OpenVPN无限试用:公有云+两地局域网跨网互联解决方案
在当前企业环境中,实现公有云服务器、分支机构A和B的网络互通是一个常见需求。相比PPTP协议,OpenVPN在安全性(TLS加密)和稳定性上更具优势。本指南将带您一步步搭建OpenVPN无限试用环境,实现跨网互联。
1. 环境搭建(服务端配置)
1.1 安装OpenVPN服务端操作系统
- Windows Server 2019
- 软件版本:OpenVPN 2.6.13-I001(关键组件:X509证书管理)
- 安装路径:C:\Program Files\OpenVPN
- 注意事项:勾选“Certificate Management”组件
1.2 证书体系生成步骤分解
- 复制vars.example → vars.bat
- 以管理员身份运行easyrsa-start.bat
- 执行以下命令:
- ./easyrsa init-pki # 初始化PKI结构
- ./easyrsa build-ca nopass # 生成CA证书
- ./easyrsa build-server-full server nopass # 服务端证书
- ./easyrsa build-client-full client nopass # 客户端证书
- ./easyrsa gen-dh # 生成DH参数证书
- 证书文件整理:
- config/
- ├─ ca.crt # CA证书
- ├─ server.crt # 服务端证书
- ├─ server.key # 服务端私钥
- └─ dh.pem # DH参数
2. 服务端配置(server.ovpn)
核心配置:
- port 119 # 默认端口
- proto udp # 推荐UDP协议
- dev tap # 使用TAP模式
- ca ca.crt
- cert server.crt
- key server.key
- dh dh.pem
- data-ciphers AES-256-GCM # 加密算法
- server 10.8.0.0 255.255.255.0 # VPN网段
- push "route 172.16.100.0 255.255.255.0" # 内网路由推送
- client-to-client # 允许客户端间通信
- duplicate-cn # 支持多设备同名
- keepalive 10 120 # 心跳检测配置
技巧:若需客户端自定义IP,启用ifconfig-pool-persist ipp.txt。Windows服务端需提前启用IP转发功能(见下文)。
3. 客户端配置(以爱快路由器为例)
必须一致的参数:证书上传将客户端证书(client.crt)和私钥(client.key)粘贴到设备证书管理界面。
4. 高级配置(提升性能)
- Windows IP转发设置:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]IPEnableRoute=1。⚠️需重启生效。
- 客户端静态路由配置:Route 192.168.9.0 255.255.255.0 10.8.0.3 metric 16 if 5(if 5通过route print获取网卡接口号)。
5. 检查服务端路由表
提示:Windows Server的“路由和远程访问”必须启用,否则网络无法转发。
6. 分支机构A、分支机构B互写路由,实现直接通讯❗️
注意:两个分支机构必须互写路由,才能实现直接通讯。
7. 常见问题排查与进阶方向
- 部署多节点集群提高可用性
- 配置防火墙规则实现精细化访问控制
- 笔记本电脑及手机端的远程接入访问
欢迎关注和讨论,持续更新。也欢迎留言讨论。#IT外包服务#