قم بتثبيت OpenVPN Server على Windows Server واستخدم م (LDAP) تحقق من الحساب

◎ خادم نظام التشغيل: Windows Server 2019
◎ OpenVPN: OpenVPN 2.4.9 (تواصل اجتماعي)
component مكون التحقق م: Auth4OpenVPNv2.0
OS OS OS Client: نوافذ 10

 

نظرًا لأن معدات VPN الخاصة بالشركة قديمة,حلول VPN المسح الأخيرة,أريد أن أبدأ بحلول مفتوحة المصدر أولاً,في البداية ، فكرت في OpenVPN ، الذي تم اختباره قبل خمس سنوات.,ولكن بعد تنزيل ملف صورة VM من الموقع الرسمي وإكمال البناء,اكتشفت أن هذا الإصدار يفتح فقط اتصالين مجانيين للعملاء,الاشتراك للحصول على المزيد。اعتقدت أنني بدأت في الشحن,لا عجب الخادم والعميل (اتصال OpenVPN) أصبحت واجهة البرنامج جميلة جدا,كنت أتذكر تغيير الإعدادات من خلال المفكرة。

ثم وجدت SoftEther VPN من اليابان,بعد قضاء بعض الوقت في البحث والبناء,اعتقدت أن هذه المجموعة يجب أن تعمل,بشكل غير متوقع ، عندما كنت أقوم بالاختبار ،,العثور على خطأ اتصال SQL إسقاط في SoftEther VPN,وقد أبلغ مستخدمو الإنترنت عن هذه المشكلة لمدة عامين,المسؤول لا يزال لم يصحح,لذلك اضطررت إلى الاستسلام على مضض。 كيفية إعداد SoftEther VPN,الرجوع إلى【ملاحظات settings إعدادات خادم VPN SoftEther

في وقت لاحق ، عدت للعثور على معلومات الترخيص ذات الصلة لـ OpenVPN,وجدت فقط نسخة المجتمع,بعد تثبيت تحميل,تظهر شاشة إعداد الملف النصي المألوفة مرة أخرى,ها。أدناه هو الهدف وطريقة الإعداد لهذا البناء:

【أهداف】
◎ يستخدم الخادم نظام Windows。
◎ استخدام م كطريقة للتحقق من الحساب。
◎ يستخدم العميل جانب شبكة مستقل,والحصول على IP تلقائيًا。
side سوف يتدفق جانب العميل فقط VPN لحركة مرور قطعة شبكة معينة,اتصل بالانترنت (الإنترنت) سوف لن。
◎ يمكن للعميل الاتصال بأجزاء الشبكة الأخرى داخل المؤسسة。

 

◎ أولاً,إلى تنزيلات مجتمع OpenVPN قم بتنزيل أحدث إصدار من الصفحة。

 

◎ ثم ارجع إلى المجتمع Easy_Windows_Guide,إكمال إعدادات الخادم والعميل,إعدادات مفتاح الالتقاط التالية。


 

[عمل تمهيدي]

◎ يرجى وضع علامة بنفسك عند التثبيت “EasyRSA 2 مخطوطات إدارة الشهادات” جزء。

◎ تشغيل كمد "مسؤول النظام",وننفذ الأوامر التالية بالترتيب:

  cd "C:\Program Files\OpenVPN\easy-rsa"  init-config  notepad vars.bat  

 

◎ تعديل معلومات الشهادة الافتراضية,الأرشيف بعد التعديل。

تعيين KEY_COUNTRY = الولايات المتحدة
تعيين KEY_PROVINCE = CA
تعيين KEY_CITY = SanFrancisco
تعيين KEY_ORG = OpenVPN
قم بتعيين [email protected]

 

◎ تنفيذ الأوامر التالية بالترتيب:

  vars  clean-all  

 

【شهادة البناء والمفتاح】
◎ تنفيذ الأوامر التالية:

  build-ca  

 

◎ أدخل معلومات الشهادة:

اسم الدولة (2 رمز الحرف) [نحن]:
اسم الولاية أو المقاطعة (الاسم الكامل) [CA]:
اسم المنطقة (على سبيل المثال, مدينة) [سان فرانسيسكو]:
اسم المنظمة (على سبيل المثال, شركة) [OpenVPN]:
التنظيمي اسم وحدة (على سبيل المثال, الجزء) []:
اسم شائع (على سبيل المثال, اسمك أو اسم مضيف الخادم الخاص بك) []:
عنوان البريد الالكترونى [[email protected]]:

 

◎ تنفيذ الأوامر التالية بالترتيب:

  build-key-server server  build-key client  # Guide 上是建議用 client 端的電腦名稱,然後為每一台電腦產生一份憑證,  # 但因為我主要是要用 AD 驗證,所以我這邊是只產生一份名為 client 的憑證,然後讓所有電腦一起使用。  build-dh  "C:\Program Files\OpenVPN\bin\openvpn.exe" --genkey --secret "C:\Program Files\OpenVPN\easy-rsa\keys\ta.key"  

 

[تعيين ملف تكوين الخادم]

◎ تنفيذ الأوامر التالية:

  copy "C:\Program Files\OpenVPN\sample-config\server.ovpn" "C:\Program Files\OpenVPN\easy-rsa\keys\server.ovpn"  notepad "C:\Program Files\OpenVPN\easy-rsa\keys\server.ovpn"  

 

◎ ابحث عن النص التالي。

كاليفورنيا كاليفورنيا
سيرفر سيرت. crt
مفتاح الخادم

dh dh2048.pem

 

◎ استبدال بـ:

ذلك “C:\\ملفات البرنامج \ OpenVPN \ config \ ca.crt”
سيرت “C:\\ملفات البرنامج \ OpenVPN \ config \ server.crt”
مفتاح “C:\\ملفات البرنامج \ OpenVPN \ config \ server.key”

بمعنى آخر “C:\\ملفات البرنامج \ OpenVPN \ config \ dh2048.pem”

 

◎ أرشفة وإغلاق。

◎ ابحث عن النص التالي,وإزالة الفاصلة المنقوطة أمام التعليق(;)。لأنني أخطط لتقديم قسيمة واحدة فقط ليشاركها الجميع,قد يتسبب هذا في حصول عملاء مختلفين على نفس مجموعة IP,لذا قم بتشغيل هذا الإعداد,حتى يتمكن الجميع من الحصول على IP مختلف。

;نسخة مكررة

 

【تعيين ملف تكوين العميل】

◎ تنفيذ الأوامر التالية:

  copy "C:\Program Files\OpenVPN\sample-config\client.ovpn" "C:\Program Files\OpenVPN\easy-rsa\keys\client.ovpn"  notepad "C:\Program Files\OpenVPN\easy-rsa\keys\client.ovpn"  

 

◎ ابحث عن النص التالي。

كاليفورنيا كاليفورنيا
سيرفر سيرت. crt
مفتاح الخادم

tls-auth ta.key 1

 

◎ استبدال بـ:

ذلك “C:\\ملفات البرنامج \ OpenVPN \ config \ ca.crt”
سيرت “C:\\ملفات البرنامج \ OpenVPN \ config \ client.crt”
مفتاح “C:\\ملفات البرنامج \ OpenVPN \ config \ client.key”

TLS-Auth “C:\\ملفات البرنامج \ OpenVPN \ config \ ta.key” 1
# الدليل لا يحتوي على هذا القسم,هذا خطأ عند تشغيل العميل,والمعدلة。

 

◎ ما يلي “الخادم الخاص بي -1” قم بتعديله إلى عنوان FQDN أو IP الفعلي لـ OpenVPN。

remote my-server-1 1194

 

◎ أرشفة وإغلاق。

 

certificate نسخ الشهادة、مفتاح الدليل الصحيح]

◎ تنفيذ الأوامر التالية:

  robocopy "C:\Program Files\OpenVPN\easy-rsa\keys\" "C:\Program Files\OpenVPN\config\" ca.crt ta.key dh2048.pem server.crt server.key server.ovpn  

 

◎ في “C:\ملفات البرنامج OpenVPN easy-rsa keys ”,انسخ الملفات التالية:

كاليفورنيا
اتخاذ ذ
العميل. crt
العميل
client.ovpn

 

◎ نشرها على جهاز الكمبيوتر العميل “C:\ملفات البرنامج OpenVPN config ”
PS. ملف تثبيت العميل هو نفس الخادم。

 

[ابدأ OpenVPN]

ecute قم بتنفيذ OpenVPN GUI كـ "مسؤول النظام" على الخادم。إذا لم تقم بتشغيل "مسؤول النظام" ، يمكنك ذلك,ولكن قد لا تحتوي بعض السجلات على إذن الكتابة。يمكنك أيضًا الانتقال إلى "خدمة Windows",將 “خدمة OpenVPNS” قم بتغيير "نوع التنشيط" إلى”تلقائي”,وانقر بزر الماوس الأيمن على "تنشيط"。

side يقوم العميل بتنفيذ OpenVPN GUI مباشرة,وانقر بزر الماوس الأيمن على الرمز في الزاوية اليمنى السفلية وحدد "اتصال"。يمكن أيضًا تثبيت العميل بواجهة أفضل ، OpenVPN Connect,وتعيين الملف الشخصي (العميل) اسحب إلى النافذة。


 

ما ورد أعلاه هو محتوى التدريس الرئيسي لـ Easy_Windows_Guide,بعد استكمال الإعدادات المذكورة أعلاه,يمكنك إكمال الاتصال عن طريق الشهادة,التالي هو ضبط الإعدادات على البيئة التي أريدها:

◎ يمكن للعميل الاتصال بأجزاء الشبكة الأخرى داخل المؤسسة。
◎ استخدام م كطريقة للتحقق من الحساب。

 

[السماح للعميل بالاتصال بأجزاء الشبكة الأخرى داخل المؤسسة]

بعد بناء OpenVPN,سيقوم الخادم الافتراضي بإنشاء بطاقة شبكة افتراضية,IP الخاص به هو 10.8.0.1,وسوف يحصل العميل 10.8.0.6,في هذا الوقت يذهب العميل إلى ping 10.8.0.1 يجب أن تمر。

بعد ذلك ، نحتاج إلى اختبار اتصال بطاقة الشبكة المادية للخادم (例 192.168.53.1) سنكتشف,بالإضافة إلى إضافة التوجيه في هذا الوقت,أيضاقم بتشغيل وظيفة "مشاركة اتصال الإنترنت"。أنا عالق هنا لفترة طويلة,لاحقًا ، ظهر أخيرًا في مستخدمي الإنترنت ViRb3 "قم بإنشاء خادم OpenVPN Windows يقوم بالوكيل لحركة مرور الإنترنت · GitHub"تبحث هذه المقالة عن إعداد المفتاح" مشاركة اتصال إنترنت "。

◎ ابحث عن ";دفع الطريق “192.168…"
◎ حسب شكله,أضف ما يلي,وأرشيف。

  push "route 192.168.53.0 255.255.255.0"  # 如果要讓 Client 連到企業內部的其他網段,  # 可以在這邊加入其他網段的資訊。  

 

◎ أدخل إعدادات بطاقة الواجهة,قم بتشغيل بطاقة الشبكة المادية (192.168.53.1 هذا) ميزة "مشاركة اتصال الإنترنت" (القراد”السماح لمستخدمي الشبكة الآخرين بالاتصال عبر اتصال الإنترنت لهذا الكمبيوتر”)。
PS. لقد وجدت الكثير من المقالات قبل أن أعرف كيف أقوم بهذا الإجراء,عالق هنا لفترة طويلة。

 

بعد تشغيل وظيفة "مشاركة اتصال الإنترنت",سيتم تغيير IP الخاص ببطاقة شبكة OpenVPN الافتراضية إلى 192.168.137.1,لذا إذا أردنا استخدام افتراضي OpenVPN 10.8.0.1,تحتاج إلى تعديل رمز الجهاز。
◎ قم بتشغيل regedit,到下列路徑:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters

 

◎ تغيير قيمة ScopeAddress إلى 10.8.0.1。

◎ إعادة تشغيل خادم OpenVPN,والسماح للعميل بإعادة الاتصال。

[استخدم م كطريقة للتحقق من الحساب]

  首先,شكرا J. أورتيجا. كتبه VBScript,دعونا نسهل على OpenVPN تمرير الإعلان للتحقق,شكرا شكرا مرة أخرى شكرا。في "مصادقة Active Directory لتطبيق OpenVPN لـ Windows – amigo4life2"تحتوي هذه الصفحة على إرشادات تكوين مفصلة للغاية,ولكن بسبب العمر,لذا تابع على Windows 2008、2012 الإصدار المستقبلي,لا تزال هناك بعض الإجراءات التي يتعين القيام بها,فيما يلي طريقة الإعداد بعد الانتهاء:

◎ تنزيل Auth4OpenVPNv2.0.zip,وفك ضغط المحتوى “C:/ملفات البرنامج / OpenVPN / Config”

 

ify تعديل Auth4OpenVPN.ini,أدخل معلومات حول م,الأمثلة على النحو التالي:

  Server = "192.168.53.20"  Domain = "abc"  DN = "dc=abc,dc=com,dc=tw"  Group = "(Group)OpenVPN"  Logging = "On"  

 

العمل المقبل,مع J. أورتيجا. يختلف قليلاً على الصفحة,هذا هو الجليد منتدى مجتمع OpenVPN تصحيحات لمشكلات الأمان في الإصدار الجديد من Windows Server,شكراً لكم。

◎ افتح المفكرة,لصق التالية:

  set LOCALAPPDATA=C:\Users\%USERNAME%\AppData\Local  set CommonProgramFiles=C:\Program Files\Common Files  set CommonProgramFiles(x86)=C:\Program Files (x86)\Common Files  set CommonProgramW6432=C:\Program Files\Common Files  C:\Windows\System32\cscript.exe "C:\Program Files\OpenVPN\config\Auth4OpenVPN.vbs"  exit %errorlevel%  

◎ حفظ الملف “C:\ملفات البرنامج OpenVPN config”,الملف المسمى “Auth4OpenVPN-64bitWrapper.cmd”。

◎ أضف سطري التعليمات التاليين إلى server.ovpn:

  script-security 3  auth-user-pass-verify Auth4OpenVPN-64bitWrapper.cmd via-env  

◎ أضف سطري التعليمات التاليين إلى client.ovpn من جانب العميل:

  auth-user-pass  auth-retry interact  

◎ هكذا,العميل متصل,ستظهر نافذة كلمة مرور الحساب لتسجيل الدخول。

 

【معلومات تكميلية】

◎ يوفر Auth4OpenVPN وظائف الاختبار,يوصى باستخدام الأمر التالي لاختبار الاتصال مع م ولا توجد مشكلة,دعونا نقوم بإجراءات المتابعة。

auth4openvpn.vbs <user> <password>

will سيترك Auth4OpenVPN نتيجة التحقق في سجل تطبيق Windows,إذا تم الضبط وفقًا لطريقة صفحة الويب الأصلية,قد تظهر “Auth4OpenVPN: -2147221164, الفئة غير مسجلة” 的錯誤訊息,في هذا الوقت ، وفقا لمستخدمي الإنترنت iceh المقدمة “Auth4OpenVPN-64bitWrapper.cmd” طريقة الإصلاح,يمكن أن تحل مشكلة المعلمات البيئية。

◎ إذا كنت تريد أن يتمكن العميل من الوصول إلى الإنترنت من خلال شبكة الشركة (الإنترنت),فقط ابحث عن السلسلة التالية في ملف server.ovpn,وإضافة الملاحظة السابقة(;)مجرد خلعه。

;push "redirect-gateway def1 bypass-dhcp"

◎ اتصال OpenVPN عند استيراد ملف client.ovpn,سوف نتحقق مما إذا كانت الشهادة وملفات المفاتيح موجودة في نفس الدليل كملف client.ovpn,إذا لم يكن هناك خطأ。بعد الانتهاء من الاستيراد,عند الاتصال لاحقًا,سيتبع OpenVPN Connect إعدادات Client.ovpn لقراءة الشهادة وملفات المفاتيح في مسار الأمر;ليس لدى OpenVPN GUI هذه المشكلة。

◎ إذا كنت تريد التحقق من حساب OpenVPN و Windows الأصلي,يمكنك الرجوع إلى المشاركة بواسطة smiley22 SAMAuth4OpenVPN جزء。

◎ ما زلت لم أتبنى هذا الحل,لأن البر الرئيسي لديه تصفية لـ OpenVPN,لذلك ستكون هناك بعض المشاكل الغريبة أثناء عملية الاتصال。

 

【參考連結】

اترك التعليق

يرجى ملاحظة: الاعتدال هو مكن تعليق، وربما تؤخر تعليقك. ليست هناك حاجة لإعادة تعليقك.