技术平台-开发环境-隧道管理

abstiger大约 2 分钟

隧道管理

VPN即虚拟子网,用于跨越互联网构建虚拟的局域网,普遍用于公司网络管理、跨域设备管理等场景。 Windows自带的pptp更加简易,而跨平台的openvpn更加通用、安全。openvpn的详细介绍可参考OpenVPNopen in new window

安装步骤

参考:《OpenVPN Setup Guide for Beginners》open in new window,进行配置。
稍微有些改动的是:如果走默认udp协议,不论端口配置成什么,第一个握手包会被墙住,改为tcp协议,同时注意调整firewall协议即可。

安装检查

查看服务状态:

sudo systemctl status openvpn-server@krproject.service

安装好后,配好客户端,mac可使用tunnelblickopen in new window,windows上使用openvpnopen in new window客户端配置好自己的客户端配置及证书与key文件后,即可通过openvpn到家庭工作站局域网的连接~

安装配置

与LDAP的集成与配置

参考文档:https://www.howtoing.com/setting-up-an-openvpn-server-with-authentication-against-openldap-on-ubuntu-10.04-ltsopen in new window

首先安装OpenVPN的ldap认证支持:

sudo apt-get install openvpn-auth-ldap

配置OpenVPN以OpenLDAP来认证,编辑配置:/etc/openvpn/server/auth-ldap.conf:

<LDAP>
 # LDAP server URL
 URL  ldap://localhost:389

 # Bind DN (If your LDAP server doesn't support anonymous binds)
 BindDN  cn=admin,dc=krproject,dc=org

 # Bind Password
 Password ****** 

 # Network timeout (in seconds)
 Timeout  15

 # Enable Start TLS
 TLSEnable no
</LDAP>

<Authorization>
 # Base DN
 BaseDN  "ou=people,dc=krproject,dc=org"

 # User Search Filter
 SearchFilter "(&(uid=%u)(o=*openvpn*))"

 # Require Group Membership
 RequireGroup false
</Authorization>

编辑OpenVPN服务端认证配置:/etc/openvpn/server/krproject.conf

plugin /usr/lib/openvpn/openvpn-auth-ldap.so /etc/openvpn/server/auth-ldap.conf
client-cert-not-required

对于OpenVPN客户端配置,修改之前的CERT+KEY的认证方式,改为用户名密码方式:

;cert krproject.crt
;key krproject.key
ns-cert-type server
auth-user-pass

防火墙允许OpenVPN

ufw allow 1194/tcp

重启openvpn以生效:

sudo systemctl restart openvpn-server@krproject.service
Loading...