爱陆通5G工业VPN网关自建OPENVPN专网实战干货分享
本次搭建拓扑图如上
一、 Openvpn软件下载安装
软件下载
OPENVPN服务端安装包可咨询爱陆通5G工业网关/路由器快盈lV500技术人员获取,物联网安全组网需求旺盛,基于5G工业VPN网关/路由器的VPN组网解决方案更加灵活方便。但传统VPN方案成本高技术难度大,因此基于Windows的低成本自建OPNEVPN方案受到用户的喜爱,解决了很多中小型项目的组网安全需求,方案中稳定可靠的5G工业网关/路由器起到了关键性作用。
软件安装
快盈lV500openvpn软件服务端和客户端都是同一个安装包,本次演示windows服务端安装并附带证书生产工具EasyRSA3,使用的openvpn安装包为2.5.7版本。
安装的时候要选择Customize,勾选openvpn service和EasyRSA3 安装,用于服务端配置和证书生成使用。
快盈lV500切记将安装的默认位置更改为非C盘,否则会影响后续的证书生成,此次安装在D盘。
安装完成后软件位置D: OpenVPN目录
二、 证书密钥生成
(示例为无密码版本,需要带密码版本联系爱陆通技术支持)
准备CA签发机构环境
在“D:OpenVPNeasy-rsa”目录下,将名为“vars.example”的文件复制到名为“vars”的文件。“vars”文件包含内置的 Easy-RSA 配置设置。后续证书生成按照该文件的配置进行生成。
主要修改以下参数
快盈lV500COUNTRY定义所在的国家。
PROVINCE定义所在的省份。
CITY定义所在的城市。
ORG定义所在的组织。
EMAIL定义邮箱地址。
OU定义所在的单位。
更改完后保存,双击打开EasyRSA-Start.bat文件,进入EasyRSA shell 环境dos窗口中;弹出的dos窗口中输入./easyrsa init-pki 初始化证书生成程序,初始化成功后会在D: OpenVPNeasy-rsa目录下新建文件夹kpi,如下图示:
生成CA公共证书
在dos窗口中输入./easyrsa build-ca nopass生成无密码CA证书,生成过程中会要求输入证书名称,随意输入即可,本次使用CA作为名称,生成结束后会打印出证书所在目录D: OpenVPNeasy-rsapkica.crt;
生成服务端证书密生成
输入./easyrsa build-server-full server nopass 生成名称为server的无密码服务端证书,生成后证书文件D: OpenVPNeasy-rsapkiissued文件夹
生成客户端证书密钥
输入./easyrsa build-client-full client nopass生成名称为client的无密码客户端证书,生成后证书在D: OpenVPNeasy-rsapkiissued文件夹
后续如需添加其他客户端,只需双击打开EasyRSA-Start.bat文件,直接输入./easyrsa build-client-full client2 nopass,无需做其他操作。标红为相应的证书名,区分不同客户端,做到一机一证书。如下图所示
生成DH密钥交换协议
输入./easyrsa gen-dh生成DH密钥交换协议文件,生成文件在D: OpenVPNeasy-rsapki目录下
快盈lV500目录D: OpenVPNeasy-rsapkiprivate下为证书key
三、 windows服务端配置
搭建OpenVPN服务器需要公网IP,或者在专网环境下固定的IP地址,可在具有OpenVPN服务器功能的路由器上搭建,也可在开启端口映射后的Windows电脑上搭建,本次示范为电脑上搭建。
(示例为UDP模式,如需TCP模式可参考附录OpenVPN server端配置文件详细说明,或咨询我司技术支持)
修改服务端配置文件
服务端配置文件模板为server.ovpn ,在 D: OpenVPNsample-config目录下。复制server.ovpn文件至D: OpenVPNconfig目录下,用windows自带的记事本打开修改为如下配置:
下图为注释,其他配置详细注释请看附录OpenVPN server端配置文件详细说明
在D: OpenVPNconfig目录下创建一个ccd文件夹,在文件夹下创建无后缀文件,文件名与客户端证书名一一对应,文件内输入子网段及指定隧道ip如下图所示:
证书复制进配置
将服务证书,服务key,ca证书,dh文件复制到文件夹D: OpenVPNconfig下
共享网络至VPN虚拟网卡
连接
右键点击任务栏带锁小电脑图标,点击连接,连接成功后会变绿,系统提示分配ip
四、 5G工业OPENVPN工业网关/路由器客户端配置
导入客户端密钥、客户端证书、CA证书
快盈lV500
按下图进行配置
5G工业OPENVPN网关/路由器本地时间同步,客户端与服务端时间不同步会导致无法进行交互
五、 验证
爱陆通5G工业openvpn网关/路由器连接成功状态
服务端ping客户端子网
客户端ping服务端子网
完美实现多台爱陆通5G工业OPENVPN网关/路由器和自建Windows OPENVPN服务器的安全连接和子网互通。