◎サーバーOS: Windows Server 2019
◎OpenVPN: OpenVPN 2.4.9 (コミュニティ)
◎広告検証コンポーネント: Auth4OpenVPNv2.0
OSクライアントOS: Windowsの 10
the会社のVPNハードウェア機器が古いため,最近の調査VPNソリューション,最初にオープンソースソリューションから始めたい,最初に、5年前にテストされたOpenVPNについて考えました。,しかし、公式WebサイトからVMイメージファイルをダウンロードしてビルドを完了した後,このバージョンでは2つの無料のクライアント接続しか開かないことがわかりました,詳細を購読する。充電し始めたと思った,サーバーとクライアントも不思議ではありません (OpenVPN接続) ソフトウェアインターフェースがとても美しくなりました,以前はメモ帳で設定を変更したことを覚えていました。
その後、日本からSoftEther VPNを見つけました,調査と構築に時間を費やした後,このセットはうまくいくと思いました,予期せず、私がテストをしていたとき、,SoftEther VPNでSQL接続のドロップのバグが見つかりました,そしてネチズンは2年間問題を報告してきました,公式はまだ修正されていません,しぶしぶ諦めざるを得なかった。 SoftEther VPNのセットアップ方法,を参照してください。【注意事項】SoftEther VPN Serverの設定。
その後、OpenVPNの関連ライセンス情報を探しに戻りました,コミュニティのバージョンのみが見つかりました,ダウンロードをインストールした後,おなじみのテキストファイル設定画面が再び表示されます,ハ。以下は、このビルドの目標と設定方法です:
【目的】
◎サーバーはWindowsシステムを使用。
◎アカウント認証方法としてADを使用。
◎クライアント側は独立したネットワークセグメントを使用,そして自動的にIPを取得。
◎クライアント側は特定のネットワークセグメントトラフィックに対してのみVPNをフローします,オンライン化する (インターネット) ありません。
◎クライアントは企業内の他のネットワークセグメントに接続できます。
◎まず,へ OpenVPNコミュニティのダウンロード ページから最新バージョンをダウンロード。
◎次にコミュニティに問い合わせる Easy_Windows_Guide,サーバーとクライアントの完全な設定,次のキャプチャキー設定。
【前置作業】
◎インストール時はご自身でチェックしてください “EasyRSA 2 証明書管理スクリプト” 素子。
◎「システム管理者」としてcmdを実行,次のコマンドを順番に実行します:
cd "C:\Program Files\OpenVPN\easy-rsa" init-config notepad vars.bat
◎デフォルトの証明書情報を変更する,変更後のアーカイブ。
KEY_COUNTRY = USを設定
KEY_PROVINCE = CAを設定します
KEY_CITY = SanFranciscoを設定します
KEY_ORG = OpenVPNを設定します
KEY_EMAIL=mail@host.domainを設定します
◎以下のコマンドを順番に実行:
vars clean-all
【ビルド証明書とキー】
◎以下のコマンドを実行:
build-ca
◎証明書情報を入力:
国名 (2 文字コード) [我ら]:
都道府県名 (フルネーム) [CA]:
地域名 (例えば, 市) [サンフランシスコ]:
組織名 (例えば, 会社) [OpenVPN]:
組織単位名 (例えば, セクション) []:
一般名 (例えば, 名前またはサーバーのホスト名) []:
電子メールアドレス [mail@host.domain]:
◎以下のコマンドを順番に実行:
build-key-server server build-key client # Guide 上是建議用 client 端的電腦名稱,然後為每一台電腦產生一份憑證, # 但因為我主要是要用 AD 驗證,所以我這邊是只產生一份名為 client 的憑證,然後讓所有電腦一起使用。 build-dh "C:\Program Files\OpenVPN\bin\openvpn.exe" --genkey --secret "C:\Program Files\OpenVPN\easy-rsa\keys\ta.key"
[サーバー設定ファイルを設定]
◎以下のコマンドを実行:
copy "C:\Program Files\OpenVPN\sample-config\server.ovpn" "C:\Program Files\OpenVPN\easy-rsa\keys\server.ovpn" notepad "C:\Program Files\OpenVPN\easy-rsa\keys\server.ovpn"
◎次の文章を探す。
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
◎と交換:
それ “℃:\\Program Files \ OpenVPN \ config \ ca.crt”
証明書 “℃:\\Program Files \ OpenVPN \ config \ server.crt”
キー “℃:\\Program Files \ OpenVPN \ config \ server.key”
すなわち “℃:\\Program Files \ OpenVPN \ config \ dh2048.pem”
◎アーカイブして閉じる。
◎次の文章を探す,コメントの前のセミコロンを削除します(;)。全員が共有できるクーポンを1つだけ作成する予定なので、,これにより、異なるクライアントが同じIPセットを取得する可能性があります,この設定をオンにします,誰もが異なるIPを取得できるように。
;duplicate-cn
【クライアント設定ファイルの設定】
◎以下のコマンドを実行:
copy "C:\Program Files\OpenVPN\sample-config\client.ovpn" "C:\Program Files\OpenVPN\easy-rsa\keys\client.ovpn" notepad "C:\Program Files\OpenVPN\easy-rsa\keys\client.ovpn"
◎次の文章を探す。
ca ca.crt
cert server.crt
key server.key
tls-auth ta.key 1
◎と交換:
それ “℃:\\Program Files \ OpenVPN \ config \ ca.crt”
証明書 “℃:\\Program Files \ OpenVPN \ config \ client.crt”
キー “℃:\\Program Files \ OpenVPN \ config \ client.key”
tls-auth “℃:\\Program Files \ OpenVPN \ config \ ta.key” 1
# ガイドにはこのセクションがありません,クライアントを実行すると、これは間違いです,そして修正された。
◎以下 “my-server-1” OpenVPNの実際のFQDNまたはIPアドレスに変更します。
remote my-server-1 1194
◎アーカイブして閉じる。
【証明書のコピー、正しいディレクトリへのキー]
◎以下のコマンドを実行:
robocopy "C:\Program Files\OpenVPN\easy-rsa\keys\" "C:\Program Files\OpenVPN\config\" ca.crt ta.key dh2048.pem server.crt server.key server.ovpn
◎で “℃:\Program Files OpenVPN easy-rsa keys ”,次のファイルをコピーします:
およそ
ta.key
client.crt
client.key
client.ovpn
◎クライアントコンピュータに投稿 “℃:\Program Files OpenVPN config ”
PS. クライアントインストールファイルはサーバーと同じです。
[OpenVPNを起動]
◎OpenVPN GUIをサーバーの「システム管理者」として実行。「システム管理者」として実行していない場合は、,ただし、一部のログには書き込み権限がない可能性があります。「Windowsサービス」に行くこともできます,將 “OpenVPNService” 「アクティベーションタイプ」を”自動”,そして「アクティブ化」を右クリック。
◎クライアント側が直接OpenVPN GUIを実行,右下のアイコンを右クリックして「接続」を選択します。クライアントは、OpenVPN Connectというより優れたインターフェースでインストールすることもできます,そしてプロファイルを設定します (client.opvn) ウィンドウにドラッグします。
above上記はEasy_Windows_Guideの主な教育内容です,上記の設定を完了した後,証明書で接続を完了できます,次は私が望む環境に設定を調整することです:
◎クライアントは企業内の他のネットワークセグメントに接続できます。
◎アカウント認証方法としてADを使用。
[クライアントが企業内の他のネットワークセグメントに接続できるようにする]
Open OpenVPNが構築された後,デフォルトサーバーは仮想ネットワークカードを生成します,そのIPは 10.8.0.1,そしてクライアントは 10.8.0.6,この時点でクライアントはpingに行きます 10.8.0.1 合格すべき。
次に、サーバーの物理ネットワークカードにpingを実行する必要があります (例 192.168.53.1) 見つける,この時点でルーティングを追加することに加えて,また「インターネット接続の共有」機能をオンにする。私はここで長い間立ち往生しています,その後、ついにViRb3ネチズンに登場しました。 "インターネットトラフィックをプロキシするOpenVPNWindowsサーバーを作成する・GitHub「この記事では、「インターネット接続の共有」という重要な設定を見つけます。。
◎「;プッシュルート “192.168…"
◎そのフォーマットによると,以下を追加,そしてアーカイブ。
push "route 192.168.53.0 255.255.255.0" # 如果要讓 Client 連到企業內部的其他網段, # 可以在這邊加入其他網段的資訊。
◎インターフェースカードの設定を入力,物理ネットワークカードをオンにする (192.168.53.1 これです) 「インターネット接続の共有」機能 (チェック”他のネットワークユーザーがこのコンピュータのインターネット接続を介して接続することを許可します”)。
PS. このアクションの方法を知る前に、たくさんの記事を見つけました,ここに長い間立ち往生。
"「インターネット接続の共有」機能をオンにした後,OpenVPN仮想ネットワークカードのIPはに変更されます 192.168.137.1,OpenVPNのデフォルトを使用したい場合 10.8.0.1,マシンコードを変更する必要があります。
◎regeditを実行する,到下列路徑:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters
◎ScopeAddressの値を 10.8.0.1。
◎OpenVPNサーバーを再起動します,そしてクライアントに再接続させます。
[アカウント確認方法としてADを使用]
最初の,ありがとうJ. オルテガ. VBScriptによって書かれました,OpenVPNが検証のためにADを簡単に通過できるようにしましょう,感謝感謝再感謝。在「OpenVPN for Windows実装のActive Directory認証 – amigo4life2「このページには、非常に詳細な設定手順があります。,でも年齢のせいで,Windowsでフォローアップする 2008、2012 将来のバージョン,まだやるべきことがいくつかあります,終了後の設定方法は以下の通り:
◎Auth4OpenVPNv2.0.zipをダウンロード,そしてコンテンツを解凍します “℃:/プログラムファイル/ OpenVPN /構成”
◎Auth4OpenVPN.iniの変更,ADに関する情報を入力してください,例は次のとおりです:
Server = "192.168.53.20" Domain = "abc" DN = "dc=abc,dc=com,dc=tw" Group = "(Group)OpenVPN" Logging = "On"
次のアクション,Jと. オルテガ. ページで少し異なります,これはアイスです OpenVPNコミュニティフォーラム 新しいバージョンのWindows Serverのセキュリティ問題の修正,アイスネチズンありがとう。
◎メモ帳を開く,次を貼り付け:
set LOCALAPPDATA=C:\Users\%USERNAME%\AppData\Local set CommonProgramFiles=C:\Program Files\Common Files set CommonProgramFiles(x86)=C:\Program Files (x86)\Common Files set CommonProgramW6432=C:\Program Files\Common Files C:\Windows\System32\cscript.exe "C:\Program Files\OpenVPN\config\Auth4OpenVPN.vbs" exit %errorlevel%
◎ファイルを保存 “℃:\Program Files OpenVPN config”,名前のファイル “Auth4OpenVPN-64bitWrapper.cmd”。
◎server.ovpnに次の2行の命令を追加します:
script-security 3 auth-user-pass-verify Auth4OpenVPN-64bitWrapper.cmd via-env
◎クライアント側のclient.ovpnに以下の2行を追加:
auth-user-pass auth-retry interact
◎そう,クライアントが接続しています,ログインするためのアカウントパスワードウィンドウがポップアップします。。
【補足情報】
◎Auth4OpenVPNはテスト機能を提供します,次のコマンドを使用してADへの接続をテストすることをお勧めします。問題はありません。,フォローアップ活動をしましょう。
auth4openvpn.vbs <user> <password>
◎Auth4OpenVPNは検証結果をWindowsアプリケーションログに残します,オリジナルのウェブページの方法に従って設定した場合,現れるかもしれません “Auth4OpenVPN: -2147221164, カテゴリーが登録されていません” エラーメッセージ,現在、提供されている氷のネチズンによると “Auth4OpenVPN-64bitWrapper.cmd” 修理方法,環境パラメータの問題を解決できます。
◎クライアントが企業ネットワークを介してインターネットにアクセスできるようにしたい場合 (インターネット),server.ovpnファイルで次の文字列を見つけるだけです,そして前のメモを追加します(;)脱いで。
;push "redirect-gateway def1 bypass-dhcp"
◎client.ovpnファイルをインポートする際のOpenVPN Connect,証明書と鍵ファイルがclient.ovpnファイルと同じディレクトリにあるかどうかを確認します,エラーがない場合。インポート完了後,後で接続するとき,OpenVPN Connectはclient.ovpnの設定に従い、コマンドパスの証明書とキーファイルを読み取ります;OpenVPN GUIにはこの問題はありません。
◎OpenVPNとWindowsネイティブアカウントを確認したい場合,共有しているsmiley22を参照できます SAMAuth4OpenVPN 素子。
◎その後、私はまだこの解決策を採用しませんでした,本土にはOpenVPNのフィルタリングがあるため,そのため、接続プロセス中にいくつかの奇妙な問題が発生します。
【參考連結】
- コミュニティダウンロード | OpenVPN
- Easy_Windows_Guide – OpenVPNコミュニティ
- OpenVPN for Windows実装のActive Directory認証 – amigo4life2
- (半)Auth4OpenVPNの修正 – Win2008R2 / Win2012R2 – OpenVPNサポートフォーラム
- インターネットトラフィックをプロキシするOpenVPN Windowsサーバーを作成する ・GitHub
- OpenVPN認証の問題 – OpenVPNサポートフォーラム
- Windows上のOpenVPNサーバー 〜Defron.org: 技術, セキュリティー, プライバシー
- デッドフォックスのパンフレット: OpenVPNでの詳細ルーティング
- リリースSAMAuth4OpenVPNv1.0.0.2・smiley22 / SAMAuth4OpenVPN ・GitHub
- [教學] OPEN VPN for Windows環境設定 @新鮮なアフタヌーンティー :: タイクーン ::
[…] ◎Auth4OpenVPN.iniの変更,AD関連情報を入力してください,例は次のとおりです:? […]
こんにちは. チュートリアルをありがとうございますが、私は認めなければなりません. 説明させてください :
Windowsでサーバーファイルを作成できます ( サーバーの必需品 2016) Windowsから接続します 10 私のクライアントファイルで. 接続が確立されます.
しかし、pingの段階では, アドレスにpingを送信するとき 10.8.0.1 クライアントステーションから, 否定的な結果.
さもないと, クライアントとサーバーを接続できるようになり次第, クライアントワークステーションにインターネット接続がありません.
私がこれから抜け出すのを手伝ってくれるリードがありますか…..
これがEssentialsバージョンであるという事実はpingを防ぐことができますか ?
您好,10.8.0.1でもpingに失敗した場合,VPN接続の確立に失敗した可能性があります,デフォルトでは,10.8.0.1pingできます。
たぶんあなたは私の記事のステップを参照することができます,ステップバイステップで設定します,幸運を,謝謝
アンソン 返信 | 11月27日, 2020 に 2:34 PM