WindowsサーバーにOpenVPNサーバーをインストールしてADを使用する (LDAP) アカウントの確認を行う

◎サーバーOS: Windows Server 2019
◎OpenVPN: OpenVPN 2.4.9 (コミュニティ)
◎広告検証コンポーネント: Auth4OpenVPNv2.0
OSクライアントOS: Windowsの 10

 

the会社のVPNハードウェア機器が古いため,最近の調査VPNソリューション,最初にオープンソースソリューションから始めたい,最初に、5年前にテストされたOpenVPNについて考えました。,しかし、公式WebサイトからVMイメージファイルをダウンロードしてビルドを完了した後,このバージョンでは2つの無料のクライアント接続しか開かないことがわかりました,詳細を購読する。充電し始めたと思った,サーバーとクライアントも不思議ではありません (OpenVPN接続) ソフトウェアインターフェースがとても美しくなりました,以前はメモ帳で設定を変更したことを覚えていました。

その後、日本からSoftEther VPNを見つけました,調査と構築に時間を費やした後,このセットはうまくいくと思いました,予期せず、私がテストをしていたとき、,SoftEther VPNでSQL接続のドロップのバグが見つかりました,そしてネチズンは2年間問題を報告してきました,公式はまだ修正されていません,しぶしぶ諦めざるを得なかった。 SoftEther VPNのセットアップ方法,を参照してください。【注意事項】SoftEther VPN Serverの設定

その後、OpenVPNの関連ライセンス情報を探しに戻りました,コミュニティのバージョンのみが見つかりました,ダウンロードをインストールした後,おなじみのテキストファイル設定画面が再び表示されます,ハ。以下は、このビルドの目標と設定方法です:

【目的】
◎サーバーはWindowsシステムを使用。
◎アカウント認証方法としてADを使用。
◎クライアント側は独立したネットワークセグメントを使用,そして自動的にIPを取得。
◎クライアント側は特定のネットワークセグメントトラフィックに対してのみVPNをフローします,オンライン化する (インターネット) ありません。
◎クライアントは企業内の他のネットワークセグメントに接続できます。

 

◎まず,へ OpenVPNコミュニティのダウンロード ページから最新バージョンをダウンロード。

 

◎次にコミュニティに問い合わせる Easy_Windows_Guide,サーバーとクライアントの完全な設定,次のキャプチャキー設定。


 

【前置作業】

◎インストール時はご自身でチェックしてください “EasyRSA 2 証明書管理スクリプト” 素子。

◎「システム管理者」としてcmdを実行,次のコマンドを順番に実行します:

cd "C:\Program Files\OpenVPN\easy-rsa"
init-config
notepad vars.bat

 

◎デフォルトの証明書情報を変更する,変更後のアーカイブ。

KEY_COUNTRY = USを設定
KEY_PROVINCE = CAを設定します
KEY_CITY = SanFranciscoを設定します
KEY_ORG = OpenVPNを設定します
KEY_EMAIL=mail@host.domainを設定します

 

◎以下のコマンドを順番に実行:

vars
clean-all

 

【ビルド証明書とキー】
◎以下のコマンドを実行:

build-ca

 

◎証明書情報を入力:

国名 (2 文字コード) [我ら]:
都道府県名 (フルネーム) [CA]:
地域名 (例えば, 市) [サンフランシスコ]:
組織名 (例えば, 会社) [OpenVPN]:
組織単位名 (例えば, セクション) []:
一般名 (例えば, 名前またはサーバーのホスト名) []:
電子メールアドレス [mail@host.domain]:

 

◎以下のコマンドを順番に実行:

build-key-server server
build-key client
# Guide 上是建議用 client 端的電腦名稱,然後為每一台電腦產生一份憑證,
# 但因為我主要是要用 AD 驗證,所以我這邊是只產生一份名為 client 的憑證,然後讓所有電腦一起使用。
build-dh
"C:\Program Files\OpenVPN\bin\openvpn.exe" --genkey --secret "C:\Program Files\OpenVPN\easy-rsa\keys\ta.key"

 

[サーバー設定ファイルを設定]

◎以下のコマンドを実行:

copy "C:\Program Files\OpenVPN\sample-config\server.ovpn" "C:\Program Files\OpenVPN\easy-rsa\keys\server.ovpn"
notepad "C:\Program Files\OpenVPN\easy-rsa\keys\server.ovpn"

 

◎次の文章を探す。

ca ca.crt
cert server.crt
key server.key

dh dh2048.pem

 

◎と交換:

それ “℃:\\Program Files \ OpenVPN \ config \ ca.crt”
証明書 “℃:\\Program Files \ OpenVPN \ config \ server.crt”
キー “℃:\\Program Files \ OpenVPN \ config \ server.key”

すなわち “℃:\\Program Files \ OpenVPN \ config \ dh2048.pem”

 

◎アーカイブして閉じる。

◎次の文章を探す,コメントの前のセミコロンを削除します(;)。全員が共有できるクーポンを1つだけ作成する予定なので、,これにより、異なるクライアントが同じIPセットを取得する可能性があります,この設定をオンにします,誰もが異なるIPを取得できるように。

;duplicate-cn

 

【クライアント設定ファイルの設定】

◎以下のコマンドを実行:

copy "C:\Program Files\OpenVPN\sample-config\client.ovpn" "C:\Program Files\OpenVPN\easy-rsa\keys\client.ovpn"
notepad "C:\Program Files\OpenVPN\easy-rsa\keys\client.ovpn"

 

◎次の文章を探す。

ca ca.crt
cert server.crt
key server.key

tls-auth ta.key 1

 

◎と交換:

それ “℃:\\Program Files \ OpenVPN \ config \ ca.crt”
証明書 “℃:\\Program Files \ OpenVPN \ config \ client.crt”
キー “℃:\\Program Files \ OpenVPN \ config \ client.key”

tls-auth “℃:\\Program Files \ OpenVPN \ config \ ta.key” 1
# ガイドにはこのセクションがありません,クライアントを実行すると、これは間違いです,そして修正された。

 

◎以下 “my-server-1” OpenVPNの実際のFQDNまたはIPアドレスに変更します。

remote my-server-1 1194

 

◎アーカイブして閉じる。

 

【証明書のコピー、正しいディレクトリへのキー]

◎以下のコマンドを実行:

robocopy "C:\Program Files\OpenVPN\easy-rsa\keys\" "C:\Program Files\OpenVPN\config\" ca.crt ta.key dh2048.pem server.crt server.key server.ovpn

 

◎で “℃:\Program Files OpenVPN easy-rsa keys ”,次のファイルをコピーします:

およそ
ta.key
client.crt
client.key
client.ovpn

 

◎クライアントコンピュータに投稿 “℃:\Program Files OpenVPN config ”
PS. クライアントインストールファイルはサーバーと同じです。

 

[OpenVPNを起動]

◎OpenVPN GUIをサーバーの「システム管理者」として実行。「システム管理者」として実行していない場合は、,ただし、一部のログには書き込み権限がない可能性があります。「Windowsサービス」に行くこともできます,將 “OpenVPNService” 「アクティベーションタイプ」を”自動”,そして「アクティブ化」を右クリック。

◎クライアント側が直接OpenVPN GUIを実行,右下のアイコンを右クリックして「接続」を選択します。クライアントは、OpenVPN Connectというより優れたインターフェースでインストールすることもできます,そしてプロファイルを設定します (client.opvn) ウィンドウにドラッグします。


 

above上記はEasy_Windows_Guideの主な教育内容です,上記の設定を完了した後,証明書で接続を完了できます,次は私が望む環境に設定を調整することです:

◎クライアントは企業内の他のネットワークセグメントに接続できます。
◎アカウント認証方法としてADを使用。

 

[クライアントが企業内の他のネットワークセグメントに接続できるようにする]

Open OpenVPNが構築された後,デフォルトサーバーは仮想ネットワークカードを生成します,そのIPは 10.8.0.1,そしてクライアントは 10.8.0.6,この時点でクライアントはpingに行きます 10.8.0.1 合格すべき。

次に、サーバーの物理ネットワークカードにpingを実行する必要があります (例 192.168.53.1) 見つける,この時点でルーティングを追加することに加えて,また「インターネット接続の共有」機能をオンにする。私はここで長い間立ち往生しています,その後、ついにViRb3ネチズンに登場しました。 "インターネットトラフィックをプロキシするOpenVPNWindowsサーバーを作成する・GitHub「この記事では、「インターネット接続の共有」という重要な設定を見つけます。。

◎「;プッシュルート “192.168…"
◎そのフォーマットによると,以下を追加,そしてアーカイブ。

push "route 192.168.53.0 255.255.255.0"
# 如果要讓 Client 連到企業內部的其他網段,
# 可以在這邊加入其他網段的資訊。

 

◎インターフェースカードの設定を入力,物理ネットワークカードをオンにする (192.168.53.1 これです) 「インターネット接続の共有」機能 (チェック”他のネットワークユーザーがこのコンピュータのインターネット接続を介して接続することを許可します”)。
PS. このアクションの方法を知る前に、たくさんの記事を見つけました,ここに長い間立ち往生。

 

"「インターネット接続の共有」機能をオンにした後,OpenVPN仮想ネットワークカードのIPはに変更されます 192.168.137.1,OpenVPNのデフォルトを使用したい場合 10.8.0.1,マシンコードを変更する必要があります。
◎regeditを実行する,到下列路徑:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters

 

◎ScopeAddressの値を 10.8.0.1。

◎OpenVPNサーバーを再起動します,そしてクライアントに再接続させます。

[アカウント確認方法としてADを使用]

最初の,ありがとうJ. オルテガ. VBScriptによって書かれました,OpenVPNが検証のためにADを簡単に通過できるようにしましょう,感謝感謝再感謝。在「OpenVPN for Windows実装のActive Directory認証 – amigo4life2「このページには、非常に詳細な設定手順があります。,でも年齢のせいで,Windowsでフォローアップする 2008、2012 将来のバージョン,まだやるべきことがいくつかあります,終了後の設定方法は以下の通り:

◎Auth4OpenVPNv2.0.zipをダウンロード,そしてコンテンツを解凍します “℃:/プログラムファイル/ OpenVPN /構成”

 

◎Auth4OpenVPN.iniの変更,ADに関する情報を入力してください,例は次のとおりです:

Server = "192.168.53.20"
Domain = "abc"
DN = "dc=abc,dc=com,dc=tw"
Group = "(Group)OpenVPN"
Logging = "On"

 

次のアクション,Jと. オルテガ. ページで少し異なります,これはアイスです OpenVPNコミュニティフォーラム 新しいバージョンのWindows Serverのセキュリティ問題の修正,アイスネチズンありがとう。

◎メモ帳を開く,次を貼り付け:

set LOCALAPPDATA=C:\Users\%USERNAME%\AppData\Local
set CommonProgramFiles=C:\Program Files\Common Files
set CommonProgramFiles(x86)=C:\Program Files (x86)\Common Files
set CommonProgramW6432=C:\Program Files\Common Files
C:\Windows\System32\cscript.exe "C:\Program Files\OpenVPN\config\Auth4OpenVPN.vbs"
exit %errorlevel%

◎ファイルを保存 “℃:\Program Files OpenVPN config”,名前のファイル “Auth4OpenVPN-64bitWrapper.cmd”。

◎server.ovpnに次の2行の命令を追加します:

script-security 3
auth-user-pass-verify Auth4OpenVPN-64bitWrapper.cmd via-env

◎クライアント側のclient.ovpnに以下の2行を追加:

auth-user-pass
auth-retry interact

◎そう,クライアントが接続しています,ログインするためのアカウントパスワードウィンドウがポップアップします。。

 

【補足情報】

◎Auth4OpenVPNはテスト機能を提供します,次のコマンドを使用してADへの接続をテストすることをお勧めします。問題はありません。,フォローアップ活動をしましょう。

auth4openvpn.vbs <user> <password>

◎Auth4OpenVPNは検証結果をWindowsアプリケーションログに残します,オリジナルのウェブページの方法に従って設定した場合,現れるかもしれません “Auth4OpenVPN: -2147221164, カテゴリーが登録されていません” エラーメッセージ,現在、提供されている氷のネチズンによると “Auth4OpenVPN-64bitWrapper.cmd” 修理方法,環境パラメータの問題を解決できます。

◎クライアントが企業ネットワークを介してインターネットにアクセスできるようにしたい場合 (インターネット),server.ovpnファイルで次の文字列を見つけるだけです,そして前のメモを追加します(;)脱いで。

;push "redirect-gateway def1 bypass-dhcp"

◎client.ovpnファイルをインポートする際のOpenVPN Connect,証明書と鍵ファイルがclient.ovpnファイルと同じディレクトリにあるかどうかを確認します,エラーがない場合。インポート完了後,後で接続するとき,OpenVPN Connectはclient.ovpnの設定に従い、コマンドパスの証明書とキーファイルを読み取ります;OpenVPN GUIにはこの問題はありません。

◎OpenVPNとWindowsネイティブアカウントを確認したい場合,共有しているsmiley22を参照できます SAMAuth4OpenVPN 素子。

◎その後、私はまだこの解決策を採用しませんでした,本土にはOpenVPNのフィルタリングがあるため,そのため、接続プロセス中にいくつかの奇妙な問題が発生します。

 

【參考連結】

3 レスポンス

  1. Windows AD環境を使用してOpenvpnを構築し、ドメインアカウント認証を実現する – BIOSホーム と言う |

    […] ◎Auth4OpenVPN.iniの変更,AD関連情報を入力してください,例は次のとおりです:? […]

  2. ポール と言う |

    こんにちは. チュートリアルをありがとうございますが、私は認めなければなりません. 説明させてください :
    Windowsでサーバーファイルを作成できます ( サーバーの必需品 2016) Windowsから接続します 10 私のクライアントファイルで. 接続が確立されます.
    しかし、pingの段階では, アドレスにpingを送信するとき 10.8.0.1 クライアントステーションから, 否定的な結果.
    さもないと, クライアントとサーバーを接続できるようになり次第, クライアントワークステーションにインターネット接続がありません.
    私がこれから抜け出すのを手伝ってくれるリードがありますか…..
    これがEssentialsバージョンであるという事実はpingを防ぐことができますか ?

    您好,10.8.0.1でもpingに失敗した場合,VPN接続の確立に失敗した可能性があります,デフォルトでは,10.8.0.1pingできます。
    たぶんあなたは私の記事のステップを参照することができます,ステップバイステップで設定します,幸運を,謝謝

    アンソン 返信 |

コメントを残す

注意してください: コメントモデレーションが有効になって、あなたのコメントを遅らせる可能性があります. コメントを再送信する必要はありません.