網易首頁 > 網易號 > 正文申請入駐

企業級網絡互通方案：OpenVPN搭建公有云+愛快路由器+Win11三地互聯實戰指南

2025-02-26 14:09:17　來源: IT狂人日志

江蘇舉報

分享至

「安全高效」三地局域網秒變局域網實施環境說明

組件

角色

系統/設備

OpenVPN服務端

公有云服務器

CentOS 7.9

OpenVPN客戶端

網絡出口設備

愛快路由器

OpenVPN客戶端

終端設備

Windows 11 Pro

?? 核心步驟詳解一、服務端部署（CentOS 7） 1. 安裝OpenVPN服務

# 安裝OpenVPN
yum install openvpn easy-rsa -y

2. 證書管理體系搭建

# 進入證書目錄
cd /etc/openvpn/easy-rsa/

# 初始化CA
./easyrsa init-pki

# 生成CA證書
./easyrsa build-ca nopass
會提示設置密碼，用于ca對之后生成的server和client證書簽名時使用，其他提示內容直接回車即可 

# 創建server端證書和私鑰文件，nopass表示不加密私鑰文件
 ./easyrsa gen-req server nopass

# 給server端證書簽名，提示內容需要輸入yes和創建ca根證書時候的密碼
 ./easyrsa sign server server

# 生成客戶端證書
./easyrsa build-client-full client nopass

# 創建Diffie-Hellman文件，密鑰交換時的Diffie-Hellman算法
./easyrsa gen-dh

# 創建client端的證書和私鑰文件，nopass表示不加密私鑰文件，提示內容直接回車即可
 ./easyrsa gen-req client nopass

# 給client端證書前面，提示內容輸入yes和創建ca根證書時候的密碼
 ./easyrsa sign client client

3. 服務端配置優化

復制服務端配置文件，并且根據實際情況修改 cp /usr/share/doc/openvpn-2.4.12/sample/sample-config-files/server.conf /etc/openvpn/server/

# /etc/openvpn/server/server.ovpn
port 51194
proto udp
dev tap
ca ca.crt
cert server.crt
key server.key
dh dh.pem
topology subnet
server 10.8.0.0 255.255.255.0
push "route 172.24.22.0 255.255.255.0"
keepalive 10 120
persist-key
persist-tun
status openvpn-status.log
verb 3
explicit-exit-notify 1
cipher AES-256-GCM

生成靜態加密密鑰 openvpn --genkey --secret /etc/openvpn/hcit.tlsauth

編輯sysctl.conf 添加net.ipv4.ip_forward = 1，啟用ipv4轉發；

然后重啟網絡服務 systemctl restart network.service

添加openvpn服務 systemctl -f enable openvpn@server.service

啟動openvpn服務 systemctl start openvpn@server.service

二、客戶端配置指南 ?? 愛快路由器配置

上一篇文章已經寫過了，這里就不重復了，不同的是，這次啟用了TLS認證，所以略有不同，需要導入上面生成的靜態加密密鑰hcit.tlsauth。

?? Windows 11客戶端配置

下載安裝OpenVpn
編輯client.ovpn配置文件，并導入證書：

新建一個文件：client.ovpn

client
dev tap
proto udp
remote 139.196.187.221 51194
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
remote-cert-tls server
cipher AES-256-GCM
verb 3
persist-key

相應證書復制到config文件夾下`

連接成功后會自動分配 10.8.0.0 網段IP

三、網絡優化關鍵配置服務端路由策略

# 添加內網路由
ip route add 18.18.18.0/24 via 10.8.0.2 dev tap0

# 檢查服務端到客戶端的網絡路徑
tracepath 18.18.18.58

? 故障排查清單

? 服務驗證命令：

systemctl status openvpn@server
ss -tulnp | grep 51194

? 常見錯誤處理：

No server certificate verification method has been enabled
→ 檢查證書鏈完整性及有效性，檢查端口是否配置正確
客戶端無法直接通訊
→ 確認兩端路由是否存在和正確

IT狂人日志，持續更新，歡迎關注、評論和轉發。

特別聲明：以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布，本平臺僅提供信息存儲服務。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.