企业级网络互通方案:云端OpenVPN+爱快路由器+Win11互联实战
haoteby 2025-10-13 20:51 9 浏览
企业级网络互通方案:OpenVPN搭建公有云+爱快路由器+Win11三地互联实战指南
「安全高效」三地局域网秒变局域网
实施环境说明
组件 | 角色 | 系统/设备 |
OpenVPN服务端 | 公有云服务器 | CentOS 7.9 |
OpenVPN客户端 | 网络出口设备 | 爱快路由器 |
OpenVPN客户端 | 终端设备 | Windows 11 Pro |
核心步骤详解
一、服务端部署(CentOS 7)
1. 安装OpenVPN服务
# 安装OpenVPN
yum install openvpn easy-rsa -y2. 证书管理体系搭建
# 进入证书目录
cd /etc/openvpn/easy-rsa/
# 初始化CA
./easyrsa init-pki
# 生成CA证书
./easyrsa build-ca nopass
会提示设置密码,用于ca对之后生成的server和client证书签名时使用,其他提示内容直接回车即可
# 创建server端证书和私钥文件,nopass表示不加密私钥文件
./easyrsa gen-req server nopass
# 给server端证书签名,提示内容需要输入yes和创建ca根证书时候的密码
./easyrsa sign server server
# 生成客户端证书
./easyrsa build-client-full client nopass
# 创建Diffie-Hellman文件,密钥交换时的Diffie-Hellman算法
./easyrsa gen-dh
# 创建client端的证书和私钥文件,nopass表示不加密私钥文件,提示内容直接回车即可
./easyrsa gen-req client nopass
# 给client端证书前面,提示内容输入yes和创建ca根证书时候的密码
./easyrsa sign client client
3. 服务端配置优化
复制服务端配置文件,并且根据实际情况修改 cp
/usr/share/doc/openvpn-2.4.12/sample/sample-config-files/server.conf /etc/openvpn/server/
# /etc/openvpn/server/server.ovpn
port 51194
proto udp
dev tap
ca ca.crt
cert server.crt
key server.key
dh dh.pem
topology subnet
server 10.8.0.0 255.255.255.0
push "route 172.24.22.0 255.255.255.0"
keepalive 10 120
persist-key
persist-tun
status openvpn-status.log
verb 3
explicit-exit-notify 1
cipher AES-256-GCM
生成静态加密密钥 openvpn --genkey --secret /etc/openvpn/hcit.tlsauth
编辑sysctl.conf 添加net.ipv4.ip_forward = 1,启用ipv4转发;
然后重启网络服务 systemctl restart network.service
添加openvpn服务 systemctl -f enable openvpn@server.service
启动openvpn服务 systemctl start openvpn@server.service
二、客户端配置指南
爱快路由器配置
上一篇文章已经写过了,这里就不重复了,不同的是,这次启用了TLS认证,所以略有不同,需要导入上面生成的静态加密密钥hcit.tlsauth。
Windows 11客户端配置
- 下载安装OpenVpn
- 编辑client.ovpn配置文件,并导入证书:
- 新建一个文件:client.ovpn
client
dev tap
proto udp
remote 139.196.187.221 51194
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
remote-cert-tls server
cipher AES-256-GCM
verb 3
persist-key
- 相应证书复制到config文件夹下`
- 连接成功后会自动分配10.8.0.0网段IP
三、网络优化关键配置
服务端路由策略
# 添加内网路由
ip route add 18.18.18.0/24 via 10.8.0.2 dev tap0
# 检查服务端到客户端的网络路径
tracepath 18.18.18.58
故障排查清单
服务验证命令:
systemctl status openvpn@server
ss -tulnp | grep 51194
常见错误处理:
- No server certificate verification method has been enabled → 检查证书链完整性及有效性,检查端口是否配置正确
- 客户端无法直接通讯 → 确认两端路由是否存在和正确
IT狂人日志,持续更新,欢迎关注、评论和转发。
相关推荐
- 如何为MySQL服务器和客户机启用SSL?
-
用户想要与MySQL服务器建立一条安全连接时,常常依赖VPN隧道或SSH隧道。不过,获得MySQL连接的另一个办法是,启用MySQL服务器上的SSL封装器(SSLwrapper)。这每一种方法各有其...
- k8s 证书问题排查_k8s dashboard 证书
-
从去年开始一些老项目上陆陆续续出现一些列的证书问题,(证书原理这里就不说了,官方文档一堆)多数刚开始的表现就是节点的kubelet服务起不来,节点状态NotReady表现日志如下failed...
- 企业级网络互通方案:云端OpenVPN+爱快路由器+Win11互联实战
-
企业级网络互通方案:OpenVPN搭建公有云+爱快路由器+Win11三地互联实战指南「安全高效」三地局域网秒变局域网实施环境说明...
- OpenV** Server/Client配置文件详解
-
Server配置详解...
- 接口基础认知:关键信息与合规前提
-
1.核心技术参数(必记)...
- S交换机通过SSH登录设备配置示例(RADIUS认证+本地认证独立)
-
说明:●本示例只介绍设备的认证相关配置,请同时确保已在RADIUS服务器上做了相关配置,如设备地址、共享密钥、创建用户等配置。●通过不同的管理域来实现RADIUS认证与本地认证两种方式同时使用,两...
- SSL证书如何去除私钥密码保护_ssl证书怎么取消
-
有时候我们在生成证书的时候可以加入了密码保护。然后申请到证书安装到了web服务器。但是这样可能会带来麻烦。每次重启apache或者nginx的时候,都需要输入密码。那么SSL证书如何去除私钥密码保护。...
- SSL证书基础知识与自签名证书生成指南
-
一、证书文件类型解析...
- S交换机通过SSH登录设备配置示例(RADIUS认证)
-
说明:本示例只介绍设备的认证相关配置,请同时确保已在RADIUS服务器上做了相关配置,如设备地址、共享密钥、创建用户等配置。假设已在RADIUS服务器上创建了用户名yc123,密码test#123。对...
- HTTPS是什么?加密原理和证书。SSL/TLS握手过程
-
秘钥的产生过程非对称加密...
- HTTPS TLS握手流程_进行tls握手
-
1.客户端向服务器发送`ClientHello`消息,包括支持的TLS版本、加密套件、随机数等信息。2.服务器收到`ClientHello`消息后,解析其中的信息,并根据配置选择一个加密套件。3....
- Spring Boot 单点登录(SSO)实现_spring boot 单点登录jwt
-
SpringBoot单点登录(SSO)实现全指南单点登录(SingleSign-On,SSO)是一种身份验证机制,允许用户使用一组凭证登录多个相关但独立的系统。在微服务架构和企业级系统中,SS...
- 源码分享:在pdf上加盖电子签章_pdf如何加盖电子公章
-
在pdf上加盖电子签章,并不是只是加个印章图片,。而是要使用一对密钥中的私钥对文件进行签字。为啥要用私钥呢?很简单,因为公钥是公开的,其他人才可以用公钥为你证明,这个文件是你签的。这就是我们常说的:私...
- 微信支付商户API证书到期 怎么更换
-
微信支付商户API证书到期更换是一个非常重要的操作,需要仔细按照流程进行。如果证书过期,所有通过API的支付、退款等操作都会失败,将直接影响您的业务。请按照以下详细步骤进行操作:重要前提:分清...