openvpn：如何实现双网互通

2019-03-26 11:37:31 举报

分享至

实现目标

client内部网络(192.168.66.x)和openvpn服务器所在网络(10.3.0.x)实现互通

一、环境

1. 架构
ens160:x.x.x.x-ens32:10.3.0.100(vpn server) – 10.3.0.x
<–>
eth0:192.168.66.181(vpn client) – 192.168.66.x
2. 软件版本
- system : centos7.2
- openvpn : 2.4.6-1.el7

二、安装部署

1. openvpn server安装（10.3.0.100）
wget https://git.io/vpn -O openvpn-install.sh && bash openvpn-install.sh
备用地址：wget http://d.guohao.space/vpn/openvpn-install.sh -O openvpn-install.sh && bash openvpn-install.sh
I need to ask you a few questions before starting the setup.
You can leave the default options and just press enter if you are ok with them.
First, provide the IPv4 address of the network interface you want OpenVPN
listening to.
IP address: x.x.x.x
Which protocol do you want for OpenVPN connections?
1) UDP (recommended)
2) TCP
Protocol [1-2]: 2
What port do you want OpenVPN listening to?
Port: 31194
Which DNS do you want to use with the VPN?
1) Current system resolvers
2) 1.1.1.1
3) Google
4) OpenDNS
5) Verisign
DNS [1-5]: 1
Finally, tell me your name for the client certificate.
Please, use one word only, no special characters.
Client name: client
Okay, that was all I needed. We are ready to set up your OpenVPN server now.
Press any key to continue...
# 这回车后会安装相关的包，生成客户端配置文件，并启动vpn服务
...
...
Finished!
Your client configuration is available at: /root/client.ovpn
- IP address
  对外提供服务的公网ip
- Client name
  客户端名称，这里就用默认的client，创建新用户时可以再运行这个脚本创建
- /root/client.ovpn
  这个客户端的配置文件，用户名是由上面Client name确定。后面客户端要用到该文件
2. vpn server端配置
# cat /etc/openvpn/server.conf
port 31194
proto tcp
dev tun
sndbuf 0
rcvbuf 0
ca ca.crt
cert server.crt
key server.key
dh dh.pem
auth SHA512
tls-auth ta.key 0
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
# push "redirect-gateway def1 bypass-dhcp" 改为
push "route 10.3.0.0 255.255.255.0"
# push "dhcp-option DNS 114.114.114.114"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3
crl-verify crl.pem
配置说明：
- server
  vpn网络网段，这个可自定义，用默认的也可以
- push “redirect-gateway def1 bypass-dhcp”
  vpn server向客户端推送路由信息，默认的配置会使客户端所有流量都经过vpn，这不是我们想要的，只有到内网的才路由到vpn
- push “dhcp-option DNS 114.114.114.114”
  直接去掉，如果有内部dns服务器的话要改成内部的dns
修改完记得重启vpn服务
systemctl restart openvpn@server
3. client 端安装配置
- 安装
  yum install openvpn
- 配置
  把之前server端生成的client.ovpn放置到/etc/openvpn/client/client.ovpn,执行下面命令启动客户端程序
  openvpn --daemon --cd /etc/openvpn/client/ --config client.ovpn --log-append /var/log/openvpn.log
- 查看
  ip addr会到多了个tun0网络，这个就是vpn网络
  # ip addr
  ...
  ...
  8: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
  link/none
  inet 10.8.0.2/24 brd 10.8.0.255 scope global tun0
  valid_lft forever preferred_lft forever
  ip route 可以看到推送过来的路由 10.3.0.0/8
  # ip route
  default via 192.168.66.2 dev eth0 proto static metric 100
  10.8.0.0/24 dev tun0 proto kernel scope link src 10.8.0.2
  10.3.0.0/24 via 10.8.0.1 dev tun0
  192.168.66.0/24 dev eth0 proto kernel scope link src 192.168.66.181 metric 100
  如果没看到相关信息，查看日志/var/log/openvpn.log。
- 测试
  ping 10.8.0.1
  ping通的话说明和vpn服务端成功连接
4. 实现客户端访问内部网络（server端操作）
完成上面操作，可实现client访问vpn服务器，但是还没办法访问vpn服务器所在的网络，继续做如下操作
- 开启服务器的网络转发功能
  查看是否已经开启了转发，1是开启
  sysctl -a|grep '\.forwarding'
  net.ipv4.conf.all.forwarding = 0
  net.ipv4.conf.default.forwarding = 0
  net.ipv4.conf.ens160.forwarding = 0
  net.ipv4.conf.ens32.forwarding = 0
  net.ipv4.conf.lo.forwarding = 0
  net.ipv4.conf.tun0.forwarding = 0
  如果上面grep结果已经是= 1 就说明已经开启，不用做下面操作了
  /etc/sysctl.conf 对应的值由0改为1，没有的话在最后添加如下行
  net.ipv4.ip_forward = 1
  执行命令生效，执行下面命令后再查看就是 = 1了
  sysctl -p
- 在vpn服务器上做snat，修改到内网时的源ip为vpn服务器的ip，不然流量回不来了
  firewall-cmd --direct --add-rule ipv4 nat POSTROUTING 0 -s 192.168.66.0/24 -o ens32 -j SNAT --to-source 10.3.0.100
完成上面两部操作后即可实现客户端访问vpn服务器端的内部10.3.0.0/24网络，ping个同段的其他机器测试
5. 指定客户端ip
有时候我们喜欢给客户端分配ip而不是动态获得，做下面配置
- 指定客户端配置文件路径
  # /etc/openvpn/server.conf 中加入下面一行
  client-config-dir ccd
- 创建用户配置文件
  # /etc/openvpn/ccd/client
  ifconfig-push 10.8.0.10 255.255.255.0
  指定了client客户的ip是10.8.0.10
重启openvpn服务生效
6. 配置双网互通
通过上面操作可以实现192.168.66.181访问10.3.0.x网络主机，但是192.168.66.x（配置了10.3.0.x路由到192.168.66.181）的机器并不能通过192.168.66.181访问到10.3.0.x网络，还需要做如下配置
- 本地添加192.168.66.x路由
  # /etc/openvpn/server.conf 中添加如下3行
  client-to-client
  # client 路由
  route 192.168.66.0 255.255.255.0 10.8.0.10
- client声明自己的路由
  # cat /etc/openvpn/ccd/client
  ifconfig-push 10.8.0.10 255.255.255.0
  iroute 192.168.66.0 255.255.255.0
  注意是iroute不是route
  重启后即可看到本地多了192.168.66.x路由，客户端192.168.66.x可以通过192.168.66.181访问10.3.0.x网络了
- 10.3.0.x访问192.168.66.x
  道理和192.168.66.181访问10.3.0.x一样，需要做snat
  firewall-cmd --direct --add-rule ipv4 nat POSTROUTING 0 -s 10.3.0.0/24 -o eth0 -j SNAT --to-source 192.168.66.181
7. 当然还要考虑高可用，这个根据实际情况搞

特别声明：以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布，本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.