网易首页 > 网易号 > 正文 申请入驻

openvpn:如何实现双网互通

0
分享至

实现目标

  • client内部网络(192.168.66.x)和openvpn服务器所在网络(10.3.0.x)实现互通

一、环境

  1. 1. 架构
    ens160:x.x.x.x-ens32:10.3.0.100(vpn server) – 10.3.0.x
    <–>
    eth0:192.168.66.181(vpn client) – 192.168.66.x

  2. 2. 软件版本

    • system : centos7.2

    • openvpn : 2.4.6-1.el7

二、安装部署

  1. 1. openvpn server安装(10.3.0.100)

    wget https://git.io/vpn -O openvpn-install.sh && bash openvpn-install.sh
    备用地址:wget http://d.guohao.space/vpn/openvpn-install.sh -O openvpn-install.sh && bash openvpn-install.sh

    I need to ask you a few questions before starting the setup.

    You can leave the default options and just press enter if you are ok with them.

    First, provide the IPv4 address of the network interface you want OpenVPN

    listening to.

    IP address: x.x.x.x

    Which protocol do you want for OpenVPN connections?

    1) UDP (recommended)

    2) TCP

    Protocol [1-2]: 2

    What port do you want OpenVPN listening to?

    Port: 31194

    Which DNS do you want to use with the VPN?

    1) Current system resolvers

    2) 1.1.1.1

    3) Google

    4) OpenDNS

    5) Verisign

    DNS [1-5]: 1

    Finally, tell me your name for the client certificate.

    Please, use one word only, no special characters.

    Client name: client

    Okay, that was all I needed. We are ready to set up your OpenVPN server now.

    Press any key to continue...

    # 这回车后会安装相关的包,生成客户端配置文件,并启动vpn服务

    ...

    ...

    Finished!

    Your client configuration is available at: /root/client.ovpn

    • IP address
      对外提供服务的公网ip

    • Client name
      客户端名称,这里就用默认的client,创建新用户时可以再运行这个脚本创建

    • /root/client.ovpn
      这个客户端的配置文件,用户名是由上面Client name确定。后面客户端要用到该文件

  2. 2. vpn server端配置

    # cat /etc/openvpn/server.conf

    port 31194

    proto tcp

    dev tun

    sndbuf 0

    rcvbuf 0

    ca ca.crt

    cert server.crt

    key server.key

    dh dh.pem

    auth SHA512

    tls-auth ta.key 0

    topology subnet

    server 10.8.0.0 255.255.255.0

    ifconfig-pool-persist ipp.txt

    # push "redirect-gateway def1 bypass-dhcp" 改为

    push "route 10.3.0.0 255.255.255.0"

    # push "dhcp-option DNS 114.114.114.114"

    keepalive 10 120

    cipher AES-256-CBC

    user nobody

    group nobody

    persist-key

    persist-tun

    status openvpn-status.log

    verb 3

    crl-verify crl.pem

    配置说明:

    • server
      vpn网络网段,这个可自定义,用默认的也可以

    • push “redirect-gateway def1 bypass-dhcp”
      vpn server向客户端推送路由信息,默认的配置会使客户端所有流量都经过vpn,这不是我们想要的,只有到内网的才路由到vpn

    • push “dhcp-option DNS 114.114.114.114”
      直接去掉,如果有内部dns服务器的话要改成内部的dns

    修改完记得重启vpn服务
    systemctl restart openvpn@server

  3. 3. client 端安装配置

    • 安装
      yum install openvpn

    • 配置
      把之前server端生成的client.ovpn放置到/etc/openvpn/client/client.ovpn,执行下面命令启动客户端程序
      openvpn --daemon --cd /etc/openvpn/client/ --config client.ovpn --log-append /var/log/openvpn.log

    • 查看
      ip addr会到多了个tun0网络,这个就是vpn网络

      # ip addr

      ...

      ...

      8: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100

      link/none

      inet 10.8.0.2/24 brd 10.8.0.255 scope global tun0

      valid_lft forever preferred_lft forever

      ip route 可以看到推送过来的路由 10.3.0.0/8

      # ip route

      default via 192.168.66.2 dev eth0 proto static metric 100

      10.8.0.0/24 dev tun0 proto kernel scope link src 10.8.0.2

      10.3.0.0/24 via 10.8.0.1 dev tun0

      192.168.66.0/24 dev eth0 proto kernel scope link src 192.168.66.181 metric 100

      如果没看到相关信息,查看日志/var/log/openvpn.log。

    • 测试
      ping 10.8.0.1
      ping通的话说明和vpn服务端成功连接

  4. 4. 实现客户端访问内部网络(server端操作)
    完成上面操作,可实现client访问vpn服务器,但是还没办法访问vpn服务器所在的网络,继续做如下操作

    • 开启服务器的网络转发功能
      查看是否已经开启了转发,1是开启
      sysctl -a|grep '\.forwarding'

      net.ipv4.conf.all.forwarding = 0

      net.ipv4.conf.default.forwarding = 0

      net.ipv4.conf.ens160.forwarding = 0

      net.ipv4.conf.ens32.forwarding = 0

      net.ipv4.conf.lo.forwarding = 0

      net.ipv4.conf.tun0.forwarding = 0

      如果上面grep结果已经是= 1 就说明已经开启,不用做下面操作了
      /etc/sysctl.conf 对应的值由0改为1,没有的话在最后添加如下行

      net.ipv4.ip_forward = 1

      执行命令生效,执行下面命令后再查看就是 = 1了
      sysctl -p

    • 在vpn服务器上做snat,修改到内网时的源ip为vpn服务器的ip,不然流量回不来了
      firewall-cmd --direct --add-rule ipv4 nat POSTROUTING 0 -s 192.168.66.0/24 -o ens32 -j SNAT --to-source 10.3.0.100

    完成上面两部操作后即可实现客户端访问vpn服务器端的内部10.3.0.0/24网络,ping个同段的其他机器测试

  5. 5. 指定客户端ip
    有时候我们喜欢给客户端分配ip而不是动态获得,做下面配置

    • 指定客户端配置文件路径

      # /etc/openvpn/server.conf 中加入下面一行

      client-config-dir ccd

    • 创建用户配置文件

      # /etc/openvpn/ccd/client

      ifconfig-push 10.8.0.10 255.255.255.0

      指定了client客户的ip是10.8.0.10

    重启openvpn服务生效

  6. 6. 配置双网互通
    通过上面操作可以实现192.168.66.181访问10.3.0.x网络主机,但是192.168.66.x(配置了10.3.0.x路由到192.168.66.181)的机器并不能通过192.168.66.181访问到10.3.0.x网络,还需要做如下配置

    • 本地添加192.168.66.x路由

      # /etc/openvpn/server.conf 中添加如下3行

      client-to-client

      # client 路由

      route 192.168.66.0 255.255.255.0 10.8.0.10

    • client声明自己的路由

      # cat /etc/openvpn/ccd/client

      ifconfig-push 10.8.0.10 255.255.255.0

      iroute 192.168.66.0 255.255.255.0

      注意是iroute不是route
      重启后即可看到本地多了192.168.66.x路由,客户端192.168.66.x可以通过192.168.66.181访问10.3.0.x网络了

    • 10.3.0.x访问192.168.66.x
      道理和192.168.66.181访问10.3.0.x一样,需要做snat
      firewall-cmd --direct --add-rule ipv4 nat POSTROUTING 0 -s 10.3.0.0/24 -o eth0 -j SNAT --to-source 192.168.66.181

  7. 7. 当然还要考虑高可用,这个根据实际情况搞

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关推荐
热点推荐
大妈揣80万去儿子家住一周,7天吃咸菜,孙子:等你走了吃煎牛排

大妈揣80万去儿子家住一周,7天吃咸菜,孙子:等你走了吃煎牛排

人间百态大全
2026-07-12 06:35:03
频遭吐槽!深圳地铁站“洗脑”广告铺天盖地引争议,网友:“好丑”、“什么时候能换掉”

频遭吐槽!深圳地铁站“洗脑”广告铺天盖地引争议,网友:“好丑”、“什么时候能换掉”

南方都市报
2026-07-12 17:15:15
周星驰导演新片《功夫女足》豆瓣开分6.6,部分网友只打了一星;盗摄猖獗,大量商家售卖枪版,标价从0.8元到9.9元不等

周星驰导演新片《功夫女足》豆瓣开分6.6,部分网友只打了一星;盗摄猖獗,大量商家售卖枪版,标价从0.8元到9.9元不等

山西晚报
2026-07-12 15:59:13
注意!中东火药桶炸醒A股,周一这个板块必然高开

注意!中东火药桶炸醒A股,周一这个板块必然高开

财报翻译官
2026-07-12 13:49:40
川普参议院盟友突然去世,称援乌是丘吉尔以来最成功案例

川普参议院盟友突然去世,称援乌是丘吉尔以来最成功案例

移光幻影
2026-07-12 17:30:36
官方披露:大学教授因传播躺平、摆烂等负能量,被处理

官方披露:大学教授因传播躺平、摆烂等负能量,被处理

麦可思研究
2026-07-12 17:05:54
斯卡洛尼:亚马尔说法国vs西班牙是提前到来的决赛?这没毛病

斯卡洛尼:亚马尔说法国vs西班牙是提前到来的决赛?这没毛病

懂球帝
2026-07-12 01:14:12
中国最担心的事正在发生,巴基斯坦若引进FC-31,美国可能破解

中国最担心的事正在发生,巴基斯坦若引进FC-31,美国可能破解

止戈军是我
2026-07-12 17:17:11
就在武汉,已成功攻克!一旦成熟,电费有望降至几分钱1度

就在武汉,已成功攻克!一旦成熟,电费有望降至几分钱1度

新浪财经
2026-07-10 18:20:48
1974年李连杰访美,基辛格问他:你武功真好,打架一定很厉害吧?

1974年李连杰访美,基辛格问他:你武功真好,打架一定很厉害吧?

香姨谈史
2026-07-12 08:50:09
23岁,6场6球,英格兰的新旗帜!但为什么他永远成不了梅西?

23岁,6场6球,英格兰的新旗帜!但为什么他永远成不了梅西?

曹老师评球
2026-07-12 09:10:41
韩红基金会再起争议!金融博主爆料慈善款买多种盈利型基金,426笔的大金额支出

韩红基金会再起争议!金融博主爆料慈善款买多种盈利型基金,426笔的大金额支出

火山詩话
2026-07-12 06:56:29
欧盟又准备秀“团结”:企业只要减少对华依赖,欧盟就打钱!

欧盟又准备秀“团结”:企业只要减少对华依赖,欧盟就打钱!

阿龙聊军事
2026-07-12 19:16:46
签名闹乌龙!莫兰特被交易后首次发声:无法理解总说我是坏人

签名闹乌龙!莫兰特被交易后首次发声:无法理解总说我是坏人

罗说NBA
2026-07-12 06:01:41
俄罗斯人被特朗普打醒了:就是出卖中国,美国也不可能放过他们

俄罗斯人被特朗普打醒了:就是出卖中国,美国也不可能放过他们

刘森森
2026-07-12 11:22:40
欧民众吹着中国空调,德总理却要求中国大使紧急会谈,理由很荒唐

欧民众吹着中国空调,德总理却要求中国大使紧急会谈,理由很荒唐

阿丰聊娱
2026-07-11 14:54:54
只要陌生电话问你“是不是本人”赶紧反问这句,高效隔绝诈骗风险

只要陌生电话问你“是不是本人”赶紧反问这句,高效隔绝诈骗风险

天气观察站
2026-07-04 18:07:58
福建4位代县(区)长上任

福建4位代县(区)长上任

一口娱乐
2026-07-12 17:22:16
原来很多行业都有一些内幕,网友:别问问就是不行

原来很多行业都有一些内幕,网友:别问问就是不行

康富贵碎碎念
2026-07-12 14:02:49
805公里续航!小鹏新车:即将上市

805公里续航!小鹏新车:即将上市

手机讲坛
2026-07-12 12:26:05
2026-07-12 20:08:49
MobService
MobService
全球领先的移动开发者服务平台
357文章数 7关注度
往期回顾 全部

科技要闻

苹果诉OpenAI细节:一句“笑死”刺痛库克

头条要闻

美菲等多国炒作“南海仲裁案裁决” 外交部郑重声明

头条要闻

美菲等多国炒作“南海仲裁案裁决” 外交部郑重声明

体育要闻

被3个队友锁死,哈兰德以最憋屈的方式出局

娱乐要闻

台媒曝S妈许雅钧 诱使具俊晔放弃遗产

财经要闻

美联储和市场将走向何方?

汽车要闻

纯电/增程双动力 一汽悦意08正式上市售9.99万起

态度原创

健康
游戏
教育
旅游
房产

肝病、肾病患者注意!吃粘食要谨慎

《FGO》十周年从者U奥尔加玛丽配队思路:哪些从者能和所长打配合

教育要闻

区老师是谁?

旅游要闻

重庆火车站今日停运列车52趟丨多个高山景区出炉夏季专属游玩攻略

房产要闻

重磅学校规划曝光!西海岸教育,正强得可怕!

无障碍浏览 进入关怀版