/server.crt  /etc/openvpn/
cp -r /usr/share/easy-rsa/3/pki/private/server.key /etc/openvpn/
cp -r /usr/share/easy-rsa/3/pki/dh.pem  /etc/openvpn/
port 1194                         #服务端口
proto udp                         #协议(这里也可以采用tcp协议,相比于upd,tcp更加可靠,但是udp访问更快)
dev tun                            #采用路由隧道模式tun
ca ca.crt                          #ca证书文件位置(此处为ca.crt文件存放位置,如果不与server.conf文件在同一路径下,要标出文件位置),加载目录
cert server.crt                  #服务端公钥文件位置,加载目录
key server.key                 #服务端私钥文件位置,加载目录
dh dh.pem                       #秘钥交换交换证书文件位置,加载目录
server 10.0.2.0 255.255.255.0                   #给客户端分配地址池,这里要区分openvpn服务器的其他网段
push "route 172.16.2.0 255.255.255.0"      #允许客户端访问内网172.16.2.0网段,推送路由信息
ifconfig-pool-persist ipp.txt                          #地址池记录文件位置
keepalive 10 120                                        #存活时间,表示为10秒ping一次,120 如未收到响应则视为断线,默认配置即可
tls-auth ta.key 0 # This file is secret           #拒绝dos攻击,提高VPN安全性,这里要在/etc/openvpn 下生成该文件,下文会生成该文件
cipher AES-256-GCM                                 #这里是该服务使用的加密方式;默认为CBC,这里需要修改成GCM,v2.4版本以后客户端需要修改
max-clients 100                                           #最多允许100个客户端连接,默认配置即可
status openvpn-status.log                           #日志文件位置
verb 3                                                          #指定日志文件的记录详细级别,可选0-9,等级越高日志内容越详细
client-to-client                                              #客户端与客户端之间支持通信
log /var/log/openvpn.log                              #openvpn日志文件位置
persist-key                                                  #通过keepalive检测超时后,重新启动VPN,不重新读取keys,保留第一次使用的keys。  persist-tun                                                  #检测超时后,重新启动VPN,一直保持tun是linkup的。否则网络会先linkdown然后再linkup
​
echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf                                    #开启路由转发功能
sysctl -p                                                     #激活内核中新增的配置文件信息使路由转发功能生效
[root@openvpn openvpn]# openvpn --genkey --secret ta.key       #创建配置文件中抵御dos攻击的文件
​
openvpn --daemon --config server.conf           #开启openvpn服务,--daemon参数表示后台运行,不加该参数前台会被占用,需要开新窗口
iptables -t nat -A POSTROUTING -s 10.0.2.0/24 -j MASQUERADE       #实现内网转发

3、client配置

client                                     #指定当前VPN是客户端
dev tun                                  #使用tun隧道传输协议
proto udp                               #使用udp协议传输数据
remote frp_ip 1194      #openvpn服务器IP地址端口号
resolv-retry infinite                 #断线自动重新连接,在网络不稳定的情况下非常有用
nobind                                   #不绑定本地特定的端口号
ca ca.crt                                 #指定CA证书的文件路径
cert client.crt                          #指定当前客户端的证书文件路径
key client.key                         #指定当前客户端的私钥文件路径
verb 3                                    #指定日志文件的记录详细级别,0-9,等级越高日志内容越详细
persist-key                             #通过keepalive检测超时后,重新启动VPN,不重新读取keys,保留第一次使用的keys
persist-tun                              #检测超时后,重新启动VPN,一直保持tun是linkup的。否则网络会先linkdown然后再linkup
tls-auth ta.key 1
将client.conf 生成转化为client.ovpn #将一下文件但如到win ***/openvpn/config文件下启动即可vpn即可,还要输入私钥密码。
cp -r /usr/share/easy-rsa/3/pki/private/client.key /etc/openvpn/client/
cp -r /usr/share/easy-rsa/3/pki/issued/client.crt /etc/openvpn/client/
cp -r /usr/share/easy-rsa/3/pki/ca.crt /etc/openvpn/client/
cp -r /etc/openvpn/ta.key /etc/openvpn/client/
​

 

4、frp实现

server端
[common]
bind_port = 7000
dashboard_user = admin
dashboard_pwd = admin
dashboard_port = 8000
token = abc123
client端
[common]
server_addr = *****
server_port = 7000
admin_addr = 127.0.0.1
log_file = ./frpc.log
log_level = info
token = abc123
# 通过 ssh 访问内网机器
# ssh -oPort=6000 用户名@x.x.x.x
[ssh]
type = tcp
local_ip = 127.0.0.1
local_port = 22
remote_port = 6000
​
# 范围端口映射
[range:tcp]
type = udp
local_ip = 127.0.0.1
local_port = 1194
remote_port = 1194

 qq: 870677314

a'ゞ过去已成回忆
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
使用Cisco Packet Tracer实现两个局域网通信
11-07
使用Cisco Packet Tracer实现两个局域网通信,亲自测试可以使用
代理搭建工具,局域网连接工具softether server and client v4.43-9799
最新发布
05-13
把多个局域网连接成一个大局域网;其他各种强大的网络搭建都能做 截止到发贴日(2024-5-13),最新的版本是该版本 v4.43-9799 另附网盘下载地址 https://pan.baidu.com/s/1K3hqYkBp_gtMTkxVd21csQ?pwd=8888 使用...
frpopenvpn对比
weixin_41487423的博客
12-29 1210
如果你只需要实现远程访问内部计算机或内部某个数据库的服务,FRP可能是一个简单且有效的解决方案。FRP提供了一种轻量级的反向代理机制,可以将内部网络服务暴露给外部网络,从而实现远程访问。相对于其他复杂的VPN解决方案,FRP的配置和使用较为简单。它不需要复杂的证书管理和身份验证设置,只需配置服务器和客户端的连接参数即可。FRP还支持TCP和UDP协议,并提供了安全认证和加密功能,保护数据传输的安全性。
通过openVPN实现安全内网穿透
qq_16005627的博客
11-30 5033
openVPN开源服务,虚拟,是提供给企业之间或者个人与公司之间的隧道,跨平台,支持linux\window\macos\和,值得学习使用。ubuntu环境下安装完成后生成了目录。
搭建frp+openvpn,使得你拥有一个强大的后端资源库作为你的后盾!
m0_55857257的博客
12-05 1817
490074900922119449007和49009对应的就是22和1194端口,搭建成功之后在外网访问云服务器的49007端口也就是访问192.168.6.1的22端口(ssh连接);访问云服务器的49009端口也就是访问192.168.6.1的1194端口(openvpn连接),从而实现了从外网能够访问局域网资源。搭建好openvpn之后,就能够连接云服务器的49009端口,相当于连接的是内网服务器192.168.6.1的1194,也就是openvpn服务的端口,从而实现更安全地访问公司内网的作用。
frp+open*pn实现访问内网
qq_34501148的博客
08-26 1767
frp+openvpn实现访问内网
openvpn+frp(内网远程连接)
qq_45161086的博客
09-20 828
通过现场可上网的跳板机,部署openvpn+frp,利用云服务器公网,实现远程访问内网
搭建frp+OpenVPN实现公网服务器对内网服务器的访问
m0_59575008的博客
09-08 3183
本实验需求一台公网服务器,两台内网服务器。
ikuai/openvpn + 公网服务器frp 实现异地内网资源访问
u011005745的博客
09-25 2719
为例,并利用windows主机上的frpc将其映射到公网。(也可以利用openwrt上的openvpn服务器,并安装frpc进行公网映射。下载openvpn客户端,导入配置文件,输入ikuai创建的账号密码进行连接。接下来就可以在异地无感的访问校内资源,使用remote-ssh等连接服务器啦~,在校外利用openvpn客户端连接即可以无感(和在校内一样)访问校内资源。填写想要映射到的公网端口,这里使用了一致的端口。填写ikuai中设置的openvpn端口,此处的协议openvpn服务中一致,
openVN安装搭建步骤,实现内网穿透
热门推荐
QAZ600888的博客
03-31 1万+
这将告诉 OpenVPN 服务器将 client-moxa 客户端的请求路由到 10.8.1.6 这个 IP 地址(即 client-24 客户端的 IP 地址)。这将告诉客户端将流量路由到 10.8.1.0/24 子网,其中包括 client-moxa 客户端和 client-24 客户端的 IP 地址。其中,ccd 是一个文件夹路径,用于存放客户端 CCD 配置文件,我这里CCD文件夹创建的路径在。跟之前一样先在服务端生成一份客户端的证书和密钥,然后将必要的这5份文件拷贝到如图所示的目录下。
Centos使用cpolar内网穿透部署openvpn管理器pritunl
andrey200002的博客
03-07 3544
Pritunl是一款图形化的OpenVPN软件,对传统OpenVPN服务端与客户端复杂的安装配置流程进行了极大的简化。cpolar可以使得公网用户可以轻松访问您的内网服务器,无需部署至公网服务器。本文旨在使用使用cpolar内网穿透部署openvpn管理器pritunl,提供给用户简洁明了的openvpn部署方案。
Windows 上使用 Open*** + Frp 组建本地局域网
qq_42599616的博客
10-13 1701
在 Windows 上使用 OpenVPN + Frp 技术组建本地局域网
东南大学网络工程与组网技术实验——GRE OVER IPSEC(VPN+安全)
07-04
此资源包含完整实验报告(加上你的学号姓名即可提交) 组网技术实验对于没有基础的同学真的太难了,没有答案寸步难行啊
中小型企业局域网搭建.docx
01-08
中、小局域网交换机VLAN的网络配置 中小型企业局域网搭建全文共3页,当前为第1页。 中小型企业局域网搭建全文共3页,当前为第1页。 2008年10月20日 09:22 中国自学编程网 作者:佚名 用户评论(0) 关键字:.中、小...
反向代理软件frp和混合云组网软件openvpn
建模分析师胡选来
10-08 346
1. 企业内网web应用如果想在外网访问,可以使用反向代理软件,让你在家在外地在出差到客户现场的时候都可以通过互联网远程办公。. 部署情况:3台乌兰察布C区的阿里云主机,1台有公网和内网ip(部署openvpn server),另外2台只有内网ip(部署公司内部应用)。2. 如果企业上云了,并且在云主机都是私有云网络,不能公网访问。. 使用场景:我在本地笔记本用openvpn客户端连接远程的openvpn服务器,用内网地址连接ssh登陆阿里云主机,然后可以登陆成功在内网服务器上干活。
内网穿透方法汇总
aa896517050的博客
10-09 6446
电信宽带:通过难过光猫拨号,得到的如果是私网的IP,可以通过10000号投诉,从而得到公网IP(浮动IP,每次拨号会分配一个IP,可以通过ddns实现通过域名绑定,每次拨号成功就会和动态的公网IP进行域名绑定)移动宽带:通过难过光猫拨号,得到的只能是私网IP(10网段的唯一IP),投诉也不能得到公网IP,因为便宜。(不能使用ddns,只能通过软件来实现,类似聊天软件,登录的时候就是把公网IP和登录的转换端口发送到服务器,别人发消息就会根据nat找到主机)
使用openvpn docker及frp docker工具构建虚拟专业网络(V-P-N)
chuyouyinghe的专栏
07-20 1406
借助Docker和OpenVPN技术,您可以在短时间内设置并运行VPN服务器,并保证您的服务器安全。
交叉编译openvpn+GmSSL
04-06
在Linux环境下,交叉编译OpenVPN GmSSL可以按照以下步骤进行: 1. 安装交叉编译工具链 根据目标平台的架构,安装相应的交叉编译工具链。例如,如果目标平台是ARM架构,则需要安装ARM交叉编译工具链。 2. 下载OpenVPN和GmSSL源码 从官方网站下载OpenVPN和GmSSL的源码,解压到本地目录。 3. 配置OpenVPN 进入OpenVPN源码目录,执行以下命令进行配置: ``` ./configure --host=目标平台 --prefix=安装路径 --disable-plugins ``` 其中,--host参数指定目标平台的架构,--prefix参数指定OpenVPN安装的路径,--disable-plugins参数禁用插件功能。 4. 编译OpenVPN 执行make命令编译OpenVPN: ``` make ``` 5. 配置GmSSL 进入GmSSL源码目录,执行以下命令进行配置: ``` ./Configure --prefix=安装路径 no-asm no-shared --cross-compile-prefix=交叉编译工具链前缀 ``` 其中,--prefix参数指定GmSSL安装的路径,no-asm参数禁用汇编优化,no-shared参数禁用动态库,--cross-compile-prefix参数指定交叉编译工具链的前缀。 6. 编译GmSSL 执行make命令编译GmSSL: ``` make ``` 7. 安装OpenVPN和GmSSL 执行以下命令安装OpenVPN和GmSSL: ``` make install ``` 至此,交叉编译OpenVPN GmSSL完成。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

a'ゞ过去已成回忆

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值