|
题目 OpenVPN(虚拟专用网络) 设置OpenVPN,采用EasyRsa3进行部署。 VPN隧道通道使用三层点到点模式,使用TCP 2023进行连接。 对于VPN服务器端使用固定地址192.168.1.1/24。 对于VPN客户端,请使用范围192.168.1.200-192.168.1.220/24。 互联网区域客户端通过OpenVPN访问chinaskills域网络。 服务端 RuterSrv 安装包 安装 Open VPN 这里需要安装 EasyRSA 3 服务,后面需要用这个工具生成密钥 下面,这个不用管是正常的 启动 EasyRsa3 Win + R ?进入EasyRSA shell 环境dos窗口 cd "C:\Program Files\OpenVPN\easy-rsa"EasyRSA-Start.bat初始化PKI ./easyrsa init-pki编辑证书注册需要的信息 notepad vars.bat这里会提示新建文件 将证书注册所需要的信息输入记事本 set KEY_COUNTRY=CNset KEY_PROVINCE=CAset KEY_CITY=Shenzhenset KEY_ORG=OpenVPNset KEY_EMAIL=mail@host.domainset DH_KEY_SIZE=2048清除之前产生的文件 vars.bat./easyrsa clean-all中间会询问两次是否继续,这里yes 生成CA根证书 ./easyrsa build-ca nopassnopass参数表示不使用密码保护私钥 【生成结束后会打印出证书所在目录C:/Program Files/OpenVPN/easy-rsa/pki/ca.crt】 生成服务端私钥 ./easyrsa build-server-full vpnserver nopass 【生成后证书文件在C:/Program Files/OpenVPN/easy-rsa/pki/issued/vpnserver.crt】 【req: C:/Program Files/OpenVPN/easy-rsa/pki/reqs/vpnserver.req】 【key: C:/Program Files/OpenVPN/easy-rsa/pki/private/vpnserver.key】 验证: openssl verify -CAfile pki/ca.crt pki/issued/vpnserver.crt 返回ok就没问题 生成客户端私钥 ./easyrsa build-client-full vpnclient nopass 【成后证书在C:/Program Files/OpenVPN/easy-rsa/pki/issued/puxiaojiang.crt】 【req: C:/Program Files/OpenVPN/easy-rsa/pki/reqs/puxiaojiang.req】 【key: C:/Program Files/OpenVPN/easy-rsa/pki/private/puxiapjiang.key】 如果有多个客户端需要生成多个 验证: openssl verify -CAfile pki/ca.crt pki/issued/vpnclient.crt 返回ok就没问题 生成DH密钥交换协议 ./easyrsa gen-dh 【生成文件在C:/Program Files/OpenVPN/easy-rsa/pki/dh.pem】 配置ta.key证书 配置需要生成ta.key证书,为防御 DoS,UDP 淹没等恶意攻击行为 ?【生成文件在C:\Program Files\OpenVPN\bin\ta.key】 证书复制 服务证书 " vpnserver.req " 服务key " vpnserver.key " ca证书 " ca.crt " dh文件 " dh.pem " ta.key文件 " ta.key " 将上面的证书,复制到文件夹C:\Program Files\OpenVPN\config下 修改服务端配置文件 服务端配置文件模板为server.ovpn ,在 C:\Program Files\OpenVPN\sample-config目录下 复制server.ovpn文件至C:\Program Files\OpenVPN\config目录,修改如下选项: ;local a.b.c.d ---> local "server-ip"port 1194 ---> port "port";proto tcp ---> proto tcpproto udp ---> ;proto udp;dev tap ---> dev tapdev tun ---> ;dev tuncert server.crt ---> cert "server-crt-name".crtkey server.key ---> key "server-key-name".keydh dh2048.pem ---> dh dh.pemserver 10.8.0.1 255.255.255.0 ---> ;server 10.8.0.1 255.255.255.0;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100 ---> server-bridge "server-ip" "server-mask" "start-ip" "end-ip";client-to-client ---> client-to-clientcipher AES-256-CBC ---> cipher AES-256-GCMVPN连接Server端 这样就是可以了,记得手动改一下openVPN网卡的IP 客户端 安装Open VPN 复制证书 将客户端证书 ” puxiaojiang.crt ” 客户端key ” puxiaojiang.key ” ca证书 ” ca.crt ” ta,key文件 ” ta.key ” 复制到该目录下C:\Program Files\OpenVPN\config 修改配置文件 服务端配置文件模板为client.ovpn ,在 C:\Program Files\OpenVPN\sample-config目录下 复制server.ovpn文件至C:\Program Files\OpenVPN\config目录,修改如下选项: ;dev tap ---> dev tapdev tun ---> ;dev tun;proto tcp ---> proto tcpproto udp ---> ;proto udpremote my-server-1 1194 ---> remote "server-ip" "server-port"cert client.crt ---> cert "client-crt-name".crtkey client.key ---> key "client-key-name".keycipher AES-256-CBC ---> cipher AES-256-GCM这个样子就是可以了 评分标准
查看RouterSrv上openvpn的连接状态(使用powershell先执行hostname然后再执行Get-Service -Name "openvpnservice") 评分要点:标记处完全匹配 查看RouterSrv上的vpn的地址;OutsideCli的地址和端口号(RouterSrv执行hostname和ipconfig命令 评分要点:标记处完全匹配,Outside的IP地址为192.168.1.X(X为200-220)范围 查看OutsideCli访问chinaskills域网络的路径(使用cmd先执行hostname,再执行tracert –d 192.168.200.100然后再执行tracert –d 192.168.100.100) 评分要点:标记处完全匹配得
| 
发表于 2025-11-24 22:39:49
