隧道管理

VPN即虚拟子网，用于跨越互联网构建虚拟的局域网，普遍用于公司网络管理、跨域设备管理等场景。 Windows自带的pptp更加简易，而跨平台的openvpn更加通用、安全。openvpn的详细介绍可参考OpenVPN。

安装步骤

参考：《OpenVPN Setup Guide for Beginners》，进行配置。
稍微有些改动的是：如果走默认udp协议，不论端口配置成什么，第一个握手包会被墙住，改为tcp协议，同时注意调整firewall协议即可。

安装检查

查看服务状态：

sudo systemctl status openvpn-server@krproject.service

安装好后，配好客户端，mac可使用tunnelblick，windows上使用openvpn客户端配置好自己的客户端配置及证书与key文件后，即可通过openvpn到家庭工作站局域网的连接~

安装配置

与LDAP的集成与配置

参考文档：https://www.howtoing.com/setting-up-an-openvpn-server-with-authentication-against-openldap-on-ubuntu-10.04-lts

首先安装OpenVPN的ldap认证支持：

sudo apt-get install openvpn-auth-ldap

配置OpenVPN以OpenLDAP来认证，编辑配置：/etc/openvpn/server/auth-ldap.conf:

<LDAP>
 # LDAP server URL
 URL  ldap://localhost:389

 # Bind DN (If your LDAP server doesn't support anonymous binds)
 BindDN  cn=admin,dc=krproject,dc=org

 # Bind Password
 Password ****** 

 # Network timeout (in seconds)
 Timeout  15

 # Enable Start TLS
 TLSEnable no
</LDAP>

<Authorization>
 # Base DN
 BaseDN  "ou=people,dc=krproject,dc=org"

 # User Search Filter
 SearchFilter "(&(uid=%u)(o=*openvpn*))"

 # Require Group Membership
 RequireGroup false
</Authorization>

编辑OpenVPN服务端认证配置：/etc/openvpn/server/krproject.conf

plugin /usr/lib/openvpn/openvpn-auth-ldap.so /etc/openvpn/server/auth-ldap.conf
client-cert-not-required

对于OpenVPN客户端配置，修改之前的CERT+KEY的认证方式，改为用户名密码方式：

;cert krproject.crt
;key krproject.key
ns-cert-type server
auth-user-pass

防火墙允许OpenVPN

ufw allow 1194/tcp

重启openvpn以生效：

sudo systemctl restart openvpn-server@krproject.service