专项技能训练五《云计算网络技术与应用》实训9 使用openVPN建立小型企业内网VPN环境
文章目录
- 使用openVPN建立小型企业内网VPN环境
- 1. 使用VMware安装2个CentOS 7虚拟机,安装时记得都多添加一张网卡,第二张网卡设置为自定义vmnet1,第一台命名为“VPNserver”,第二台命名为“VPNclient”。
- 2. 安装完两台虚拟机后,进入虚拟机,修改网络配置(onboot改为yes)并重启网络服务,查看相应IP地址,并使用远程连接软件进行连接。
- 配置内网主机
- 配置ens34网卡IP,使用nmtui命令。
- 配置为172.16.30.102/24,保存退出
- 关闭selinux策略和防火墙
- 安装net-tools,安装前需配置yum源,使用阿里云的yum源。
- 把ens33网卡禁用,网卡配置文件中“onboot改为no”,使之无法与外网相连。重启网络然后查看IP地址,发现ens33已经无IP地址
- 配置server服务器端
- 3. 配置ens34网卡IP,使用nmtui命令。
- 配置为172.16.30.101/24,保存退出
- 4. 关闭selinux策略和防火墙
- 5. 配置yum源,使用阿里云的yum源。
- 6. 安装基础软件
- 7. 安装证书工具。
- 证书文件制作过程,需要使用到easy-rsa-old.zip工具进行制作证书。
- 制作证书工具下载地址: https://github.com/OpenVPN/easy-rsa-old
- 下载好包或者直接把老师给的包使用winSCP进行上传。
- 安装压缩和解压软件
- 8. 编写 vars文件,修改证书创建的配置参数信息,并使配置生效。
- 9. 清楚缓存,清楚缓存同时会创建keys目录
- 10. 生成根证书文件和私钥信息
- 11. 生成服务端证书和秘钥文件信息
- 12. 生成客户端证书和秘钥文件信息:
- 13. 生成秘钥交换文件信息:
- 14. 安装openvpn
- 15. 编写修改 openvpn服务配置文件
- 进入openvpn目录下,建立存放openvpn服务加载证书文件目录
- 将之前生成的证书文件信息进行拷贝迁移
- 拷贝openvpn服务模板配置文件
- 修改vim配置文件,在最后加上set number,使vim编译器显示行数。
- 编辑openvpn服务模板配置文件
- 更改配置加载的证书文件路径信息
- 当vpn拨号建立连接成功后,会生成的隧道连接网段信息
- 表示路由信息推送,可以让拨号的客户端主机路由表中,添加以上两个路由条目信息; 最终实现和企业私网以及vpn隧道私网建立通信
- 表示拒绝服务攻击的证书
- 表示设置数据传输的加密模式,从2.4版本之后不能使用CBC模式了,需要改为GCM,修改完成后,保存退出。
- 16. 开启内核转发
- 17. 在 openvpn服务端建立ta.key文件,主要用于拒绝服务攻击证书
- 18. 启动运行openVPN服务,并查看状态
- 19. 为客户端配置服务做准备
- 创建保存客户端文件信息的目录,并将客户端模板文件进行拷贝迁移
- 修改客户端配置文件信息:
- 表示设置客户端要和哪个vpn服务器建立连接,设置为vpn服务器外网接口公网地址和服务端口1194信息
- 表示设置数据传输的加密模式,从2.4版本之后不能使用CBC模式了,需要改为GCM
- 汇总拷贝整理客户端相关证书文件,并检查确认客户端数据信息情况
- 修改客户端文件后缀名称信息
- 将所有 openvpn客户端所需的文件数据打包并下载保存,然后用winSCP软件下载到windows桌面。
- 配置windows
- 20. 把刚刚下载的client压缩包解压
- 21. 安装老师给的openvpn客户端软件。该软件可以通过openvpn官网下载(下载地址:https://openvpn.net/community-downloads/)
- 22. 安装好之后,桌面会出现openVPN图标。
- 23. 进入openvpn软件目录,找到config文件夹,把从客户端下载下来的client压缩包中的文件都复制到config文件夹中。如下图所示。
- 24. 双击桌面的openVPN图标,运行openVPN,在右下角小图标处,找到openVPN图标。
- 24. 邮件桌面右下角openVPN小图标,选择选项。
- 25. 修改设置中的高级信息,设置为正确的路径,如下图。
- 测试连通性
- 26. 启动VPN前,先测试是否可以ping通内网,发现无法ping通,可以通过route print查看路由表,发现也没有相应的访问172网段的路由信息。
- 27. 启动VPN
- 28. 测试是否可以ping通server内网IP172.16.30.101,发现可以ping通,查看路由信息,也可以看到已经有了172网段的路由信息。
- 29. 测试是否可以ping通内网IP172.16.30.102,发现ping不通,原因是内网102主机无路由信息。
- 30. 修改调整内网主机数据通讯配置信息,添加网关路由信息
- 31. 再次测试是否可以ping通,发现可以ping通
- 至此,整个VPN构建已经完成。
使用openVPN建立小型企业内网VPN环境
实验前准备:编辑虚拟机网络配置,使VMnet8处在192.168.10.0网段。
1. 使用VMware安装2个CentOS 7虚拟机,安装时记得都多添加一张网卡,第二张网卡设置为自定义vmnet1,第一台命名为“VPNserver”,第二台命名为“VPNclient”。
2. 安装完两台虚拟机后,进入虚拟机,修改网络配置(onboot改为yes)并重启网络服务,查看相应IP地址,并使用远程连接软件进行连接。
配置内网主机
配置ens34网卡IP,使用nmtui命令。
配置为172.16.30.102/24,保存退出
关闭selinux策略和防火墙
安装net-tools,安装前需配置yum源,使用阿里云的yum源。
curl -s -o /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-7.repo
curl -s -o /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo
yum install -y net-tools
把ens33网卡禁用,网卡配置文件中“onboot改为no”,使之无法与外网相连。重启网络然后查看IP地址,发现ens33已经无IP地址
配置server服务器端
3. 配置ens34网卡IP,使用nmtui命令。
配置为172.16.30.101/24,保存退出
4. 关闭selinux策略和防火墙
5. 配置yum源,使用阿里云的yum源。
curl -s -o /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-7.repo
curl -s -o /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo
6. 安装基础软件
7. 安装证书工具。
证书文件制作过程,需要使用到easy-rsa-old.zip工具进行制作证书。
制作证书工具下载地址: https://github.com/OpenVPN/easy-rsa-old
下载好包或者直接把老师给的包使用winSCP进行上传。
安装压缩和解压软件
8. 编写 vars文件,修改证书创建的配置参数信息,并使配置生效。
9. 清楚缓存,清楚缓存同时会创建keys目录
10. 生成根证书文件和私钥信息
11. 生成服务端证书和秘钥文件信息
12. 生成客户端证书和秘钥文件信息:
13. 生成秘钥交换文件信息:
14. 安装openvpn
15. 编写修改 openvpn服务配置文件
进入openvpn目录下,建立存放openvpn服务加载证书文件目录
将之前生成的证书文件信息进行拷贝迁移
拷贝openvpn服务模板配置文件
修改vim配置文件,在最后加上set number,使vim编译器显示行数。
编辑openvpn服务模板配置文件
更改配置加载的证书文件路径信息
当vpn拨号建立连接成功后,会生成的隧道连接网段信息
表示路由信息推送,可以让拨号的客户端主机路由表中,添加以上两个路由条目信息; 最终实现和企业私网以及vpn隧道私网建立通信
表示拒绝服务攻击的证书
表示设置数据传输的加密模式,从2.4版本之后不能使用CBC模式了,需要改为GCM,修改完成后,保存退出。
16. 开启内核转发
17. 在 openvpn服务端建立ta.key文件,主要用于拒绝服务攻击证书
18. 启动运行openVPN服务,并查看状态
19. 为客户端配置服务做准备
创建保存客户端文件信息的目录,并将客户端模板文件进行拷贝迁移
修改客户端配置文件信息:
表示设置客户端要和哪个vpn服务器建立连接,设置为vpn服务器外网接口公网地址和服务端口1194信息
表示设置数据传输的加密模式,从2.4版本之后不能使用CBC模式了,需要改为GCM
汇总拷贝整理客户端相关证书文件,并检查确认客户端数据信息情况
修改客户端文件后缀名称信息
将所有 openvpn客户端所需的文件数据打包并下载保存,然后用winSCP软件下载到windows桌面。
配置windows
20. 把刚刚下载的client压缩包解压
21. 安装老师给的openvpn客户端软件。该软件可以通过openvpn官网下载(下载地址:https://openvpn.net/community-downloads/)
22. 安装好之后,桌面会出现openVPN图标。
23. 进入openvpn软件目录,找到config文件夹,把从客户端下载下来的client压缩包中的文件都复制到config文件夹中。如下图所示。
24. 双击桌面的openVPN图标,运行openVPN,在右下角小图标处,找到openVPN图标。
24. 邮件桌面右下角openVPN小图标,选择选项。
25. 修改设置中的高级信息,设置为正确的路径,如下图。
测试连通性
26. 启动VPN前,先测试是否可以ping通内网,发现无法ping通,可以通过route print查看路由表,发现也没有相应的访问172网段的路由信息。
27. 启动VPN
28. 测试是否可以ping通server内网IP172.16.30.101,发现可以ping通,查看路由信息,也可以看到已经有了172网段的路由信息。
29. 测试是否可以ping通内网IP172.16.30.102,发现ping不通,原因是内网102主机无路由信息。
30. 修改调整内网主机数据通讯配置信息,添加网关路由信息
31. 再次测试是否可以ping通,发现可以ping通
