◎ Server-Betriebssystem: Windows Server 2019
◎ OpenVPN: OpenVPN 2.4.9 (Gemeinschaft)
◎ AD-Verifizierungskomponente: Auth4OpenVPNv2.0
OS Client OS: Windows- 10
Aufgrund der VPN-Hardware des Unternehmens ist die Ausrüstung alt,Aktuelle Umfrage VPN-Lösungen,Ich möchte zuerst mit Open Source-Lösungen beginnen,Am Anfang dachte ich an OpenVPN, das vor fünf Jahren getestet wurde.,Aber nachdem Sie die VM-Image-Datei von der offiziellen Website heruntergeladen und den Build abgeschlossen haben,Ich habe festgestellt, dass diese Version nur zwei kostenlose Clientverbindungen öffnet,Abonniere für mehr。Ich dachte, ich würde aufladen,Kein Wunder, dass Server und Client (OpenVPN Connect) Die Software-Oberfläche ist so schön geworden,Früher habe ich daran gedacht, die Einstellungen über den Notizblock zu ändern。
Dann habe ich SoftEther VPN aus Japan gefunden,Nach einiger Zeit des Forschens und Bauens,Ich dachte, dieses Set sollte funktionieren,Unerwartet, als ich den Test machte,,In SoftEther VPN wurde ein SQL-Verbindungsfehler gefunden,Und die Internetnutzer haben das Problem zwei Jahre lang gemeldet,Der Beamte hat noch nicht korrigiert,Also musste ich widerwillig aufgeben。 So richten Sie SoftEther VPN ein,gelten für【Hinweise】 SoftEther VPN Server-Einstellungen。
Später ging ich zurück, um die relevanten Lizenzinformationen von OpenVPN zu finden,Nur die Version der Community gefunden,Nach dem Download installieren,Der vertraute Bildschirm zum Einstellen der Textdatei wird erneut angezeigt,Ha。Nachfolgend finden Sie das Ziel und die Einstellungsmethode für diesen Build:
【Ziele】
◎ Server verwendet Windows-System。
◎ Verwenden Sie AD als Kontobestätigungsmethode。
◎ Die Clientseite verwendet ein unabhängiges Netzwerksegment,Und IP automatisch erhalten。
◎ Auf der Clientseite wird VPN nur für bestimmten Netzwerksegmentverkehr übertragen,Online gehen (Internet) will nicht。
◎ Der Client kann eine Verbindung zu anderen Netzwerksegmenten im Unternehmen herstellen。
◎ Zuerst,zu OpenVPN Community-Downloads Laden Sie die neueste Version von der Seite herunter。
◎ Dann wenden Sie sich an die Community Easy_Windows_Guide,Komplette Server- und Client-Einstellungen,Die folgenden Einstellungen für die Erfassungstasten。
[Vorarbeit]
◎ Bitte kreuzen Sie bei der Installation selbst an “EasyRSA 2 Zertifikatsverwaltungsskripte” Element。
◎ Führen Sie cmd als "Systemadministrator" aus.,Führen Sie die folgenden Befehle der Reihe nach aus:
cd "C:\Program Files\OpenVPN\easy-rsa" init-config notepad vars.bat
◎ Ändern Sie die Standardzertifikatsinformationen,Archiv nach Änderung。
setze KEY_COUNTRY = US
setze KEY_PROVINCE = CA.
setze KEY_CITY = SanFrancisco
setze KEY_ORG = OpenVPN
Legen Sie KEY_EMAIL=mail@host.domain fest
◎ Führen Sie die folgenden Befehle der Reihe nach aus:
vars clean-all
【Zertifikat und Schlüssel erstellen】
◎ Führen Sie die folgenden Befehle aus:
build-ca
◎ Geben Sie die Zertifikatinformationen ein:
Ländername (2 Buchstabencode) [UNS]:
Name des Staates oder der Provinz (vollständiger Name) [CA]:
Ortsname (z.B, Stadt) [San Francisco]:
Name der Organisation (z.B, Unternehmen) [OpenVPN]:
Name der Organisationseinheit (z.B, Sektion) []:
Gemeinsamen Namen (z.B, Ihren Namen oder den Hostnamen Ihres Servers) []:
E-Mail-Addresse [mail@host.domain]:
◎ Führen Sie die folgenden Befehle der Reihe nach aus:
build-key-server server build-key client # Guide 上是建議用 client 端的電腦名稱,然後為每一台電腦產生一份憑證, # 但因為我主要是要用 AD 驗證,所以我這邊是只產生一份名為 client 的憑證,然後讓所有電腦一起使用。 build-dh "C:\Program Files\OpenVPN\bin\openvpn.exe" --genkey --secret "C:\Program Files\OpenVPN\easy-rsa\keys\ta.key"
[Server-Konfigurationsdatei einstellen]
◎ Führen Sie die folgenden Befehle aus:
copy "C:\Program Files\OpenVPN\sample-config\server.ovpn" "C:\Program Files\OpenVPN\easy-rsa\keys\server.ovpn" notepad "C:\Program Files\OpenVPN\easy-rsa\keys\server.ovpn"
◎ Suchen Sie den folgenden Text。
ca. Ca.
cert server.crt
Schlüssel server.key
dh dh2048.pem
◎ Ersetzen durch:
Das “C:\\Programmdateien \ OpenVPN \ config \ ca.crt”
cert “C:\\Programme \ OpenVPN \ config \ server.crt”
Schlüssel “C:\\Programme \ OpenVPN \ config \ server.key”
dh “C:\\Programme \ OpenVPN \ config \ dh2048.pem”
◎ Archivieren und schließen。
◎ Suchen Sie den folgenden Text,Entfernen Sie das Semikolon vor dem Kommentar(;)。Da ich vorhabe, nur einen Gutschein für alle zu teilen,Dies kann dazu führen, dass verschiedene Clients denselben IP-Satz erhalten,Schalten Sie diese Einstellung ein,Damit jeder eine andere IP bekommen kann。
;duplicate-cn
【Client-Konfigurationsdatei festlegen】
◎ Führen Sie die folgenden Befehle aus:
copy "C:\Program Files\OpenVPN\sample-config\client.ovpn" "C:\Program Files\OpenVPN\easy-rsa\keys\client.ovpn" notepad "C:\Program Files\OpenVPN\easy-rsa\keys\client.ovpn"
◎ Suchen Sie den folgenden Text。
ca. Ca.
cert server.crt
Schlüssel server.key
tls-auth ta.key 1
◎ Ersetzen durch:
Das “C:\\Programmdateien \ OpenVPN \ config \ ca.crt”
cert “C:\\Programme \ OpenVPN \ config \ client.crt”
Schlüssel “C:\\Programmdateien \ OpenVPN \ config \ client.key”
tls-auth “C:\\Programmdateien \ OpenVPN \ config \ ta.key” 1
# Guide hat diesen Abschnitt nicht,Dies ist ein Fehler, wenn ich den Client ausführe,Und geändert。
◎ Folgendes “my-server-1” Ändern Sie es in die tatsächliche FQDN- oder IP-Adresse von OpenVPN。
remote my-server-1 1194
◎ Archivieren und schließen。
【Zertifikat kopieren、Schlüssel zum richtigen Verzeichnis]
◎ Führen Sie die folgenden Befehle aus:
robocopy "C:\Program Files\OpenVPN\easy-rsa\keys\" "C:\Program Files\OpenVPN\config\" ca.crt ta.key dh2048.pem server.crt server.key server.ovpn
◎ in “C:\Programme OpenVPN easy-rsa keys ”,Kopieren Sie die folgenden Dateien:
ca.crt
ta.key
client.crt
client.key
client.ovpn
◎ auf dem Client-Computer veröffentlicht “C:\Programme OpenVPN config ”
PS. Die Client-Installationsdatei ist dieselbe wie Server。
[OpenVPN starten]
◎ Führen Sie die OpenVPN-GUI als "Systemadministrator" auf dem Server aus。Wenn Sie nicht als "Systemadministrator" ausgeführt werden, können Sie dies tun,Einige Protokolle haben jedoch möglicherweise keine Schreibberechtigung。Sie können auch zu "Windows-Dienst" gehen,將 “OpenVPNService” Ändern Sie den "Aktivierungstyp" in”automatisch”,Und klicken Sie mit der rechten Maustaste auf "Aktivieren".。
◎ Die Clientseite führt die OpenVPN-GUI direkt aus,Klicken Sie mit der rechten Maustaste auf das Symbol in der unteren rechten Ecke und wählen Sie "Verbinden".。Der Client kann auch mit einer besseren Schnittstelle, OpenVPN Connect, installiert werden,Und legen Sie das Profil fest (client.opvn) In das Fenster ziehen。
Das Obige ist der Hauptunterrichtsinhalt von Easy_Windows_Guide,Nach Abschluss der obigen Einstellungen,Sie können die Verbindung per Zertifikat herstellen,Als nächstes müssen Sie die Einstellungen an die gewünschte Umgebung anpassen:
◎ Der Client kann eine Verbindung zu anderen Netzwerksegmenten im Unternehmen herstellen。
◎ Verwenden Sie AD als Kontobestätigungsmethode。
[Ermöglichen Sie dem Client, eine Verbindung zu anderen Netzwerksegmenten im Unternehmen herzustellen]
Nachdem OpenVPN erstellt wurde,Der Standardserver generiert eine virtuelle Netzwerkkarte,Seine IP ist 10.8.0.1,Und der Kunde wird bekommen 10.8.0.6,Zu diesem Zeitpunkt geht der Client zum Ping 10.8.0.1 Sollte passieren。
Als Nächstes müssen wir die physische Netzwerkkarte des Servers anpingen (例 192.168.53.1) Werden herausfinden,Zusätzlich zum Hinzufügen von Routing zu diesem Zeitpunkt,EbenfallsAktivieren Sie die Funktion "Internetverbindungsfreigabe"。Ich stecke schon lange hier fest,Später war es endlich in ViRb3-InternetnutzernErstellen Sie einen OpenVPN-Windows-Server, der den Internetverkehr überträgt. · GitHub"Dieser Artikel enthält die Schlüsseleinstellung" Internetverbindungsfreigabe ".。
◎ Finden Sie die ";Route schieben “192.168…"
◎ Entsprechend seinem Format,Fügen Sie Folgendes hinzu,Und Archiv。
push "route 192.168.53.0 255.255.255.0" # 如果要讓 Client 連到企業內部的其他網段, # 可以在這邊加入其他網段的資訊。
◎ Geben Sie die Einstellungen der Schnittstellenkarte ein,Schalten Sie die physische Netzwerkkarte ein (192.168.53.1 Dieses) Funktion "Internetverbindungsfreigabe" (Tick”Ermöglichen Sie anderen Netzwerkbenutzern, eine Verbindung über die Internetverbindung dieses Computers herzustellen”)。
PS. Ich habe viele Artikel gefunden, bevor ich wusste, wie man diese Aktion ausführt,Ich bin schon lange hier。
Nach dem Einschalten der Funktion "Internet Connection Sharing",Die IP der virtuellen OpenVPN-Netzwerkkarte wird in geändert 192.168.137.1,Wenn wir also die Standardeinstellung von OpenVPN verwenden möchten 10.8.0.1,Der Maschinencode muss geändert werden。
◎ Regedit ausführen,Auf den folgenden Pfad:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters
◎ Ändern Sie den Wert von ScopeAddress in 10.8.0.1。
◎ Starten Sie OpenVPN Server neu,Und lassen Sie den Client erneut verbinden。
[Verwenden Sie AD als Kontobestätigungsmethode]
首先,Danke J.. Ortega. Geschrieben von VBScript,Machen wir es OpenVPN einfach, AD zur Überprüfung zu übergeben,Danke danke nochmal danke。In "Active Directory-Authentifizierung für OpenVPN für Windows-Implementierungen – amigo4life2"Diese Seite enthält sehr detaillierte Konfigurationsanweisungen,Aber wegen des Alters,Folgen Sie also Windows 2008、2012 Zukünftige Version,Es sind noch einige Aktionen zu erledigen,Das Folgende ist die Einstellmethode nach dem Abschluss:
◎ Laden Sie Auth4OpenVPNv2.0.zip herunter,Und entpacken Sie den Inhalt zu “C:/Programme / OpenVPN / Config”
◎ Ändern Sie Auth4OpenVPN.ini,Geben Sie Informationen zu AD ein,Beispiele sind wie folgt:
Server = "192.168.53.20" Domain = "abc" DN = "dc=abc,dc=com,dc=tw" Group = "(Group)OpenVPN" Logging = "On"
Nächste Aktion,Mit J.. Ortega. Etwas anders auf der Seite,Das ist iceh OpenVPN Community Forum Korrekturen für Sicherheitsprobleme in der neuen Version von Windows Server,Vielen Dank an die Internetnutzer。
◎ Öffnen Sie den Editor,Fügen Sie den folgenden:
set LOCALAPPDATA=C:\Users\%USERNAME%\AppData\Local set CommonProgramFiles=C:\Program Files\Common Files set CommonProgramFiles(x86)=C:\Program Files (x86)\Common Files set CommonProgramW6432=C:\Program Files\Common Files C:\Windows\System32\cscript.exe "C:\Program Files\OpenVPN\config\Auth4OpenVPN.vbs" exit %errorlevel%
◎ Speichern Sie die Datei unter “C:\Programme OpenVPN config”,Datei mit dem Namen “Auth4OpenVPN-64bitWrapper.cmd”。
◎ Fügen Sie die folgenden zwei Anweisungszeilen zu server.ovpn hinzu:
script-security 3 auth-user-pass-verify Auth4OpenVPN-64bitWrapper.cmd via-env
◎ Fügen Sie client.ovpn auf der Clientseite die folgenden zwei Anweisungszeilen hinzu:
auth-user-pass auth-retry interact
◎ Also,Der Client stellt eine Verbindung her,Das Kontokennwortfenster wird angezeigt, um sich anzumelden。
【Zusatzinformationen】
◎ Auth4OpenVPN bietet Testfunktionen,Es wird empfohlen, den folgenden Befehl zu verwenden, um die Verbindung zu AD zu testen, und es gibt kein Problem,Lassen Sie uns Folgemaßnahmen durchführen。
auth4openvpn.vbs <user> <password>
◎ Auth4OpenVPN hinterlässt das Überprüfungsergebnis im Windows-Anwendungsprotokoll,Wenn gemäß der ursprünglichen Webseitenmethode eingestellt,Kann erscheinen “Auth4OpenVPN: -2147221164, Kategorie nicht registriert” Die Fehlermeldung,Zu diesem Zeitpunkt laut iceh Internetnutzer zur Verfügung gestellt “Auth4OpenVPN-64bitWrapper.cmd” Reparaturmethode,Kann das Problem der Umgebungsparameter lösen。
◎ Wenn Sie möchten, dass der Client über das Unternehmensnetzwerk auf das Internet zugreifen kann (Internet),Suchen Sie einfach die folgende Zeichenfolge in der Datei server.ovpn,Und fügen Sie die vorherige Notiz hinzu(;)Zieh es einfach aus。
;push "redirect-gateway def1 bypass-dhcp"
◎ OpenVPN Connect beim Importieren der Datei client.ovpn,Überprüft, ob sich die Zertifikat- und Schlüsseldateien im selben Verzeichnis wie die Datei client.ovpn befinden,Wenn es keinen Fehler gibt。Nach Abschluss des Imports,Bei späterer Verbindung,OpenVPN Connect folgt den Einstellungen von client.ovpn, um die Zertifikat- und Schlüsseldateien im Befehlspfad zu lesen;OpenVPN GUI hat dieses Problem nicht。
◎ Wenn Sie das native OpenVPN- und Windows-Konto überprüfen möchten,Sie können auf die von smiley22 freigegebene verweisen SAMAuth4OpenVPN Element。
◎ Später habe ich diese Lösung immer noch nicht übernommen,Weil das Festland nach OpenVPN filtert,Während des Verbindungsvorgangs treten also einige seltsame Probleme auf。
Referenz [link]
- Community-Downloads | OpenVPN
- Easy_Windows_Guide - OpenVPN-Community
- Active Directory-Authentifizierung für OpenVPN für Windows-Implementierungen – amigo4life2
- (Halb-)Fix für Auth4OpenVPN – Win2008R2 / Win2012R2 – OpenVPN Support Forum
- Erstellen Sie einen OpenVPN-Windows-Server, der den Internetverkehr weiterleitet · GitHub
- OpenVPN-Authentifizierungsproblem – OpenVPN Support Forum
- OpenVPN Server unter Windows ~ Defron.org: Technologie, Sicherheit, Privatsphäre
- Broschüre des toten Fuchses: Detailliertes Routing in OpenVPN
- Geben Sie SAMAuth4OpenVPN v1.0.0.2 · smiley22 / SAMAuth4OpenVPN frei · GitHub
- [教學] OPEN VPN für Windows-Umgebungseinstellungen @ Frischer Nachmittagstee :: Tycoon ::
[…] ◎ Ändern Sie Auth4OpenVPN.ini,Geben Sie AD-bezogene Informationen ein,Beispiele sind wie folgt:? […]
Hallo. Vielen Dank für Ihr Tutorial, aber ich muss zugeben. Lassen Sie mich erklären :
Ich kann eine Serverdatei unter Windows erstellen ( Server Essentials 2016) und ich verbinde mich von Windows 10 mit meiner Client-Datei. Die Verbindung wird hergestellt.
Aber im Ping-Stadium, wenn ich die Adresse anpinge 10.8.0.1 von meiner Kundenstation, negatives Ergebnis.
Andernfalls, sobald ich meinen Client und meinen Server verbinden kann, Ich habe keine Internetverbindung mehr auf meiner Client-Workstation.
Haben Sie einen Hinweis, der mir dabei hilft, hier rauszukommen?…..
Kann die Tatsache, dass dies eine wesentliche Version ist, Ping verhindern? ?
您好,Wenn auch 10.8.0.1 nicht pingen kann,Es ist durchaus möglich, dass die VPN-Verbindung nicht hergestellt werden konnte,Standardmäßig,10.8.0.1Kann gepingt werden。
Vielleicht können Sie sich auf die Schritte in meinem Artikel beziehen,Richten Sie es Schritt für Schritt ein,Viel Glück,Xie Xie