Lao Sen Chang Tan IT ヘルプ

◎サーバーOS: Windows Server 2019
◎OpenVPN: OpenVPN 2.4.9 (コミュニティ)
◎広告検証コンポーネント: Auth4OpenVPNv2.0
OSクライアントOS: Windowsの 10

　

the会社のVPNハードウェア機器が古いため，最近の調査VPNソリューション，最初にオープンソースソリューションから始めたい，最初に、5年前にテストされたOpenVPNについて考えました。，しかし、公式WebサイトからVMイメージファイルをダウンロードしてビルドを完了した後，このバージョンでは2つの無料のクライアント接続しか開かないことがわかりました，詳細を購読する。充電し始めたと思った，サーバーとクライアントも不思議ではありません (OpenVPN接続) ソフトウェアインターフェースがとても美しくなりました，以前はメモ帳で設定を変更したことを覚えていました。

その後、日本からSoftEther VPNを見つけました，調査と構築に時間を費やした後，このセットはうまくいくと思いました，予期せず、私がテストをしていたとき、，SoftEther VPNでSQL接続のドロップのバグが見つかりました，そしてネチズンは2年間問題を報告してきました，公式はまだ修正されていません，しぶしぶ諦めざるを得なかった。 SoftEther VPNのセットアップ方法，を参照してください。【注意事項】SoftEther VPN Serverの設定。

その後、OpenVPNの関連ライセンス情報を探しに戻りました，コミュニティのバージョンのみが見つかりました，ダウンロードをインストールした後，おなじみのテキストファイル設定画面が再び表示されます，ハ。以下は、このビルドの目標と設定方法です：

【目的】
◎サーバーはWindowsシステムを使用。
◎アカウント認証方法としてADを使用。
◎クライアント側は独立したネットワークセグメントを使用，そして自動的にIPを取得。
◎クライアント側は特定のネットワークセグメントトラフィックに対してのみVPNをフローします，オンライン化する (インターネット) ありません。
◎クライアントは企業内の他のネットワークセグメントに接続できます。

　

◎まず，へ OpenVPNコミュニティのダウンロード ページから最新バージョンをダウンロード。

　

◎次にコミュニティに問い合わせる Easy_Windows_Guide，サーバーとクライアントの完全な設定，次のキャプチャキー設定。

---

　

【前置作業】

◎インストール時はご自身でチェックしてください “EasyRSA 2 証明書管理スクリプト” 素子。

◎「システム管理者」としてcmdを実行，次のコマンドを順番に実行します：

cd "C:\Program Files\OpenVPN\easy-rsa"
init-config
notepad vars.bat

　

◎デフォルトの証明書情報を変更する，変更後のアーカイブ。

KEY_COUNTRY = USを設定
KEY_PROVINCE = CAを設定します
KEY_CITY = SanFranciscoを設定します
KEY_ORG = OpenVPNを設定します
KEY_EMAIL=mail@host.domainを設定します

　

◎以下のコマンドを順番に実行：

vars
clean-all

　

【ビルド証明書とキー】
◎以下のコマンドを実行：

build-ca

　

◎証明書情報を入力：

国名 (2 文字コード) [我ら]:
都道府県名 (フルネーム) [CA]:
地域名 (例えば, 市) [サンフランシスコ]:
組織名 (例えば, 会社) [OpenVPN]:
組織単位名 (例えば, セクション) []:
一般名 (例えば, 名前またはサーバーのホスト名) []:
電子メールアドレス [mail@host.domain]:

　

◎以下のコマンドを順番に実行：

build-key-server server
build-key client
# Guide 上是建議用 client 端的電腦名稱，然後為每一台電腦產生一份憑證，
# 但因為我主要是要用 AD 驗證，所以我這邊是只產生一份名為 client 的憑證，然後讓所有電腦一起使用。
build-dh
"C:\Program Files\OpenVPN\bin\openvpn.exe" --genkey --secret "C:\Program Files\OpenVPN\easy-rsa\keys\ta.key"

　

[サーバー設定ファイルを設定]

◎以下のコマンドを実行：

copy "C:\Program Files\OpenVPN\sample-config\server.ovpn" "C:\Program Files\OpenVPN\easy-rsa\keys\server.ovpn"
notepad "C:\Program Files\OpenVPN\easy-rsa\keys\server.ovpn"

　

◎次の文章を探す。

ca ca.crt
cert server.crt
key server.key

dh dh2048.pem

　

◎と交換：

それ “℃:\\Program Files \ OpenVPN \ config \ ca.crt”
証明書 “℃:\\Program Files \ OpenVPN \ config \ server.crt”
キー “℃:\\Program Files \ OpenVPN \ config \ server.key”

すなわち “℃:\\Program Files \ OpenVPN \ config \ dh2048.pem”

　

◎アーカイブして閉じる。

◎次の文章を探す，コメントの前のセミコロンを削除します(;)。全員が共有できるクーポンを1つだけ作成する予定なので、，これにより、異なるクライアントが同じIPセットを取得する可能性があります，この設定をオンにします，誰もが異なるIPを取得できるように。

;duplicate-cn

　

【クライアント設定ファイルの設定】

◎以下のコマンドを実行：

copy "C:\Program Files\OpenVPN\sample-config\client.ovpn" "C:\Program Files\OpenVPN\easy-rsa\keys\client.ovpn"
notepad "C:\Program Files\OpenVPN\easy-rsa\keys\client.ovpn"

　

◎次の文章を探す。

ca ca.crt
cert server.crt
key server.key

tls-auth ta.key 1

　

◎と交換：

それ “℃:\\Program Files \ OpenVPN \ config \ ca.crt”
証明書 “℃:\\Program Files \ OpenVPN \ config \ client.crt”
キー “℃:\\Program Files \ OpenVPN \ config \ client.key”

tls-auth “℃:\\Program Files \ OpenVPN \ config \ ta.key” 1
# ガイドにはこのセクションがありません，クライアントを実行すると、これは間違いです，そして修正された。

　

◎以下 “my-server-1” OpenVPNの実際のFQDNまたはIPアドレスに変更します。

remote my-server-1 1194

　

◎アーカイブして閉じる。

　

【証明書のコピー、正しいディレクトリへのキー]

◎以下のコマンドを実行：

robocopy "C:\Program Files\OpenVPN\easy-rsa\keys\" "C:\Program Files\OpenVPN\config\" ca.crt ta.key dh2048.pem server.crt server.key server.ovpn

　

◎で “℃:\Program Files OpenVPN easy-rsa keys ”，次のファイルをコピーします：

およそ
ta.key
client.crt
client.key
client.ovpn

　

◎クライアントコンピュータに投稿 “℃:\Program Files OpenVPN config ”
PS. クライアントインストールファイルはサーバーと同じです。

　

[OpenVPNを起動]

◎OpenVPN GUIをサーバーの「システム管理者」として実行。「システム管理者」として実行していない場合は、，ただし、一部のログには書き込み権限がない可能性があります。「Windowsサービス」に行くこともできます，將 “OpenVPNService” 「アクティベーションタイプ」を”自動”，そして「アクティブ化」を右クリック。

◎クライアント側が直接OpenVPN GUIを実行，右下のアイコンを右クリックして「接続」を選択します。クライアントは、OpenVPN Connectというより優れたインターフェースでインストールすることもできます，そしてプロファイルを設定します (client.opvn) ウィンドウにドラッグします。

---

　

above上記はEasy_Windows_Guideの主な教育内容です，上記の設定を完了した後，証明書で接続を完了できます，次は私が望む環境に設定を調整することです：

◎クライアントは企業内の他のネットワークセグメントに接続できます。
◎アカウント認証方法としてADを使用。

　

[クライアントが企業内の他のネットワークセグメントに接続できるようにする]

Open OpenVPNが構築された後，デフォルトサーバーは仮想ネットワークカードを生成します，そのIPは 10.8.0.1，そしてクライアントは 10.8.0.6，この時点でクライアントはpingに行きます 10.8.0.1 合格すべき。

次に、サーバーの物理ネットワークカードにpingを実行する必要があります (例 192.168.53.1) 見つける，この時点でルーティングを追加することに加えて，また「インターネット接続の共有」機能をオンにする。私はここで長い間立ち往生しています，その後、ついにViRb3ネチズンに登場しました。 "インターネットトラフィックをプロキシするOpenVPNWindowsサーバーを作成する・GitHub「この記事では、「インターネット接続の共有」という重要な設定を見つけます。。

◎「;プッシュルート “192.168…"
◎そのフォーマットによると，以下を追加，そしてアーカイブ。

push "route 192.168.53.0 255.255.255.0"
# 如果要讓 Client 連到企業內部的其他網段，
# 可以在這邊加入其他網段的資訊。

　

◎インターフェースカードの設定を入力，物理ネットワークカードをオンにする (192.168.53.1 これです) 「インターネット接続の共有」機能 (チェック”他のネットワークユーザーがこのコンピュータのインターネット接続を介して接続することを許可します”)。
PS. このアクションの方法を知る前に、たくさんの記事を見つけました，ここに長い間立ち往生。

　

"「インターネット接続の共有」機能をオンにした後，OpenVPN仮想ネットワークカードのIPはに変更されます 192.168.137.1，OpenVPNのデフォルトを使用したい場合 10.8.0.1，マシンコードを変更する必要があります。
◎regeditを実行する，到下列路徑：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters

　

◎ScopeAddressの値を 10.8.0.1。

◎OpenVPNサーバーを再起動します，そしてクライアントに再接続させます。

[アカウント確認方法としてADを使用]

最初の，ありがとうJ. オルテガ. VBScriptによって書かれました，OpenVPNが検証のためにADを簡単に通過できるようにしましょう，感謝感謝再感謝。在「OpenVPN for Windows実装のActive Directory認証 – amigo4life2「このページには、非常に詳細な設定手順があります。，でも年齢のせいで，Windowsでフォローアップする 2008、2012 将来のバージョン，まだやるべきことがいくつかあります，終了後の設定方法は以下の通り：

◎Auth4OpenVPNv2.0.zipをダウンロード，そしてコンテンツを解凍します “℃:/プログラムファイル/ OpenVPN /構成”

　

◎Auth4OpenVPN.iniの変更，ADに関する情報を入力してください，例は次のとおりです：

Server = "192.168.53.20"
Domain = "abc"
DN = "dc=abc,dc=com,dc=tw"
Group = "(Group)OpenVPN"
Logging = "On"

　

次のアクション，Jと. オルテガ. ページで少し異なります，これはアイスです OpenVPNコミュニティフォーラム 新しいバージョンのWindows Serverのセキュリティ問題の修正，アイスネチズンありがとう。

◎メモ帳を開く，次を貼り付け：

set LOCALAPPDATA=C:\Users\%USERNAME%\AppData\Local
set CommonProgramFiles=C:\Program Files\Common Files
set CommonProgramFiles(x86)=C:\Program Files (x86)\Common Files
set CommonProgramW6432=C:\Program Files\Common Files
C:\Windows\System32\cscript.exe "C:\Program Files\OpenVPN\config\Auth4OpenVPN.vbs"
exit %errorlevel%

◎ファイルを保存 “℃:\Program Files OpenVPN config”，名前のファイル “Auth4OpenVPN-64bitWrapper.cmd”。

◎server.ovpnに次の2行の命令を追加します：

script-security 3
auth-user-pass-verify Auth4OpenVPN-64bitWrapper.cmd via-env

◎クライアント側のclient.ovpnに以下の2行を追加：

auth-user-pass
auth-retry interact

◎そう，クライアントが接続しています，ログインするためのアカウントパスワードウィンドウがポップアップします。。

　

【補足情報】

◎Auth4OpenVPNはテスト機能を提供します，次のコマンドを使用してADへの接続をテストすることをお勧めします。問題はありません。，フォローアップ活動をしましょう。

auth4openvpn.vbs <user> <password>

◎Auth4OpenVPNは検証結果をWindowsアプリケーションログに残します，オリジナルのウェブページの方法に従って設定した場合，現れるかもしれません “Auth4OpenVPN: -2147221164, カテゴリーが登録されていません” エラーメッセージ，現在、提供されている氷のネチズンによると “Auth4OpenVPN-64bitWrapper.cmd” 修理方法，環境パラメータの問題を解決できます。

◎クライアントが企業ネットワークを介してインターネットにアクセスできるようにしたい場合 (インターネット)，server.ovpnファイルで次の文字列を見つけるだけです，そして前のメモを追加します(;)脱いで。

;push "redirect-gateway def1 bypass-dhcp"

◎client.ovpnファイルをインポートする際のOpenVPN Connect，証明書と鍵ファイルがclient.ovpnファイルと同じディレクトリにあるかどうかを確認します，エラーがない場合。インポート完了後，後で接続するとき，OpenVPN Connectはclient.ovpnの設定に従い、コマンドパスの証明書とキーファイルを読み取ります；OpenVPN GUIにはこの問題はありません。

◎OpenVPNとWindowsネイティブアカウントを確認したい場合，共有しているsmiley22を参照できます SAMAuth4OpenVPN 素子。

◎その後、私はまだこの解決策を採用しませんでした，本土にはOpenVPNのフィルタリングがあるため，そのため、接続プロセス中にいくつかの奇妙な問題が発生します。

　

【參考連結】

• コミュニティダウンロード | OpenVPN
• Easy_Windows_Guide – OpenVPNコミュニティ
• OpenVPN for Windows実装のActive Directory認証 – amigo4life2
• (半)Auth4OpenVPNの修正 – Win2008R2 / Win2012R2 – OpenVPNサポートフォーラム
• インターネットトラフィックをプロキシするOpenVPN Windowsサーバーを作成する ・GitHub
• OpenVPN認証の問題 – OpenVPNサポートフォーラム
• Windows上のOpenVPNサーバー 〜Defron.org: 技術, セキュリティー, プライバシー
• デッドフォックスのパンフレット: OpenVPNでの詳細ルーティング
• リリースSAMAuth4OpenVPNv1.0.0.2・smiley22 / SAMAuth4OpenVPN ・GitHub
• [教學] OPEN VPN for Windows環境設定 @新鮮なアフタヌーンティー :: タイクーン ::