Instal OpenVPN Server pada Windows Server dan gunakan AD (LDAP) Lakukan verifikasi akun

◎ Server OS: Windows Server 2019
◎ OpenVPN: OpenVPN 2.4.9 (Masyarakat)
◎ komponen verifikasi AD: Auth4OpenVPNv2.0
OS Klien OS: Jendela 10

 

Karena peralatan hardware perusahaan VPN sudah tua,Solusi VPN survei terbaru,Saya ingin memulai dengan solusi open source terlebih dahulu,Pada awalnya, saya memikirkan OpenVPN, yang diuji lima tahun lalu.,Tetapi setelah mengunduh file gambar VM dari situs web resmi dan menyelesaikan pembuatan,Saya menemukan bahwa versi ini hanya membuka dua koneksi klien gratis,Berlangganan lebih banyak。Saya pikir saya mulai mengisi daya,Tidak heran Server dan klien (OpenVPN Connect) Antarmuka perangkat lunak telah menjadi sangat indah,Saya dulu ingat untuk mengubah pengaturan melalui notepad。

Kemudian saya menemukan SoftEther VPN dari Jepang,Setelah menghabiskan waktu meneliti dan membangun,Saya pikir set ini harus bekerja,Tanpa diduga, ketika saya melakukan tes,,Menemukan bug koneksi SQL drop di SoftEther VPN,Dan netizen telah melaporkan masalah ini selama dua tahun,Pejabat itu masih belum diperbaiki,Jadi saya harus enggan menyerah。 Cara mengatur SoftEther VPN,Bisa merujuk ke【Catatan】 Pengaturan Server SoftEther VPN

Kemudian, saya kembali untuk mencari informasi lisensi yang relevan dari OpenVPN,Hanya menemukan versi Komunitas,Setelah mengunduh dan menginstal,Layar pengaturan file teks yang familier muncul lagi,哈。Di bawah ini adalah tujuan dan metode pengaturan untuk bangunan ini:

【Bertujuan】
◎ Server menggunakan sistem Windows。
◎ Gunakan AD sebagai metode verifikasi akun。
◎ Sisi klien menggunakan segmen jaringan independen,Dan dapatkan IP secara otomatis。
◎ Sisi klien hanya akan mengalirkan VPN untuk lalu lintas segmen jaringan tertentu,Online (Internet) tidak akan。
◎ Klien dapat terhubung ke segmen jaringan lain dalam perusahaan。

 

◎ Pertama,Untuk Unduhan Komunitas OpenVPN Unduh versi terbaru dari halaman。

 

◎ Kemudian merujuk ke komunitas Easy_Windows_Guide,Pengaturan Server dan Klien Lengkap,Berikut pengaturan kunci pengambilan。


 

[Pekerjaan awal]

◎ Silakan tandai sendiri ketika menginstal “EasyRSA 2 Script Manajemen Sertifikat” elemen。

◎ Jalankan cmd sebagai "administrator sistem",Dan jalankan perintah berikut secara berurutan:

cd "C:\Program Files\OpenVPN\easy-rsa"
init-config
notepad vars.bat

 

◎ Ubah informasi sertifikat standar,Arsipkan setelah modifikasi。

atur KEY_COUNTRY = AS
atur KEY_PROVINCE = CA
atur KEY_CITY = SanFrancisco
atur KEY_ORG = OpenVPN
atur KEY_EMAIL=mail@host.domain

 

◎ Jalankan perintah berikut secara berurutan:

vars
clean-all

 

【Buat Sertifikat dan Kunci】
◎ Jalankan perintah berikut:

build-ca

 

◎ Masukkan informasi sertifikat:

Nama negara (2 kode surat) [KAMI]:
Nama Negara Bagian atau Provinsi (nama lengkap) [CA]:
Nama Daerah (misalnya, kota) [San Fransisco]:
Nama Organisasi (misalnya, perusahaan) [OpenVPN]:
Nama Unit Organisasi (misalnya, bagian) []:
Nama yang umum (misalnya, nama Anda atau nama host server Anda) []:
Alamat email [mail@host.domain]:

 

◎ Jalankan perintah berikut secara berurutan:

build-key-server server
build-key client
# Guide 上是建議用 client 端的電腦名稱,然後為每一台電腦產生一份憑證,
# 但因為我主要是要用 AD 驗證,所以我這邊是只產生一份名為 client 的憑證,然後讓所有電腦一起使用。
build-dh
"C:\Program Files\OpenVPN\bin\openvpn.exe" --genkey --secret "C:\Program Files\OpenVPN\easy-rsa\keys\ta.key"

 

[Setel file konfigurasi Server]

◎ Jalankan perintah berikut:

copy "C:\Program Files\OpenVPN\sample-config\server.ovpn" "C:\Program Files\OpenVPN\easy-rsa\keys\server.ovpn"
notepad "C:\Program Files\OpenVPN\easy-rsa\keys\server.ovpn"

 

◎ Temukan teks berikut。

ca ca.crt
cert server.crt
kunci server.key

dh dh2048.pem

 

◎ Ganti dengan:

bahwa “C:\\File Program \ OpenVPN \ config \ ca.crt”
cert “C:\\Program Files \ OpenVPN \ config \ server.crt”
kunci “C:\\Program Files \ OpenVPN \ config \ server.key”

yaitu “C:\\Program Files \ OpenVPN \ config \ dh2048.pem”

 

◎ Arsipkan dan tutup。

◎ Temukan teks berikut,Dan hapus tanda koma di depan komentar(;)。Karena saya berencana membuat hanya satu voucher untuk dibagikan oleh semua orang,Ini dapat menyebabkan klien yang berbeda untuk mendapatkan set IP yang sama,Jadi aktifkan pengaturan ini,Sehingga setiap orang bisa mendapatkan IP yang berbeda。

;duplikat-cn

 

【Setel file konfigurasi Klien】

◎ Jalankan perintah berikut:

copy "C:\Program Files\OpenVPN\sample-config\client.ovpn" "C:\Program Files\OpenVPN\easy-rsa\keys\client.ovpn"
notepad "C:\Program Files\OpenVPN\easy-rsa\keys\client.ovpn"

 

◎ Temukan teks berikut。

ca ca.crt
cert server.crt
kunci server.key

tls-auth ta.key 1

 

◎ Ganti dengan:

bahwa “C:\\File Program \ OpenVPN \ config \ ca.crt”
cert “C:\\File Program \ OpenVPN \ config \ client.crt”
kunci “C:\\File Program \ OpenVPN \ config \ client.key”

tls-auth “C:\\File Program \ OpenVPN \ config \ ta.key” 1
# Panduan tidak memiliki bagian ini,Ini adalah kesalahan ketika saya menjalankan klien,Dan diubah。

 

◎ Berikut ini “my-server-1” Ubah ke alamat FQDN atau IP OpenVPN yang sebenarnya。

remote my-server-1 1194

 

◎ Arsipkan dan tutup。

 

【Salin sertifikat、Kunci ke direktori yang benar]

◎ Jalankan perintah berikut:

robocopy "C:\Program Files\OpenVPN\easy-rsa\keys\" "C:\Program Files\OpenVPN\config\" ca.crt ta.key dh2048.pem server.crt server.key server.ovpn

 

◎ masuk “C:\Program Files OpenVPN easy-rsa keys ”,Salin file-file berikut:

ca.crt
ta.key
client.crt
client.key
client.ovpn

 

◎ diposting ke komputer klien “C:\Program Files OpenVPN config ”
PS. File instalasi klien sama dengan Server。

 

[Mulai OpenVPN]

◎ Jalankan OpenVPN GUI sebagai "administrator sistem" di Server。Jika Anda tidak menjalankan sebagai "administrator sistem", Anda bisa,Tetapi beberapa log mungkin tidak memiliki izin menulis。Anda juga dapat membuka "Layanan Windows",The “OpenVPNService” Ubah "Jenis Aktivasi" menjadi”otomatis”,Dan klik kanan "aktifkan"。

◎ Sisi klien langsung menjalankan OpenVPN GUI,Dan klik kanan ikon di sudut kanan bawah dan pilih "Connect"。Klien juga dapat diinstal dengan antarmuka yang lebih baik, OpenVPN Connect,Dan atur profilnya (client.opvn) Seret ke jendela。


 

Di atas adalah konten pengajaran utama dari Easy_Windows_Guide,Setelah menyelesaikan pengaturan di atas,Anda dapat menyelesaikan koneksi dengan sertifikat,Selanjutnya adalah menyesuaikan pengaturan dengan lingkungan yang saya inginkan:

◎ Klien dapat terhubung ke segmen jaringan lain dalam perusahaan。
◎ Gunakan AD sebagai metode verifikasi akun。

 

[Izinkan Klien untuk terhubung ke segmen jaringan lain dalam perusahaan]

Setelah OpenVPN dibangun,Server default akan menghasilkan kartu jaringan virtual,IP-nya adalah 10.8.0.1,Dan Klien akan mendapatkannya 10.8.0.6,Pada saat ini Klien pergi ke ping 10.8.0.1 Harus lulus。

Selanjutnya, kita perlu melakukan ping kartu jaringan fisik server (Kasus 192.168.53.1) Akan mencari tahu,Selain menambahkan perutean saat ini,JugaAktifkan fungsi "Berbagi Sambungan Internet"。Saya terjebak di sini untuk waktu yang lama,Kemudian, akhirnya di ViRb3 netizens '"Buat server Windows OpenVPN yang memproksi lalu lintas internet · GitHub"Artikel ini menemukan pengaturan utama" Berbagi Koneksi Internet "。

◎ Temukan ";rute dorong “192.168…"
◎ Menurut formatnya,Tambahkan yang berikut ini,Dan arsip。

push "route 192.168.53.0 255.255.255.0"
# 如果要讓 Client 連到企業內部的其他網段,
# 可以在這邊加入其他網段的資訊。

 

◎ Masukkan pengaturan kartu antarmuka,Nyalakan kartu jaringan fisik (192.168.53.1 Yang ini) Fitur "Berbagi Sambungan Internet" (Periksa”Izinkan pengguna jaringan lain untuk terhubung melalui koneksi Internet komputer ini”)。
PS. Saya menemukan banyak artikel sebelum saya tahu bagaimana melakukan tindakan ini,Terjebak di sini untuk waktu yang lama。

 

Setelah mengaktifkan fungsi "Berbagi Sambungan Internet",IP kartu jaringan virtual OpenVPN akan diubah menjadi 192.168.137.1,Jadi jika kita ingin menggunakan standar OpenVPN 10.8.0.1,Perlu mengubah kode mesin。
◎ Jalankan regedit,到下列路徑:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters

 

◎ Ubah nilai ScopeAddress ke 10.8.0.1。

◎ Mulai ulang OpenVPN Server,Dan biarkan Klien terhubung kembali。

[Gunakan AD sebagai metode verifikasi akun]

  首先,Terima kasih, J. Ortega. Ditulis oleh VBScript,Mari kita memudahkan OpenVPN untuk lulus iklan untuk verifikasi,Terima kasih, terima kasih, lagi, terima kasih。Dalam "Otentikasi Direktori Aktif untuk OpenVPN Untuk Implementasi Windows – amigo4life2"Halaman ini memiliki instruksi konfigurasi yang sangat rinci,Tetapi karena usia,Jadi, tindak lanjuti Windows 2008、2012 Versi masa depan,Masih ada beberapa tindakan yang harus dilakukan,Berikut ini adalah metode pengaturan setelah selesai:

◎ Unduh Auth4OpenVPNv2.0.zip,Dan unzip konten ke “C:/File Program / OpenVPN / Config”

 

◎ Ubah Auth4OpenVPN.ini,Masukkan informasi tentang AD,Contohnya adalah sebagai berikut:

Server = "192.168.53.20"
Domain = "abc"
DN = "dc=abc,dc=com,dc=tw"
Group = "(Group)OpenVPN"
Logging = "On"

 

Tindakan selanjutnya,Dengan J. Ortega. Sedikit berbeda di halaman,Ini es Forum Komunitas OpenVPN Koreksi untuk masalah keamanan di versi baru Windows Server,Terima kasih nethens iceh。

◎ Buka Notepad,Rekatkan yang berikut ini:

set LOCALAPPDATA=C:\Users\%USERNAME%\AppData\Local
set CommonProgramFiles=C:\Program Files\Common Files
set CommonProgramFiles(x86)=C:\Program Files (x86)\Common Files
set CommonProgramW6432=C:\Program Files\Common Files
C:\Windows\System32\cscript.exe "C:\Program Files\OpenVPN\config\Auth4OpenVPN.vbs"
exit %errorlevel%

◎ Simpan file ke “C:\Program Files OpenVPN config”,Nama file “Auth4OpenVPN-64bitWrapper.cmd”。

◎ Tambahkan dua baris instruksi berikut ke server.ovpn:

script-security 3
auth-user-pass-verify Auth4OpenVPN-64bitWrapper.cmd via-env

◎ Tambahkan dua baris instruksi berikut ke client.ovpn di sisi Klien:

auth-user-pass
auth-retry interact

◎ Jadi,Klien terhubung,Jendela kata sandi akun akan muncul untuk masuk。

 

【Informasi tambahan】

◎ Auth4OpenVPN menyediakan fungsi pengujian,Disarankan untuk menggunakan perintah berikut untuk menguji koneksi ke AD dan tidak ada masalah,Mari kita lakukan tindakan lanjutan。

auth4openvpn.vbs <user> <password>

◎ Auth4OpenVPN akan meninggalkan hasil verifikasi di log aplikasi Windows,Jika diatur sesuai dengan metode halaman web asli,dapat muncul “Auth4OpenVPN: -2147221164, Kategori tidak terdaftar” 的錯誤訊息,Pada saat ini, menurut neth netizens disediakan “Auth4OpenVPN-64bitWrapper.cmd” Metode perbaikan,Dapat memecahkan masalah parameter lingkungan。

◎ Jika Anda ingin klien dapat mengakses Internet melalui jaringan perusahaan (Internet),Temukan saja string berikut di file server.ovpn,Dan tambahkan catatan sebelumnya(;)Lepaskan saja。

;push "redirect-gateway def1 bypass-dhcp"

◎ OpenVPN Connect saat mengimpor file client.ovpn,Akan memeriksa apakah file sertifikat dan kunci berada di direktori yang sama dengan file client.ovpn,Jika tidak ada kesalahan。Setelah menyelesaikan impor,Saat menghubungkan nanti,OpenVPN Connect akan mengikuti pengaturan client.ovpn untuk membaca sertifikat dan file kunci di jalur perintah;OpenVPN GUI tidak memiliki masalah ini。

◎ Jika Anda ingin memverifikasi OpenVPN dan akun Windows asli,Anda dapat merujuk ke yang dibagikan oleh smiley22 SAMAuth4OpenVPN elemen。

◎ Belakangan, saya masih tidak mengadopsi solusi ini,Karena daratan memiliki penyaringan untuk OpenVPN,Sehingga akan ada beberapa masalah aneh selama proses koneksi。

 

[Tautan referensi]

3 Tanggapan

  1. Menggunakan lingkungan Windows AD untuk membangun Openvpn untuk mewujudkan otentikasi akun domain – Bios rumah Says |

    […] ◎ Ubah Auth4OpenVPN.ini,Masukkan informasi tentang AD,Contohnya adalah sebagai berikut:? […]

  2. Paul Says |

    Halo. Terima kasih untuk tutorial Anda, tapi saya harus mengakui. Biar saya jelaskan :
    Saya dapat membuat file server di Windows saya ( server penting 2016) dan saya menyambungkannya dari Windows 10 dengan file klien saya. Koneksi dibuat.
    Tapi pada tahap ping, saat saya melakukan ping ke alamat tersebut 10.8.0.1 dari stasiun klien saya, hasil negatif.
    jika tidak, segera setelah saya dapat menghubungkan klien dan server saya, Saya tidak lagi memiliki koneksi internet di workstation klien saya.
    Apakah Anda memiliki petunjuk untuk membantu saya keluar dari ini…..
    Dapatkah fakta bahwa ini adalah versi penting yang mencegah ping ?

    您好,Bahkan jika 10.8.0.1 gagal melakukan ping,Sangat mungkin koneksi VPN gagal dibuat,Secara default,10.8.0.1Bisa di-ping。
    Mungkin Anda bisa merujuk ke langkah-langkahnya di artikel saya,Siapkan langkah demi langkah,Semoga berhasil,Xie Xie

    Anson Menjawab |

Tinggalkan Komentar

Harap dicatat: Moderasi komentar diaktifkan dan dapat menunda komentar Anda. Tidak perlu mengirimkan kembali komentar Anda.