WindowsサーバーにOpenVPNサーバーをインストールしてADを使用する (LDAP) アカウントの確認を行う

◎サーバーOS: Windows Server 2019
◎OpenVPN: OpenVPN 2.4.9 (コミュニティ)
◎広告検証コンポーネント: Auth4OpenVPNv2.0
OSクライアントOS: Windowsの 10

 

the会社のVPNハードウェア機器が古いため,最近の調査VPNソリューション,最初にオープンソースソリューションから始めたい,最初に、5年前にテストされたOpenVPNについて考えました。,しかし、公式WebサイトからVMイメージファイルをダウンロードしてビルドを完了した後,このバージョンでは2つの無料のクライアント接続しか開かないことがわかりました,詳細を購読する。充電し始めたと思った,サーバーとクライアントも不思議ではありません (OpenVPN接続) ソフトウェアインターフェースがとても美しくなりました,以前はメモ帳で設定を変更したことを覚えていました。

その後、日本からSoftEther VPNを見つけました,調査と構築に時間を費やした後,このセットはうまくいくと思いました,予期せず、私がテストをしていたとき、,SoftEther VPNでSQL接続のドロップのバグが見つかりました,そしてネチズンは2年間問題を報告してきました,公式はまだ修正されていません,しぶしぶ諦めざるを得なかった。 SoftEther VPNのセットアップ方法,を参照してください。【注意事項】SoftEther VPN Serverの設定

その後、OpenVPNの関連ライセンス情報を探しに戻りました,コミュニティのバージョンのみが見つかりました,ダウンロードをインストールした後,おなじみのテキストファイル設定画面が再び表示されます,ハ。以下は、このビルドの目標と設定方法です:

【目的】
◎サーバーはWindowsシステムを使用。
◎アカウント認証方法としてADを使用。
◎クライアント側は独立したネットワークセグメントを使用,そして自動的にIPを取得。
◎クライアント側は特定のネットワークセグメントトラフィックに対してのみVPNをフローします,オンライン化する (インターネット) ありません。
◎クライアントは企業内の他のネットワークセグメントに接続できます。

 

◎まず,へ OpenVPNコミュニティのダウンロード ページから最新バージョンをダウンロード。

 

◎次にコミュニティに問い合わせる Easy_Windows_Guide,サーバーとクライアントの完全な設定,次のキャプチャキー設定。


 

【前置作業】

◎インストール時はご自身でチェックしてください “EasyRSA 2 証明書管理スクリプト” 素子。

◎「システム管理者」としてcmdを実行,次のコマンドを順番に実行します:

  cd "C:\Program Files\OpenVPN\easy-rsa"  init-config  notepad vars.bat  

 

◎デフォルトの証明書情報を変更する,変更後のアーカイブ。

KEY_COUNTRY = USを設定
KEY_PROVINCE = CAを設定します
KEY_CITY = SanFranciscoを設定します
KEY_ORG = OpenVPNを設定します
[email protected]を設定します

 

◎以下のコマンドを順番に実行:

  vars  clean-all  

 

【ビルド証明書とキー】
◎以下のコマンドを実行:

  build-ca  

 

◎証明書情報を入力:

国名 (2 文字コード) [我ら]:
都道府県名 (フルネーム) [CA]:
地域名 (例えば, 市) [サンフランシスコ]:
組織名 (例えば, 会社) [OpenVPN]:
組織単位名 (例えば, セクション) []:
一般名 (例えば, 名前またはサーバーのホスト名) []:
電子メールアドレス [[email protected]]:

 

◎以下のコマンドを順番に実行:

  build-key-server server  build-key client  # Guide 上是建議用 client 端的電腦名稱,然後為每一台電腦產生一份憑證,  # 但因為我主要是要用 AD 驗證,所以我這邊是只產生一份名為 client 的憑證,然後讓所有電腦一起使用。  build-dh  "C:\Program Files\OpenVPN\bin\openvpn.exe" --genkey --secret "C:\Program Files\OpenVPN\easy-rsa\keys\ta.key"  

 

[サーバー設定ファイルを設定]

◎以下のコマンドを実行:

  copy "C:\Program Files\OpenVPN\sample-config\server.ovpn" "C:\Program Files\OpenVPN\easy-rsa\keys\server.ovpn"  notepad "C:\Program Files\OpenVPN\easy-rsa\keys\server.ovpn"  

 

◎次の文章を探す。

ca ca.crt
cert server.crt
key server.key

dh dh2048.pem

 

◎と交換:

それ “℃:\\Program Files \ OpenVPN \ config \ ca.crt”
証明書 “℃:\\Program Files \ OpenVPN \ config \ server.crt”
キー “℃:\\Program Files \ OpenVPN \ config \ server.key”

すなわち “℃:\\Program Files \ OpenVPN \ config \ dh2048.pem”

 

◎アーカイブして閉じる。

◎次の文章を探す,コメントの前のセミコロンを削除します(;)。全員が共有できるクーポンを1つだけ作成する予定なので、,これにより、異なるクライアントが同じIPセットを取得する可能性があります,この設定をオンにします,誰もが異なるIPを取得できるように。

;duplicate-cn

 

【クライアント設定ファイルの設定】

◎以下のコマンドを実行:

  copy "C:\Program Files\OpenVPN\sample-config\client.ovpn" "C:\Program Files\OpenVPN\easy-rsa\keys\client.ovpn"  notepad "C:\Program Files\OpenVPN\easy-rsa\keys\client.ovpn"  

 

◎次の文章を探す。

ca ca.crt
cert server.crt
key server.key

tls-auth ta.key 1

 

◎と交換:

それ “℃:\\Program Files \ OpenVPN \ config \ ca.crt”
証明書 “℃:\\Program Files \ OpenVPN \ config \ client.crt”
キー “℃:\\Program Files \ OpenVPN \ config \ client.key”

tls-auth “℃:\\Program Files \ OpenVPN \ config \ ta.key” 1
# ガイドにはこのセクションがありません,クライアントを実行すると、これは間違いです,そして修正された。

 

◎以下 “my-server-1” OpenVPNの実際のFQDNまたはIPアドレスに変更します。

remote my-server-1 1194

 

◎アーカイブして閉じる。

 

【証明書のコピー、正しいディレクトリへのキー]

◎以下のコマンドを実行:

  robocopy "C:\Program Files\OpenVPN\easy-rsa\keys\" "C:\Program Files\OpenVPN\config\" ca.crt ta.key dh2048.pem server.crt server.key server.ovpn  

 

◎で “℃:\Program Files OpenVPN easy-rsa keys ”,次のファイルをコピーします:

およそ
ta.key
client.crt
client.key
client.ovpn

 

◎クライアントコンピュータに投稿 “℃:\Program Files OpenVPN config ”
PS. クライアントインストールファイルはサーバーと同じです。

 

[OpenVPNを起動]

◎OpenVPN GUIをサーバーの「システム管理者」として実行。「システム管理者」として実行していない場合は、,ただし、一部のログには書き込み権限がない可能性があります。「Windowsサービス」に行くこともできます,將 “OpenVPNService” 「アクティベーションタイプ」を”自動”,そして「アクティブ化」を右クリック。

◎クライアント側が直接OpenVPN GUIを実行,右下のアイコンを右クリックして「接続」を選択します。クライアントは、OpenVPN Connectというより優れたインターフェースでインストールすることもできます,そしてプロファイルを設定します (client.opvn) ウィンドウにドラッグします。


 

above上記はEasy_Windows_Guideの主な教育内容です,上記の設定を完了した後,証明書で接続を完了できます,次は私が望む環境に設定を調整することです:

◎クライアントは企業内の他のネットワークセグメントに接続できます。
◎アカウント認証方法としてADを使用。

 

[クライアントが企業内の他のネットワークセグメントに接続できるようにする]

Open OpenVPNが構築された後,デフォルトサーバーは仮想ネットワークカードを生成します,そのIPは 10.8.0.1,そしてクライアントは 10.8.0.6,この時点でクライアントはpingに行きます 10.8.0.1 合格すべき。

次に、サーバーの物理ネットワークカードにpingを実行する必要があります (例 192.168.53.1) 見つける,この時点でルーティングを追加することに加えて,また「インターネット接続の共有」機能をオンにする。私はここで長い間立ち往生しています,その後、ついにViRb3ネチズンに登場しました。 "インターネットトラフィックをプロキシするOpenVPN Windowsサーバーを作成する · GitHub「この記事では、「インターネット接続の共有」という重要な設定を見つけます。。

◎「;プッシュルート “192.168…"
◎そのフォーマットによると,以下を追加,そしてアーカイブ。

  push "route 192.168.53.0 255.255.255.0"  # 如果要讓 Client 連到企業內部的其他網段,  # 可以在這邊加入其他網段的資訊。  

 

◎インターフェースカードの設定を入力,物理ネットワークカードをオンにする (192.168.53.1 これです) 「インターネット接続の共有」機能 (チェック”他のネットワークユーザーがこのコンピュータのインターネット接続を介して接続することを許可します”)。
PS. このアクションの方法を知る前に、たくさんの記事を見つけました,ここに長い間立ち往生。

 

"「インターネット接続の共有」機能をオンにした後,OpenVPN仮想ネットワークカードのIPはに変更されます 192.168.137.1,OpenVPNのデフォルトを使用したい場合 10.8.0.1,マシンコードを変更する必要があります。
◎regeditを実行する,到下列路徑:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters

 

◎ScopeAddressの値を 10.8.0.1。

◎OpenVPNサーバーを再起動します,そしてクライアントに再接続させます。

[アカウント確認方法としてADを使用]

最初の,ありがとうJ. オルテガ. VBScriptによって書かれました,OpenVPNが検証のためにADを簡単に通過できるようにしましょう,感謝感謝再感謝。在「OpenVPN for Windows実装のActive Directory認証 – amigo4life2「このページには、非常に詳細な設定手順があります。,でも年齢のせいで,Windowsでフォローアップする 2008、2012 将来のバージョン,まだやるべきことがいくつかあります,終了後の設定方法は以下の通り:

◎Auth4OpenVPNv2.0.zipをダウンロード,そしてコンテンツを解凍します “℃:/プログラムファイル/ OpenVPN /構成”

 

◎Auth4OpenVPN.iniの変更,ADに関する情報を入力してください,例は次のとおりです:

  Server = "192.168.53.20"  Domain = "abc"  DN = "dc=abc,dc=com,dc=tw"  Group = "(Group)OpenVPN"  Logging = "On"  

 

次のアクション,Jと. オルテガ. ページで少し異なります,これはアイスです OpenVPNコミュニティフォーラム 新しいバージョンのWindows Serverのセキュリティ問題の修正,アイスネチズンありがとう。

◎メモ帳を開く,次を貼り付け:

  set LOCALAPPDATA=C:\Users\%USERNAME%\AppData\Local  set CommonProgramFiles=C:\Program Files\Common Files  set CommonProgramFiles(x86)=C:\Program Files (x86)\Common Files  set CommonProgramW6432=C:\Program Files\Common Files  C:\Windows\System32\cscript.exe "C:\Program Files\OpenVPN\config\Auth4OpenVPN.vbs"  exit %errorlevel%  

◎ファイルを保存 “℃:\Program Files OpenVPN config”,名前のファイル “Auth4OpenVPN-64bitWrapper.cmd”。

◎server.ovpnに次の2行の命令を追加します:

  script-security 3  auth-user-pass-verify Auth4OpenVPN-64bitWrapper.cmd via-env  

◎クライアント側のclient.ovpnに以下の2行を追加:

  auth-user-pass  auth-retry interact  

◎そう,クライアントが接続しています,ログインするためのアカウントパスワードウィンドウがポップアップします。。

 

【補足情報】

◎Auth4OpenVPNはテスト機能を提供します,次のコマンドを使用してADへの接続をテストすることをお勧めします。問題はありません。,フォローアップ活動をしましょう。

auth4openvpn.vbs <user> <password>

◎Auth4OpenVPNは検証結果をWindowsアプリケーションログに残します,オリジナルのウェブページの方法に従って設定した場合,現れるかもしれません “Auth4OpenVPN: -2147221164, カテゴリーが登録されていません” エラーメッセージ,現在、提供されている氷のネチズンによると “Auth4OpenVPN-64bitWrapper.cmd” 修理方法,環境パラメータの問題を解決できます。

◎クライアントが企業ネットワークを介してインターネットにアクセスできるようにしたい場合 (インターネット),server.ovpnファイルで次の文字列を見つけるだけです,そして前のメモを追加します(;)脱いで。

;push "redirect-gateway def1 bypass-dhcp"

◎client.ovpnファイルをインポートする際のOpenVPN Connect,証明書と鍵ファイルがclient.ovpnファイルと同じディレクトリにあるかどうかを確認します,エラーがない場合。インポート完了後,後で接続するとき,OpenVPN Connectはclient.ovpnの設定に従い、コマンドパスの証明書とキーファイルを読み取ります;OpenVPN GUIにはこの問題はありません。

◎OpenVPNとWindowsネイティブアカウントを確認したい場合,共有しているsmiley22を参照できます SAMAuth4OpenVPN 素子。

◎その後、私はまだこの解決策を採用しませんでした,本土にはOpenVPNのフィルタリングがあるため,そのため、接続プロセス中にいくつかの奇妙な問題が発生します。

 

【參考連結】

コメントを残す

注意してください: コメントモデレーションが有効になって、あなたのコメントを遅らせる可能性があります. コメントを再送信する必要はありません.