愛陸通5G工業VPN網關自建OPENVPN專網實戰干貨分享
本次搭建拓撲圖如上
一、 Openvpn軟件下載安裝
軟件下載
OPENVPN服務端安裝包可咨詢愛陸通5G工業網關/路由器技術人員獲取,物聯網安全組網需求旺盛,基于5G工業VPN網關/路由器的VPN組網解決方案更加靈活方便。但傳統VPN方案成本高技術難度大,因此基于Windows的低成本自建OPNEVPN方案受到用戶的喜愛,解決了很多中小型項目的組網安全需求,方案中穩定可靠的5G工業網關/路由器起到了關鍵性作用。
軟件安裝
快盈openvpn軟件服務端和客戶端都是同一個安裝包,本次演示windows服務端安裝并附帶證書生產工具EasyRSA3,使用的openvpn安裝包為2.5.7版本。
快盈安裝的時候要選擇Customize,勾選openvpn service和EasyRSA3 安裝,用于服務端配置和證書生成使用。
快盈切記將安裝的默認位置更改為非C盤,否則會影響后續的證書生成,此次安裝在D盤。
快盈安裝完成后軟件位置D: OpenVPN目錄
二、 證書密鑰生成
(示例為無密碼版本,需要帶密碼版本聯系愛陸通技術支持)
準備CA簽發機構環境
在“D:OpenVPNeasy-rsa”目錄下,將名為“vars.example”的文件復制到名為“vars”的文件。“vars”文件包含內置的 Easy-RSA 配置設置。后續證書生成按照該文件的配置進行生成。
主要修改以下參數
COUNTRY定義所在的國家。
PROVINCE定義所在的省份。
CITY定義所在的城市。
快盈ORG定義所在的組織。
快盈EMAIL定義郵箱地址。
OU定義所在的單位。
快盈更改完后保存,雙擊打開EasyRSA-Start.bat文件,進入EasyRSA shell 環境dos窗口中;彈出的dos窗口中輸入./easyrsa init-pki 初始化證書生成程序,初始化成功后會在D: OpenVPNeasy-rsa目錄下新建文件夾kpi,如下圖示:
生成CA公共證書
在dos窗口中輸入./easyrsa build-ca nopass生成無密碼CA證書,生成過程中會要求輸入證書名稱,隨意輸入即可,本次使用CA作為名稱,生成結束后會打印出證書所在目錄D: OpenVPNeasy-rsapkica.crt;
生成服務端證書密生成
快盈輸入./easyrsa build-server-full server nopass 生成名稱為server的無密碼服務端證書,生成后證書文件D: OpenVPNeasy-rsapkiissued文件夾
生成客戶端證書密鑰
快盈輸入./easyrsa build-client-full client nopass生成名稱為client的無密碼客戶端證書,生成后證書在D: OpenVPNeasy-rsapkiissued文件夾
后續如需添加其他客戶端,只需雙擊打開EasyRSA-Start.bat文件,直接輸入./easyrsa build-client-full client2快盈 nopass,無需做其他操作。標紅為相應的證書名,區分不同客戶端,做到一機一證書。如下圖所示
生成DH密鑰交換協議
快盈輸入./easyrsa gen-dh生成DH密鑰交換協議文件,生成文件在D: OpenVPNeasy-rsapki目錄下
快盈目錄D: OpenVPNeasy-rsapkiprivate下為證書key
三、 windows服務端配置
搭建OpenVPN服務器需要公網IP,或者在專網環境下固定的IP地址,可在具有OpenVPN服務器功能的路由器上搭建,也可在開啟端口映射后的Windows電腦上搭建,本次示范為電腦上搭建。
(示例為UDP模式,如需TCP模式可參考附錄OpenVPN server端配置文件詳細說明,或咨詢我司技術支持)
修改服務端配置文件
服務端配置文件模板為server.ovpn ,在 D: OpenVPNsample-config目錄下。復制server.ovpn文件至D: OpenVPNconfig目錄下,用windows自帶的記事本打開修改為如下配置:
下圖為注釋,其他配置詳細注釋請看附錄OpenVPN server端配置文件詳細說明
快盈在D: OpenVPNconfig目錄下創建一個ccd文件夾,在文件夾下創建無后綴文件,文件名與客戶端證書名一一對應,文件內輸入子網段及指定隧道ip如下圖所示:
證書復制進配置
將服務證書,服務key,ca證書,dh文件復制到文件夾D: OpenVPNconfig下
共享網絡至VPN虛擬網卡
連接
右鍵點擊任務欄帶鎖小電腦圖標,點擊連接,連接成功后會變綠,系統提示分配ip
四、 5G工業OPENVPN工業網關/路由器客戶端配置
導入客戶端密鑰、客戶端證書、CA證書
按下圖進行配置
5G工業OPENVPN網關/路由器本地時間同步,客戶端與服務端時間不同步會導致無法進行交互
五、 驗證
愛陸通5G工業openvpn網關/路由器連接成功狀態
服務端ping客戶端子網
客戶端ping服務端子網
完美實現多臺愛陸通5G工業OPENVPN網關/路由器和自建Windows OPENVPN服務器的安全連接和子網互通。